29 апреля 2016 года

На сегодняшний день Facebook является одной из наиболее популярных социальных сетей в мире, и потому интерес к ней со стороны злоумышленников со временем не снижается. Аналитики компании «Доктор Веб» выяснили, что созданный вирусописателями плагин для браузера Google Chrome, способный рассылать спам в Facebook, на сегодняшний день установили более 12 000 пользователей этой социальной сети.

Вредоносный плагин для Google Chrome детектируется антивирусом Dr.Web под именем Trojan.BPlug.1074. Если пользователь Chrome, у которого установлен этот плагин, войдет в социальную сеть Facebook, Trojan.BPlug.1074 определяет его идентификатор (UID) и вносит изменения в оформление сайта социальной сети в окне браузера: удаляет меню «Быстрые настройки конфиденциальности», открывающееся нажатием на кнопку в верхней правой части окна Facebook, а также все остальные выпадающие меню, которые могут демонстрироваться в интерфейсе социальной сети. Затем троянец получает перечень друзей жертвы.

После этого Trojan.BPlug.1074 автоматически создает новую страницу сообщества, название которой генерируется автоматически. С использованием ID сообщества, фотографии жертвы, установленной в качестве аватара, и адреса веб-страницы, извлекаемого из конфигурационного файла, троянец формирует пост формата «поделиться ссылкой» и с определенным временным интервалом размещает его в своей ленте. Поскольку троянец при создании поста «упоминает» в нем всех друзей текущего пользователя из полученного ранее списка, это сообщение также появляется в их ленте событий.

При переходе по ссылке, указанной в таком сообщении, пользователь Facebook попадает на веб-страницу, копирующую внешний вид этой социальной сети (если переход осуществляется с какого-либо другого сайта, посетитель перенаправляется на пустую веб-страницу).

Эта страница содержит заголовок «Hello please watch my video», под которым размещается якобы стандартный компонент видеопроигрывателя. Если посетитель использует браузер Chrome, при попытке просмотреть этот видеоролик на экране появится диалоговое окно, в котором ему будет предложено загрузить и установить плагин для браузера. Этот плагин также является копией троянца Trojan.BPlug.1074.

Аналогичным образом Trojan.BPlug.1074 может распространять и другие плагины для браузера Google Chrome.

Вирусные аналитики компании «Доктор Веб» выяснили, что к 28 апреля 2016 года вредоносный плагин Trojan.BPlug.1074 был загружен и установлен пользователями Facebook более чем 12 000 раз. Антивирус Dr.Web успешно обнаруживает и удаляет этого троянца, однако специалисты дополнительно рекомендуют пользователям проявлять осмотрительность и не устанавливать расширения к браузеру, даже если их предлагает загрузить такой популярный сайт, как Facebook.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/5yD0GbXUr_k/

29 апреля 2016 года

На сегодняшний день Facebook является одной из наиболее популярных социальных сетей в мире, и потому интерес к ней со стороны злоумышленников со временем не снижается. Аналитики компании «Доктор Веб» выяснили, что созданный вирусописателями плагин для браузера Google Chrome, способный рассылать спам в Facebook, на сегодняшний день установили более 12 000 пользователей этой социальной сети.

Вредоносный плагин для Google Chrome детектируется антивирусом Dr.Web под именем Trojan.BPlug.1074. Если пользователь Chrome, у которого установлен этот плагин, войдет в социальную сеть Facebook, Trojan.BPlug.1074 определяет его идентификатор (UID) и вносит изменения в оформление сайта социальной сети в окне браузера: удаляет меню «Быстрые настройки конфиденциальности», открывающееся нажатием на кнопку в верхней правой части окна Facebook, а также все остальные выпадающие меню, которые могут демонстрироваться в интерфейсе социальной сети. Затем троянец получает перечень друзей жертвы.

После этого Trojan.BPlug.1074 автоматически создает новую страницу сообщества, название которой генерируется автоматически. С использованием ID сообщества, фотографии жертвы, установленной в качестве аватара, и адреса веб-страницы, извлекаемого из конфигурационного файла, троянец формирует пост формата «поделиться ссылкой» и с определенным временным интервалом размещает его в своей ленте. Поскольку троянец при создании поста «упоминает» в нем всех друзей текущего пользователя из полученного ранее списка, это сообщение также появляется в их ленте событий.

При переходе по ссылке, указанной в таком сообщении, пользователь Facebook попадает на веб-страницу, копирующую внешний вид этой социальной сети (если переход осуществляется с какого-либо другого сайта, посетитель перенаправляется на пустую веб-страницу).

Эта страница содержит заголовок «Hello please watch my video», под которым размещается якобы стандартный компонент видеопроигрывателя. Если посетитель использует браузер Chrome, при попытке просмотреть этот видеоролик на экране появится диалоговое окно, в котором ему будет предложено загрузить и установить плагин для браузера. Этот плагин также является копией троянца Trojan.BPlug.1074.

Аналогичным образом Trojan.BPlug.1074 может распространять и другие плагины для браузера Google Chrome.

Вирусные аналитики компании «Доктор Веб» выяснили, что к 28 апреля 2016 года вредоносный плагин Trojan.BPlug.1074 был загружен и установлен пользователями Facebook более чем 12 000 раз. Антивирус Dr.Web успешно обнаруживает и удаляет этого троянца, однако специалисты дополнительно рекомендуют пользователям проявлять осмотрительность и не устанавливать расширения к браузеру, даже если их предлагает загрузить такой популярный сайт, как Facebook.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/N5LaEYW-KJs/

22 апреля 2016 года

Покупки в интернет-магазинах уже давно стали привычным делом для миллионов пользователей: сетевые торговые площадки позволяют выбрать товар с наиболее выгодными ценами, быстрой доставкой и удобным способом оплаты. Однако преимущества интернет-магазинов по достоинству оценили не только потенциальные покупатели, но и многочисленные сетевые мошенники, построившие на этом настоящий криминальный бизнес. Компания «Доктор Веб» предостерегает пользователей от необдуманных действий при совершении онлайн-покупок.

В последнее время растет количество пострадавших от киберпреступников, которые наживаются на излишней доверчивости пользователей Интернета. Применяемая злоумышленниками схема мошенничества крайне проста и в то же время, судя по числу жертв, весьма популярна в Рунете.

Все начинается с появления в сети интернет-магазина, предлагающего дорогую электронику, фототехнику, садовый и строительный инструмент, ювелирную продукцию или иные товары по крайне привлекательным ценам. На сайте торговой площадки, как правило, размещено множество положительных отзывов, оставленных счастливыми клиентами, а его адрес зачастую похож на URL других популярных интернет-магазинов. Такой ресурс имеет практически все элементы, традиционно присутствующие на сайтах онлайн-магазинов: адрес офиса, контактный телефон (по которому на звонки отвечает диспетчер), название компании –учредителя торговой площадки. Разве что сделаны они все с использованием одного и того же стандартного шаблона.

Подобные магазины обещают организовать доставку выбранного покупателем товара в любой регион России с использованием услуг транспортных компаний и предлагают различные варианты оплаты: переводом на Qiwi-кошелек или банковскую карту. Также они принимают платежи через электронные терминалы и посредством различных платежных систем, единственное декларируемое ими важное условие сделки — стопроцентная предоплата.

Оплатив покупку (как правило, на несколько десятков тысяч рублей), жертва ожидает подтверждения отправки своего заказа, однако спустя некоторое время сайт интернет-магазина неожиданно исчезает, отосланные на контактный адрес электронной почты письма возвращаются, а телефонный номер мошенников замолкает навсегда. И уже через несколько дней в точности такой же магазин с аналогичным ассортиментом товаров появляется в Интернете по другому адресу и с другим названием.

Поскольку мошенники задействуют для организации своего криминального бизнеса услуги операторов IP-телефонии (с помощью которых арендовать прямой городской телефонный номер может любой желающий), а для вывода средств используются фирмы-однодневки, краденные документы или услуги подставных лиц (так называемых «дропов»), вычислить злоумышленников оказывается чрезвычайно трудно. Поэтому несколько приведенных ниже простых советов, возможно, уберегут наших читателей от опасности попасть в цепкие лапы сетевых преступников.

• Старайтесь проявлять благоразумие: не «покупайтесь» на обещания тотальных распродаж и баснословных скидок. Если дорогой мобильный телефон продается за полцены — это повод насторожиться.
• С помощью любого бесплатного сервиса WHOIS постарайтесь определить дату регистрации домена: если адрес магазина был зарегистрирован всего несколько недель или месяцев назад, это тревожный признак. Сервис WHOIS можно отыскать, например, на сайте российского регистратора доменов Nic.Ru: www.nic.ru/whois.
• Поищите отзывы о выбранном вами магазине в Интернете. Конечно, злоумышленники могут и сами оставлять положительные комментарии, но наличие хотя бы нескольких отрицательных рецензий является важным сигналом. В особенности стоит обратить внимание на даты публикации положительных рекомендаций — если они оставлены раньше, чем был зарегистрирован домен интернет-магазина, это верный признак мошенничества.
• С помощью любого сервиса онлайн-карт поищите адрес, по которому якобы находится офис или склад интернет-магазина. Зачастую по этому адресу оказывается пустырь, заброшенный завод или автостоянка.

