Предотвращена атака опасного троянца на оборонные предприятия |
7 апреля 2015 года
Троянец-бэкдор, получивший наименование BackDoor.Hser.1, распространялся с помощью целевой почтовой рассылки на личные и служебные электронные адреса сотрудников более десяти предприятий, входящих в состав известного российского концерна, причем все эти предприятия имеют оборонный профиль или обслуживают интересы военно-промышленного комплекса. Письмо было отправлено якобы от имени сотрудника головной организации холдинга и имело заголовок «Дополнение к срочному поручению от 30.03.15 № УТ-103». В тексте сообщения получателю предлагалось ознакомиться с номенклатурой некоего оборудования, а во вложении злоумышленники разместили файл табличного редактора Microsoft Excel с именем Копия оборудование 2015.xls.
Вложенный в сообщение файл содержит эксплойт, использующий уязвимость CVE2012-0158 в некоторых версиях табличного редактора Microsoft Excel. При попытке открытия данного файла на атакуемом компьютере запускается процесс excel.exe, в который встраивается дроппер троянца.
Дроппер распаковывает из своего тела бэкдор BackDoor.Hser.1 и сохраняет его на диск под именем npkim.dll в папку C:\Windows\Tasks\, регистрирует данную библиотеку в параметрах автозагрузки Windows и запускает командный интерпретатор cmd.exe для удаления файла процесса, в который он был встроен.
После своего запуска на инфицированном компьютере BackDoor.Hser.1 расшифровывает хранящийся в его теле адрес управляющего сервера и устанавливает с ним соединение. Троянец отправляет в принадлежащий злоумышленникам командный центр информацию об атакованном ПК (IP-адрес компьютера, его имя, версию операционной системы, наличие в сети прокси-сервера), после чего ожидает поступления команд от злоумышленников. Среди прочего, вредоносная программа способна по команде передавать на удаленный сервер список активных процессов на зараженном ПК, загрузить и запустить другое вредоносное приложение, а также открыть командную консоль и выполнить перенаправление ввода-вывода на принадлежащий киберпреступникам сервер, благодаря чему злоумышленники получают возможность дистанционного управления инфицированным компьютером.
Сигнатура троянца BackDoor.Hser.1 добавлена в вирусную базу Dr.Web, и потому эта вредоносная программа более не представляет опасности для пользователей антивирусных продуктов компании «Доктор Веб». Тем не менее, мы снова напоминаем читателям о необходимости установки современного антивирусного ПО и поддержания вирусных баз в актуальном состоянии.
http://feedproxy.google.com/~r/drweb/viruses/~3/2YC820npyks/
|
|
«Доктор Веб»: обзор вирусной активности в марте 2015 года |
2 апреля 2015 года
В марте 2015 года специалисты компании «Доктор Веб» завершили исследование многофункционального троянца-шпиона BackDoor.Yebot. Он распространяется с использованием другой вредоносной программы, добавленной в вирусную базу Dr.Web под именем Trojan.Siggen6.31836. Бэкдор BackDoor.Yebot обладает следующими функциональными возможностями:
Более подробную информацию об этой вредоносной программе, способах ее распространения и методах работы можно получить, ознакомившись с опубликованной на сайте компании «Доктор Веб» информационной статьей.
В марте активизировались злоумышленники, распространяющие троянцев-шифровальщиков с использованием массовых почтовых рассылок. Так, в минувшем месяце вирусописатели активно рассылали письма с заголовком «Incoming Fax Report» якобы от имени службы по передаче факсов через Интернет. В приложении к письму под видом факсимильного сообщения содержался ZIP-архив, внутри которого располагался вредоносный SCR-файл, детектируемый антивирусным ПО Dr.Web как Trojan.DownLoader11.32458.
При попытке открытия вложения вредоносная программа Trojan.DownLoader11.32458 распаковывает и запускает на атакуемом компьютере троянца-энкодера Trojan.Encoder.514, шифрующего хранящиеся на диске пользовательские файлы и требующего выкуп за их расшифровку. Подробности об этом инциденте рассказаны в опубликованной нами статье.
Количество запросов на расшифровку, поступивших в службу технической поддержки «Доктор Веб»
| Февраль 2015 | Март 2015 | Динамика |
|---|---|---|
| 1840 | 2361 | + 28.31% |
Этого функционала нет в лицензии Антивирус Dr.Web для Windows
| Превентивная защита | Защита данных от потери |
|---|---|
 |  |
Специалисты компании «Доктор Веб» продолжают следить за деятельностью бот-сети, созданной злоумышленниками с использованием файлового вируса Win32.Rmnet.12. Среднесуточная активность двух подсетей этого ботнета показана на следующих диаграммах:
Rmnet — это семейство файловых вирусов, распространяющихся без участия пользователя, способных встраивать в просматриваемые пользователям веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов и выполнять различные команды, поступающие от злоумышленников.
Также продолжает свою деятельность бот-сеть, созданная злоумышленниками с использованием файлового вируса Win32.Sector, реализующего следующие функциональные возможности:
Среднесуточная активность этого ботнета в марте 2015 года показана на следующей диаграмме:
Также специалисты компании «Доктор Веб» продолжают наблюдать за активностью ботнета Back.Door.Flashback.39:
По-прежнему проявляет активность Linux-троянец Linux.BackDoor.Gates.5, продолжающий осуществлять DDoS-атаки на различные интернет-ресурсы. В марте 2015 года специалистами «Доктор Веб» было зафиксировано 2236 уникальных IP-адресов, на которые осуществлялись атаки, что почти в два раза больше по сравнению с прошлым месяцем. Большинство из атакованных ресурсов, как и ранее, расположено на территории Китая, на втором месте располагаются США:
Для защиты пользователей от различных способов мошенничества в Интернете служат компоненты SpiDerGate и Родительский контроль, входящие в комплект поставки Dr.Web Security Space 10.0. Родительский контроль позволяет ограничивать доступ к интернет-сайтам определенной тематики, осуществляет фильтрацию подозрительного контента, а также, используя базы нерекомендуемых ссылок, защищает пользователя от мошеннических, потенциально опасных сайтов, шокирующего контента и ресурсов, замеченных в распространении вредоносного ПО.
В течение марта 2015 года в базу нерекомендуемых и вредоносных сайтов Dr.Web было добавлено 74 108 интернет-адресов.
| Февраль 2015 | Март 2015 | Динамика |
|---|---|---|
| 22 033 | 74 108 | + 236.35% |
Прошедший март оказался весьма неспокойным месяцем для владельцев мобильных Android-устройств: злоумышленники не переставали совершать атаки на пользователей и применяли для этого как известные, так и новые вредоносные программы. Самыми актуальными Android-троянцами в марте стали:
Более подробную информацию о вредоносных программах для мобильной платформы Android читайте в нашем специальном обзоре.
Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live
http://feedproxy.google.com/~r/drweb/viruses/~3/a57G74Xiqxw/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных Android-устройств в марте 2015 года |
2 апреля 2015 года
| Февраль 2015 | Март 2015 | Динамика |
|---|---|---|
| 6665 | 7103 | +6,57% |
В прошедшем месяце специалисты компании «Доктор Веб» обнаружили опасного многофункционального троянца Android.Titan.1, предназначенного для незаметной отправки СМС-сообщений, совершения телефонных звонков, а также сбора различной конфиденциальной информации. Особенности данного троянца:
Данная вредоносная программа успешно обнаруживается и нейтрализуется антивирусными продуктами Dr.Web для Android. Подробнее о троянце рассказано в соответствующей публикации на сайте компании.
Одними из наиболее активных вредоносных Android-программ по-прежнему остаются различные СМС-троянцы. В марте самыми заметными из них стали представители семейства Android.Bodkel, часть которых распространялась вирусописателями при помощи популярной в России социальной сети. Злоумышленники создали в ней несколько мошеннических сообществ, посвященных пиратским или якобы бесплатным версиям платного ПО для ОС Android, и предлагали потенциальным жертвам посетить ряд сомнительных веб-сайтов для загрузки подобных программ.
После установки на устройства пользователей эти вредоносные приложения по команде злоумышленников могли незаметно отправлять дорогостоящие СМС-сообщения, автоматически подписывать абонентов на платные услуги, обходя защитный сервис captcha, а также выполнять широкий спектр других опасных действий. Некоторые троянцы семейства Android.Bodkel, использованные в данной атаке:
Число записей для СМС-троянцев Android.Bodkel в вирусной базе Dr.Web:
| Февраль 2015 | Март 2015 | Динамика |
|---|---|---|
| 154 | 169 | +9,74% |
Также в прошедшем месяце вирусописатели продолжили активно создавать и распространять СМС-троянцев семейства Android.SmsSend. Число записей для этих вредоносных программ в вирусной базе Dr.Web:
| Февраль 2015 | Март 2015 | Динамика |
|---|---|---|
| 3264 | 3529 | +8,12% |
В прошедшем месяце были зафиксированы новые случаи распространения злоумышленниками разнообразных банковских троянцев для ОС Android. В частности, подобные вредоносные приложения были в очередной раз задействованы при атаках на пользователей из Южной Кореи – здесь киберпреступники вновь применяли рассылку СМС-сообщений, содержащих ссылку на загрузку вредоносных программ, однако число подобных спам-кампаний в марте заметно сократилось по сравнению с предыдущими месяцами и составило менее 20 случаев. Вирусописатели использовали следующие вредоносные Android-приложения при атаках на южнокорейских клиентов банков:
Банковский троянец, крадущий аутентификационные данные у клиентов ряда южнокорейских кредитных организаций. При запуске оригинальных программ интернет-банкинга троянец подменяет их интерфейс своей поддельной копией, в которой запрашиваются все конфиденциальные сведения, необходимые для доступа к управлению банковским счетом. Введенная пользователем информация в дальнейшем передается злоумышленникам. Под видом подписки на некую банковскую услугу пытается установить вредоносную программу Android.Banker.32.origin.
Троянская программа, предназначенная для распространения и установки на мобильные Android-устройства других вредоносных программ, в частности, различных банковских троянцев. Распространяется преимущественно среди южнокорейских пользователей.
В марте были обнаружены новые троянцы-вымогатели семейства Android.Locker, блокирующие мобильные устройства под управлением ОС Android и требующие у пользователей выкуп за их разблокировку. Число записей для этих опасных вредоносных программ в вирусной базе Dr.Web:
| Февраль 2015 | Март 2015 | Динамика |
|---|---|---|
| 174 | 190 | +9,2% |
Троянская программа, предназначенная для незаконного заработка злоумышленников посредством загрузки в веб-браузере мобильного Android-устройства различных опросов. Особенности троянца:
Многофункциональный троянец-бэкдор для ОС Android, способный выполнять широкий спектр задач. Особенности:
http://feedproxy.google.com/~r/drweb/viruses/~3/vYrpePZ7pIE/
|
|
Новая технология против опасных шпионских программ |
1 апреля 2015 года
Ассортимент используемых злоумышленниками технологий, позволяющих похищать конфиденциальную информацию у пользователей, непрерывно расширяется. Так, специалистами компании «Доктор Веб» была обнаружена вредоносная программа, способная с помощью веб-камеры распознавать отражение экранного изображения на сетчатке глаза пользователя и похищать таким образом вводимую им информацию. Для защиты от подобных атак компания «Доктор Веб» разработала и запатентовала специальное оптическое поляризационное покрытие, получившее название IR-Glasses, которое, в частности, могут использовать производители очков.
Троянец BackDoor.EyeSpy.1, исследованный вирусными аналитиками компании «Доктор Веб», распространяется на файлообменных сайтах и торрентах под видом различных «полезных» приложений, в частности компьютерных игр. Запустившись в атакуемой системе, работающей под управлением ОС Windows, вредоносная программа расшифровывает и сохраняет в папку Users\%username%\AppData\Roaming\ собственный исполняемый файл, а также файл конфигурации, после чего приложение регистрируется в параметрах автозагрузки. Для установки связи с управляющим сервером BackDoor.EyeSpy.1 использует шифрованный бинарный протокол, при этом адрес командного центра генерируется автоматически при помощи специального алгоритма в момент инициализации троянца.
Установив соединение с командным центром, BackDoor.EyeSpy.1 отправляет предварительно собранную информацию об инфицированном компьютере и переходит в режим ожидания команд от злоумышленников. Среди прочего, BackDoor.EyeSpy.1 может выполнять следующие функции:
Однако наиболее интересной и необычной функцией BackDoor.EyeSpy.1 является возможность подключения к веб-камере инфицированного устройства с целью похищения вводимой пользователем информации. С помощью веб-камеры троянец анализирует отражение демонстрируемого на экране устройства изображения на сетчатке глаза пользователя и способен распознавать данные, вводимые им в различные экранные формы. Таким образом троянец может похищать у своих жертв различную конфиденциальную информацию — номера банковских карт, логины, а также пароли, если они не защищены при наборе специальными маскирующими символами. Проведенные специалистами «Доктор Веб» исследования показали, что вредоносная программа успешно распознает до 48% вводимых пользователем символов, если разрешение матрицы веб-камеры составляет менее 1 мегапиксела, и порядка 76% при более высоком разрешении. Если же пользователь носит очки, успешность реализуемого BackDoor.EyeSpy.1 алгоритма распознавания вводимых символов может достигать 98%, поскольку поверхность стекла прекрасно отражает изображение, демонстрируемое на мониторе компьютера.
В настоящее время зафиксировано значительное число экземпляров троянца BackDoor.EyeSpy.1, переупаковываемых злоумышленниками во избежание сигнатурного детекта, поэтому новые образцы этой вредоносной программы попадают в вирусную базу с небольшой задержкой. Кроме того, есть основания полагать, что BackDoor.EyeSpy.1 — это лишь первый образец данного типа угроз, и технология похищения информации с использованием отражения экранного изображения на поверхности человеческого глаза, скорее всего, будет совершенствоваться злоумышленниками и в дальнейшем. С целью обезопасить пользователей от подобных вредоносных программ специалисты Департамента разработки и исследований компании «Доктор Веб» разработали специальное поляризационное покрытие для стекол очков, искажающее отражение дисплея (что делает невозможным его распознавание шпионским ПО), но не оказывающее виляния на оптические свойства стекла. Покрытие полностью пропускает свет солнечного спектра, однако в силу своей структуры определенным образом изменяет угол отражения падающих на его поверхность лучей, что вносит в видимое на стекле отражение заметные оптические искажения. Сотрудники «Доктор Веб» провели ряд экспериментов с использованием концептуальной модели, созданной на основе обычных очков, на поверхность линз которых было нанесено защитное покрытие, — в результате опытов эффективность технологии была подтверждена на практике.
