14 июня 2016 года

Троянцы-энкодеры представляют серьезную опасность для пользователей по всему миру: эти вредоносные программы шифруют хранящуюся на компьютере информацию и требуют выкуп за ее расшифровку. На сегодняшний день известно множество разновидностей шифровальщиков. Антивирусная компания «Доктор Веб» давно и успешно борется с такими программами-вымогателями: в некоторых случаях зашифрованные троянцем файлы можно восстановить. Это касается и энкодера, известного под именем CryptXXX, — специалисты «Доктор Веб» могут расшифровать поврежденные этим троянцем файлы, если они были зашифрованы до начала июня 2016 года.

Вредоносная программа Trojan.Encoder.4393, также известная под именем CryptXXX, является типичным представителем многочисленной группы троянцев-энкодеров. Этот шифровальщик имеет несколько версий и распространяется злоумышленниками по всему миру. С целью увеличить прибыль от своей незаконной деятельности вирусописатели организовали специальный сервис по платной расшифровке поврежденных CryptXXX файлов, выплачивающий определенный процент распространителям троянца. Все копии CryptXXX обращаются на единый управляющий сервер, а предлагающие расшифровку сайты расположены в анонимной сети TOR. Успешностью партнерской программы, по всей видимости, отчасти и объясняется широта географии известных случаев заражения, а также высокая популярность CryptXXX среди злоумышленников. Зашифрованные троянцем файлы получают расширение *.crypt, а файлы с требованиями вымогателей имеют имена de_crypt_readme.txt, de_crypt_readme.html и de_crypt_readme.png.

Если вы стали жертвой этой вредоносной программы, и файлы на вашем компьютере были зашифрованы до начала июня 2016 года, существует возможность восстановить информацию. Успех этой операции зависит от ряда факторов и в значительной степени — от действий самого пользователя.

• Не пытайтесь удалить какие-либо файлы с компьютера или переустановить операционную систему, а также не пользуйтесь зараженным ПК до получения инструкций от службы технической поддержки компании «Доктор Веб».
• Если вы запустили антивирусное сканирование, не предпринимайте каких-либо действий по лечению или удалению обнаруженных вредоносных программ — они могут понадобиться специалистам в процессе поиска ключа для расшифровки файлов.
• Постарайтесь припомнить как можно больше информации об обстоятельствах заражения: это касается полученных вами по электронной почте подозрительных писем, скачанных из Интернета программ, сайтов, которые вы посещали.
• Если у вас сохранилось письмо с вложением, после открытия которого файлы на компьютере оказались зашифрованными, не удаляйте его: это письмо должно помочь специалистам определить версию троянца, проникшего на ваш компьютер.

Для расшифровки файлов, поврежденных в результате действия CryptXXX, воспользуйтесь специальной страницей сервиса на сайте антивирусной компании «Доктор Веб». Бесплатная помощь по расшифровке файлов оказывается только обладателям лицензии Dr.Web, у которых на момент заражения был установлен Dr.Web Security Space (для Windows), Антивирус Dr.Web для OS X или Linux не ниже версии 10 или Dr.Web Enterprise Security Suite (версии 6+). Другие пострадавшие могут воспользоваться платной услугой Dr.Web Rescue Pack через форму запроса: плата взимается только если анализ покажет, что расшифровка возможна. Кроме того, воспользовавшиеся этой услугой клиенты получают бесплатную двухгодичную лицензию на продукт Dr.Web Security Space для 1 ПК. Дополнительную информацию о троянцах-шифровальщиках и способах борьбы с ними можно найти по ссылке.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/ui93wjl_NNA/

10 июня 2016 года

Среди современных вредоносных программ имеется особая категория троянцев, которых специалисты по информационной безопасности называют «бестелесными». Они действительно не присутствуют на инфицированном компьютере в виде отдельного файла, а работают непосредственно в оперативной памяти, используя для своего хранения различные контейнеры, например, системный реестр Windows. В этой статье компания «Доктор Веб» рассказывает об одном из представителей группы «бестелесных» троянцев, который получил название Trojan.Kovter.297.