Если вы все же стали жертвой киберпреступников, обязательно напишите заявление в полицию о совершенном в отношении вас правонарушении — мошенничество, в том числе совершенное в Интернете, является серьезным преступлением. В свою очередь, специалисты компании «Доктор Веб» стараются оперативно добавлять адреса фальшивых интернет-магазинов в базу нерекомендуемых сайтов.

http://feedproxy.google.com/~r/drweb/viruses/~3/Pz5Z3HfvEM0/

22 апреля 2016 года

Покупки в интернет-магазинах уже давно стали привычным делом для миллионов пользователей: сетевые торговые площадки позволяют выбрать товар с наиболее выгодными ценами, быстрой доставкой и удобным способом оплаты. Однако преимущества интернет-магазинов по достоинству оценили не только потенциальные покупатели, но и многочисленные сетевые мошенники, построившие на этом настоящий криминальный бизнес. Компания «Доктор Веб» предостерегает пользователей от необдуманных действий при совершении онлайн-покупок.

В последнее время растет количество пострадавших от киберпреступников, которые наживаются на излишней доверчивости пользователей Интернета. Применяемая злоумышленниками схема мошенничества крайне проста и в то же время, судя по числу жертв, весьма популярна в Рунете.

Все начинается с появления в сети интернет-магазина, предлагающего дорогую электронику, фототехнику, садовый и строительный инструмент, ювелирную продукцию или иные товары по крайне привлекательным ценам. На сайте торговой площадки, как правило, размещено множество положительных отзывов, оставленных счастливыми клиентами, а его адрес зачастую похож на URL других популярных интернет-магазинов. Такой ресурс имеет практически все элементы, традиционно присутствующие на сайтах онлайн-магазинов: адрес офиса, контактный телефон (по которому на звонки отвечает диспетчер), название компании –учредителя торговой площадки. Разве что сделаны они все с использованием одного и того же стандартного шаблона.

Подобные магазины обещают организовать доставку выбранного покупателем товара в любой регион России с использованием услуг транспортных компаний и предлагают различные варианты оплаты: переводом на Qiwi-кошелек или банковскую карту. Также они принимают платежи через электронные терминалы и посредством различных платежных систем, единственное декларируемое ими важное условие сделки — стопроцентная предоплата.

Оплатив покупку (как правило, на несколько десятков тысяч рублей), жертва ожидает подтверждения отправки своего заказа, однако спустя некоторое время сайт интернет-магазина неожиданно исчезает, отосланные на контактный адрес электронной почты письма возвращаются, а телефонный номер мошенников замолкает навсегда. И уже через несколько дней в точности такой же магазин с аналогичным ассортиментом товаров появляется в Интернете по другому адресу и с другим названием.

Поскольку мошенники задействуют для организации своего криминального бизнеса услуги операторов IP-телефонии (с помощью которых арендовать прямой городской телефонный номер может любой желающий), а для вывода средств используются фирмы-однодневки, краденные документы или услуги подставных лиц (так называемых «дропов»), вычислить злоумышленников оказывается чрезвычайно трудно. Поэтому несколько приведенных ниже простых советов, возможно, уберегут наших читателей от опасности попасть в цепкие лапы сетевых преступников.

• Старайтесь проявлять благоразумие: не «покупайтесь» на обещания тотальных распродаж и баснословных скидок. Если дорогой мобильный телефон продается за полцены — это повод насторожиться.
• С помощью любого бесплатного сервиса WHOIS постарайтесь определить дату регистрации домена: если адрес магазина был зарегистрирован всего несколько недель или месяцев назад, это тревожный признак. Сервис WHOIS можно отыскать, например, на сайте российского регистратора доменов Nic.Ru: www.nic.ru/whois.
• Поищите отзывы о выбранном вами магазине в Интернете. Конечно, злоумышленники могут и сами оставлять положительные комментарии, но наличие хотя бы нескольких отрицательных рецензий является важным сигналом. В особенности стоит обратить внимание на даты публикации положительных рекомендаций — если они оставлены раньше, чем был зарегистрирован домен интернет-магазина, это верный признак мошенничества.
• С помощью любого сервиса онлайн-карт поищите адрес, по которому якобы находится офис или склад интернет-магазина. Зачастую по этому адресу оказывается пустырь, заброшенный завод или автостоянка.

Если вы все же стали жертвой киберпреступников, обязательно напишите заявление в полицию о совершенном в отношении вас правонарушении — мошенничество, в том числе совершенное в Интернете, является серьезным преступлением. В свою очередь, специалисты компании «Доктор Веб» стараются оперативно добавлять адреса фальшивых интернет-магазинов в базу нерекомендуемых сайтов.

http://feedproxy.google.com/~r/drweb/viruses/~3/LnAslGJbB-8/

13 апреля 2016 года

Появление новых троянцев-бэкдоров, способных выполнять команды злоумышленников и предоставлять возможность удаленного управления зараженным компьютером, всегда является значимым событием в сфере информационной безопасности. Тем более, если такие вредоносные программы предназначены для операционных систем семейства Linux. В апреле вирусные аналитики компании «Доктор Веб» обнаружили сразу несколько подобных троянцев, получивших названия Linux.BackDoor.Xudp.1, Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 соответственно.

Первым звеном в цепочке заражения является ELF-файл, детектируемый Антивирусом Dr.Web под именем Linux.Downloader.77. Примечательно, что изначально это приложение предназначено для организации одной из разновидностей атак на удаленные узлы путем массовой отправки на заданный адрес UDP-пакетов. Linux.Downloader.77 — это «троянизированная» версия упомянутой программы. Потенциальная жертва самостоятельно загружает и запускает на своем компьютере эту утилиту, которая при загрузке просит у пользователя предоставить ей привилегии root, — без этого она отказывается работать. Следует отметить, что подобные программы-«флудеры» нередко реализуют дополнительные скрытые функции – например, могут загружать из Интернета другие опасные программы. В этом отношении не является исключением и Linux.Downloader.77.

Если Linux.Downloader.77 получает root-полномочия, он скачивает с сервера злоумышленников и запускает другой скрипт – Linux.Downloader.116. Этот сценарий загружает основной модуль бэкдора Linux.BackDoor.Xudp.1, сохраняет его под именем /lib/.socket1 или /lib/.loves, размещает сценарий автозапуска в папке /etc/ под именем rc.local и настраивает задачу автоматического запуска троянца в cron. Помимо этого в процессе установки вредоносной программы очищается содержимое iptables.

После запуска Linux.BackDoor.Xudp.1 расшифровывает хранящийся в его теле блок конфигурационных данных, содержащих необходимую для его работы информацию, и отправляет на сервер сведения об инфицированном компьютере. После этого он запускает три независимых потока. В первом из них бэкдор использует протокол HTTP. Троянец отсылает на управляющий сервер сообщение о том, что он запущен, получает ключ для шифрования сообщений, данные о сервере, на который следует отправлять запросы, и номер порта. После этого Linux.BackDoor.Xudp.1 с определенной периодичностью отправляет на этот сервер запросы, в ответ на которые ему может поступить какая-либо команда. Предположительно, этот механизм может использоваться для самообновления вредоносной программы. Все поступающие директивы зашифрованы, и троянец расшифровывает их с помощью сгенерированного им ключа.

Во втором потоке Linux.BackDoor.Xudp.1 также ожидает получения от сервера управляющих команд, только по протоколу UDP. В третьем потоке троянец отправляет на управляющий сервер с заданным интервалом времени определенную дейтограмму, чтобы сообщить, что он все еще работает.

Среди команд, которые способен выполнять Linux.BackDoor.Xudp.1, исследователи выявили приказ на непрерывную отправку заданному удаленному узлу различных запросов (флуд), осуществление DDoS-атак, выполнение произвольных команд на зараженном устройстве. Также Linux.BackDoor.Xudp.1 способен по команде сканировать порты в заданном диапазоне IP-адресов, может запускать указанные злоумышленником файлы, выслать им какой-либо файл, а также выполнять иные задачи. Вирусные аналитики компании «Доктор Веб» отмечают, что этот троянец, по всей видимости, находится в процессе активной разработки — его новые модификации появляются с завидной регулярностью.

Троянцы Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 являются усовершенствованными версиями бэкдора Linux.BackDoor.Xudp.1 и отличаются от него лишь некоторыми деталями — например, именем, под которым вредоносная программа сохраняется в системе, объемом отсылаемой на управляющий сервер информации о зараженной машине или набором выполняемых команд. Все эти вредоносные программы успешно детектируются Антивирусом Dr.Web для Linux и потому не представляют опасности для наших пользователей.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/GMAnKEvYUw4/

13 апреля 2016 года

Появление новых троянцев-бэкдоров, способных выполнять команды злоумышленников и предоставлять возможность удаленного управления зараженным компьютером, всегда является значимым событием в сфере информационной безопасности. Тем более, если такие вредоносные программы предназначены для операционных систем семейства Linux. В апреле вирусные аналитики компании «Доктор Веб» обнаружили сразу несколько подобных троянцев, получивших названия Linux.BackDoor.Xudp.1, Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 соответственно.

Первым звеном в цепочке заражения является ELF-файл, детектируемый Антивирусом Dr.Web под именем Linux.Downloader.77. Примечательно, что изначально это приложение предназначено для организации одной из разновидностей атак на удаленные узлы путем массовой отправки на заданный адрес UDP-пакетов. Linux.Downloader.77 — это «троянизированная» версия упомянутой программы. Потенциальная жертва самостоятельно загружает и запускает на своем компьютере эту утилиту, которая при загрузке просит у пользователя предоставить ей привилегии root, — без этого она отказывается работать. Следует отметить, что подобные программы-«флудеры» нередко реализуют дополнительные скрытые функции – например, могут загружать из Интернета другие опасные программы. В этом отношении не является исключением и Linux.Downloader.77.