Данная разработка была запатентована компанией «Доктор Веб» и в настоящее время рассматривается вопрос о её лицензировании для производителей очков и различных оптических приборов. Предполагается, что эта технология будет востребована прежде всего среди организаций и компаний, выдвигающих особые требования к обеспечению информационной безопасности своей деятельности, однако очевидно, что она будет эффективна только в сочетании с более традиционными способами защиты информации, такими как своевременное резервное копирование и использование современного антивирусного ПО.
http://feedproxy.google.com/~r/drweb/viruses/~3/wKca-cCYaBU/
|
|
Опасный бэкдор угрожает пользователям Windows |
23 марта 2015 года
Троянец BackDoor.Yebot распространяется с использованием другой вредоносной программы, добавленной в вирусные базы Dr.Web под именем Trojan.Siggen6.31836. Запустившись на атакуемом компьютере, это опасное приложение встраивает собственный код в процессы svchost.exe, csrss.exe, lsass.exe и explorer.exe, после чего, отправив на удаленный сервер соответствующий запрос, загружает и расшифровывает троянца BackDoor.Yebot, настраивает его в памяти компьютера и передает ему управление. Сам Trojan.Siggen6.31836 примечателен тем, что часть используемых им функций зашифрована (причем расшифровываются они только в момент выполнения, для чего троянец резервирует память, которая автоматически освобождается после исполнения кода функции). Также эта вредоносная программа обладает механизмами проверки наличия в атакуемой системе виртуальной машины и обхода системы контроля учетных записей пользователя (User Accounts Control, UAC).
Бэкдор BackDoor.Yebot обладает следующими функциональными возможностями:
Для обмена данными с управляющим сервером BackDoor.Yebot использует как стандартный протокол HTTP, так и собственный бинарный протокол. При этом управляющий сервер троянца обладает параноидальными настройками: например, он может занести IP-адрес в черный список при поступлении с него некорректного запроса или при поступлении слишком большого количества запросов с одного IP-адреса.
Специалисты компании «Доктор Веб» предполагают, что BackDoor.Yebot может использоваться злоумышленниками в том числе в качестве банковского троянца: фактически он универсален в силу достаточно развитого ассортимента функциональных возможностей и способности взаимодействовать с различными дополнительными модулями. Сигнатуры BackDoor.Yebot и Trojan.Siggen6.31836 добавлены в вирусные базы, потому эти вредоносные программы не представляют опасности для пользователей антивирусных продуктов Dr.Web.
http://feedproxy.google.com/~r/drweb/viruses/~3/pcKT4PG9R_Y/
|
|
Троянец-шифровальщик распространяется в почтовой рассылке |
20 марта 2015 года
На протяжении последних нескольких месяцев злоумышленники организовали множество спам-кампаний по распространению различных версий троянцев-шифровальщиков. Так, на текущей неделе участились случаи массовых рассылок по электронной почте посланий якобы от имени службы по передаче факсов через Интернет, имеющих заголовок «Incoming Fax Report». В приложении к письму под видом факсимильного сообщения содержится ZIP-архив, внутри которого располагается вредоносный SCR-файл, являющийся исполняемым в операционных системах семейства Microsoft Windows. Данные SCR-файлы детектируются антивирусным ПО Dr.Web как Trojan.DownLoader11.32458.
При попытке открытия вложения вредоносная программа Trojan.DownLoader11.32458 распаковывает и запускает на атакуемом компьютере троянца-энкодера Trojan.Encoder.514, шифрующего хранящиеся на диске пользовательские файлы и требующего выкуп за их расшифровку. Пострадавшие от действия Trojan.Encoder.514 файлы не получают отдельного расширения, но в начало их имени дописывается строка "!crypted!". Шифрование происходит с созданием промежуточных файлов, имеющих расширение *.cry, которые впоследствии удаляются.
В настоящий момент расшифровка файлов, зашифрованных вредоносной программой Trojan.Encoder.514, не представляется возможной. Специалисты компании «Доктор Веб» напоминают пользователям о необходимости своевременного резервного копирования наиболее ценных данных, а также рекомендуют проявлять бдительность и не открывать вложения в сообщениях электронной почты, полученных от незнакомых отправителей.
Чтобы троянец не испортил файлы, используйте защиту от потери данных
| Только в Dr.Web Security Space версии 9 и 10 |
| Подробнее о шифровальщиках |
 |
Что делать, если.. | |
Видео о настройке | |
Бесплатная расшифровка |
http://feedproxy.google.com/~r/drweb/viruses/~3/NQLjByY8Jwk/
|
|
Опасный Android-троянец «прячется» от антивирусов |
18 марта 2015 года
Новая вредоносная программа для ОС Android, получившая имя Android.Titan.1, предназначена для атаки на южнокорейских пользователей и распространяется киберпреступниками с применением рассылки нежелательных СМС-сообщений. В отправляемых злоумышленниками СМС говорится о якобы задерживающейся доставке некоего почтового отправления, а также указывается ссылка, переход по которой предполагает получение подробных сведений о возникшей «проблеме». В действительности же эта ссылка ведет на одну из страниц популярного облачного сервиса хранения данных, где вирусописатели разместили троянца Android.Titan.1. Если потенциальные жертвы попытаются посетить указанный веб-адрес, вместо ознакомления с ожидаемой информацией на их мобильные устройства будет автоматически загружен apk-файл вредоносного приложения. Однако для того, чтобы данный троянец заразил операционную систему, неосторожные пользователи должны самостоятельно выполнить его установку.
После успешной инсталляции Android.Titan.1 помещает на главный экран мобильного устройства свой ярлык и ждет, когда владелец зараженного Android-смартфона или планшета собственноручно запустит троянца. При первом успешном старте вредоносного приложения этот ярлык удаляется, а вредоносная программа продолжает свою работу в скрытом режиме. Одновременно с этим из памяти устройства стирается последний СМС-диалог жертвы, который в большинстве случаев будет представлен тем самым спам-сообщением, благодаря которому троянец и попал на целевое устройство. В дальнейшем Android.Titan.1 функционирует уже без участия пользователя и самостоятельно начинает свою активность, загружаясь вместе с операционной системой.
 |
 |
Android.Titan.1 осуществляет свою деятельность при помощи нескольких вредоносных системных сервисов, запускаемых троянцем в процессе его работы. В частности, один из них проверяет, является ли Android.Titan.1 менеджером сообщений по умолчанию, и, если это не так, пытается изменить соответствующие системные настройки.
Затем троянец ожидает появления доступа к сети Интернет, после чего соединяется с управляющим сервером и загружает на него подробные сведения о зараженном мобильном устройстве, включая название модели, информацию о версии установленной операционной системы, сетевом подключении, MAC-адресе устройства, IMEI- и IMSI-идентификаторах, а также номере телефона жертвы.
В ответ от сервера вредоносная программа может получить одну из следующих команд:
Благодаря наличию у Android.Titan.1 возможности выполнения скрытого звонка, а также периодическому отслеживанию активности экрана зараженного устройства, злоумышленники способны отдать троянцу команду на выполнение вызова, когда зараженный смартфон или планшет долгое время находится в режиме ожидания. При этом сразу после начала телефонного разговора экран вновь блокируется, в результате чего у пользователя не должно возникнуть никаких подозрений о совершаемом без его ведома нежелательном звонке.
Android.Titan.1 способен отслеживать все входящие СМС-сообщения и скрывать от пользователя те из них, которые удовлетворяют заданным вирусописателями критериям. При этом на управляющий сервер передаются подробные сведения обо всех принятых СМС, включая информацию об отправителе, дате и времени отправки, а также их содержимом. В случае если отправка этой информации невозможна, вредоносная программа помещает полученные данные в специальную базу, хранящуюся на устройстве локально, после чего ожидает подключения к сети, чтобы загрузить на сервер поставленную в очередь информацию.
Кроме этого, Android.Titan.1 обладает еще одной опасной функцией. Каждую минуту он проверяет, не совершается ли пользователем телефонный звонок, и, если это так, начинает скрытую запись разговора в amr-файл, сохраняя полученный результат в своем рабочем каталоге. В дальнейшем данный файл вместе с подробной информацией о звонках пользователя загружается на удаленный сервер, а в случае отсутствия интернет-соединения ставится в очередь, как в случае с перехваченными СМС-сообщениями. Также троянец может блокировать входящие или исходящие звонки с определенных номеров, отвечать на вызовы и удалять информацию о них из системного журнала.
Главная особенность данного троянца заключается в том, что его основной функционал реализован в виде отдельной Unix-библиотеки (детектируется как Android.Titan.2), в то время как у большинства известных вредоносных программ для ОС Android он обычно находится в стандартном исполняемом dex-файле. В случае с Android.Titan.1 dex-файл используется лишь в качестве вспомогательного компонента, в котором содержатся минимально необходимые функции для работы троянца. Подобный прием при создании вредоносных Android-приложений встречается достаточно редко, и благодаря нему многие антивирусные программы зачастую просто не в состоянии обнаружить опасное приложение.
По мнению вирусных аналитиков компании «Доктор Веб», Android.Titan.1 все еще находится в стадии разработки, поскольку он содержит ряд ошибок и часть его функционала остается незадействованной. В этой связи нельзя исключать появления еще более функциональной версии этого опасного вредоносного приложения в будущем.
Специалисты компании «Доктор Веб» оповестили службу поддержки облачного сервиса, на котором был размещен троянец, и в настоящий момент страница, с которой происходила его загрузка, уже недоступна. Тем не менее, ничто не мешает злоумышленникам повторно разместить троянца на этом или другом подобном ресурсе. Антивирус Dr.Web для Android и Антивирус Dr.Web для Android Light успешно детектируют и удаляют троянца Android.Titan.1, поэтому пользователи мобильных антивирусных решений компании «Доктор Веб» находятся под надежной защитой.
http://feedproxy.google.com/~r/drweb/viruses/~3/AzeSaTj3yDE/
|
|
Dr.Web против шифровальщиков: сохраните данные и… нервы! |
10 марта 2015 года
Из материалов раздела вы можете не только узнать о текущем положении дел на «энкодерном фронте» и о возможностях Dr.Web для противостояния шифровальщикам, но и ознакомиться с рекомендациями специалистов на случай заражения.
Обращаем внимание на то, что услуга по расшифровке файлов является бесплатной для владельцев коммерческих лицензий Dr.Web. А для того, чтобы дело не дошло до необходимости расшифровки, настоятельно рекомендуем воспользоваться функционалом «Защита от потери данных», доступным в рамках продукта комплексной защиты Dr.Web Security Space новой, десятой версии.
Будьте в курсе проблемы энкодеров и во всеоружии - сохраните ценные данные и не менее ценные нервы!
| Подробнее о троянцах-шифровальщиках |
http://feedproxy.google.com/~r/drweb/viruses/~3/JOCnEXckm9g/
|
|
Обзор вирусной активности для мобильных Android-устройств за февраль 2015 года |
4 марта 2015 года
| Январь 2015 | Февраль 2015 | Динамика |
|---|---|---|
| 6087 | 6665 | +9,5% |
В начале февраля в каталоге цифрового контента Google Play был обнаружен ряд приложений, которые содержали новый агрессивный рекламный модуль Adware.MobiDash.1.origin. Некоторые из этих программ были загружены пользователями десятки миллионов раз. Adware.MobiDash.1.origin обладает следующими особенностями:
В прошедшем месяце специалисты компании «Доктор Веб» отметили появление сразу нескольких новых рекламных систем, обладающих весьма агрессивным функционалом. Одной из них стала платформа Adware.MobiDash.1.origin, которая входила в состав ряда размещенных в каталоге Google Play программ.
Другие «неприятные» рекламные системы:
Число записей для троянцев-вымогателей семейства Android.Locker в вирусной базе Dr.Web:
| Январь 2015 | Февраль 2015 | Динамика |
|---|---|---|
| 159 | 174 | +9,4% |
В феврале была обнаружена новая модификация опасного троянца-блокировщика Android.Locker.71.origin, который шифрует файлы, блокирует зараженные мобильные устройства и требует у пострадавших пользователей выкуп в размере $200.
 |
 |
 |
Шифрование файлов на каждом устройстве происходит с использованием уникального криптографического ключа, поэтому восстановление поврежденных троянцем Android.Locker.71.origin данных затруднено.
В настоящий момент расшифровка файлов, пострадавших от действия данной вредоносной программы, невозможна, однако наши пользователи надежно защищены от действий Android.Locker.71.origin, т. к. все известие модификации троянца успешно детектируются и удаляются с мобильных устройств антивирусными решениями Dr.Web для Android.
В прошедшем месяце значительно возросло количество новых СМС-троянцев, отправляющих дорогостоящие короткие сообщения и подписывающие мобильные номера жертв на платные услуги. Число записей для троянцев семейства Android.SmsSend в вирусной базе Dr.Web:
| Январь 2015 | Февраль 2015 | Динамика |
|---|---|---|
| 2870 | 3264 | +13,7% |
В феврале в очередной раз проявили активность всевозможные «мобильные» банковские троянцы. В частности, подобные вредоносные приложения распространялись среди южнокорейских пользователей, где злоумышленники вновь применяли СМС-рассылку сообщений, в которых содержалась ссылка на загрузку копии троянцев.
Выявлено более 80 подобных спам-кампаний, в которых было задействовано несколько вредоносных программ. Большинство из них – троянцы-дропперы.
Скрывают непосредственно внутри себя других троянцев, в данном случае – Android-банкеров – основной инструментарий южнокорейских вирусописателей.
Вредоносная программа, позволяющая злоумышленникам выполнять на зараженных мобильных устройствах различные действия.
Примененные южнокорейскими киберпреступниками троянцы-банкеры:
Все они позволяют получить вирусописателям доступ к банковским счетам пользователей.
http://feedproxy.google.com/~r/drweb/viruses/~3/pHodv86QLaY/
|
|
«Доктор Веб»: обзор вирусной активности в феврале 2015 года |
4 марта 2015 года
Самый короткий месяц в году не обошелся без появления новых вредоносных программ. В начале февраля специалисты «Доктор Веб» завершили исследование сложного многофункционального троянца, угрожающего пользователям ОС Linux, а уже в конце месяца были опубликованы результаты изучения новой версии бэкдора для Mac OS X. Также в течение февраля 2015 года были по-прежнему активны вредоносные программы для мобильной платформы Google Android.
В конце февраля специалисты компании «Доктор Веб» завершили исследование троянца-бэкдора Mac.BackDoor.OpinionSpy.3, позволявшего злоумышленникам шпионить за пользователями Mac OS X. Троянец распространялся на сайтах, предлагавших загрузку бесплатного ПО вместе с вполне безобидными приложениями, в дистрибутив которых был встроен дополнительный исполняемый файл. Запустившись в процессе инсталляции с правами администратора, данная программа загружала, устанавливала и запускала на компьютере Apple вредоносное приложение.
Данная вредоносная программа успешно детектируется и удаляется Антивирусом Dr.Web для Mac OS X. Более подробная информация об этом бэкдоре опубликована в соответствующей информационной статье.
Количество запросов на расшифровку, поступивших в службу технической поддержки «Доктор Веб»
| Январь 2015 | Февраль 2015 | Динамика |
|---|---|---|
| 1305 | 1840 | +40,9% |
Троянцы-энкодеры, шифрующие файлы на компьютерах пользователей и требующие денежный выкуп за их расшифровку, по-прежнему представляют серьезную опасность.