Trojan.Kovter распространяется с помощью другого троянца — Trojan.MulDrop6.42771, специально созданного для установки на атакуемые компьютеры вредоносных приложений. Такая связка детектируется Антивирусом Dr.Web под именем Trojan.Kovter.297. Несмотря на кажущуюся простоту своего предназначения, Trojan.MulDrop6.42771 имеет довольно-таки сложную архитектуру. Код троянца содержит множество случайных строк и вызовов функций, чтобы усложнить его анализ, а основная вредоносная библиотека скрыта в ресурсах Trojan.MulDrop6.42771 в виде картинки. Этот троянец умеет определять, не запущены ли на компьютере виртуальные машины и иные средства отладки, которые обычно используются вирусными аналитиками для исследования образцов вредоносного ПО, и при обнаружении таковых завершает свою работу. Кроме того, он может показывать на экране компьютера произвольные сообщения и отключать функцию контроля учетных записей пользователя Windows (User Accounts Control, UAC).

Trojan.MulDrop6.42771 может обеспечить собственную автозагрузку в системе семью разными способами, а для запуска полезной нагрузки вирусописатели предусмотрели целых шесть различных методов: Trojan.MulDrop6.42771 использует тот из них, который указан в его конфигурации. Кроме того, эта вредоносная программа умеет копировать себя в корневые папки всех подключенных к зараженной машине дисков, создавая там файл автозапуска autorun.inf, то есть, распространяться подобно червю.

Как уже упоминалось ранее, некоторые образцы Trojan.MulDrop6.42771 содержат бестелесного троянца семейства Trojan.Kovter. Обычно он запускается троянцем-носителем, но обладает и собственным механизмом автозапуска. Эта вредоносная программа создает в системном реестре несколько записей: одна содержит само тело троянца в зашифрованном виде, вторая — скрипт для его расшифровки и загрузки в память компьютера. Имена этих записей включают специальные нечитаемые символы, поэтому стандартная программа regedit не может их показать.

Фактически Trojan.Kovter работает в оперативной памяти инфицированного компьютера, не сохраняя собственную копию на диске в виде отдельного файла, что в определенной степени затрудняет его поиск и удаление. С точки зрения вредоносных функций Trojan.Kovter можно отнести к категории рекламных троянцев — он незаметно для пользователя запускает в фоновом режиме несколько экземпляров браузера Microsoft Internet Explorer, «посещает» с их помощью указанные злоумышленниками сайты и накручивает количество просмотров рекламы, нажимая на рекламные ссылки и баннеры. Таким образом злоумышленники получают прибыль от организаторов партнерских программ и рекламодателей, размещающих рекламу с оплатой за нажатия и переходы.

Несмотря на то, что Trojan.Kovter старается работать на инфицированной машине скрытно, сканирование компьютера Антивирусом Dr.Web позволяет избавиться от заражения. Пользователям рекомендуется не забывать о своевременном обновлении вирусных баз и регулярно проверять компьютер при возникновении подозрений о присутствии на нем вредоносного ПО.

Подробнее о Trojan.MulDrop6.42771
Подробнее о Trojan.Kovter.297

http://feedproxy.google.com/~r/drweb/viruses/~3/5LXowv2vdc0/

10 июня 2016 года

Среди современных вредоносных программ имеется особая категория троянцев, которых специалисты по информационной безопасности называют «бестелесными». Они действительно не присутствуют на инфицированном компьютере в виде отдельного файла, а работают непосредственно в оперативной памяти, используя для своего хранения различные контейнеры, например, системный реестр Windows. В этой статье компания «Доктор Веб» рассказывает об одном из представителей группы «бестелесных» троянцев, который получил название Trojan.Kovter.297.