Если Linux.Downloader.77 получает root-полномочия, он скачивает с сервера злоумышленников и запускает другой скрипт – Linux.Downloader.116. Этот сценарий загружает основной модуль бэкдора Linux.BackDoor.Xudp.1, сохраняет его под именем /lib/.socket1 или /lib/.loves, размещает сценарий автозапуска в папке /etc/ под именем rc.local и настраивает задачу автоматического запуска троянца в cron. Помимо этого в процессе установки вредоносной программы очищается содержимое iptables.

После запуска Linux.BackDoor.Xudp.1 расшифровывает хранящийся в его теле блок конфигурационных данных, содержащих необходимую для его работы информацию, и отправляет на сервер сведения об инфицированном компьютере. После этого он запускает три независимых потока. В первом из них бэкдор использует протокол HTTP. Троянец отсылает на управляющий сервер сообщение о том, что он запущен, получает ключ для шифрования сообщений, данные о сервере, на который следует отправлять запросы, и номер порта. После этого Linux.BackDoor.Xudp.1 с определенной периодичностью отправляет на этот сервер запросы, в ответ на которые ему может поступить какая-либо команда. Предположительно, этот механизм может использоваться для самообновления вредоносной программы. Все поступающие директивы зашифрованы, и троянец расшифровывает их с помощью сгенерированного им ключа.

Во втором потоке Linux.BackDoor.Xudp.1 также ожидает получения от сервера управляющих команд, только по протоколу UDP. В третьем потоке троянец отправляет на управляющий сервер с заданным интервалом времени определенную дейтограмму, чтобы сообщить, что он все еще работает.

Среди команд, которые способен выполнять Linux.BackDoor.Xudp.1, исследователи выявили приказ на непрерывную отправку заданному удаленному узлу различных запросов (флуд), осуществление DDoS-атак, выполнение произвольных команд на зараженном устройстве. Также Linux.BackDoor.Xudp.1 способен по команде сканировать порты в заданном диапазоне IP-адресов, может запускать указанные злоумышленником файлы, выслать им какой-либо файл, а также выполнять иные задачи. Вирусные аналитики компании «Доктор Веб» отмечают, что этот троянец, по всей видимости, находится в процессе активной разработки — его новые модификации появляются с завидной регулярностью.

Троянцы Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 являются усовершенствованными версиями бэкдора Linux.BackDoor.Xudp.1 и отличаются от него лишь некоторыми деталями — например, именем, под которым вредоносная программа сохраняется в системе, объемом отсылаемой на управляющий сервер информации о зараженной машине или набором выполняемых команд. Все эти вредоносные программы успешно детектируются Антивирусом Dr.Web для Linux и потому не представляют опасности для наших пользователей.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/2RnbyCdzma0/

8 апреля 2016 года

Принципиально новые банковские троянцы появляются на свет нечасто — как правило, злоумышленники предпочитают модифицировать старые и давно известные вредоносные программы. Одной из таких модификаций банкера, исходные коды которого некоторое время назад были опубликованы в свободном доступе, является обнаруженный вирусными аналитиками «Доктор Веб» Trojan.Gozi.

Эта вредоносная программа, способная работать на компьютерах под управлением 32- и 64-разрядных версий Windows, реализует чрезвычайно широкий набор функций. Trojan.Gozi позволяет злоумышленникам похищать данные, которые пользователи вводят в различные экранные формы, фиксировать нажатия клавиш (кейлоггинг), умеет встраивать в просматриваемые на зараженном компьютере веб-страницы постороннее содержимое (то есть, выполнять веб-инжекты). Кроме того, с помощью Trojan.Gozi киберпреступники могут получить удаленный доступ к рабочему столу зараженной машины с использованием технологии Virtual Network Computing (VNC). Этот троянец по команде злоумышленников может запустить на инфицированном ПК прокси-сервер SOCKS, а также загружать и устанавливать различные плагины.

Как и многие другие современные вредоносные программы, для определения адресов своих управляющих серверов Trojan.Gozi использует специальный алгоритм генерации доменов — Domain generation algorithm (DGA). Для этого он загружает с сервера NASA текстовый файл, используемый в качестве словаря, особым образом преобразует его с учетом текущей даты и на основе полученных значений формирует доменные имена, которые будет использовать в дальнейшем в качестве адресов управляющих серверов. Троянец автоматически меняет управляющий сервер каждые 15 дней. Вся информация, которой Trojan.Gozi обменивается со своими командными серверами, шифруется.

В отличие от предыдущих версий подобных вредоносных программ, Trojan.Gozi обладает возможностью формировать одноранговые ботнеты, то есть обмениваться данными с другими зараженными машинами напрямую, посредством создания P2P-сети. Передаваемая таким образом информация также шифруется.

Благодаря наличию достаточно большого набора шпионских функций, и в первую очередь — возможности выполнять веб-инжекты, троянец Trojan.Gozi может похищать на инфицированном компьютере различную конфиденциальную информацию, в том числе используемую для доступа к системам «банк-клиент». Эта вредоносная программа успешно детектируется антивирусным ПО Dr.Web и потому не представляет угрозы для наших пользователей.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/hP559wfgRN8/

8 апреля 2016 года

Принципиально новые банковские троянцы появляются на свет нечасто — как правило, злоумышленники предпочитают модифицировать старые и давно известные вредоносные программы. Одной из таких модификаций банкера, исходные коды которого некоторое время назад были опубликованы в свободном доступе, является обнаруженный вирусными аналитиками «Доктор Веб» Trojan.Gozi.

Эта вредоносная программа, способная работать на компьютерах под управлением 32- и 64-разрядных версий Windows, реализует чрезвычайно широкий набор функций. Trojan.Gozi позволяет злоумышленникам похищать данные, которые пользователи вводят в различные экранные формы, фиксировать нажатия клавиш (кейлоггинг), умеет встраивать в просматриваемые на зараженном компьютере веб-страницы постороннее содержимое (то есть, выполнять веб-инжекты). Кроме того, с помощью Trojan.Gozi киберпреступники могут получить удаленный доступ к рабочему столу зараженной машины с использованием технологии Virtual Network Computing (VNC). Этот троянец по команде злоумышленников может запустить на инфицированном ПК прокси-сервер SOCKS, а также загружать и устанавливать различные плагины.

Как и многие другие современные вредоносные программы, для определения адресов своих управляющих серверов Trojan.Gozi использует специальный алгоритм генерации доменов — Domain generation algorithm (DGA). Для этого он загружает с сервера NASA текстовый файл, используемый в качестве словаря, особым образом преобразует его с учетом текущей даты и на основе полученных значений формирует доменные имена, которые будет использовать в дальнейшем в качестве адресов управляющих серверов. Троянец автоматически меняет управляющий сервер каждые 15 дней. Вся информация, которой Trojan.Gozi обменивается со своими командными серверами, шифруется.

В отличие от предыдущих версий подобных вредоносных программ, Trojan.Gozi обладает возможностью формировать одноранговые ботнеты, то есть обмениваться данными с другими зараженными машинами напрямую, посредством создания P2P-сети. Передаваемая таким образом информация также шифруется.

Благодаря наличию достаточно большого набора шпионских функций, и в первую очередь — возможности выполнять веб-инжекты, троянец Trojan.Gozi может похищать на инфицированном компьютере различную конфиденциальную информацию, в том числе используемую для доступа к системам «банк-клиент». Эта вредоносная программа успешно детектируется антивирусным ПО Dr.Web и потому не представляет угрозы для наших пользователей.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/BMdtoV_uxkE/

1 апреля 2016 года

Сообщения о выявлении различных уязвимостей в приложениях, использующих систему глобального позиционирования GPS (Global Positioning System), публиковались в средствах массовой информации и раньше. Вместе с тем, ассортимент оборудованных GPS-приемником мобильных устройств растет день ото дня: сегодня уже трудно отыскать планшетный компьютер или смартфон без встроенного навигатора. Увеличивается и интерес к подобным устройствам со стороны злоумышленников. Специалисты компании «Доктор Веб» обнаружили Android-троянца, использующего для заражения смартфонов и планшетов уязвимость в одном из отвечающих за работу с GPS компонентов операционной системы Google Android.

Троянец, получивший название Android.GPStrack.1.origin, распространяется на страницах различных каталогов мобильных приложений под видом программ, которые используют в своей работе функции глобального позиционирования. К ним относятся навигаторы, картографические сервисы, приложения служб доставки товаров и продуктов питания. Именно поэтому у большинства пользователей не вызывает никаких подозрений требование такой программы предоставить ей доступ к данным GPS-трекера, которое она демонстрирует на экране в процессе своей установки.

Запустившись на мобильном устройстве, Android.GPStrack.1.origin обращается к стандартному компоненту операционной системы android.location.LocationManager, предназначенному для взаимодействия с подсистемой GPS смартфона или планшета. Этот компонент использует в своей работе метод getLastKnownLocation. Если GPS-трекер возвращает приложению определенные географические координаты, указанная функция позволяет выполнить в памяти устройства произвольный код, переданный ей в качестве параметра в виде HEX-строки — таким образом злоумышленники получают возможность запустить на инфицированном гаджете любой код. Уязвимость, получившая наименование GpsLocationManager, актуальна для всех версий операционной системы Android начиная с 4.1.

При получении от GPS-трекера определенных географических координат Android.GPStrack.1.origin отправляет на свой управляющий сервер информацию о зараженном устройстве, включающую его модель, версию операционной системы, а также IMEI-идентификатор, после чего по команде злоумышленников загружает и устанавливает в системе другие вредоносные приложения. В настоящий момент известно более двухсот значений географических координат, способных вызвать срабатывание троянца. В частности, такими координатами являются 53°13'18'' с. ш. 33°26'03'' в. д. — если пользователь включит GPS-трекер в этой географической точке, после установки связи со спутниками его устройство окажется инфицированным. Чем был обусловлен выбор столь отдаленного от цивилизации населенного пункта, можно только догадываться. Вот ещё несколько координат, по загадочным причинам вызывающих загрузку троянской программы:

Следует отметить, что если устройство оснащено отечественной системой глобального позиционирования ГЛОНАСС, злоумышленники не могут использовать уязвимость в операционной системе Android.