Чтобы троянец не испортил файлы, используйте защиту от потери данных
| Только в Dr.Web Security Space версии 9 и 10 |
| Подробнее о шифровальщиках |
|
Что делать если.. | |
Видео о настройке | |
Бесплатная расшифровка |
Несмотря на то, что, по сообщениям многочисленных информационных агентств, 24 февраля 2015 года общими усилиями ряда организаций были отключены командные серверы бот-сети Rmnet, специалисты компании «Доктор Веб» в целом не наблюдают существенного снижения активности данного ботнета. Так, активность отслеживаемых компанией «Доктор Веб» подсетей ботнета, созданного злоумышленниками и использованием файлового вируса Win32.Rmnet.12, представлена на следующих графиках:
Более подробную информацию о деятельности ботнета Rmnet можно узнать из опубликованного на нашем сайте информационного материала.
Продолжает действовать ботнет, созданный злоумышленниками с использованием файлового вируса Win32.Sector:
Файловый вирус Win32.Sector реализует следующие функции:
Не снижается интерес злоумышленников и к операционным системам семейства Linux. Так, в начале февраля специалисты компании «Доктор Веб» исследовали сложного многофункционального троянца для ОС Linux, получившего наименование Linux.BackDoor.Xnote.1. Эта вредоносная программа умеет выполнять следующие команды для работы с файловой системой, поступающие от злоумышленников:
Кроме того, троянец может запустить командную оболочку (shell) с заданными переменными окружения и предоставить управляющему серверу доступ к ней, запустить на зараженном компьютере SOCKS proxy или собственную реализацию сервера portmap, а также осуществлять DDoS-атаки.
Более подробную информацию о способах распространения и принципах работы Linux.BackDoor.Xnote.1 можно почерпнуть, ознакомившись с опубликованным компанией «Доктор Веб» информационным материалом.
Все так же проявляет активность Linux-троянец Linux.BackDoor.Gates.5, продолжающий осуществлять DDoS-атаки на различные сайты в сети Интернет. В феврале 2015 года было выявлено 1129 уникальных IP-адресов, на которые осуществлялись атаки, что на 3880 меньше, чем в прошлом месяце. Как и прежде, большинство из них расположено на территории Китая:
В течение февраля 2015 года в базу нерекомендуемых и вредоносных сайтов Dr.Web было добавлено 22 033 интернет-адреса.
| Январь 2015 | Февраль 2015 | Динамика |
|---|---|---|
| 10 431 | 22 033 | +111,2% |
Для защиты пользователей от различных способов мошенничества в Интернете служит компонент Родительский контроль, входящий в комплект поставки Dr.Web Security Space 10.0. Родительский контроль позволяет ограничивать доступ к интернет-сайтам определенной тематики, осуществляет фильтрацию подозрительного контента, а также, используя базы нерекомендуемых ссылок, защищает пользователя от мошеннических, потенциально опасных сайтов, шокирующего контента и ресурсов, замеченных в распространении вредоносного ПО.
В феврале было выявлено большое число разнообразных вредоносных и потенциально опасных программ для мобильной платформы Google Android, таких как:
Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live
http://feedproxy.google.com/~r/drweb/viruses/~3/9QguwAux5vE/
|
|
Ботнет Rmnet живее всех живых! |
27 февраля 2015 года
По сообщениям информационных агентств, 24 февраля 2015 года общими усилиями ряда организаций были отключены командные серверы бот-сети Rmnet. В операции принимал участие Европейский центр борьбы с киберпреступлениями Европола (Europol's European Cybercrime Centre), CERT-EU (Computer Emergency Response Team), компании Symantec, Microsoft, AnubisNetworks и другие организации из стран Европы. Так, на веб-странице Европола сообщается, что специалистам по информационной безопасности удалось перехватить порядка 300 доменов управляющих серверов, сгенерированных вредоносной программой, а агентство «Рейтерс» упоминает о том, что в ходе операции было заблокировано 7 действующих управляющих серверов. По информации компании Symantec, в результате этой операции прекращена деятельность ботнета, состоящего из 350 000 инфицированных устройств, а по данным Microsoft их общее количество может достигать 500 000.
Специалисты компании «Доктор Веб» отслеживают несколько подсетей ботнетов, созданных злоумышленниками с использованием различных версий файлового вируса Rmnet. Так, модификация, получившая наименование Win32.Rmnet.12, известна еще с сентября 2011 года. Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Он в состоянии выполнять поступающие от злоумышленников команды, встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других.
Более поздняя модификация вируса, Win32.Rmnet.16, отличается от своей предшественницы рядом архитектурных особенностей, например, использованием цифровой подписи при выборе управляющего сервера. Вирус также способен выполнять команды на скачивание и запуск произвольного файла, обновление вируса, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы. Кроме того, модуль бэкдора обладает функционалом, позволяющим «убивать» процессы большинства наиболее распространенных антивирусных программ. Как и предыдущая версия вируса, Win32.Rmnet.16 умеет выполнять запись в загрузочную область диска (MBR), а также сохранять свои файлы в конце диска в зашифрованном виде.
Несмотря на то, что многочисленные информационные агентства рапортуют об успехе операции по блокированию деятельности ботнета Rmnet, специалисты компании «Доктор Веб» не отмечают снижения активности бот-сетей, за поведением которых вирусная лаборатория ведет непрерывное наблюдение. Всего на сегодняшний день специалистам «Доктор Веб» известно как минимум 12 подсетей Rmnet, использующих алгоритм генерации доменов управляющих серверов, и как минимум две подсети Win32.Rmnet.12, не использующие автоматическую генерацию доменов (из первой категории специалистами Symantec заблокирована только одна подсеть с seed 79159c10).
Так, в двух подсетях ботнета Win32.Rmnet.12 среднесуточная активность по-прежнему составляет порядка 250 000 – 270 000 инфицированных узлов, что наглядно показано на приведенных ниже графиках:
Среднесуточная активность ботнета Win32.Rmnet.12, 1-я подсеть
Среднесуточная активность ботнета Win32.Rmnet.12, 2-я подсеть
В отслеживаемой специалистами «Доктор Веб» подсети Win32.Rmnet.16 наблюдается значительно меньшая ежесуточная активность, но и здесь не отмечается каких-либо «провалов», связанных с возможной блокировкой управляющих серверов:
Среднесуточная активность ботнета Win32.Rmnet.16
Схожая ситуация наблюдается и при отслеживании активности компьютеров, на которых действуют вредоносные модули, получившие общее обозначение Trojan.Rmnet.19:
Среднесуточная активность ботнета Trojan.Rmnet.19
Приведенная статистика свидетельствует о том, что организаторы мероприятия по уничтожению бот-сети Rmnet, по всей видимости, сумели ликвидировать далеко не все управляющие серверы данного ботнета. По крайней мере, как минимум 500 000 инфицированных различными модификациями данного вируса ПК все еще продолжают активно действовать, обращаясь к уцелевшим командным серверам. Компания «Доктор Веб» будет следить за дальнейшим развитием ситуации.
http://feedproxy.google.com/~r/drweb/viruses/~3/Y-oI7ogMuyQ/
|
|
Возвращение опасного троянца для Mac OS Х |
27 февраля 2015 года
Семейство троянцев Mac.BackDoor.OpinionSpy известно специалистам по информационной безопасности еще с 2010 года, однако недавно в вирусную лабораторию компании «Доктор Веб» попал новый экземпляр данной вредоносной программы. Эта версия бэкдора получила наименование Mac.BackDoor.OpinionSpy.3.
Для своего распространения Mac.BackDoor.OpinionSpy.3 использует трехступенчатую схему. На различных сайтах, предлагающих всевозможное ПО для Mac OS X, появляются с виду безобидные программы, в составе дистрибутивов которых, тем не менее, присутствует файл poinstall, запускаемый инсталлятором в процессе установки. Если во время инсталляции загруженного с такого сайта приложения пользователь соглашается предоставить ему права администратора, poinstall отправляет на сервер злоумышленников серию POST-запросов, а в ответ получает ссылку для скачивания пакета с расширением .osa, внутри которого располагается ZIP-архив. Рoinstall распаковывает этот архив, извлекая исполняемый файл с именем PremierOpinion и XML-файл с необходимыми для его работы конфигурационными данными, после чего запускает эту программу.
Запустившись на атакуемом «маке», PremierOpinion также связывается с управляющим сервером и получает от него ссылку на скачивание еще одного .osa-пакета, из которого извлекается и устанавливается полноценное приложение с таким же названием — PremierOpinion. Это приложение содержит несколько исполняемых файлов: собственно программу PremierOpinion, в которой отсутствует какой-либо вредоносный функционал, и бэкдор PremierOpinionD, реализующий опасные для пользователя Mаc OS Х возможности.
Троянец получает администраторские права в процессе установки и работает в системе с привилегиями администратора. Если на начальном этапе инсталляции выбрать в окне программы установки вариант «I Disagree», на компьютер будет помещена только программа, которую пользователь скачивал из Интернета без каких-либо дополнительных шпионских компонентов.
Если пользователь выберет вариант «I Agree», помимо скачанного им приложения на компьютер будет установлена программа PremierOpinion, значок которой появится в командной панели и списке установленных приложений.
Интерфейс программы PremierOpinion достаточно лаконичен.
По щелчку мышью на значке приложения в командной панели запускается браузер, в окне которого открывается веб-страница с описанием приложения PremierOpinion, позиционируемого как утилита для проведения маркетинговых исследований. Однако на сайте разработчика не сообщается, что она собирает и передает на удаленный сервер информацию о компьютере Apple, на котором работает это приложение.
Разработчики утверждают, что программа PremierOpinion будет следить за историей покупок пользователя и время от времени станет предлагать ему принять участие в маркетинговом исследовании, для чего необходимо будет ответить на ряд вопросов специальной анкеты. Фактически же функциональные возможности Mac.BackDoor.OpinionSpy.3 намного шире заявленных и определяются получаемыми с управляющего сервера конфигурационными файлами. Троянец устанавливается в папку /Library/LaunchDaemons/, благодаря чему обеспечивается его автоматический запуск при отказе программы или перезагрузке системы. Затем Mac.BackDoor.OpinionSpy.3 устанавливает в браузеры Google Chrome и Mozilla Firefox специальное расширение, отслеживающее активность пользователя, и передает на управляющий сервер сведения о посещенных им сайтах (данные собираются по определенному набору правил), открываемых вкладках и ссылках, по которым осуществлялся переход. Помимо этого Mac.BackDoor.OpinionSpy.3 встраивает собственную библиотеку в процессы браузеров и приложение iChat с целью перехвата некоторых функций работы с сетью, а также осуществляет мониторинг трафика, передаваемого через сетевую карту компьютера Apple. На всех доступных Ethernet-интерфейсах отслеживаются HTTP-пакеты, трафик клиентов для обмена мгновенными сообщениями (Microsoft Messenger, Yahoo! Messenger, AIM, iChat), RTMP-трафик. Отдельный модуль троянца позволяет осуществлять сканирование жесткого диска и всех смонтированных в системе носителей, выполнять поиск файлов, соответствующих заданному вирусописателями правилу, и отправлять информацию об этих файлах на удаленный сервер. Также троянская программа отсылает злоумышленникам сведения об инфицированном компьютере, включая данные об аппаратной конфигурации, список запущенных процессов и т. д. Троянец способен устанавливать собственные обновления незаметно для пользователя, скачивая их с управляющего сервера. Следует отметить, что в браузере Safari Mac.BackDoor.OpinionSpy.3 нарушает работу модуля его локализации.
При обмене информацией с управляющим сервером часть данных троянец шифрует, часть — передает в открытом виде. Помимо прочего, Mac.BackDoor.OpinionSpy.3 может собирать и передавать злоумышленникам сведения о видеофайлах, просмотренных пользователем.
Сигнатура данной вредоносной программы добавлена в вирусную базу Dr.Web. Пользователям компьютеров, работающих под управлением Mac OS X, рекомендуется с осторожностью относиться к приложениям, загруженным из Интернета.
http://feedproxy.google.com/~r/drweb/viruses/~3/2P5ZGU1e85U/
|
|
Новый бэкдор для Linux обладает широким функционалом |
5 февраля 2015 года
Новая вредоносная программа для Linux, получившая наименование Linux.BackDoor.Xnote.1, распространяется аналогично некоторым другим троянцам для данной ОС: подбирая необходимый пароль, злоумышленники взламывают учетные записи для доступа к атакуемой системе по протоколу SSH. У вирусных аналитиков компании «Доктор Веб» имеются основания полагать, что к созданию бэкдора приложили руку китайские злоумышленники из хакерской группы ChinaZ.
В первую очередь Linux.BackDoor.Xnote.1 проверяет, запущена ли в инфицированной системе другая копия троянца, и, если таковая обнаруживается, завершает свою работу. Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root): в процессе инсталляции троянец создает свою копию в папке /bin/ в виде файла с именем iptable6 и удаляет исходный файл, из которого он был запущен. Также Linux.BackDoor.Xnote.1 ищет в папке /etc/init.d/ сценарии, начинающиеся со строки "!#/bin/bash", и добавляет после этой строки еще одну строку, обеспечивающую запуск бэкдора.
Для обмена данными с принадлежащим киберпреступникам управляющим сервером троянец использует следующий алгоритм. Для получения конфигурационных данных бэкдор ищет в своем теле специальную строку, указывающую на начало зашифрованного конфигурационного блока, затем расшифровывает его и начинает последовательный опрос управляющих серверов по списку, продолжающийся до тех пор, пока не будет обнаружен действующий или пока не закончится список. Перед передачей пакетов данный троянец и управляющий сервер сжимают их с использованием библиотеки zlib.
Сначала Linux.BackDoor.Xnote.1 отправляет на сервер злоумышленников информацию об инфицированной системе, затем троянец переходит в режим ожидания команд от удаленного сервера. Если команда подразумевает выполнение какого-либо задания, для его реализации создается отдельный процесс, устанавливающий собственное соединение с управляющим сервером, с использованием которого он получает все необходимые конфигурационные данные и отправляет результаты выполнения задачи.
Так, по команде злоумышленников Linux.BackDoor.Xnote.1 может назначить зараженной машине уникальный идентификатор, начать DDoS-атаку на удаленный узел с заданным адресом (среди возможных типов атак — SYN Flood, UDP Flood, HTTP Flood и NTP Amplification), прекратить начатую ранее атаку, обновить исполняемый файл бэкдора, записать информацию в файл или удалить себя. Отдельный блок заданий троянец может выполнять с различными файловыми объектами. Получив соответствующую команду, Linux.BackDoor.Xnote.1 отсылает злоумышленникам информацию о файловой системе инфицированного компьютера (общее количество блоков данных в файловой системе, количество свободных блоков), после чего может выполнить следующие команды:
Кроме того, троянец может запустить командную оболочку (shell) с заданными переменными окружения и предоставить управляющему серверу доступ к ней, запустить на зараженном компьютере SOCKS proxy или запустить собственную реализацию сервера portmap.