Trojan.Kovter распространяется с помощью другого троянца — Trojan.MulDrop6.42771, специально созданного для установки на атакуемые компьютеры вредоносных приложений. Такая связка детектируется Антивирусом Dr.Web под именем Trojan.Kovter.297. Несмотря на кажущуюся простоту своего предназначения, Trojan.MulDrop6.42771 имеет довольно-таки сложную архитектуру. Код троянца содержит множество случайных строк и вызовов функций, чтобы усложнить его анализ, а основная вредоносная библиотека скрыта в ресурсах Trojan.MulDrop6.42771 в виде картинки. Этот троянец умеет определять, не запущены ли на компьютере виртуальные машины и иные средства отладки, которые обычно используются вирусными аналитиками для исследования образцов вредоносного ПО, и при обнаружении таковых завершает свою работу. Кроме того, он может показывать на экране компьютера произвольные сообщения и отключать функцию контроля учетных записей пользователя Windows (User Accounts Control, UAC).

Trojan.MulDrop6.42771 может обеспечить собственную автозагрузку в системе семью разными способами, а для запуска полезной нагрузки вирусописатели предусмотрели целых шесть различных методов: Trojan.MulDrop6.42771 использует тот из них, который указан в его конфигурации. Кроме того, эта вредоносная программа умеет копировать себя в корневые папки всех подключенных к зараженной машине дисков, создавая там файл автозапуска autorun.inf, то есть, распространяться подобно червю.

Как уже упоминалось ранее, некоторые образцы Trojan.MulDrop6.42771 содержат бестелесного троянца семейства Trojan.Kovter. Обычно он запускается троянцем-носителем, но обладает и собственным механизмом автозапуска. Эта вредоносная программа создает в системном реестре несколько записей: одна содержит само тело троянца в зашифрованном виде, вторая — скрипт для его расшифровки и загрузки в память компьютера. Имена этих записей включают специальные нечитаемые символы, поэтому стандартная программа regedit не может их показать.

Фактически Trojan.Kovter работает в оперативной памяти инфицированного компьютера, не сохраняя собственную копию на диске в виде отдельного файла, что в определенной степени затрудняет его поиск и удаление. С точки зрения вредоносных функций Trojan.Kovter можно отнести к категории рекламных троянцев — он незаметно для пользователя запускает в фоновом режиме несколько экземпляров браузера Microsoft Internet Explorer, «посещает» с их помощью указанные злоумышленниками сайты и накручивает количество просмотров рекламы, нажимая на рекламные ссылки и баннеры. Таким образом злоумышленники получают прибыль от организаторов партнерских программ и рекламодателей, размещающих рекламу с оплатой за нажатия и переходы.

Несмотря на то, что Trojan.Kovter старается работать на инфицированной машине скрытно, сканирование компьютера Антивирусом Dr.Web позволяет избавиться от заражения. Пользователям рекомендуется не забывать о своевременном обновлении вирусных баз и регулярно проверять компьютер при возникновении подозрений о присутствии на нем вредоносного ПО.

Подробнее о Trojan.MulDrop6.42771
Подробнее о Trojan.Kovter.297

http://feedproxy.google.com/~r/drweb/viruses/~3/pKrBllq_-e4/

3 июня 2016 года

В июне 2016 года вирусные аналитики компании «Доктор Веб» завершили исследование нового опасного вируса. Он способен красть деньги со счетов клиентов российских банков, похищать конфиденциальную информацию и различными способами шпионить за своей жертвой. Вирус наследует некоторые технические решения широко известных банковских троянцев Zeus (Trojan.PWS.Panda) и Carberp, но в отличие от них умеет распространяться без участия пользователя и заражать исполняемые файлы. В этом и заключается его основная опасность. Помимо прочего, его крайне сложно вывести с зараженного компьютера: лечение может занимать несколько часов.

Эта вредоносная программа получила наименование Trojan.Bolik.1. Ее важным отличием от других современных банковских троянцев, таких как Zeus и Carberp, является способность самостоятельно распространяться без участия пользователя и заражать исполняемые файлы. Такие вредоносные программы называют полиморфными файловыми вирусами.

Умение распространяться самостоятельно и инфицировать программы можно назвать наиболее опасным свойством этого банкера. Функция самораспространения активируется по команде злоумышленников, после чего Trojan.Bolik.1 начинает опрашивать доступные для записи папки в сетевом окружении Windows и на подключенных USB-устройствах, ищет хранящиеся там исполняемые файлы и заражает их. При этом Trojan.Bolik.1 может инфицировать как 32-, так и 64-разрядные приложения.