В качестве «полезной нагрузки» Android.GPStrack.1.origin загружает и устанавливает на уязвимом устройстве приложение, детектируемое Антивирусом Dr.Web как Joke.Locker.2.origin. Эта программа является поделкой китайских разработчиков: при запуске она блокирует экран, выводит на него изображение страшной физиономии и включает в бесконечном цикле тревожную музыку. Через произвольные промежутки времени из динамика Android-устройства раздаются душераздирающие вопли, что может стать для пользователя крайне неприятным сюрпризом, особенно если он находится в офисе, в транспорте или в других общественных местах.

Компания «Доктор Веб» призывает пользователей ОС Android проявлять осторожность и не загружать какие-либо программы из сомнительных источников. Все упомянутые вредоносные приложения успешно детектируются Антивирусом Dr.Web для Android, а информация об уязвимости в компоненте android.location.LocationManager передана разработчикам ОС.

http://feedproxy.google.com/~r/drweb/viruses/~3/SsDA-ycPW2E/

1 апреля 2016 года

Сообщения о выявлении различных уязвимостей в приложениях, использующих систему глобального позиционирования GPS (Global Positioning System), публиковались в средствах массовой информации и раньше. Вместе с тем, ассортимент оборудованных GPS-приемником мобильных устройств растет день ото дня: сегодня уже трудно отыскать планшетный компьютер или смартфон без встроенного навигатора. Увеличивается и интерес к подобным устройствам со стороны злоумышленников. Специалисты компании «Доктор Веб» обнаружили Android-троянца, использующего для заражения смартфонов и планшетов уязвимость в одном из отвечающих за работу с GPS компонентов операционной системы Google Android.

Троянец, получивший название Android.GPStrack.1.origin, распространяется на страницах различных каталогов мобильных приложений под видом программ, которые используют в своей работе функции глобального позиционирования. К ним относятся навигаторы, картографические сервисы, приложения служб доставки товаров и продуктов питания. Именно поэтому у большинства пользователей не вызывает никаких подозрений требование такой программы предоставить ей доступ к данным GPS-трекера, которое она демонстрирует на экране в процессе своей установки.

Запустившись на мобильном устройстве, Android.GPStrack.1.origin обращается к стандартному компоненту операционной системы android.location.LocationManager, предназначенному для взаимодействия с подсистемой GPS смартфона или планшета. Этот компонент использует в своей работе метод getLastKnownLocation. Если GPS-трекер возвращает приложению определенные географические координаты, указанная функция позволяет выполнить в памяти устройства произвольный код, переданный ей в качестве параметра в виде HEX-строки — таким образом злоумышленники получают возможность запустить на инфицированном гаджете любой код. Уязвимость, получившая наименование GpsLocationManager, актуальна для всех версий операционной системы Android начиная с 4.1.

При получении от GPS-трекера определенных географических координат Android.GPStrack.1.origin отправляет на свой управляющий сервер информацию о зараженном устройстве, включающую его модель, версию операционной системы, а также IMEI-идентификатор, после чего по команде злоумышленников загружает и устанавливает в системе другие вредоносные приложения. В настоящий момент известно более двухсот значений географических координат, способных вызвать срабатывание троянца. В частности, такими координатами являются 53°13'18'' с. ш. 33°26'03'' в. д. — если пользователь включит GPS-трекер в этой географической точке, после установки связи со спутниками его устройство окажется инфицированным. Чем был обусловлен выбор столь отдаленного от цивилизации населенного пункта, можно только догадываться. Вот ещё несколько координат, по загадочным причинам вызывающих загрузку троянской программы:

Следует отметить, что если устройство оснащено отечественной системой глобального позиционирования ГЛОНАСС, злоумышленники не могут использовать уязвимость в операционной системе Android.

В качестве «полезной нагрузки» Android.GPStrack.1.origin загружает и устанавливает на уязвимом устройстве приложение, детектируемое Антивирусом Dr.Web как Joke.Locker.2.origin. Эта программа является поделкой китайских разработчиков: при запуске она блокирует экран, выводит на него изображение страшной физиономии и включает в бесконечном цикле тревожную музыку. Через произвольные промежутки времени из динамика Android-устройства раздаются душераздирающие вопли, что может стать для пользователя крайне неприятным сюрпризом, особенно если он находится в офисе, в транспорте или в других общественных местах.

Компания «Доктор Веб» призывает пользователей ОС Android проявлять осторожность и не загружать какие-либо программы из сомнительных источников. Все упомянутые вредоносные приложения успешно детектируются Антивирусом Dr.Web для Android, а информация об уязвимости в компоненте android.location.LocationManager передана разработчикам ОС.

http://feedproxy.google.com/~r/drweb/viruses/~3/3pXb10oODzA/

31 марта 2016 года

Вредоносные программы для ОС Android, которые приносят доход своим создателям благодаря показу навязчивой рекламы, становятся все более распространенными. Очередного такого троянца, обладающего шпионскими функциями и получившего имя Android.Spy.277.origin, специалисты компании «Доктор Веб» обнаружили в более чем 100 приложениях, размещенных в каталоге Google Play.

Большинство программ, в составе которых распространяется Android.Spy.277.origin, представляют собой поддельные версии популярного ПО, название и внешний вид которого злоумышленники позаимствовали для привлечения внимания пользователей и увеличения количества загрузок троянца. В частности, среди обнаруженных специалистами «Доктор Веб» программ-двойников встречаются всевозможные утилиты, фоторедакторы, графические оболочки, анимированные обои рабочего стола и другие приложения. В общей сложности вирусные аналитики выявили более 100 наименований программ, содержащих Android.Spy.277.origin, а суммарное количество их загрузок превысило 3 200 000. Компания «Доктор Веб» уведомила службу безопасности корпорации Google о существующей проблеме, и на данный момент некоторые из этих вредоносных приложений уже недоступны для загрузки из каталога Google Play.

После запуска программ, в которых находится троянец, последний передает на управляющий сервер очень подробные сведения о зараженном мобильном устройстве. Среди прочего, он собирает следующую информацию:

• email-адрес, привязанный к пользовательской учетной записи Google;
• IMEI-идентификатор;
• версию ОС;
• версию SDK системы;
• навание модели устройства;
• разрешение экрана;
• идентификатор сервиса Google Cloud Messaging (GCM id);
• номер мобильного телефона;
• страну проживания пользователя;
• тип центрального процессора;
• MAC-адрес сетевого адаптера;
• параметр «user_agent», формируемый по специальному алгоритму;
• наименование мобильного оператора;
• тип подключения к сети;
• подтип сети;
• наличие root-доступа в системе;
• наличие у приложения, в котором находится троянец, прав администратора устройства;
• название пакета приложения, содержащего троянца;
• наличие установленного приложения Google Play.

Каждый раз, когда пользователь запускает то или иное приложение, установленное на устройстве, троянец повторно передает на сервер вышеуказанные данные, название запущенного приложения, а также запрашивает параметры, необходимые для начала показа рекламы. В частности, Android.Spy.277.origin может получить следующие указания:

• «show_log» – включить или отключить ведение журнала работы троянца;
• «install_plugin» – установить плагин, скрытый внутри программного пакета вредоносного приложения;
• «banner», «interstitial», «video_ads» – показать различные виды рекламных баннеров (в том числе поверх интерфейса ОС и других приложений);
• «notification» – отобразить в информационной панели уведомление с полученными параметрами;
• «list_shortcut» – поместить на рабочий стол ярлыки, нажатие на которых приведет к открытию заданных разделов в каталоге Google Play;
• «redirect_gp» – открыть в приложении Google Play страницу с заданным в команде адресом;
• «redirect_browser» – открыть заданный веб-адрес в предустановленном браузере;
• «redirect_chrome» – открыть заданный веб-адрес в браузере Chrome;
• «redirect_fb» – перейти на указанную в команде страницу социальной сети Facebook.

Как видно на представленных ниже примерах рекламных баннеров, троянец может фактически запугивать пользователей, например, ложно информируя о повреждении аккумулятора устройства и предлагая скачать ненужные программы для его «починки».

А ниже показаны примеры рекламных сообщений, которые отображаются в панели уведомлений, а также рекламные ярлыки, при нажатии на которые пользователь попадает на страницы с рекламируемыми приложениями, размещенными в каталоге Google Play.

Примечательно, что плагин, скрытый в файловых ресурсах Android.Spy.277.origin, имеет тот же самый функционал, что и сам троянец. Получив необходимую команду от сервера, вредоносное приложение пытается установить этот модуль под видом важного обновления. После его установки на зараженном устройстве фактически будут находиться две копии Android.Spy.277.origin, поэтому даже в случае удаления исходной версии троянца в системе останется его «дублер», который продолжит показывать навязчивую рекламу.