Сигнатура данной вредоносной программы добавлена в вирусную базу Dr.Web, и потому пользователи Антивируса Dr.Web для Linux защищены от действия этого троянца.
http://feedproxy.google.com/~r/drweb/viruses/~3/C4Jlv1lOz1o/
|
|
Обзор вирусной активности для мобильных Android-устройств за январь 2015 года |
3 февраля 2015 года
| Вредоносное ПО | Программы-шпионы | Рекламные модули | |
|---|---|---|---|
| Январь 2015 | 351 | 11 | 13 |
В прошедшем месяце специалисты компании «Доктор Веб» отметили появление очередных банковских троянцев, атакующих пользователей мобильных Android-устройств. Немалую активность подобные вредоносные приложения вновь проявили в Южной Корее, где для распространения Android-троянцев злоумышленники активно используют содержащие ссылку на их загрузку СМС-сообщения.
Выявлено более 40 подобных спам-кампаний, в которых было задействовано несколько вредоносных программ.
Вредоносные программы, предназначенные для распространения и установки на мобильные устройства других Android-троянцев. Южнокорейскими вирусописателями данные вредоносные приложения используются для распространения разнообразных троянцев-банкеров.
Банковский троянец, крадущий аутентификационные данные у клиентов ряда южнокорейских кредитных организаций. При запуске оригинальных программ интернет-банкинга троянец подменяет их интерфейс своей поддельной копией, в которой запрашиваются все конфиденциальные сведения, необходимые для доступа к управлению банковским счетом. Введенная пользователем информация в дальнейшем передается злоумышленникам. Под видом подписки на некую банковскую услугу пытается установить вредоносную программу Android.Banker.32.origin.
Представитель семейства банковских троянцев, предназначенных для кражи денежных средств со счетов пользователей ОС Android.
Проблема кибершпионажа остается весьма актуальной для пользователей мобильных устройств. В январе вирусная база Dr.Web пополнилась большим числом записей для разнообразных коммерческих шпионских приложений, предназначенных для установки на Android-смартфоны и планшеты и осуществления слежки за их владельцами. Наряду с обнаружением новых представителей известных семейств «мобильных» программ-шпионов, таких как Program.MobileSpy, Program.Tracer, Program.Highster, Program.OwnSpy, Program.MSpy и ряда других, специалисты компании «Доктор Веб» проанализировали и новые программы подобного класса, например, Program.ZealSpy.1.origin, Program.LetMeSpy.1.origin и Program.CellSpy.1.origin.
Эта вредоносная программа способна отслеживать:
Зачастую размещенные в каталоге Google Play приложения содержат потенциально опасные или нежелательные модули монетизации, которые работают весьма агрессивно, демонстрируя пользователям навязчивую рекламу. В январе был обнаружен очередной такой модуль, который был применен разработчиками ряда бесплатных программ и внесен в вирусную базу Dr.Web под именем Adware.HideIcon.1.origin.
Рекламный плагин для монетизации бесплатных Android-приложений. Обладает весьма неприятным функционалом.
http://feedproxy.google.com/~r/drweb/viruses/~3/xKxRY7CipP8/
|
|
«Доктор Веб»: обзор вирусной активности в январе 2015 года |
3 февраля 2015 года
По данным специалистов компании «Доктор Веб», в первом месяце 2015 года злоумышленники организовали несколько массовых рассылок вредоносных программ, предназначенных для установки на инфицированные компьютеры других опасных приложений. Многие пользователи ОС Microsoft Windows пострадали в январе от действия шифровальщиков. Также по-прежнему велико количество троянцев и других опасных программ, угрожающих пользователям мобильной платформы Google Android.
В середине января злоумышленники осуществили массовую почтовую рассылку троянца-загрузчика Trojan.DownLoad3.35539.
Расшифровка пострадавших от действия данного энкодера файлов в настоящий момент не представляется возможной.
Тем не менее, данная вредоносная программа успешно детектируется Антивирусом Dr.Web и потому пользователи защищены от действия этого троянца.
Подробнее об этом инциденте можно узнать в опубликованной компанией «Доктор Веб» информационной статье.
Количество запросов на расшифровку, поступивших в службу технической поддержки
| Декабрь 2014 | Январь 2015 | Динамика |
|---|---|---|
| 1096 | 1305 | +16,1% |
В январе увеличилось число пострадавших от действия троянца Trojan.Encoder.686 — в вирусной лаборатории зафиксировано 51 обращение. Этот шифровальщик собран с использованием библиотек TOR и OpenSSL, криптографию которых он активно использует. В процессе шифрования пользовательских файлов энкодер активно эксплуатирует возможности CryptoAPI с целью получения случайных данных и эллиптическую криптографию.
Вирусописатели отводят своим жертвам лишь 96 часов на оплату расшифровки файлов, угрожая при этом, что в случае отказа от сотрудничества все зашифрованные файлы будут потеряны навсегда, а за подробной информацией об условиях и сумме выкупа предлагают обратиться на сайт, расположенный в анонимной сети TOR.
К сожалению, в настоящий момент расшифровка файлов, пострадавших от действия Trojan.Encoder.686, не представляется возможной. Однако данная вредоносная программа успешно детектируется Dr.Web, и пользователи наших продуктов защищены от ее действий.
Защитить владельцев персональных компьютеров от действия троянцев-шифровальщиков может своевременное резервное копирование данных, разумное разделение прав пользователей операционной системы, и, безусловно, современная антивирусная система защиты. Эффективными инструментами противодействия шифровальщикам обладает Dr.Web Security Space версии 10.0, который включает специальные компоненты превентивной защиты данных от действия троянцев-вымогателей.
Чтобы троянец не испортил файлы, используйте защиту от потери данных
| Только в Dr.Web Security Space версии 9 и 10 |
| Подробнее о шифровальщиках |
|
Что делать если.. | |
Видео о настройке | |
Бесплатная расшифровка |
Вредоносная программа Win32.Sector известна с 2008 года и представляет собой сложный полиморфный вирус, способный распространяться самостоятельно (без участия пользователей) и заражать файловые объекты.
Его основные функции:
В январе 2015 года было выявлено несколько новых образцов вредоносных программ для операционных систем семейства Linux, наиболее интересным из которых является файловый вирус Linux.EbolaChan.
По-прежнему активен Linux-троянец Linux.BackDoor.Gates.5, продолжающий осуществлять DDoS-атаки на различные интернет-ресурсы. В январе 2015 года специалистами «Доктор Веб» было зафиксировано 5009 уникальных IP-адресов, на которые осуществлялись атаки, большинство из них, как и прежде, расположено на территории Китая:
В течение января 2015 года в базу нерекомендуемых сайтов Dr.Web был добавлен 10 431 интернет-адрес.
| Декабрь 2014 | Январь 2015 | Динамика |
|---|---|---|
| 10 462 | 10 431 | +0,3% |
Для защиты пользователей от различных способов мошенничества в Интернете служит компонент Родительский контроль, входящий в комплект поставки Dr.Web Security Space 10.0. Родительский контроль позволяет ограничивать доступ к интернет-сайтам определенной тематики, осуществляет фильтрацию подозрительного контента, а также, используя базы нерекомендуемых ссылок, защищает пользователя от мошеннических, потенциально опасных сайтов, шокирующего контента и ресурсов, замеченных в распространении вредоносного ПО.
В январе 2015 года было выявлено большое число новых вредоносных, а также других опасных Android-программ. Среди них наиболее актуальны следующие:
Немалую активность подобные вредоносные приложения вновь проявили в Южной Корее, где для распространения Android-троянцев злоумышленники активно используют содержащие ссылку на их загрузку СМС-сообщения.
Узнайте более подробную информацию о вредоносных программах для мобильной платформы Google Android, ознакомившись с нашим специальным обзором.
Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live
http://feedproxy.google.com/~r/drweb/viruses/~3/SriiUjfqeFQ/
|
|
Опасный троянец-шифровальщик распространяется в почтовой рассылке |
21 января 2015 года
Троянец-загрузчик, добавленный в вирусную базу Dr.Web под наименованием
Архив содержит .SCR-файл — к данному типу файлов по умолчанию относятся скринсейверы (заставки) Windows. Подобные файлы являются исполняемыми. При попытке запуска файла из архива
Одновременно с этим
Примечательно, что вирусописатели отводят своим жертвам лишь 96 часов на оплату расшифровки файлов, угрожая при этом, что в случае отказа от сотрудничества все зашифрованные файлы будут потеряны навсегда. При этом за подробной информацией об условиях и сумме выкупа киберпреступники предлагают пострадавшим пользователям обратиться на сайт, расположенный в анонимной сети TOR.
Троянец-шифровальщик
Компания «Доктор Веб» предупреждает пользователей о необходимости проявлять бдительность и не запускать присланные по e-mail исполняемые файлы, не открывать вложения в сообщениях электронной почты, полученных из сомнительных источников, а также напоминает о целесообразности своевременного резервного копирования всех представляющих ценность данных.
Также напоминаем, что в составе Dr.Web Security Space версии 9 и 10 имеется несколько компонентов, позволяющих настроить своевременное автоматическое резервное копирование наиболее ценной информации и обезопасить компьютер от действия троянцев-энкодеров, а также других вредоносных программ.
Эти действия в сочетании с определенной осмотрительностью при работе с электронной почтой позволят вам защитить вашу операционную систему от большинства современных угроз, включая троянцев-шифровальщиков.
Чтобы троянец не испортил файлы, используйте защиту от потери данных
| Только в Dr.Web Security Space версии 9 и 10 |
| Подробнее о шифровальщиках |
|
Что делать если.. | |
Видео о настройке | |
Бесплатная расшифровка |
http://feedproxy.google.com/~r/drweb/viruses/~3/20KKUENq8kk/
|
|
Обзор вирусной активности за 2014 год |
31 декабря 2014 года
Согласно статистическим данным, собранным в течение 2014 года с использованием лечащей утилиты Dr.Web CureIt!, за истекшие двенадцать месяцев абсолютным лидером по числу обнаружений на компьютерах пользователей стал установщик нежелательных приложений, внесенный в вирусные базы под именем
Десять вредоносных программ, обнаруживаемых лечащей утилитой Dr.Web CureIt! на компьютерах пользователей в 2014 году наиболее часто, показаны в приведенной ниже таблице:
| Название | % |
|---|---|
| Trojan.Packed.24524 | 1.60 |
| Trojan.BPlug.123 | 0.80 |
| Trojan.BPlug.100 | 0.71 |
| Trojan.MulDrop5.10078 | 0.55 |
| Trojan.BPlug.218 | 0.54 |
| Trojan.BPlug.48 | 0.53 |
| Trojan.BPlug.28 | 0.46 |
| Trojan.Admess.4 | 0.44 |
| Trojan.DownLoader11.3101 | 0.38 |
| Trojan.Click3.8536 | 0.36 |
Данная статистика наглядно демонстрирует, что среди общего числа вредоносных файлов, выявленных при помощи лечащей утилиты Dr.Web CureIt!, преобладают установщики нежелательных приложений, а также рекламные надстройки к браузерам и троянцы, предназначенные для демонстрации назойливой рекламы при просмотре веб-страниц. В течение года активность различных партнерских программ, распространяющих подобный «рекламный мусор», заметно возросла. Судя по всему, обусловлено это тем, что такие рекламные троянцы приносят своим создателям и распространителям довольно неплохой доход, и в будущем киберпреступники вряд ли откажутся упускать из своих рук легкую прибыль. Следовательно, тенденция к распространению рекламных троянцев должна сохраниться и в новом году.
Надежной защитой от подобных вредоносных программ является компонент SpIDer Gate, входящий в Dr.Web Security Space 10.0. Он предотвращает доступ пользователя к подозрительным сайтам и интернет-ресурсам, замеченным в распространении вредоносного ПО, что значительно снижает вероятность заражения.
Согласно данным, собранным серверами статистики Dr.Web, в 2014 году на компьютерах пользователей по числу обнаружений также лидировал установщик нежелательных программ
| 1 | Trojan.Packed.24524 | 0.30% |
| 2 | Trojan.InstallMonster.51 | 0.21% |
| 3 | Trojan.MulDrop5.10078 | 0.20% |
| 4 | BackDoor.IRC.NgrBot.42 | 0.18% |
| 5 | Trojan.LoadMoney.15 | 0.17% |
| 6 | BackDoor.PHP.Shell.6 | 0.16% |
| 7 | Trojan.LoadMoney.1 | 0.14% |
| 8 | Trojan.Fraudster.524 | 0.14% |
| 9 | Trojan.LoadMoney.262 | 0.13% |
| 10 | Trojan.InstallMonster.242 | 0.12% |
| 11 | Win32.HLLW.Shadow | 0.12% |
| 12 | Trojan.MulDrop4.25343 | 0.12% |
| 13 | Trojan.InstallMonster.209 | 0.11% |
| 14 | Win32.HLLW.Autoruner.59834 | 0.11% |
| 15 | Trojan.LoadMoney.263 | 0.11% |
| 16 | Trojan.Triosir.1 | 0.10% |
| 17 | BackDoor.Infector.133 | 0.10% |
| 18 | BackDoor.Andromeda.404 | 0.09% |
| 19 | Win32.HLLW.Gavir.ini | 0.09% |
| 20 | Trojan.LoadMoney.336 | 0.09% |
В минувшем году в почтовом трафике антивирусное ПО Dr.Web наиболее часто обнаруживало троянца-загрузчика
На втором месте в почтовом трафике числится троянец Trojan.Redirect.197, добавленный в вирусные базы в июле 2014 года — это массово распространявшийся по электронной почте небольшой файл, при открытии письма перенаправлявший потенциальную жертву на вредоносный сайт, с которого на компьютер загружались другие троянские приложения, в частности, предназначенный для кражи конфиденциальной информации троянец
На третьем месте расположилась вредоносная программа
После своего запуска
Также в числе наиболее «популярных» среди спамеров опасных приложений неизменно присутствуют представители семейства банковских троянцев
| 1 | BackDoor.Andromeda.404 | 0.55% |
| 2 | Trojan.Redirect.197 | 0.40% |
| 3 | BackDoor.Tishop.122 | 0.35% |
| 4 | Trojan.PWS.Panda.655 | 0.34% |
| 5 | Trojan.Fraudster.778 | 0.33% |
| 6 | Trojan.Redirect.195 | 0.32% |
| 7 | Trojan.DownLoad3.32784 | 0.29% |
| 8 | Trojan.PWS.Panda.5676 | 0.29% |
| 9 | Trojan.DownLoad3.28161 | 0.26% |
| 10 | BackDoor.Andromeda.559 | 0.25% |
| 11 | Trojan.PWS.Panda.4795 | 0.24% |
| 12 | Trojan.DownLoad3.33795 | 0.23% |
| 13 | Win32.HLLM.MyDoom.54464 | 0.23% |
| 14 | Trojan.Hottrend | 0.21% |
| 15 | Trojan.Oficla.zip | 0.21% |
| 16 | Trojan.PWS.Stealer.4118 | 0.21% |
| 17 | Trojan.PWS.Panda.2401 | 0.20% |
| 18 | Trojan.Fraudster.517 | 0.19% |
| 19 | BackDoor.Comet.884 | 0.18% |
| 20 | Trojan.PWS.Multi.911 | 0.18% |
Троянцы-загрузчики, рассылаемые злоумышленниками по электронной почте, могут превратить незащищенный компьютер в настоящий заповедник для различных вредоносных программ, а бэкдоры и троянцы, предназначенные для хищения конфиденциальной информации, например, часто встречающиеся в приведенной выше статистической таблице банковские троянцы семейства Trojan.PWS.Panda, способны похищать не только пароли и сведения из заполняемых пользователем веб-форм, но и денежные средства при атаках на системы дистанционного банковского обслуживания.