Зараженные этим вирусом программы детектируются Антивирусом Dr.Web под именем Win32.Bolik.1. Внутри каждой такой программы хранится в зашифрованном виде сам банковский троянец Trojan.Bolik.1, а также другая необходимая вирусу информация. Если пользователь запустит на своем компьютере инфицированное приложение, вирус расшифрует банковского троянца Trojan.Bolik.1 и запустит его прямо в памяти атакуемого компьютера, без сохранения на диск. При этом вирус имеет специальный встроенный механизм, позволяющий «на лету» изменять код и структуру собственной части, отвечающей за расшифровку Trojan.Bolik.1. Таким образом вирусописатели пытаются затруднить обнаружение своего детища антивирусными программами. Кроме того, Win32.Bolik.1 пытается противодействовать антивирусам, умеющим пошагово выполнять вредоносные программы в специальном эмуляторе, — в архитектуре этого вируса предусмотрены своеобразные «замедлители», состоящие из множества циклов и повторяющихся инструкций.

От Carberp Trojan.Bolik.1 унаследовал виртуальную файловую систему, которая хранится в специальном файле. Этот файл троянец размещает в одной из системных директорий или в папке пользователя. Виртуальная файловая система позволяет вредоносной программе скрыто хранить на зараженном компьютере нужную ей для работы информацию. У Zeus Trojan.Bolik.1 позаимствовал механизм встраивания в просматриваемые пользователями веб-страницы постороннего содержимого, то есть реализацию технологии веб-инжектов. С ее помощью злоумышленники похищают у своих жертв логины и пароли для доступа к системам «банк-клиент» и другую ценную информацию. Trojan.Bolik.1 ориентирован прежде всего на кражу информации у клиентов российских банков — об этом свидетельствуют характерные строчки в конфигурационном файле, передаваемом вирусу с управляющего сервера.

Основное назначение Trojan.Bolik.1 — кража различной ценной информации. Он может достичь этой цели разными способами. Например, контролировать данные, передаваемые и отправляемые браузерами Microsoft Internet Explorer, Chrome, Opera и Mozilla Firefox. Благодаря этому троянец способен похищать информацию, которую пользователь вводит в экранные формы. Кроме того, в шпионский арсенал банкера входит модуль для создания снимков экрана (скриншотов) и фиксации нажатий пользователем клавиш (кейлоггер). Также Trojan.Bolik.1 умеет создавать на зараженной машине собственный прокси-сервер и веб-сервер, позволяющий обмениваться файлами со злоумышленниками. Нужные файлы эта вредоносная программа может найти по заданной в специальной команде маске. Как и некоторые другие современные банковские троянцы, Trojan.Bolik.1 в состоянии организовывать так называемые «реверсные соединения» — с их помощью киберпреступники получают возможность «общаться» с зараженным компьютером, находящимся в защищенной брандмауэром сети или не имеющим внешнего IP-адреса, то есть работающим в сети с использованием NAT (Network Address Translation). Вся информация, которой Trojan.Bolik.1 обменивается с управляющим сервером, шифруется по сложному алгоритму и сжимается.

Функциональные возможности Trojan.Bolik.1 выглядят поистине пугающими, а его внутренняя архитектура довольно-таки сложна и неоднозначна. Антивирус Dr.Web детектирует и удаляет все компоненты этого опасного вируса, однако в связи с некоторыми особенностями внутреннего устройства Trojan.Bolik.1 лечение зараженного компьютера может занять длительное время. Пострадавшим от действия этой вредоносной программы пользователям рекомендуется набраться терпения в процессе антивирусного сканирования ПК.

Подробнее о вирусе

http://feedproxy.google.com/~r/drweb/viruses/~3/SFi3QbrUw40/

3 июня 2016 года

В июне 2016 года вирусные аналитики компании «Доктор Веб» завершили исследование нового опасного вируса. Он способен красть деньги со счетов клиентов российских банков, похищать конфиденциальную информацию и различными способами шпионить за своей жертвой. Вирус наследует некоторые технические решения широко известных банковских троянцев Zeus (Trojan.PWS.Panda) и Carberp, но в отличие от них умеет распространяться без участия пользователя и заражать исполняемые файлы. В этом и заключается его основная опасность. Помимо прочего, его крайне сложно вывести с зараженного компьютера: лечение может занимать несколько часов.