Ниже представлен список названий программных пакетов приложений, в которых на данный момент был найден троянец:

• com.true.icaller
• com.appstorenew.topappvn
• com.easyandroid.free.ios6
• com.entertainmentphotoedior.photoeffect
• lockscreenios8.loveslockios.com.myapplication
• com.livewallpaper.christmaswallpaper
• com.entertainment.drumsetpro
• com.entertainment.nocrop.nocropvideo
• com.entertainment.fastandslowmotionvideotool
• com.sticker.wangcats
• com.chuthuphap.xinchu2016
• smartapps.cameraselfie.camerachristmas
• com.ultils.scanwifi
• com.entertainmenttrinhduyet.coccocnhanhnhat
• com.entertainment.malmath.apps.mm
• com.newyear2016.framestickertet
• com.entertainment.audio.crossdjfree
• com.igallery.styleiphone
• com.crazystudio.mms7.imessager
• smartapps.music.nhactet
• com.styleios.phonebookios9
• com.battery.repairbattery
• com.golauncher.ip
• com.photo.entertainment.blurphotoeffect.photoeffect
• com.irec.recoder
• com.Jewel.pro2016
• com.tones.ip.ring
• com.entertainment.phone.speedbooster
• com.noelphoto.stickerchristmas2016
• smartapps.smstet.tinnhantet2016
• com.styleios9.lockscreenchristmas2016
• com.stickerphoto.catwangs
• com.ultils.frontcamera
• com.phaotet.phaono2
• com.video.videoplayer
• com.entertainment.mypianophone.pianomagic
• com.entertainment.vhscamcorder
• com.o2yc.xmas
• smartapps.musictet.nhacxuan
• com.inote.iphones6
• christmas.dhbkhn.smartapps.christmas
• com.bobby.carrothd
• om.entertainment.camera.fisheyepro
• com.entertainment.simplemind
• com.icall.phonebook.io
• com.entertainment.photo.photoeditoreffect
• com.editphoto.makecdcover
• com.tv.ontivivideo
• smartapps.giaixam.gieoquedaunam
• com.ultils.frontcamera
• com.applock.lockscreenos9v4
• com.beauty.camera.os
• com.igallery.iphotos
• com.calculator.dailycalories
• com.os7.launcher.theme
• com.trong.duoihinhbatchu.chucmungnammoi
• com.apppro.phonebookios9
• com.icamera.phone6s.os
• com.entertainment.video.reversevideo
• com.entertainment.photoeditor.photoeffect
• com.appvv.meme
• com.newyear.haitetnew
• com.classic.redballhd
• com.entertainmentmusic.musicplayer.styleiphoneios
• com.camera.ios8.style
• com.countdown.countdownnewyear2016
• com.photographic.iphonecamera
• com.contactstyle.phonebookstyleofios9
• com.entertainment.blurphotobackground.photoeffect.cameraeditor.photoeffect
• com.color.christmas.xmas
• com.bottle.picinpiccamera
• com.entertainment.videocollagemaker
• com.wallpaper.wallpaperxmasandnewyear2016
• com.ultils.lockapp.smslock
• com.apppro.phonebookios9
• com.entertainment.myguitar.guitarpro
• com.sticker.stickerframetet2016
• com.bd.android.kmlauncher
• com.entertainment.batterysaver.batterydoctor
• com.trong.jumpy.gamehaynhatquadat
• com.entertainmentphotocollageeditor
• smartapps.smsgiangsinh.christmas2016
• smartapps.musicchristmas.christmasmusichot
• com.golauncher.ip
• com.applock.lockscreenos9v4
• com.imessenger.ios
• com.livewall.paper.xmas
• com.main.windows.wlauncher.os.wp
• com.entertainmentlaunchpad.launchpadultimate
• com.fsoft.matchespuzzle
• com.entertainment.photodat.image.imageblur
• com.videoeditor.instashot
• com.entertainment.hi.controls
• com.icontrol.style.os
• smartapps.zing.video.hot
• com.photo.entertainment.photoblur.forinstasquare
• com.entertainment.livewallpaperchristmas
• com.entertainment.tivionline
• com.iphoto.os
• com.tool.batterychecker
• com.photo.multiphotoblur
• smartapps.nhactet.nhacdjtet
• com.runliketroll.troll
• com.jinx.metalslug.contra

Компания «Доктор Веб» рекомендует владельцам Android-смартфонов и планшетов внимательно относиться к скачиваемым приложениям и устанавливать их только в том случае, если есть уверенность в благонадежности разработчика. Все известные модификации Android.Spy.277.origin успешно обнаруживаются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот троянец не представляет опасности.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/dddUBm6uOeE/

31 марта 2016 года

«Мобильная» угроза месяца

В марте специалисты компании «Доктор Веб» исследовали вредоносную программу Android.Gmobi.1, которая была обнаружена в приложениях TrendMicro Dr.Safety, TrendMicro Dr.Booster и Asus WebStorage, а также предустановлена на более чем 40 моделях мобильных Android-устройств. Она представляет собой специализированную программную SDK-платформу (Software Development Kit), используемую разработчиками ПО и производителями смартфонов и планшетов. Вероятнее всего, авторы не задумывали этот модуль как троянца, однако ведет он себя как типичная вредоносная программа.

Так, Android.Gmobi.1 может демонстрировать навязчивую рекламу нескольких типов, например, помещать ее в панель уведомлений или показывать в виде баннеров поверх окон запущенных программ. Кроме того, троянец без спроса создает ярлыки на рабочем столе ОС, открывает различные страницы в веб-браузере и в приложении Google Play, а также способен загружать, устанавливать и запускать различное ПО. Ко всему прочему, Android.Gmobi.1 обладает и шпионскими функциями – он крадет и передает злоумышленникам различную конфиденциальную информацию. Подробнее об этом вредоносном приложении можно узнать из опубликованной на сайте компании «Доктор Веб» новости.

По данным антивирусных продуктов Dr.Web для Android

• Adware.WalkFree.1.origin

• Adware.Leadbolt.12.origin

• Adware.AdMogo.2.origin

  Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

• Android.Xiny.26.origin

  Троянская программа, которая получает root-привилегии, устанавливается в системный каталог Android и в дальнейшем устанавливает различные программы без разрешения пользователя. Также она может показывать навязчивую рекламу.

• Adware.Airpush.31.origin

  Нежелательный программный модуль, встраиваемый в Android-приложения и предназначенный для показа навязчивой рекламы на мобильных устройствах.

Троянцы-шпионы

В конце марта вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play более 100 приложений, которые содержали троянца-шпиона Android.Spy.277.origin, показывающего навязчивую рекламу. Эта вредоносная программа распространялась главным образом в поддельных версиях популярного ПО. Android.Spy.277.origin передает на управляющий сервер большой объем конфиденциальной информации и способен отображать рекламу различного типа.

В частности, он может показать рекламу в виде баннеров поверх окон других приложений или интерфейса ОС, выводить сообщения в панель уведомлений, создавать ярлыки на рабочем столе и автоматически открывать ссылки в веб-браузере. Более полная информация об этом троянце содержится в публикации на нашем сайте.

Примечательные троянцы

В марте вирусные аналитики «Доктор Веб» завершили исследование целой группы троянцев семейства Android.Triada, внедряющихся в важный системный процесс Zygote и выполняющих вредоносные действия по команде злоумышленников. В ОС Android процесс Zygote отвечает за запуск всех приложений и при их старте создает для них в оперативной памяти свою копию, содержащую системные библиотеки и другие необходимые для работы компоненты. Внедряясь в Zygote, троянцы фактически получают возможность инфицировать процессы всех запускаемых в дальнейшем программ и могут выполнять вредоносные действия от имени и с правами этих приложений.

Основная вредоносная функция, реализованная в настоящий момент в троянцах Android.Triada, – это незаметная отправка СМС, а также подмена текста и номера получателя у сообщений, которые отправляет пользователь зараженного мобильного устройства. Тем не менее, по команде с управляющего сервера вредоносные программы могут загрузить дополнительные компоненты, которые будут использоваться для выполнения других нежелательных действий, необходимых злоумышленникам.

Примечательно, что представители семейства Android.Triada обладают функцией самозащиты. В частности, троянцы пытаются отследить и завершить работу ряда популярных в Китае антивирусных программ. Кроме того, они контролируют целостность своих компонентов: если какой-либо из вредоносных файлов будет удален с устройства, он будет восстановлен из оперативной памяти.

Появление троянцев Android.Triada вновь показало, что вредоносные приложения для Android-смартфонов и планшетов становятся все опаснее и изощреннее и зачастую не уступают по своим функциональным возможностям троянцам для ОС Windows. Специалисты «Доктор Веб» постоянно отслеживают вирусную обстановку и оперативно добавляют в вирусную базу записи для всех новых вредоносных приложений.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/fO3L_c6htX4/

31 марта 2016 года

Март 2016 года вполне можно назвать месяцем вредоносных программ для OS X — с началом весны пробудились от спячки вирусописатели, создающие троянцев для компьютеров Apple. В первой половине марта были обнаружены новые представители семейства рекламных троянцев для OS X, а в середине месяца специалисты компании «Доктор Веб» разработали алгоритм расшифровки файлов, поврежденных троянцем-шифровальщиком для этой операционной системы, — Mac.Trojan.KeRanger.2. Кроме того, в марте была выявлена новая вредоносная программа, проникшая в ряд популярных приложений и в прошивку устройств, работающих под управлением мобильной платформы Google Android.

Угроза месяца

В начале марта специалисты компании «Доктор Веб» выявили новых представителей семейства рекламных троянцев, представляющих угрозу для компьютеров Apple под управлением операционной системы OS X. Первым на «мак» проникает установщик троянца Mac.Trojan.VSearch.2, который может быть замаскирован под любое полезное приложение, например, дистрибутив проигрывателя Nice Player.

В отличие от других программ-установщиков, Mac.Trojan.VSearch.2 не позволяет пользователю выбрать копируемые на компьютер компоненты — он настроен таким образом, будто пользователь сам отметил флажками все предложенные варианты. Среди других опасных и нежелательных программ этот троянец устанавливает на атакуемый «мак» вредоносное приложение Mac.Trojan.VSearch.4, которое, в свою очередь, внедряет в систему троянца Mac.Trojan.VSearch.7. Запустившись на зараженном компьютере, Mac.Trojan.VSearch.7 создает в операционной системе нового пользователя (который не отображается в окне приветствия OS X) и встраивает во все открываемые в окне браузера веб-страницы сценарий на языке JavaScript, показывающий рекламные баннеры. Помимо этого, он собирает пользовательские запросы в нескольких популярных поисковых системах.