Полноценной защитой от вредоносных программ, распространяемых злоумышленниками по каналам электронной почты, является компонент SpIDer Mail, входящий в комплект поставки Dr.Web Security Space и Антивируса Dr.Web 10.0. Данный компонент позволяет оперативно выявлять и удалять не только опасные программы, прикрепленные к электронным сообщениями в качестве вложения, но также блокировать письма, содержащие подозрительные ссылки или опасные скрипты.
В 2014 году троянцы-энкодеры, шифрующие данные на компьютерах своих жертв и требующие выкуп за их расшифровку, представляли одну из наиболее распространенных и опасных угроз. За истекшие 12 месяцев в службу технической поддержки компании «Доктор Веб» обратилось более 10 000 пользователей, пострадавших от действий троянцев-энкодеров. При этом начиная с июля ежемесячное число обращений постепенно росло и в августе увеличилось практически в два раза по сравнению с январскими показателями. Это хорошо видно на представленной ниже диаграмме, помесячно демонстрирующей количество обратившихся за помощью в компанию «Доктор Веб» пользователей в 2014 году: наименьшее число обращений — 507 — зафиксировано в апреле, наибольшее — 1609 — в октябре:
Наиболее распространенными версиями троянцев-шифровальщиков в 2014 году стали представители семейства BAT.Encoder, а также троянцы
Следует отметить, что 2014 год принес значительные успехи в борьбе с распространяющими энкодеры злоумышленниками: специалисты компании «Доктор Веб» разработали уникальные методы расшифровки файлов, пострадавших от некоторых представителей этого семейства вредоносных программ. Так, в июле появилась возможность расшифровки файлов, зашифрованных троянцем
Позже, в ноябре 2014 года, появилась возможность восстановления файлов, пострадавших от действия троянской программы
Возможность восстановления поврежденных данным троянцем файлов стала результатом проведенной специалистами компании «Доктор Веб» исследовательской работы по созданию эффективных алгоритмов расшифровки. Эти усилия принесли свои плоды: на момент разработки данного метода «Доктор Веб» являлась единственной компанией, специалисты которой с вероятностью в 90% были способны восстановить файлы, зашифрованные злоумышленниками с использованием вредоносной программы
Из представленной выше информации становится очевидно, что троянцы-шифровальщики представляют очень серьезную угрозу для пользователей, и количество заражений этими вредоносными программами постепенно возрастает. Можно предположить, что данная тенденция сохранится и в следующем году.
Если вы стали жертвой этой вредоносной программы, воспользуйтесь следующими рекомендациями:
Защитить владельцев персональных компьютеров от действия троянцев-шифровальщиков может своевременное резервное копирование данных, разумное разделение прав пользователей операционной системы, и, безусловно, современный антивирус, обладающий эффективными средствами противодействия подобным типам угроз. Именно таким антивирусным решением является Dr.Web Security Space версии 10.0, который включает специальные компоненты превентивной защиты данных от действия троянцев-вымогателей. Чтобы обезопасить себя от потери ценных файлов, воспользуйтесь следующими советами:
1. Убедитесь, что в настройках Антивируса включена «Превентивная защита», которая бережет ваш ПК от угроз, еще не известных вирусной базе Dr.Web.
2. После этого включите «Защиту от потери данных» в разделе «Инструменты» и настройте параметры хранилища резервной копии важных для вас файлов.
3. Создайте резервную копию ценных данных и настройте их автоматическое сохранение по удобному для вас графику, выбрав подходящий временной интервал.
В течение минувшего года вирусные аналитики компании «Доктор Веб» внимательно следили за функционированием нескольких бот-сетей, созданных киберпреступниками с использованием различного вредоносного ПО. Так, ежемесячная активность состоящего из двух подсетей ботнета, образованного персональными компьютерами, инфицированными файловым вирусом
Проследить активность ботнета
Показатели среднестатистической активности инфицированных узлов в ботнете Win32.Rmnet.12 в 2014 году
(1-я подсеть)
Показатели среднестатистической активности инфицированных узлов в ботнете Win32.Rmnet.12 в 2014 году
(2-я подсеть)
Еще одна бот-сеть, за поведением которой с мая 2014 года стали пристально следить специалисты «Доктор Веб», создана злоумышленниками с использованием полиморфного файлового вируса
Показатели среднестатистической активности инфицированных узлов в ботнете Win32.Sector в 2014 году
Понемногу снижается и численность ботнета, состоящего из инфицированных троянцем
Показатели среднестатистической активности инфицированных узлов в ботнете
2014 год оказался чрезвычайно урожайным на новые вредоносные программы, угрожающие операционным системам семейства Linux. Особенно высокую активность проявляли китайские вирусописатели, создавшие значительное число новых Linux-троянцев, предназначенных для осуществления DDoS-атак.
Так, рекордное по сравнению с предыдущими месяцами количество троянцев для ОС Linux было исследовано специалистами компании «Доктор Веб» в апреле-мае 2014 года: среди них —
Троянцы
Вредоносные программы другого семейства, получившего наименование
Еще один DDoS-троянец, которому было присвоено наименование
Иными словами, в течение года в вирусные базы Dr.Web было добавлено значительное число новых семейств Linux-троянцев, которое можно с полным основанием назвать рекордным. Среди них — семейства троянцев, предназначенных для организации массовых DDoS-атак: Linux.DnsAmp, Linux.BackDoor.Gates, Linux.Mrblack (для архитектуры ARM), Linux.Myk,
Число образцов вредоносных программ для ОС Linux, поступивших в вирусную лабораторию компании Dr.Web в 2014 году
Значительный рост количества вредоносных программ для Linux — одна из наиболее явных тенденций 2014 года. Основная цель, преследуемая злоумышленниками, — организация массированных DDoS-атак с использованием инфицированных устройств. Защитить пользователей от данной категории вредоносного ПО призван Антивирус Dr.Web для Linux — единственный надежный и проверенный способ защиты ОС Linux от современного вредоносного ПО.
В минувшем году вирусописатели не обошли своим вниманием и пользователей операционной системы Mac OS X. Так, еще в феврале 2014 года специалистами «Доктор Веб» был обнаружен троянец
С помощью другой вредоносной программы для Apple, получившей наименование
Помимо прочего, в 2014 году были обнаружены новые бэкдоры для Mac OS X, среди которых следует отметить Mac.BackDoor.WireLurker, Mac.BackDoor.XSLCmd, Mac.BackDoor.Ventir, BackDoor.LaoShu и
Количество образцов вредоносных программ для Mac OS X, поступивших в вирусную лабораторию «Доктор Веб» в 2014 году, показано на следующей иллюстрации:
Число образцов вредоносных программ для Mac OS X, поступивших в вирусную лабораторию компании "Доктор Веб" в 2014 году
Защитить пользователей Apple-совместимых компьютеров от различных угроз призван Антивирус Dr.Web для Mac OS X 10.0. В продукт включен новый компонент — веб-антивирус SpIDer Gate, — предназначенный для проверки HTTP-трафика и контроля доступа к интернет-ресурсам. С появлением в Dr.Web для Mac OS X веб-антивируса SpIDer Gate в режиме реального времени производится проверка любого трафика по всем портам, перехватываются все HTTP-соединения и обеспечивается безопасность от фишинговых и других опасных интернет-ресурсов. Это позволяет получить дополнительную защиту и в тех случаях, когда пользователь самостоятельно рискует загрузить на свой «мак» вредоносное приложение. Кроме того, SpIDer Gate дает возможность ограничить доступ к Интернету по «черным» спискам нерекомендуемых сайтов.
В течение 2014 года сетевые жулики продолжали изыскивать все новые и новые способы обмана доверчивых пользователей Интернета. Для борьбы с этим явлением служат компоненты Dr.Web Security Space SpIDer Gate и Родительский контроль, в базы которого еженедельно в среднем добавляется от 2000 до 6000 ссылок на мошеннические, подозрительные и нерекомендуемые сайты.
Так, нередко злоумышленники наживаются на людях, желающих поправить свое финансовое положение, не прилагая к этому каких-либо усилий, — в минувшем году значительную популярность в Интернете набрали так называемые «бинарные опционы». Сетевые мошенники рекламируют подобные интернет-ресурсы преимущественно при помощи спам-рассылок, содержащих обращение к пользователю якобы от имени успешного коммерсанта, заработавшего в Интернете миллионы за считанные дни, либо от лица блогера, попробовавшего новый способ заработка и достигшего на этом поприще заметных результатов.
На подобных страничках пространно рассказывается об «уникальном» способе биржевой торговли, называемом «бинарными опционами». Согласно представленным на мошеннических сайтах сведениям, «бинарные опционы» представляют собой ставку на то, будет ли какой-либо актив (валюта, драгоценные металлы, пакет акций, и т. д.) расти в цене или дешеветь. Если пользователь угадал, его первоначальная ставка увеличивается на определенный процент, если нет — ставка сгорает.
Для организации торгового процесса мошенниками были разработаны специальные сайты, на которых якобы действуют программы-роботы, принимающие ставки, однако никакой связи с международными валютными рынками или фондовыми биржами подобные интернет-ресурсы не имеют: пользователь «играет» с локально работающей на сервере программой-роботом. При этом, если жертва мошенников пожелает вывести заработанные деньги из игровой системы, она, как правило, сталкивается с различными непредвиденными трудностями, которые делают эту операцию неосуществимой.
Другой популярный вид мошенничества в 2014 году получил широкое распространение в период проведения зимних Олимпийских игр в Сочи, хотя был известен и ранее. Как и в большинстве случаев сетевого жульничества, преступники пытаются сыграть на стремлении некоторых граждан обогатиться без усилий. Специально для подобной категории пользователей предприимчивые интернет-коммерсанты и разработали сайты, на которых предлагается приобрести «надежную и проверенную информацию» о договорных спортивных состязаниях, исход которых, якобы, заранее известен. С помощью этих сведений, по утверждениям сетевых жуликов, можно с уверенностью делать ставки в букмекерских конторах и в кратчайшие сроки заработать себе скромный многомиллионный капитал.
Потенциальной жертве «торговцы счастьем» предлагают приобрести сведения об исходе какого-либо спортивного состязания, либо оплатить подписку, по условиям которой подобные данные будут предоставляться на регулярной основе. Стоимость этой услуги редко превышает 150 долларов. Для усыпления бдительности потенциальных покупателей на подобных сайтах зачастую публикуются снимки экрана, демонстрирующие якобы выигравшие букмекерские ставки, а также восторженные отзывы внезапно озолотившихся «клиентов» — разумеется, поддельные.
На практике в лучшем случае жертва получает обычный прогноз об исходе того или иного матча, зачастую составленный профессиональными спортивными аналитиками и опубликованный ранее в свободном доступе. Иными словами, мошенники выдают за предрешенный результат обычный спортивный прогноз, который, разумеется, не может служить стопроцентной гарантией выигрыша. Иногда сетевые жулики предлагают своим клиентам «гарантии» в виде возврата вложенных ими средств, если предоставленная им информация окажется неверной, однако они все равно останутся с прибылью, поскольку части покупателей обычно предоставляется прогноз с одним исходом матча, а другой части — прямо противоположный. При этом даже в случае проигрыша вернуть деньги порой становится нетривиальной задачей: разгневанному покупателю вместо возврата средств обычно предлагается «еще один бесплатный прогноз».
Зачастую жертвами сетевых мошенников становятся поклонники многопользовательских игр, многие из которых представляют собой целые виртуальные миры со своими традициями, историей, культурой и даже своеобразной экономической моделью, позволяющей покупать и продавать как отдельные виртуальные предметы, так и целых персонажей, «прокачанных» игроком до определенного уровня.
Приобретая аккаунт на игровом сервере, покупатель стремится получить не просто персонажа с максимальным количеством различных «навыков» и баллов опыта, но также игровую амуницию, доспехи, ездовых животных (иногда довольно редких), набор умений и профессий, доступных для данного героя, иные игровые артефакты и возможности. Основным фактором риска для покупателя персонажей является то, что выставленный на продажу мошенниками игровой аккаунт может быть возвращен им по первому обращению в службу технической поддержки. Если же выяснится, что учетная запись в нарушение правил была продана, ее просто заблокируют.
Помимо прочего, у потенциального покупателя имеется ненулевой шанс стать обладателем ворованного игрового аккаунта, ранее «угнанного» у другого пользователя. Также злоумышленники с помощью системы личных сообщений могут рассылать от имени игрока фишинговые ссылки — например, публикуя информацию об «акции от разработчика игры», требующей зарегистрироваться на стороннем сайте со своим логином и паролем, или рекламируя программы для накрутки игровых характеристик персонажа, под видом которых распространяются вирусы и троянцы.
Для защиты от различных способов мошенничества в Интернете служит компонент Родительский контроль, входящий в комплект поставки Dr.Web Security Space 10.0. Родительский контроль позволяет ограничивать доступ к интернет-сайтам определенной тематики, осуществляет фильтрацию подозрительного контента, а также, используя базы нерекомендуемых ссылок, защищает пользователя от мошеннических, потенциально опасных сайтов, шокирующего контента, а также ресурсов, замеченных в распространении вредоносного ПО.
2014 год запомнился и большим числом всевозможных атак на пользователей мобильных устройств. Как и раньше, основной целью для «мобильных» злоумышленников стали смартфоны и планшеты под управлением ОС Android. За последние 12 месяцев вирусная база Dr.Web пополнилась большим числом записей для разнообразных вредоносных и нежелательных Android-программ, и на конец минувшего года ее объем составил 5 681 запись, показав рост на 102% по сравнению с тем же показателем 2013 года.
Динамика пополнения вирусной базы Dr.Web записями для вредоносных, нежелательных и потенциально опасных Android-программ в период с 2010 по 2014 год
Главной целью вирусописателей, создававших вредоносное ПО для Android-устройств, в очередной раз стало стремление извлечь как можно большую финансовую выгоду. В частности, для своего незаконного обогащения кибержулики вновь активно использовали проверенный временем мошеннический механизм с отправкой дорогостоящих СМС-сообщений и подпиской абонентских номеров на платные контент-услуги. В этом им активно помогали разнообразные СМС-троянцы семейства
Число вирусных записей для СМС-троянцев Android.SmsSend в вирусной базе Dr.Web
Однако «классические» СМС-троянцы – уже далеко не единственный инструмент для обогащения вирусописателей. В 2014 году ассортимент вредоносных приложений, предназначенных для извлечения прибыли за счет отправки дорогостоящих СМС-сообщений, значительно вырос. Например, существенно увеличилась численность троянцев семейства
Помимо отправки премиум-сообщений, у киберпреступников есть и другие источники незаконного заработка, в частности, кража конфиденциальной финансовой информации и незаконные денежные переводы при помощи зараженных банковскими троянцами мобильных устройств пользователей. Попадая на смартфон или планшет потенциальной жертвы, подобные вредоносные приложения могут не только обманом заполучить аутентификационные данные для доступа к управлению банковскими счетами, но и автоматически выполнить кражу всех денежных средств в случае, если у владельца зараженного устройства подключена услуга мобильного банкинга. В 2014 году число атак с применением различных банковских троянцев заметно выросло, а инциденты с их участием были отмечены во множестве стран. Например, среди угрожавших российским пользователям банковских троянцев были зафиксированы опасные вредоносные программы
 |
 |
 |
Весьма активно киберпреступники использовали банковских троянцев и в Южной Корее. Многие из циркулировавших в этой стране Android-троянцев в 2014 году распространялись вирусописателями при помощи нежелательных СМС-сообщений, в которых содержалась ссылка на загрузку той или иной вредоносной программы. За последние 12 месяцев специалисты компании «Доктор Веб» зафиксировали более 1760 подобных спам-кампаний, жертвами каждой из которых могли стать от нескольких сотен до нескольких десятков тысяч человек.