Более подробную информацию об этих вредоносных программах и их функциях можно получить, ознакомившись с опубликованной на нашем сайте статьей.

По данным статистики лечащей утилиты Dr.Web CureIt!

• Trojan.InstallCore.1754

  Один из представителей семейства программ-установщиков нежелательных и вредоносных приложений.

• Trojan.DownLoader

  Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

• Trojan.DownLoad3.35967

  Один из представителей семейства троянцев-загрузчиков, которые скачивают из Интернета и запускают на атакуемом компьютере другое вредоносное ПО.

• Trojan.Crossrider1.50845

  Представитель семейства троянцев, предназначенных для показа различной сомнительной рекламы.

• Trojan.Zadved

  Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

По данным серверов статистики «Доктор Веб»

• Trojan.Zadved

  Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

• Trojan.InstallCore.1903

  Один из представителей семейства установщиков нежелательных и вредоносных приложений.

• BackDoor.IRC.NgrBot.42

  Довольно распространенный троянец, известный специалистам по информационной безопасности еще с 2011 года. Вредоносные программы этого семейства способны выполнять на инфицированном компьютере поступающие от злоумышленников команды, а управление ими киберпреступники осуществляют с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat).

• Trojan.PWS.Steam.11267

  Представитель семейства вредоносных программ, предназначенных для хищения на инфицированном компьютере логинов, паролей и другой конфиденциальной информации, в том числе учетных записей из игровой платформы Steam.

Статистика вредоносных программ в почтовом трафике

• Trojan.Zadved

  Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

• Trojan.PWS.Stealer

  Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

• Trojan.PWS.Steam.11267

  Представитель семейства вредоносных программ, предназначенных для хищения на инфицированном компьютере логинов, паролей и другой конфиденциальной информации, в том числе учетных записей из игровой платформы Steam.

• Trojan.DownLoader

  Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Троянцы-шифровальщики

Наиболее распространенные шифровальщики в марте 2016 года:

• Trojan.Encoder.858
• Trojan.Encoder.2843
• Trojan.Encoder.567

В феврале 2016 года многочисленные средства массовой информации сообщили о появлении первого троянца-шифровальщика, способного действовать на компьютерах Apple с установленной операционной системой OS X. Эта вредоносная программа получила наименование Mac.Trojan.KeRanger.2. В марте специалисты компании «Доктор Веб» разработали технологию, позволяющую расшифровывать файлы, поврежденные этим энкодером. О принципах действия энкодера Mac.Trojan.KeRanger.2, а также о том, какие шаги следует предпринять пользователям, пострадавшим от него, читайте в посвященной этому шифровальщику информационной статье.

Dr.Web Security Space 11.0 для Windows
защищает от троянцев-шифровальщиков

Этого функционала нет в лицензии Антивирус Dr.Web для Windows

Защита данных от потери

Подробней Смотрите видео о настройке

Опасные сайты

В течение марта 2016 года в базу нерекомендуемых и вредоносных сайтов было добавлено 458 013 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

Первый весенний месяц 2016 года не обошелся без инцидентов с участием вредоносных Android-приложений. Так, специалисты компании «Доктор Веб» обнаружили рекламного троянца, который проник в приложения известных компаний, а также прошивку нескольких десятков мобильных устройств. Помимо показа навязчивой рекламы, эта вредоносная программа могла загружать, устанавливать и запускать различное ПО, а также передавала на удаленный сервер конфиденциальную информацию. Кроме того, в каталоге Google Play было обнаружено более 100 приложений, которые скрывали в себе троянца-шпиона, способного показывать всевозможную навязчивую рекламу. Также в марте вирусные аналитики «Доктор Веб» завершили анализ опасных троянцев, внедрявшихся в системный процесс ОС Android и процессы запускаемых приложений.

Наиболее заметные события, связанные с «мобильной» безопасностью в марте:

• обнаружение рекламного троянца в ряде программ известных компаний, а также прошивке большого числа мобильных устройств под управлением ОС Android;
• обнаружение в каталоге Google Play более 100 приложений, в которых находился троянец-шпион, показывающий рекламу;
• завершение исследования опасных троянцев, встраивающихся в системный процесс Android.

Более подробно о вирусной обстановке для мобильных устройств в марте читайте в нашем обзоре.

Узнайте больше с Dr.Web

Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live

http://feedproxy.google.com/~r/drweb/viruses/~3/mBeVFPDWMYE/

17 марта 2016 года

Многие современные Android-троянцы предназначены для показа навязчивой рекламы, а также установки всевозможного ПО на мобильные устройства. С их помощью вирусописатели получают неплохую прибыль, поэтому неудивительно, что число подобных вредоносных программ растет. Один из таких троянцев, исследованный в марте специалистами «Доктор Веб», был найден в прошивках около 40 Android-устройств. Кроме того, он был обнаружен и в нескольких приложениях от известных компаний.

Троянец, получивший имя Android.Gmobi.1, представляет собой специализированный программный пакет (SDK-платформу), который расширяет функциональные возможности Android-приложений и используется как производителями мобильных устройств, так и разработчиками ПО. В частности, этот модуль предназначен для дистанционного обновления операционной системы, сбора аналитических данных, показа различных уведомлений (в том числе рекламы) и осуществления мобильных платежей. Однако несмотря на кажущуюся безобидность, Android.Gmobi.1 во многом ведет себя как типичный троянец, поэтому содержащие его программы детектируются антивирусными продуктами Dr.Web для Android как вредоносные. На текущий момент специалисты компании «Доктор Веб» обнаружили этот SDK в предустановленном системном ПО почти 40 популярных мобильных устройств, а также в приложениях TrendMicro Dr.Safety, TrendMicro Dr.Booster и Asus WebStorage, которые доступны для загрузки в каталоге Google Play. Все пострадавшие компании уже оповещены о возникшей проблеме и занимаются ее решением. Так, последние официальные версии программ TrendMicro Dr.Safety и TrendMicro Dr.Booster уже не содержат этого троянца.

Android.Gmobi.1 имеет несколько модификаций, которые объединяет общий функционал – сбор и отправка на удаленный узел конфиденциальной информации. Например, версии троянца, которые встроены в приложения TrendMicro Dr.Safety и TrendMicro Dr.Booster, имеют только указанную шпионскую функцию, в то время как модификация, обнаруживаемая в прошивках мобильных устройств, является наиболее «продвинутой». О ней мы и расскажем более подробно.

При каждом подключении к Интернету или включении экрана зараженного смартфона или планшета (если перед этим экран был выключен более минуты) Android.Gmobi.1 собирает и отправляет на управляющий сервер целый ряд конфиденциальных данных, таких как:

• email-адреса пользователя;
• наличие роуминга;
• текущие географические координаты на основе данных спутников GPS или информации мобильной сети;
• подробную техническую информацию об устройстве;
• страну нахождения пользователя;
• наличие установленного приложения Google Play.

В ответ троянец получает от сервера конфигурационный файл в формате JSON (JavaScript Object Notation), который может содержать следующие управляющие команды:

• сохранить в базу данных информацию о рекламе, которую необходимо показать пользователю;
• создать рекламный ярлык на рабочем столе;
• показать уведомление с рекламой;
• показать уведомление, нажатие на которое приведет к запуску уже установленного на устройстве приложения;
• загрузить и установить apk-файлы с использованием стандартного системного диалога или скрытно от пользователя, если для этого имеются соответствующие права.

Далее в соответствии с полученными командами вредоносная программа приступает к непосредственному выполнению своей основной вредоносной функции – показу рекламы, а также других действий, нацеленных на получение прибыли. В частности, троянец может продемонстрировать рекламу следующих типов:

• реклама в панели уведомлений;
• реклама в виде диалогового окна;
• реклама в виде интерактивных диалоговых окон – при нажатии кнопки подтверждения происходит отправка СМС (при этом она выполняется только в том случае, если у приложения, в которое встроен вредоносный SDK, есть на это соответствующие права);
• рекламный баннер поверх окон других приложений и графического интерфейса ОС;
• открытие заданной страницы в веб-браузере или в приложении Google Play.

Кроме того, Android.Gmobi.1 способен автоматически запускать программы, уже установленные на устройстве, а также скачивать приложения по указанным злоумышленниками ссылкам, тем самым «накручивая» их популярность.

В настоящий момент все известные модификации этого троянца успешно детектируются и обезвреживаются антивирусными продуктами Dr.Web для Android только в тех случаях, если они находятся не в системных каталогах ОС. Если Android.Gmobi.1 был обнаружен в прошивке зараженного мобильного устройства, его удаление обычными средствами не представляется возможным, поскольку для этого антивирусу необходимо наличие root-полномочий. Однако даже если необходимые права в системе имеются, удаление троянца может привести к нарушению работы зараженного смартфона или планшета, поскольку Android.Gmobi.1 может быть встроен в критически важное системное приложение. В этом случае необходимо обратиться к производителю мобильного устройства и запросить у него новую версию прошивки, в которой троянец будет отсутствовать.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/6AbCgOkVGC4/

11 марта 2016 года

В начале марта многочисленные средства массовой информации, сетевые издания и блоги сообщили о распространении первого в истории троянца-шифровальщика, атакующего компьютеры Apple под управлением операционной системы OS X. Специалисты компании «Доктор Веб» тщательно исследовали эту вредоносную программу, получившую наименование Mac.Trojan.KeRanger.2, и разработали технологию расшифровки поврежденных троянцем файлов.

Троянец-шифровальщик Mac.Trojan.KeRanger.2 впервые был обнаружен в инфицированном обновлении популярного торрент-клиента для OS X, распространявшегося в виде дистрибутива в формате DMG. Программа была подписана действующим сертификатом разработчика приложений для OS X, благодаря чему могла обойти встроенную систему защиты ОС от Apple.

После установки на атакуемый компьютер Mac.Trojan.KeRanger.2 выжидает три дня, в течение которых пребывает в «спящем» режиме. После этого энкодер устанавливает соединение со своим управляющим сервером с использованием сети TOR. Затем начинает процесс шифрования пользовательских файлов: в папке пользователя Mac.Trojan.KeRanger.2 шифрует абсолютно все файлы, к которым у него имеются права доступа, при этом троянец может работать как с привилегиями обычного пользователя, так и от имени учетной записи root. После этого вредоносная программа пытается зашифровать содержимое логического раздела /Volumes, то есть файлы, хранящиеся на жестком диске и в смонтированных логических разделах. В этом случае файлы шифруются по имеющемуся списку — всего злоумышленники предусмотрели в этом перечне 313 различных типов файлов, включая текстовые документы и графические изображения. Ключ для шифрования и файл с требованиями злоумышленников троянец получает с управляющего сервера. Характерным признаком работы этого энкодера является добавление к зашифрованным файлам расширения ".encrypted" и появление в папках файла с именем "README_FOR_DECRYPT.txt".

Специалисты компании «Доктор Веб» разработали технологию, позволяющую расшифровывать файлы, поврежденные в результате вредоносной деятельности этого энкодера.

Для того чтобы воспользоваться услугой расшифровки файлов, которые стали недоступны в результате проникновения Mac.Trojan.KeRanger.2, выполните следующие действия:

• обратитесь с соответствующим заявлением в полицию;
• ни в коем случае не пытайтесь каким-либо образом изменить содержимое папок с зашифрованными файлами;
• не удаляйте никакие файлы на компьютере;
• не пытайтесь восстановить зашифрованные файлы самостоятельно;
• обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
• к тикету приложите любой зашифрованный троянцем файл;
• дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются бесплатно только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. С полными требованиями для отправки запроса на расшифровку можно ознакомиться по ссылке. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/32pGcBKiL4I/

3 марта 2016 года

Вредоносные программы для компьютеров Apple на сегодняшний день распространены не столь широко, как троянцы для ОС Windows и Android, но вместе с тем злоумышленники не обходят своим вниманием владельцев таких машин. Большинство современных вредоносных программ, способных работать в OS X, предназначены для несанкционированного показа рекламы в окне браузера. Не стали исключением и новые троянцы семейства Mac.Trojan.VSearch, обнаруженные в марте специалистами компании «Доктор Веб».

Атака троянцев семейства Mac.Trojan.VSearch на компьютер Apple начинается с установщика приложений, детектируемого Антивирусом Dr.Web как Mac.Trojan.VSearch.2. Он распространяется под видом различных утилит и программ – например, проигрывателя Nice Player. Пользователь может сам скачать его с различных веб-сайтов, предлагающих бесплатное ПО для OS X.

Сразу после запуска установщика в его окне отображается традиционное приветствие. По нажатии на кнопку Continue Mac.Trojan.VSearch.2 должен показать пользователю список компонентов, устанавливаемых помимо приложения, которое он хотел получить с самого начала. В этом списке пользователю обычно предоставляется возможность выбрать необходимые модули, однако на практике этого не происходит: инсталлятор сразу переходит к окну с предложением указать папку установки, при этом он настроен таким образом, будто пользователь сам отметил флажками все предложенные варианты. Среди компонентов, которые Mac.Trojan.VSearch.2 устанавливает на зараженный компьютер, был замечен троянец Mac.Trojan.VSearch.4, а также множество других опасных и нежелательных программ, в частности MacKeeper (Program.Mac.Unwanted.MacKeeper), ZipCloud (Program.Mac.Unwanted.ZipCloud) и Mac.Trojan.Conduit.

После установки на атакуемом компьютере Mac.Trojan.VSearch.4 обращается к серверу злоумышленников и выкачивает оттуда специальный скрипт, который подменяет в настройках браузера поисковую систему по умолчанию, устанавливая в качестве таковой сервер Trovi. С помощью этого скрипта троянец может скачать и установить на инфицированный «мак» поисковый плагин для браузеров Safari, Chrome и Firefox, детектируемый Антивирусом Dr.Web как нежелательное приложение Program.Mac.Unwanted.BrowserEnhancer.1. И, наконец, эта вредоносная программа загружает и устанавливает в системе троянца Mac.Trojan.VSearch.7.

Попав на инфицированный компьютер, Mac.Trojan.VSearch.7 в первую очередь создает в операционной системе нового пользователя (который не отображается в окне приветствия OS X) и запускает специальный прокси-сервер, с помощью которого встраивает во все открываемые в окне браузера веб-страницы сценарий на языке JavaScript, показывающий рекламные баннеры. Помимо этого, вредоносный сценарий собирает пользовательские запросы к нескольким популярным поисковым системам.

Специалистам компании «Доктор Веб» удалось установить, что в общей сложности на принадлежащие киберпреступникам серверы за время их существования поступило 1 735 730 запросов на загрузку вредоносных программ, при этом было зафиксировано 478 099 уникальных IP-адресов обращавшихся к этим серверам компьютеров. Указанная цифра позволяет сделать определенные предположения о масштабах распространения угрозы. Все представители семейства Mac.Trojan.VSearch успешно детектируются Антивирусом Dr.Web для OS X и потому не представляют опасности для наших пользователей.

Подробнее о троянцах

http://feedproxy.google.com/~r/drweb/viruses/~3/fKGly3x46Vo/

20 февраля 2016 года

Летом прошлого года мессенджер Telegram представил открытую платформу для создания «ботов» — аккаунтов, которые взаимодействуют с внешними сервисами и отвечают на команды пользователей. Компания «Доктор Веб» представляет своё исследование этого необычного формата — первого в мире антивирусного бота.

Благодаря боту, пользователи могут проверить ссылку или файл и вовремя узнать об угрозе — например, о том, что полученный ими файл оказался троянской программой, которая способна украсть данные из банковского приложения или заблокировать телефон, чтобы требовать выкуп. Обращаем внимание пользователей на то, что бот не является заменой антивирусу: он не сможет просканировать телефон или компьютер, помешать загрузить вредоносную программу или вылечить уже зараженное устройство. Для полноценной защиты необходимо установить антивирусный продукт Dr.Web для соответствующей операционной системы или мобильной платформы.

Чтобы испытать бота, достаточно найти аккаунт @DrWebBot в мессенджере (или перейти по адресу telegram.me/drwebbot) и отправить файл или ссылку — бот «на лету» проверит их по базам компании «Доктор Веб» и сообщит о результатах. Благодаря этому, антивирусным ботом можно пользоваться на любом устройстве, на котором работает Telegram, от мобильных устройств до настольных компьютеров — и даже через веб-версию в браузере. Бот отвечает прямо через мессенджер и не оказывает никакой нагрузки на работоспособность системы.

Проверять ссылки и файлы можно как в приватном диалоге (напрямую отправлять боту подозрительный контент или пересылать ему сообщения, полученные от других пользователей), так и в групповой беседе — если добавить в нее бота, то он будет срабатывать на все файлы и ссылки в этой беседе.

Познакомиться со всеми возможностями бота поможет команда /help. Бот позволяет выбрать один из двух режимов: «тихий» и обычный. По умолчанию используется обычный режим: бот реагирует на каждый файл или ссылку и отвечает, безопасны ли они. В групповой беседе поток сообщений от бота может мешать обычному общению, поэтому удобнее использовать «тихий режим»: в этом режиме бот только предостерегает пользователей, когда файл или ссылка в чате содержат угрозу. Выбрать режим можно с помощью команды /mode.

На сегодняшний день бот умеет общаться с пользователем на русском, английском или немецком языке. Выбрать язык можно с помощью команды /lang.

В первую очередь бот Dr.Web — исследовательский проект, который позволит компании испытать взаимодействие с пользователями в новом формате, получить обратную связь и оценить нагрузку. И, конечно, поможет вовремя предупреждать пользователей о том, что ссылка или файл небезопасны.

http://feedproxy.google.com/~r/drweb/viruses/~3/yWRHDGbi5RY/

18 февраля 2016 года

На сегодняшний день известно множество вредоносных программ, предназначенных для загрузки на инфицированный компьютер других опасных приложений, а также для выполнения поступающих от злоумышленников команд. Очередной такой бэкдор, обнаруженный вирусными аналитиками компании «Доктор Веб» в феврале, обладает целым рядом интересных особенностей, которые выделяют его среди аналогичных троянцев.

Эта вредоносная программа, получившая наименование BackDoor.Andromeda.1407, распространяется с помощью другого троянца-загрузчика — Trojan.Sathurbot.1, также известного под именем «Hydra». Основное предназначение BackDoor.Andromeda.1407 заключается в выполнении поступающих от злоумышленников команд, в том числе скачивания и установки иного вредоносного ПО.

При запуске бэкдор проверяет командную строку на наличие ключа "/test" и в случае его обнаружения выводит в консоль сообщение "\n Test - OK", а затем завершается. Вероятно, эта функция была предусмотрена вирусописателями для тестирования работы различных программных упаковщиков. После этого троянец пытается определить, не запущены ли на компьютере виртуальные машины, приложения для мониторинга процессов или отслеживания обращений к системному реестру, а также некоторые другие программы-отладчики. Обнаружив любую опасную для себя программу, бэкдор переходит в бесконечный режим сна.