Количество зафиксированных в 2014 году спам-кампаний, организованных с целью распространения Android-троянцев среди южнокорейских владельцев Android-устройств
Многие из обнаруженных в 2014 году южнокорейских Android-банкеров характеризуются чрезвычайно широким вредоносным функционалом, а также современными техническими решениями, заложенными в них вирусописателями. Например, некоторые троянцы (в частности,
 |
 |
 |
Нельзя не отметить и многофункционального банковского троянца
Число пользователей, пострадавших в ноябре 2014 от троянца Android.Wormle.1.origin
Но главным событием прошедшего года стало появление в арсенале киберпреступников совершенно новых типов Android-троянцев, предназначенных для получения прибыли за счет пользователей мобильных устройств. Одними из таких вредоносных программ стали троянцы-блокировщики, «настольные» версии которых не дают спокойно жить многим пользователям до сих пор. Появление мобильных версий таких вредоносных программ было ожидаемым: огромный рынок мобильных Android-устройств и легкость создания подобных вредоносных приложений не могли остаться незамеченными киберпреступниками. Первые Android-блокировщики были обнаружены в мае 2014 года, и уже тогда среди них был зафиксирован чрезвычайно опасный экземпляр. Троянец, получивший по классификации компании «Доктор Веб» имя
К «счастью» для пользователей, прочие Android-вымогатели, появившиеся в 2014 году, были не столь кровожадны и лишь блокировали экран мобильных устройств сообщением с требованием оплаты выкупа. Однако при этом в большинстве случаев пользователи получали полностью непригодный для работы смартфон или планшет, т. к. троянцы семейства
Менее чем за 8 месяцев с момента появления первых представителей семейства
Другим типом вредоносных программ, созданных в 2014 году злоумышленниками для обогащения за счет пользователей Android-устройств, стали троянцы-майнеры, предназначенные для добычи различных электронных криптовалют. Например, в марте были обнаружены троянцы
 |
 |
 |
Чуть позже вирусописатели «исправились», и выпустили в свет обновленные версии этих троянцев. В отличие от оригиналов, новые модификации вредоносных программ не использовали аппаратные ресурсы инфицированных мобильных устройств на полную мощность. Однако для пользователей это все равно не сулило ничего хорошего, т. к. их «девайсы» работали впустую и приносили прибыль вирусописателям.
Таким образом, по итогам 2014 года можно сделать вывод о том, что киберпреступники не только сохранили повышенный интерес к деньгам пользователей мобильных устройств под управлением ОС Android, но и значительно усилили атаки в данном направлении, желая получить еще больше выгоды за чужой счет. В связи с этим владельцам Android-смартфонов и планшетов необходимо с особой осторожностью относиться к устанавливаемым приложениям и при малейшем сомнении относительно той или иной программы отказаться от ее использования. Также всем без исключения пользователям рекомендуется установить антивирусное ПО, а пользователям банковских систем — постоянно контролировать историю операций с банковскими картами и счетами.
Кража конфиденциальных данных – еще один выгодный для киберпреступников вид незаконной деятельности – в 2014 году вновь стала актуальной проблемой для пользователей Android-устройств. Вирусописатели создали множество разнообразных троянцев-шпионов, а совершаемые с их помощью атаки были выявлены по всему миру. Так, обнаруженный в январе троянец Android.Spy.67.origin, получивший распространение в Китае, выполнял сбор и отправку на сервер злоумышленников различной конфиденциальной информации, среди которой была история СМС-сообщений, журнал вызовов и GPS-координаты. Кроме того, он мог активировать камеру и микрофон мобильного устройства, а также выполнял индексацию имеющихся фотографий, создавая для них специальные файлы-миниатюры. Android.Spy.67.origin обладал еще одной особенностью: при наличии root-доступа троянец нарушал работу ряда популярных в Китае антивирусных продуктов, удаляя их вирусные базы, а также устанавливал скрытую внутри него вредоносную программу, которая могла осуществлять инсталляцию других опасных приложений. Весной на просторах подпольных хакерских форумов вирусописатели начали продажу троянца
Но одним из наиболее примечательных троянцев-шпионов в 2014 году стала вредоносная программа
Разнообразные шпионские Android-приложения, обнаруженные в 2014 году, в очередной раз подтверждают тот факт, что мобильные Android-устройства являются прекрасным источником ценной для злоумышленников информации. В связи с этим пользователям не стоит легкомысленно относиться к потенциальным рискам хищения секретных сведений и уповать на то, что те или иные персональные данные не заинтересуют киберпреступников: если для вас подобная информация кажется несущественной, то это не значит, что сетевые мошенники не найдут ей выгодное для себя применение.
Еще одной серьезной угрозой для пользователей ОС Android в 2014 году стали вредоносные программы, предустановленные на мобильных устройствах, либо встроенные в распространяемые злоумышленниками файлы-прошивки операционной системы. В течение прошедших 12 месяцев было выявлено большое число подобных инцидентов, самым ярким из которых стало появление первого в истории буткита для ОС Android. В частности, обнаруженный в январе троянец
В феврале вирусные аналитики компании «Доктор Веб» обнаружили двух встроенных в предустановленную на бюджетных устройствах китайского производства операционную систему Android СМС-троянцев, основным предназначением которых была оплата использования китайского музыкального сервиса. Троянцы, получившие имена Android.SmsSend.1081.origin и Android.SmsSend.1067.origin, без спроса отправляли специально сформированные СМС-сообщения, каждое из которых могло стоить в рублевом эквиваленте 5-7 рублей. Также в ноябре на целом ряде бюджетных Android-устройств был обнаружен предустановленный злоумышленниками троянец
В декабре вновь были выявлены троянцы, предустановленные злоумышленниками на различных мобильных устройствах. Например, вредоносная программа Android.Backdoor.126.origin позволяла киберпреступникам реализовывать разного рода мошенничества: троянец размещал среди СМС-сообщений пользователя специально сформированные СМС, содержимое которых задавалось вирусописателями. А другой троянец, получивший имя Android.Backdoor.130.origin, мог без ведома владельца инфицированного мобильного устройства отправлять СМС-сообщения, совершать звонки, демонстрировать рекламу, загружать, устанавливать и запускать приложения, а также передавать на управляющий сервер различную конфиденциальную информацию, включая историю звонков, СМС-переписку и данные о местоположении мобильного устройства, а также выполнять ряд других нежелательных действий.
Таким образом, вполне очевидно, что в настоящее время соблюдение базовых норм безопасности при использовании Android-устройств становится все менее достаточным и требует не только загрузки приложений из надежных источников и установки антивирусного ПО, но и серьезного подхода в выборе самих мобильных устройств. В частности, необходимо удостовериться в надежности производителя Android-смартфона или планшета, а также поставщика, выполняющего продажу конкретного аппарата. Кроме того, следует избегать использования вызывающих сомнение сборок операционной системы Android, а также отказаться от загрузки файлов прошивок из ненадежных источников.
Защитить пользователей ОС Android призван Антивирус Dr.Web для Android, обладающий всем необходимым арсеналом для обеспечения безопасности современных смартфонов, планшетов и иных мобильных устройств.
Однако помимо многочисленных атак на пользователей Android-устройств, злоумышленники не обошли стороной и владельцев смартфонов и планшетов под управлением iOS. Стоит отметить, что большинство зафиксированных вредоносных программ могли заразить лишь «взломанные» мобильные Apple-устройства, однако среди них был и троянец, способный инфицировать обычные iOS-смартфоны и планшеты. Например, в марте был обнаружен угрожавший китайским пользователям троянец IPhoneOS.Spad.1. Эта вредоносная программа определенным образом модифицировала параметры ряда рекламных систем, встроенных в различные iOS-приложения. В результате оплата за демонстрируемую в них рекламу направлялась на счета предприимчивых злоумышленников, минуя авторов этих пр
|
|
Обзор вирусной активности для мобильных устройств за 2014 год |
31 декабря 2014 года
Минувший год оказался чрезвычайно насыщенным в плане появления новых вредоносных приложений, созданных злоумышленниками для заражения мобильных устройств. В течение 12 прошедших месяцев появилось большое число разнообразных троянцев, а также опасных и нежелательных программ, которые киберпреступники использовали при атаках не только на Android-смартфоны и планшеты, но также и устройства под управлением других популярных мобильных платформ, в частности iOS. Вместе с тем, ОС Android по-прежнему продолжает занимать лидирующие позиции на рынке мобильных устройств, поэтому неудивительно, что основное внимание ориентированных на «мобильный» сегмент киберпреступников в минувшем году было вновь направлено в сторону пользователей именно этой операционной системы. Так, по итогам 2014 года вирусная база Dr.Web пополнилась 2 867 записями для различных вредоносных, нежелательных и потенциально опасных Android-программ и достигла объема в 5 681 вирусное определение, продемонстрировав рост на 102% по сравнению с аналогичным показателем 2013 года. А с момента появления в 2010 году первых вредоносных приложений для ОС Android число соответствующих им вирусных записей в базе Dr.Web увеличилось еще значительнее: в 189 раз или на 18 837%.
Динамика пополнения вирусной базы Dr.Web записями для вредоносных, нежелательных и потенциально опасных Android-программ в период с 2010 по 2014 год
Вместе с ростом количества троянцев, а также другого опасного и нежелательного ПО для мобильной платформы Google Android в 2014 году существенно увеличилось и число новых семейств Android-угроз. Если в 2013 году специалисты компании «Доктор Веб» выделяли 331 семейство вредоносных и опасных Android-приложений, то по состоянию на конец 2014 года их количество возросло почти на 11% и достигло 367.
Число известных специалистам компании «Доктор Веб» семейств вредоносных, нежелательных и потенциально опасных программ для ОС Android
На протяжении долгого времени одними из самых многочисленных вредоносных Android-приложений остаются троянцы, предназначенные для кражи у владельцев мобильных устройств различной конфиденциальной информации, либо позволяющие киберпреступникам зарабатывать иными незаконными способами. В минувшем году эта тенденция не только сохранилась, но и значительно усилилась вследствие появления большого числа представителей уже известных семейств вредоносных Android-программ, а также совершенно новых троянцев, идеи для создания которых «мобильные» вирусописатели позаимствовали из сегмента настольных компьютеров.
Наиболее часто встречающееся вредоносное ПО для ОС Android согласно объему записей вирусной базы Dr.Web
Одним из самых распространенных способов незаконного заработка для атакующих мобильные устройства киберпреступников до сих пор остаются разного рода мошеннические действия, связанные с незаконной отправкой премиум-сообщений на короткие номера, а также подписка абонентов мобильных операторов на платные контент-услуги. В связи с этим вовсе неудивительно, что в безоговорочных лидерах среди существующих на данный момент вредоносных программ для ОС Android по-прежнему находятся СМС-троянцы семейства
Число вирусных записей для СМС-троянцев Android.SmsSend в вирусной базе Dr.Web
Заработок при помощи отправки дорогостоящих СМС-сообщений киберпреступники получают и за счет других вредоносных приложений. В их числе – троянцы семейства
Число вирусных записей для троянцев семейства Android.SmsBot в базе Dr.Web
Однако предприимчивые злоумышленники на этом не остановились и расширили свой инструментарий для заработка на отправке премиум-сообщений за счет других вредоносных программ. В частности, в 2014 году получили массовое распространение троянцы нового семейства
 |
 |
Еще одной отличительной чертой этих вредоносных приложений является использование вирусописателями сильного усложнения (обфускации) кода. Это делается с целью затруднения анализа троянцев антивирусными компаниями и снижения вероятности их обнаружения защитным ПО. В течение 2014 года специалисты компании «Доктор Веб» обнаружили большое число вредоносных приложений семейства
Услуги дистанционного банковского обслуживания, в частности мобильного банкинга, продолжают набирать все большую популярность среди пользователей мобильных устройств. Данное обстоятельство просто не могло остаться незамеченным киберпреступниками, поэтому неудивительно, что с каждым годом они усиливают атаки на мобильные устройства пользователей с целью получения доступа к их банковским счетам с применением самых разнообразных троянцев. В этом плане не стал исключением и 2014 год, на протяжении которого специалисты компании «Доктор Веб» фиксировали большое число «мобильных» банкеров, предназначенных для заражения Android-смартфонов и планшетов жителей из разных стран. Попадая на мобильные устройства пользователей, эти вредоносные приложения способны похищать логины и пароли от банковских аккаунтов, перехватывать СМС-сообщения с проверочными mTAN-кодами и выполнять автоматические денежные переводы в пользу вирусописателей. Кроме того, подобные троянцы могут похищать различную конфиденциальную информацию владельцев Android-устройств, скрытно отправлять СМС-сообщения и выполнять другие противоправные действия.
В минувшем году для охотившихся за деньгами пользователей злоумышленников одним из наиболее привлекательных регионов стала Южная Корея с ее развитым рынком услуг дистанционного банковского обслуживания. Для распространения вредоносных Android-приложений среди южнокорейских клиентов кредитных организаций предприимчивые вирусописатели очень активно использовали рассылку нежелательных СМС-сообщений, в которых содержалась ссылка на загрузку того или иного Android-троянца. Так, согласно имеющейся статистике, за последние 12 месяцев киберпреступники организовали более 1760 подобных спам-кампаний, при этом в общей сложности специалисты компании «Доктор Веб» зафиксировали активность порядка 80 различных вредоносных Android-программ, а также множества их модификаций.
Количество зафиксированных в 2014 году спам-кампаний, организованных с целью распространения Android-троянцев среди южнокорейских владельцев Android-устройств
Чтобы вызвать у потенциальной жертвы интерес к полученному спам-сообщению и заставить ее перейти по ведущей на загрузку троянца ссылке, злоумышленники сопровождали рассылаемые ими СМС текстами различной социальной направленности. В частности, одними из самых популярных прикрытий для южнокорейских вирусописателей стали темы отслеживания почтовых отправлений, приглашений на различные мероприятия, такие как свадьбы и разнообразные встречи, а также сообщений о совершенных правонарушениях и предстоящих учениях по гражданской обороне. Кроме того, злоумышленники рассылали СМС-спам от имени банков, операторов связи и популярных онлайн-сервисов, и даже не брезговали использовать в качестве «горячей» приманки для своих жертв тему резонансных техногенных катастроф, несчастных случаев и стихийных бедствий.