На следующем этапе BackDoor.Andromeda.1407 получает серийный номер системного тома жесткого диска, который активно использует при генерации значений различных именованных объектов, в частности, переменных окружения или в отсылаемых на управляющий сервер сообщениях. Сразу после своего запуска бэкдор пытается путем инжекта перебраться в новый процесс, а исходный — завершить. Если вредоносной программе удалось встроиться в выбранный процесс, она получает ряд сведений об инфицированной машине, в том числе определяет разрядность ОС, ее версию, права текущего пользователя и, наконец, настроенные на атакованном компьютере раскладки клавиатуры. Если бэкдору удается обнаружить наличие в Windows русской, украинской, белорусской или казахской национальной раскладки, он завершается и автоматически удаляется из системы.

Затем BackDoor.Andromeda.1407 пытается определить точное время путем отправки запросов на серверы europe.pool.ntp.org, north-america.pool.ntp.org, south-america.pool.ntp.org, asia.pool.ntp.org, oceania.pool.ntp.org, africa.pool.ntp.org, pool.ntp.org, либо запрашивает системное время, если получить ответ от перечисленных ресурсов не удалось. Значение времени активно используется плагинами троянца в процессе работы. Затем бэкдор отключает в настройках Windows демонстрацию системных уведомлений, а также останавливает и отключает некоторые системные службы в зависимости от версии ОС.

Если на зараженном компьютере установлена операционная система Microsoft Windows 8 или выше, троянец продолжает работу с текущими привилегиями пользователя, в Windows 7 он пытается повысить собственные права с использованием одного из широко известных способов. Кроме того, в ОС Windows 7 BackDoor.Andromeda.1407 отключает механизм контроля учетных записей пользователей (User Accounts Control, UAC).

На этом процесс установки троянца в систему не заканчивается: он отключает отображение скрытых файлов в Проводнике, а затем обращается по очереди к нескольким системным папкам и папкам профиля текущего пользователя, пытаясь определить, какая из них открыта на запись. При обнаружении такой папки в нее копируется дроппер троянца со случайным именем, а затем этому исполняемому файлу присваиваются атрибуты «системный» и «скрытый», чтобы спрятать его от пользователя, и меняется время его создания. Наконец, BackDoor.Andromeda.1407 модифицирует ветви системного реестра Windows, обеспечивая автоматический запуск основного модуля вредоносной программы.

Взаимодействие с управляющим сервером бэкдор осуществляет с помощью специального зашифрованного ключа, при этом адреса командных узлов также хранятся в теле троянца зашифрованными. Чтобы узнать IP-адрес инфицированного компьютера, BackDoor.Andromeda.1407 обращается к серверам microsoft.com, update.microsoft.com, bing.com, google.com и yahoo.com, а передача информации реализована с использованием формата обмена данными JSON (JavaScript Object Notation) в зашифрованном виде. Именно так бэкдор может получать от злоумышленников различные управляющие директивы, среди которых — команды на загрузку дополнительных плагинов, загрузку и запуск исполняемых файлов, самообновление троянца, удаление всех плагинов из зараженной системы или деинсталляцию самой вредоносной программы.

В настоящий момент вирусным аналитикам компании «Доктор Веб» известно о том, что BackDoor.Andromeda.1407 загружает и запускает на инфицированных компьютерах такие вредоносные приложения как троянец-шифровальщик Trojan.Encoder.3905, банковский троянец Trojan.PWS.Panda.2401, троянцы Trojan.Click3.15886, BackDoor.Siggen.60436, Trojan.DownLoader19.26835 и многие другие. BackDoor.Andromeda.1407 обнаруживается и успешно удаляется антивирусным ПО Dr.Web.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/QtA9omW2Fs4/

12 февраля 2016 года

Одной из наиболее опасных угроз информационной безопасности принято считать банковских троянцев, представляющих собой довольно сложные вредоносные программы с широкими функциональными возможностями. Однако в своих попытках обмануть клиентов различных кредитных организаций злоумышленники не брезгуют и более тривиальными решениями — к таковым относится троянская программа Trojan.Proxy2.102, исследованная специалистами компании «Доктор Веб».

Trojan.Proxy2.102 предназначен для кражи денег с банковских счетов и использует для этого достаточно простой метод. Запустившись на атакуемом устройстве, троянец устанавливает в системе корневой цифровой сертификат и изменяет настройки соединения с Интернетом, прописывая в них адрес принадлежащего злоумышленникам прокси-сервера.

С этого момента любые обращения браузера к веб-страницам системы интернет-банкинга нескольких ведущих российских кредитных организаций осуществляются через прокси-сервер киберпреступников. С его помощью в страницы систем «банк-клиент» при открытии на инфицированном компьютере встраивается постороннее содержимое, позволяющее злоумышленникам похищать деньги с банковских счетов жертвы. В настоящий момент установлено, что Trojan.Proxy2.102 способен подменять содержимое следующих банковских интернет-ресурсов: online.sberbank.ru, online.vtb24.ru и online.rsb.ru. Поскольку троянец предварительно устанавливает на зараженном компьютере поддельный цифровой сертификат, с использованием которого подписывает соответствующие веб-страницы, пользователь вряд ли сможет вовремя заметить подмену.

После успешной установки троянец отправляет сообщение об этом событии на управляющий сервер. Поскольку он никак не регистрирует себя в автозагрузке, после выполнения своих вредоносных действий троянец переходит в бесконечный спящий режим.

Антивирус Dr.Web успешно обнаруживает и удаляет вредоносную программу Trojan.Proxy2.102, поэтому она не представляет опасности для наших пользователей.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/vvQ-rJSyRtI/

8 февраля 2016 года

Спустя чуть более двух месяцев после масштабной операции российских правоохранительных органов по пресечению деятельности преступной группировки, стоявшей за получившим в 2015 году печальную известность троянцем Trojan.Dyre, о нем опять заговорили СМИ. На этот раз речь идет чуть ли не о победе над этой вредоносной программой, терроризировавшей крупнейшие финансовые организации всего мира с лета 2014 года. Однако сами правоохранительные органы пока не спешат сообщить об успехах в борьбе с очередным творением киберпреступного мира.

Специалисты компании «Доктор Веб» на протяжении всего времени существования троянской программы Trojan.Dyre пристально следили за ее распространением, изучали инфраструктуру, которая была создана злоумышленниками. Прежде всего следует отметить, что в данном случае мы увидели «классический» пример реализации модели CaaS — crime-as-a-service (преступление как услуга). «Пользователи системы» получали билдер для генерации сэмплов троянца, который позволял часто менять его сигнатуру, делая его таким образом неуязвимым для антивирусных программ. При этом все данные, которые собирались троянцем на зараженных компьютерах, отправлялись на серверы владельцев Trojan.Dyre. Там они обрабатывались и заводились в административную панель, которая была доступна тем «пользователям», которые купили к ней доступ. Сама панель была разделена на несколько функциональных частей — управление ботами, поиск по логам. Кроме того, самих групп панелей было несколько. Все входящие данные анализировались фильтрами для получения интересующей мошенников информации (логины-пароли и т. д.).

Большой интерес представляет сама инфраструктура Trojan.Dyre, которая, как считают аналитики «Доктор Веб», является намного более сложной, чем инфраструктуры многих других нашумевших банковских троянцев. Обычно данные с зараженных компьютеров отсылаются троянцами на сервер, где и развернута панель, с помощью которой злоумышленники управляют своими ботами. В случае же с Trojan.Dyre использовался целый набор различных технологий, который свидетельствовал о том, что разработавшая и воплотившая в жизнь этот проект преступная группа располагает довольно внушительными финансовыми и человеческими ресурсами. Так, приемом и обработкой данных от ботов занимались «самописные» серверы на .Net, а панели управления ботнетом были написаны с использованием php-фреймворка Kohana. Для хранения и обработки массивов данных, поступавших практически со всех концов света, использовались базы postgres и mysql, а также система полнотекстового поиска sphinx. Все входящие данные поступали на специальные фильтры, которые служили для выделения интересующей мошенников информации (логины, пароли, номера банковских счетов, персональные данные пользователей и т. д.). Для защиты серверов от обнаружения были использованы Tor-серверы, а также proxy-серверы, объединенные в сеть посредством openvpn. Отличительной чертой атаки с использованием троянца Trojan.Dyre было размещение первичных проксирующих «прокладок» на взломанных злоумышленниками роутерах, где соответствующим образом была изменена таблица маршрутизации. Взломы роутеров производились рутинным подбором паролей, с учетом того факта, что многие пользователи не заботятся о смене заводских настроек защиты роутеров, а некоторые вообще не рассматривают их как точку возможного проникновения во внутреннюю сеть.

Тем не менее, аналитики «Доктор Веб» смогли определить целый ряд конечных серверов, которые использовались злоумышленниками. Были вскрыты элементы инфраструктуры Trojan.Dyre, удалось реализовать синкхол некоторых серверов. Это позволило получать важную информацию, которую специалисты компании оперативно предоставляли ряду европейских банков, а также правоохранительным органам нескольких стран.

Несмотря на опубликованную в СМИ информацию, в «Доктор Веб» считают, что по поводу Trojan.Dyre еще не пришло время расслабляться. До сих пор аналитиками компании фиксируются спам-рассылки с сэмплами троянца, и имеются основания полагать, что не все серверы инфраструктуры прекратили свою работу. Скорее всего, в этой истории «продолжение следует».

http://feedproxy.google.com/~r/drweb/viruses/~3/aLOm0hHKytc/