Тематика спам-сообщений, использовавшихся киберпреступниками для распространения Android-троянцев среди южнокорейских пользователей
При переходе по ссылке из мошеннического сообщения южнокорейские владельцы Android-смартфонов и планшетов чаще всего перенаправлялись на вредоносный сайт, используемый в качестве площадки для хранения и распространения того или иного Android-троянца, либо попадали на страницу одного из популярных «облачных» сервисов, задействованных киберпреступниками с той же целью. Примечательно, что предприимчивые злоумышленники в большинстве случаев (в 66,78%), предпочитали использовать именно облачные сервисы хранения данных, либо иные бесплатные интернет-сервисы для размещения своих вредоносных приложений, что легко объясняется полным отсутствием необходимости затрачивать силы, время и средства на поддержание собственных онлайн-ресурсов.
Онлайн-площадки, выступавшие в качестве хостинга для распространяемых среди южнокорейских пользователей различных Android-троянцев
Масштабы проводимых южнокорейскими киберпреступниками спам-кампаний были таковы, что жертвами каждой из подобных атак могли стать от нескольких сотен до нескольких десятков тысяч человек. Например, в апреле специалисты компании «Доктор Веб» зафиксировали массовое применение вирусописателями троянца
Примеры внешнего вида веб-сайтов, созданных вирусописателями для распространения различных Android-троянцев среди южнокорейских пользователей в 2014 году
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
Примеры использования киберпреступниками различных «облачных» сервисов в качестве хостинга для вредоносных Android-приложений, предназначенных для распространения среди южнокорейских пользователей
 |
 |
 |
 |
Многие из примененных при атаках на южнокорейских пользователей Android-троянцев обладали чрезвычайно широким вредоносным функционалом и были наделены разнообразными техническими особенностями. Например, большое число троянцев-банкеров (в том числе,
|
|
|
В качестве защитных мер, призванных снизить риск обнаружения Android-троянцев антивирусным ПО, южнокорейские вирусописатели активно применяли всевозможные программные упаковщики и различные методы обфускации. Также киберпреступники очень часто «прятали» вредоносные Android-приложения внутри разнообразных дропперов семейства
Стоит также отметить, что в ряде случаев южнокорейские Android-троянцы не просто «прятались» от пользователей или популярных в Южной Корее антивирусных программ, но также и весьма активно противодействовали последним, пытаясь удалить их в случае обнаружения в системе.
Двадцатка Android-троянцев, наиболее активно распространяемых киберпреступниками среди южнокорейских владельцев Android-устройств в 2014 году, представлена на следующей иллюстрации.
Распространяемые при помощи СМС-спама вредоносные Android-программы, наиболее часто используемые киберпреступниками при атаках на южнокорейских пользователей в 2014 году
Еще одним регионом с заметно усилившимся присутствием мобильных банковских троянцев в 2014 году стала Россия, где многие из распространяемых злоумышленниками Android-банкеров обладали широкими возможностями для кражи денежных средств со счетов своих жертв. В частности, особого внимания заслуживают вредоносные программы
Похожим вредоносным функционалом был наделен и троянец
|
|
|
Еще одним интересным банковским Android-троянцем, атаковавшим российских владельцев мобильных устройств в 2014 году, стала вредоносная программа
Не остались без внимания киберпреступников и клиенты банков из других стран. Например, пользователи ОС Android из Бразилии в ноябре столкнулись с угрозой, исходившей со стороны размещенных в каталоге Google Play банковских троянцев-шпионов
Отдельного внимания заслуживает банковский троянец
Число пользователей, пострадавших в ноябре 2014 от троянца Android.Wormle.1.origin
Одной из ключевых тенденций минувшего года в сфере безопасности ОС Android стало появление сразу нескольких новых типов вредоносных приложений, созданных киберпреступниками для получения ими незаконного заработка. В частности, в мае были обнаружены первые в истории троянцы-вымогатели, блокирующие мобильные Android-устройства и требующие у пользователей выкуп за их разблокировку. Подобные вредоносные приложения открыли злоумышленникам очередной источник «легких» денег, поэтому неудивительно, что стремительный рост числа таких троянцев не заставил себя долго ждать. Так, если еще в мае вирусная база Dr.Web содержала только 2 записи для Android-вымогателей, то на конец 2014 года это число увеличилось на 6 750% и достигло 137 единиц.
Одним из самых заметных троянцев подобного рода стал обнаруженный в мае опасный блокировщик
Однако стоит отметить, что на данный момент злоумышленники все же предпочитают более «щадящие» версии таких вредоносных приложений, поэтому подавляющее число известных Android-вымогателей просто-напросто блокируют мобильные устройства, обвиняя их владельцев в совершении всевозможных преступлений, например, просмотре и хранении незаконных порнографических материалов. Подобная тактика запугивания применялась киберпреступниками при атаках на пользователей ОС Android из самых разных стран, при этом ложные обвинения со стороны кибермошенников чаще всего выдвигались от имени полиции, следственных органов и других правительственных структур конкретной страны, где проживала потенциальная жертва такой атаки. Например, обнаруженные в июне троянцы-вымогатели
 |
|
 |
 |
Вместе с тем вирусописатели не ограничивались одной лишь «стандартной» блокировкой мобильных устройств различными сообщениями с угрозами. Например, обнаруженный в сентябре вымогатель
Однако Android-вымогатели – не единственная в ушедшем году «новинка» среди вредоносных программ для ОС Android. Получившие широкое распространение в середине 2013 года разнообразные троянцы-майнеры, заражающие компьютеры пользователей и эксплуатирующие их вычислительные ресурсы для добычи популярных криптовалют, таких как Bitcoin, Litecoin и других, явно вселили оптимизм в «мобильных» вирусописателей, поэтому уже в начале 2014 года появились первые подобные вредоносные приложения для устройств под управлением ОС Android. Так, в марте были обнаружены Android-майнеры (внесены в вирусную базу Dr.Web как
|
|
|
А уже в апреле 2014 года появились новые версии данных троянцев, которые были обнаружены в каталоге Google Play и предназначались для добычи криптовалюты Bitcoin. Эти вредоносные приложения скрывались в безобидных «живых обоях» и также начинали свою противоправную деятельность, если зараженное мобильное устройство не использовалось определенное время.
 |
 |
В отличие от обнаруженных в марте аналогичных троянцев-майнеров, новые представители семейства
Наряду со стремлением заработать на пользователях Android-устройств, вирусописатели с особым энтузиазмом пытаются украсть у них разнообразные конфиденциальные сведения, т. к. подобный ценный ресурс может принести предприимчивым злоумышленникам не меньшую выгоду. В 2014 году специалистами по информационной безопасности было зафиксировано большое число подобных атак, многие из которых осуществлялись с использованием весьма сложных и функциональных вредоносных приложений.
Например, в январе вирусная база Dr.Web пополнилась записью для атаковавшего китайских пользователей троянца Android.Spy.67.origin, распространявшегося злоумышленниками в качестве некоего программного обновления. Данная вредоносная программа устанавливалась под видом популярных приложений и создавала несколько соответствующих им ярлыков на главном экране атакуемого мобильного устройства. При запуске Android.Spy.67.origin удалял созданные им ранее ярлыки и выполнял сбор различной конфиденциальной информации пользователя, среди которой была история СМС-сообщений, журнал вызовов и GPS-координаты. Кроме того, он мог активировать камеру и микрофон мобильного устройства, а также выполнял индексацию имеющихся фотографий, создавая для них специальные файлы-миниатюры. Все полученные данные в дальнейшем загружались на принадлежащий злоумышленникам сервер. Android.Spy.67.origin обладал еще одной особенностью: при наличии root-доступа троянец нарушал работу ряда популярных в Китае антивирусных продуктов, удаляя их вирусные базы, а также устанавливал скрытую внутри него вредоносную программу, которая могла осуществлять инсталляцию различных приложений.
Весной 2014 года также было обнаружено немало интересных троянцев-шпионов, атакующих пользователей Android-устройств. Так, в начале марта киберпреступники начали коммерческое распространение очередного «мобильного» шпиона. Данный троянец, получивший имя
Также в марте специалисты компании «Доктор Веб» обнаружили весьма интересный бэкдор, получивший имя Android.Backdoor.53.origin. Особенность данной вредоносной программы заключалась в том, что она распространялась злоумышленниками в модифицированном ими легитимном приложении Webkey, позволяющем пользователям осуществлять дистанционное управление мобильным устройством. В отличие от оригинала, троянская версия приложения не имела графического интерфейса и после установки скрывала свое присутствие в системе, удаляя собственный ярлык с главного экрана. После запуска Android.Backdoor.53.origin отправлял на удаленный сервер идентификаторы зараженного устройства, тем самым регистрируя его как успешно инфицированное, после чего злоумышленники могли получить над ним полный контроль, включая доступ ко многим персональным данным пользователей, а также аппаратным функциям атакованного смартфона или планшета.
Уже в августе 2014 года специалисты по информационной безопасности обнаружили другой опасный бэкдор для ОС Android, получивший по классификации компании «Доктор Веб» имя
Однако одним из наиболее функциональных Android-шпионов, обнаруженных в минувшем году, стал распространявшийся в конце сентября троянец
Одним из способов распространения вредоносных приложений для ОС Android, нашедшим применение у киберпреступников, является внедрение троянцев в различные файлы – образы операционной системы, которые затем размещаются в сети Интернет и в дальнейшем загружаются пользователями, либо предустановка таких троянцев непосредственно на мобильных устройствах. Данная методика дает злоумышленникам ряд преимуществ. Во-первых, скрытые подобным образом вредоносные программы могут долгое время оставаться «в тени» и успешно функционировать, не привлекая к себе внимания. Во-вторых, даже в случае обнаружения «зашитого» в операционной системе троянца большинство пользователей вряд ли сможет что-либо с этим поделать, т. к. удаление такого незваного гостя потребует получение root-привилегий, либо установки заведомо чистой версии операционной системы с потерей всех имеющихся данных. В худшем же случае жертве остается лишь смириться с наличием на устройстве вредоносной программы, либо просто-напросто сменить используемый Android-смартфон или планшет.
В минувшем году было выявлено сразу несколько инцидентов с участием вредоносных Android-приложений, скрытых внутри распространяемых в Интернете файлов прошивок ОС Android, а также предустановленных на ряде мобильных устройств. Одним из самых заметных случаев с участием подобных троянцев стало обнаружение в январе вредоносного приложения
Чуть позднее специалистами по информационной безопасности была обнаружена новая версия данного троянца, получившая ряд функциональных улучшений. В частности, некоторые из устанавливаемых вредоносной программой компонентов были значительно обфусцированы и после запуска удалялись, продолжая функционировать лишь в оперативной памяти. Сам же троянец
В феврале вирусные аналитики компании «Доктор Веб» обнаружили и изучили несколько новых вредоносных приложений, встроенных в различные образы операционной системы Android и выполнявших скрытую отправку СМС-сообщений. В частности, одна из этих троянских программ, внесенная в вирусную базу как Android.SmsSend.1081.origin, представляла собой аудиоплеер, который без предупреждения пытался зарегистрировать пользователей в китайском музыкальном онлайн-сервисе, отправив для этого СМС-сообщение, содержащее IMSI-идентификатор. Примечательно, что эта троянская программа не контролировала число пересылаемых СМС и выполняла их отправку при каждом своем запуске, всякий раз опустошая счет абонента на сумму, эквивалентную 5-7 рублям. Схожий по функционалу троянец, получивший имя Android.SmsSend.1067.origin, был встроен в одно из модифицированных системных приложений и также незаметно выполнял отправку подобных сообщений, однако вместо идентификатора SIM-карты в них указывался серийный номер мобильного устройства.
 |
 |
Не мене интересным оказался и «спрятанный» на ряде Android-устройств троянец
Еще одной вредоносной программой, внедренной злоумышленниками на ряд мобильных Android-устройств, стал троянец Android.Backdoor.126.origin, обнаруженный в декабре. Получая указания от киберпреступников, эта вредоносная программа могла выполнять нежелательные для пользователей действия, например, размещать среди входящих сообщений различные СМС с заданным текстом, что позволяло предприимчивым вирусописателям реализовывать разнообразные мошеннические схемы. Также в декабре в вирусную базу Dr.Web была внесена запись для похожего троянца, который, впрочем, обладал гораздо более широким функционалом. Вредоносное приложение, получившее имя Android.Backdoor.130.origin, могло без ведома владельца зараженного мобильного устройства отправлять СМС-сообщения, совершать звонки, демонстрировать рекламу, загружать, устанавливать и запускать приложения, а также передавать на управляющий сервер различную конфиденциальную информацию, включая историю звонков, СМС-переписку и данные о местоположении мобильного устройства. Кроме того, Android.Backdoor.130.origin имел возможность удалять уже установленные на зараженном устройстве приложения, а также выполнять ряд других нежелательных действий.
Несмотря на то, что мобильные устройства под управлением ОС Android остаются главной целью многих киберпреступников, последние вовсе не оставляют попытки найти для себя дополнительный источник потенциального заработка и время от времени обращают свой взор на другие популярные мобильные платформы. В частности, в 2014 году злоумышленники реализовали целый ряд атак на мобильные устройства производства корпорации Apple, при этом опасности были подвержены не только владельцы «взломанных» iOS-смартфонов и планшетов, но и пользователи устройств, не подвергшихся программной модификации (т. н. «jailbreak»).
Так, в марте специалисты по информационной безопасности обнаружили троянца IPhoneOS.Spad.1, который угрожал китайским пользователям «взломанных» iOS-устройств и выполнял определенную модификацию параметров ряда рекламных систем, встроенных в различные iOS-приложения. В результате оплата за демонстрируемую в них рекламу направлялась на счета предприимчивых злоумышленников, минуя авторов этих программ. В апреле 2014 года стало известно о другом троянце, также атаковавшем подвергшиеся процедуре «jailbreak» мобильные Apple-устройства китайских пользователей. Троянец, получивший по классификации компании «Доктор Веб» имя IPhoneOS.PWS.Stealer.1, осуществлял на зараженных устройствах кражу аутентификационных данных учетной записи Apple ID, таких как логин и пароль. Компрометация этих конфиденциальных сведений могла серьезно отразиться на пострадавших пользователях, т. к. данная учетная запись предоставляла доступ к большинству сервисов компании Apple, включая каталог приложений App Store, файловое хранилище iCloud и ряду других онлайн-служб. Уже в мае китайские владельцы «взломанных» Apple-устройств вновь стали целью для вирусописателей, столкнувшись с троянцем IPhoneOS.PWS.Stealer.2. Как и IPhoneOS.PWS.Stealer.1, данная вредоносная программа похищала логин и пароль от учетной записи Apple ID, однако помимо этого могла загружать и устанавливать на зараженный смартфон или планшет другие приложения, включая те, что автоматически покупала в каталоге приложений App Store за счет ничего не подозревающих пользователей.
В сентябре специалисты по информационной безопасности обнаружили очередного троянца, предназначенного для заражения «взломанных» iOS-устройств. Данная вредоносная программа, внесенная в вирусную базу Dr.Web под именем IPhoneOS.Xsser.1, представляла собой весьма опасного троянца. В частности, по команде злоумышленников IPhoneOS.Xsser.1 мог совершать кражу целого ряда конфиденциальных данных, например, похищать содержимое телефонной книги, фотографии пользователя, разнообразные пароли, получать информацию об СМС-переписке, истории звонков и местоположении зараженного устройства. А в декабре пользователи подвергшихся процедуре «jailbreak» iOS-устройств столкнулись с еще одним опасным троянцем-шпионом, получившим имя IPhoneOS.Cloudatlas.1. Эта вредоносная программа была создана злоумышленниками с целью похищения у пользователей широкого спектра конфиденциальных данных, включая подробную информацию о зараженном устройстве (начиная с версии установленной операционной системы и заканчивая текущим часовым поясом), а также сведения об имеющихся учетных записях пользователя, включая логин для AppleID и приложения iTunes.
Каждый из этих зафиксированных случаев прекрасно иллюстрирует опасность использования мобильных iOS-устройств, на которых был выполнен взлом программной системы контроля целостности ОС. Однако иногда даже соблюдение базовых правил безопасности не является полной гарантией защищенности используемых «мобильных» помощников производства корпорации из Купертино. Ярким свидетельством этого служит зафиксированная в ноябре 2014 года очередная атака на владельцев Apple-устройств, жертвами которой могли стать не только хозяева «взломанных» смартфонов и планшетов, но также и обладатели не подвергшихся программной модификации iOS-устройств. В частности, специалистами по информационной безопасности был обнаружен троянец Mac.BackDoor.WireLurker.1, работающий на компьютерах пользователей под управлением Mac OS X и предназначенный для установки на подключаемые к ним Apple-смартфоны и планшеты вредоносного приложения IPhoneOS.BackDoor.WireLurker.
Mac.BackDoor.WireLurker.1 внедрялся вирусописателями в контрафактные копии разнообразного легитимного ПО (нередко - дорогостоящего), поэтому имел все шансы быть установленным беспечными пользователями, не желающими платить за программы и игры. После того как троянец заражал очередной «Мак», он ожидал подключения к нему с использованием шины USB подходящего мобильного устройства и сразу после присоединения очередного смартфона или планшета при помощи специального сертификата безопасности инсталлировал на него вредоносную программу IPhoneOS.BackDoor.WireLurker. Данный троянец предназначался для кражи разнообразной конфиденциальной информации пользователей, в частности, контактов из телефонной книги, а также СМС-сообщений, информация о которых после похищения передавалась на сервер киберпреступников.
Иногда в погоне за выгодой находчивые вирусописатели создают вредоносные приложения, отличающиеся по своему функционалу от большинства прочих троянцев. Одним из таких «уникумов» в 2014 году стала вредоносная программа Android.Subscriber.2.origin, предназначенная для подписки абонентских счетов пользователей на платные контент-услуги. Главное отличие данного троянца от прочих подобных поделок киберпреступников заключается в том, что Android.Subscriber.2.origin осуществляет подписку на платный сервис не традиционным способом – отправкой СМС-сообщения, - а регистрацией номера на мошенническом веб-сайте. Для этого троянец регистрирует на веб-портале номер телефона пользователя, после чего ожидает поступления СМС с кодом подтверждения выполнения операции. Получив необходимое сообщение, вредоносная программа скрывает его от жертвы, считывает содержимое СМС и автоматически отправляет полученный код на тот же веб-сайт, завершая тем самым регистрацию. Однако этим все «сюрпризы» Android.Subscriber.2.origin не исчерпываются. После того, как пользователь начинает получать якобы запрошенные им премиум-сообщения, троянец также скрывает их от своей жертвы, изменяет статус на «прочитано», меняет дату получения на 15 суток в прошлое и сохраняет среди прочих сообщений владельца зараженного мобильного устройства.
Однако вирусописатели не всегда создают те или иные вредоносные приложения с целью получения материальной или иной выгоды. Ярким примером этого является троянец-вандал Android.Elite.1.origin, обнаруженный вирусными аналитиками компании «Доктор Веб» в сентябре. Попадая на мобильное устройство, этот троянец форматировал подключенную к нему карту памяти, а также препятствовал нормальной работе целого ряда приложений для онлайн-общения и СМС-переписки, при их запуске блокируя экран устройства изображением с текстом OBEY or Be HACKED.
 |
 |
Кроме того, вредоносная программа выполняла массовую рассылку СМС-сообщений по всем найденным в телефонной книге телефонным номерам, что могло привести к полной потере денежных средств на счету мобильного телефона жертв.
Наблюдавшаяся в прошедшем году ситуация с многочисленными и разнообразными атаками на мобильные устройства позволяет с уверенностью предполагать, что в 2015 году владельцам смартфонов и планшетов придется с еще большей серьезностью относиться к обеспечению безопасности своих «мобильных» компаньонов.
Одной из наиболее острых проблем для владельцев мобильных Android-устройств в 2015 году, вероятнее всего, снова станет сохранение собственных денежных средств от посягательств на них со стороны кибержуликов. Стремительно развивающийся рынок мобильного банкинга представляет для интернет-мошенников весьма лакомый кусок, поэтому атаки с использованием разнообразных банковских троянцев усилятся. Не исчезнет и опасность со стороны вредоносных программ, отправляющих дорогостоящие СМС-сообщения. Кроме того, пользователям также стоит опасаться атак со стороны новых троянцев-вымогателей, за создание которых вирусописатели взялись с особым энтузиазмом: не исключено появление более изощренных атак с использованием подобных вредоносных инструментов. Вполне вероятно и появление очередных версий «мобильных» троянцев-майнеров.
Помимо возможных финансовых потерь вследствие атак киберпреступников, пользователям ОС Android стоит обратить внимание и на обеспечение сохранности конфиденциальных сведений: этот ценный ресурс наряду с деньгами – одна из излюбленных целей современных злоумышленников.
Однако пользователям других мобильных платформ также не стоит забывать о потенциальной опасности, т. к. в 2015 году весьма велика вероятность появления новых троянцев, предназначенных для заражения Apple-устройств. В связи с этим поклонникам данной платформы рекомендуется уделять больше внимания базовым правилам безопасности: не посещать подозрительные веб-сайты, не переходить по сомнительным ссылкам, по возможности отказаться от «взлома» устройств и установки вызывающих вопросы программ.
|
|
Декабрьский обзор вирусной активности для мобильных Android-устройств от компании «Доктор Веб» |
29 декабря 2014 года
Несмотря на то, что размещение троянцев внутри различных прошивок ОС Android не является новым способом распространения вредоносных приложений, киберпреступники все еще нечасто применяют подобную методику совершения атак на пользователей. Тем не менее, вирусописатели вовсе не отказываются от таких «нестандартных» приемов, и время от времени специалисты по информационной безопасности обнаруживают очередного Android-троянца, внедренного в распространяемый в Интернете образ операционной системы, либо предустановленного на том или ином мобильном устройстве. В декабре было выявлено сразу несколько подобных случаев, при этом обнаруженные вредоносные приложения, как и прежде, использовались киберпреступниками для скрытого выполнения выгодных для них действий. Так, внесенный в вирусную базу Dr.Web троянец Android.Backdoor.126.origin по команде управляющего сервера мог размещать среди входящих сообщений пользователя зараженного мобильного устройства различные СМС с заданным злоумышленниками текстом, что позволяло предприимчивым вирусописателям реализовывать разнообразные мошеннические схемы. Другой троянец, «спрятанный» внутри установленной на ряде мобильных Android-устройств операционной системы, предоставлял создавшим его киберпреступникам еще больше возможностей для незаконной деятельности. В частности, вредоносная программа, получившая по классификации компании «Доктор Веб» имя Android.Backdoor.130.origin, могла отправлять СМС-сообщения, совершать звонки, демонстрировать рекламу, загружать, устанавливать и запускать приложения без ведома пользователя, а также передавать на управляющий сервер различную конфиденциальную информацию, включая историю звонков, СМС-переписку и данные о местоположении мобильного устройства. Кроме того, Android.Backdoor.130.origin имел возможность удалять уже установленные на зараженном устройстве приложения, а также выполнять ряд других нежелательных действий. Т. к. этот троянец фактически являлся системным приложением, вся его вредоносная деятельность осуществлялась без участия пользователя, поэтому Android.Backdoor.130.origin представлял весьма серьезную угрозу для владельцев зараженных устройств.
Еще одной заслуживающей внимания вредоносной Android-программой, обнаруженной в декабре, стал троянец Android.SmsBot.213.origin, который по команде киберпреступников мог выполнять нежелательные для владельцев зараженных устройств действия. В частности, это вредоносное приложение имело возможность перехватывать и отправлять СМС-сообщения, а также передавать на управляющий сервер конфиденциальную информацию пользователей. Главная опасность данного троянца заключалась в том, что его вредоносный функционал позволял злоумышленникам получить доступ к управлению банковскими счетами пользователей, у которых была подключена услуга мобильного банкинга. Так, отправляя и перехватывая СМС-сообщения, необходимые для работы с системой дистанционного банковского обслуживания, Android.SmsBot.213.origin мог незаметно для своих жертв перевести все их деньги на счет злоумышленников. Интересной особенностью данной вредоносной программы является то, что создавшие ее киберпреступники распространяли троянца под видом популярной игры, которая в конечном итоге все же устанавливалась на заражаемое устройство. В частности, после установки и запуска пользователем Android.SmsBot.213.origin инициировал инсталляцию скрытого внутри него файла оригинального игрового приложения, после чего удалял свой ярлык и функционировал уже в качестве системного сервиса. Подобный оригинальный прием позволял злоумышленникам снизить риск удаления троянца огорченной жертвой, не получившей ожидаемой игры, а также увеличивал шансы на успешное выполнение поставленных вирусописателями задач.
 |
 |
Также в декабре вновь проявили активность киберпреступники, атакующие южнокорейских пользователей Android-устройств. Как и прежде, злоумышленники активно распространяли Android-троянцев при помощи нежелательных СМС-сообщений, содержащих ссылку на загрузку того или иного вредоносного приложения. В прошедшем месяце специалисты компании «Доктор Веб» зафиксировали около 160 подобных спам-кампаний, при этом наиболее активно вирусописатели из Южной Кореи использовали в своих атаках таких троянцев как Android.MulDrop.48.origin (40,25%),
http://feedproxy.google.com/~r/drweb/viruses/~3/Um0_qEvEq9w/
|
|
Обзор вирусной активности от «Доктор Веб»: появление нового бэкдора для Linux и прочие события декабря 2014 года |
26 декабря 2014 года
Статистика, собранная с использованием лечащей утилиты Dr.Web CureIt!, демонстрирует, что среди обнаруженных в декабре на компьютерах пользователей вредоносных объектов по-прежнему лидируют рекламные плагины для браузеров, детектируемые антивирусным ПО Dr.Web как Trojan.BPlug.218 и Trojan.BPlug.341. На третьем месте декабрьского «рейтинга популярности» расположился еще один рекламный троянец — Trojan.Yontoo.115. Среди прочих вредоносных приложений, выявленных в течение минувшего месяца с использованием лечащей утилиты Dr.Web CureIt!, также встречается множество представителей семейств
Согласно данным, демонстрируемым серверами статистики «Доктор Веб», с начала декабря наиболее часто детектируемым вредоносным приложением можно считать бэкдор-загрузчик
В почтовом трафике антивирусное ПО Dr.Web наиболее часто обнаруживало уже упомянутую чуть выше вредоносную программу
Ботнеты, за функционированием которых пристально следят специалисты компании «Доктор Веб», продолжают свою вредоносную деятельность. Так, в ботнете, созданном злоумышленниками с использованием файлового вируса
Троянец
В декабре вирусные аналитики компании «Доктор Веб» исследовали многокомпонентную вредоносную программу для операционной системы Linux, получившую наименование
Эта вредоносная программа может работать как с привилегиями суперпользователя (root), так и под учетной записью простого пользователя Linux — в этом случае меняются папка, в которую инсталлируется троянец, и имя его исполняемого файла.
При первом запуске
Адрес управляющего сервера хранится непосредственно в теле бэкдора. В процессе своей работы троянец использует базу данных SQLite3, в таблицах которой содержатся зашифрованные конфигурационные данные и прочая информация, необходимая для работы троянца.
Троянец
В последний месяц 2014 года пользователей мобильных устройств поджидало большое число предновогодних «подарков»: киберпреступники вновь интенсивно атаковали Android-смартфоны и планшеты, используя для этого самых разнообразных троянцев. Так, в декабре выявлены очередные вредоносные программы, которые были предустановлены злоумышленниками на ряд бюджетных Android-устройств. Один из таких троянцев, внесенный в вирусную базу как Android.Backdoor.126.origin, имел возможность по команде управляющего сервера выполнять различные нежелательные действия, например, размещать специально сформированные злоумышленниками СМС среди входящих сообщений пользователя. Т. к. содержимое подобных сообщений могло быть абсолютно любым, потенциальные жертвы Android.Backdoor.126.origin рисковали стать объектами разного рода мошенничеств со стороны авторов троянца. Аналогичная «спрятанная» вредоносная программа, получившая имя Android.Backdoor.130.origin, была также предустановлена на ряде Android-устройств, однако позволяла ее создателям выполнять более широкий спектр действий. В частности, она могла отправлять СМС-сообщения, совершать звонки, демонстрировать рекламу, загружать, устанавливать и запускать приложения без ведома пользователя, а также передавать в командный центр различную конфиденциальную информацию.
Кроме того, в декабре были обнаружены очередные Android-троянцы, которые могли использоваться киберпреступниками для кражи конфиденциальной информации пользователей и хищения денежных средств с их банковских счетов. Например, распространявшаяся под видом популярной игры вредоносная программа Android.SmsBot.213.origin, выявленная в середине месяца, представляла собой троянца, способного по команде злоумышленников перехватывать и отправлять СМС-сообщения, а также загружать на сервер конфиденциальные данные владельцев зараженных мобильных устройств. Имея доступ к работе с короткими сообщениями, Android.SmsBot.213.origin был способен передавать киберпреступникам разнообразные секретные данные, в том числе сведения о кредитных и дебетовых картах пользователей, у которых активирована услуга мобильного банкинга. В результате хитроумные вирусописатели могли получить доступ к управлению счетами потенциальных жертв и совершить перевод денежных средств в свою пользу.
Среди банковских троянцев, зафиксированных в декабре, вновь «отличились» распространяемые в Южной Корее вредоносные Android-программы. Как и прежде, для заражения устройств южнокорейских пользователей киберпреступники активно применяли массовую отправку СМС-сообщений, содержащих ссылку на загрузку троянцев. В течение всего месяца специалисты компании «Доктор Веб» зафиксировали около 160 подобных спам-кампаний, при этом наибольшую активность проявили такие троянские приложения как Android.MulDrop.48.origin,
Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live
http://feedproxy.google.com/~r/drweb/viruses/~3/XCJxaiDxKp8/
|
|