Эта вредоносная программа получила наименование Trojan.Bolik.1. Ее важным отличием от других современных банковских троянцев, таких как Zeus и Carberp, является способность самостоятельно распространяться без участия пользователя и заражать исполняемые файлы. Такие вредоносные программы называют полиморфными файловыми вирусами.

Умение распространяться самостоятельно и инфицировать программы можно назвать наиболее опасным свойством этого банкера. Функция самораспространения активируется по команде злоумышленников, после чего Trojan.Bolik.1 начинает опрашивать доступные для записи папки в сетевом окружении Windows и на подключенных USB-устройствах, ищет хранящиеся там исполняемые файлы и заражает их. При этом Trojan.Bolik.1 может инфицировать как 32-, так и 64-разрядные приложения.

Зараженные этим вирусом программы детектируются Антивирусом Dr.Web под именем Win32.Bolik.1. Внутри каждой такой программы хранится в зашифрованном виде сам банковский троянец Trojan.Bolik.1, а также другая необходимая вирусу информация. Если пользователь запустит на своем компьютере инфицированное приложение, вирус расшифрует банковского троянца Trojan.Bolik.1 и запустит его прямо в памяти атакуемого компьютера, без сохранения на диск. При этом вирус имеет специальный встроенный механизм, позволяющий «на лету» изменять код и структуру собственной части, отвечающей за расшифровку Trojan.Bolik.1. Таким образом вирусописатели пытаются затруднить обнаружение своего детища антивирусными программами. Кроме того, Win32.Bolik.1 пытается противодействовать антивирусам, умеющим пошагово выполнять вредоносные программы в специальном эмуляторе, — в архитектуре этого вируса предусмотрены своеобразные «замедлители», состоящие из множества циклов и повторяющихся инструкций.

От Carberp Trojan.Bolik.1 унаследовал виртуальную файловую систему, которая хранится в специальном файле. Этот файл троянец размещает в одной из системных директорий или в папке пользователя. Виртуальная файловая система позволяет вредоносной программе скрыто хранить на зараженном компьютере нужную ей для работы информацию. У Zeus Trojan.Bolik.1 позаимствовал механизм встраивания в просматриваемые пользователями веб-страницы постороннего содержимого, то есть реализацию технологии веб-инжектов. С ее помощью злоумышленники похищают у своих жертв логины и пароли для доступа к системам «банк-клиент» и другую ценную информацию. Trojan.Bolik.1 ориентирован прежде всего на кражу информации у клиентов российских банков — об этом свидетельствуют характерные строчки в конфигурационном файле, передаваемом вирусу с управляющего сервера.

Основное назначение Trojan.Bolik.1 — кража различной ценной информации. Он может достичь этой цели разными способами. Например, контролировать данные, передаваемые и отправляемые браузерами Microsoft Internet Explorer, Chrome, Opera и Mozilla Firefox. Благодаря этому троянец способен похищать информацию, которую пользователь вводит в экранные формы. Кроме того, в шпионский арсенал банкера входит модуль для создания снимков экрана (скриншотов) и фиксации нажатий пользователем клавиш (кейлоггер). Также Trojan.Bolik.1 умеет создавать на зараженной машине собственный прокси-сервер и веб-сервер, позволяющий обмениваться файлами со злоумышленниками. Нужные файлы эта вредоносная программа может найти по заданной в специальной команде маске. Как и некоторые другие современные банковские троянцы, Trojan.Bolik.1 в состоянии организовывать так называемые «реверсные соединения» — с их помощью киберпреступники получают возможность «общаться» с зараженным компьютером, находящимся в защищенной брандмауэром сети или не имеющим внешнего IP-адреса, то есть работающим в сети с использованием NAT (Network Address Translation). Вся информация, которой Trojan.Bolik.1 обменивается с управляющим сервером, шифруется по сложному алгоритму и сжимается.

Функциональные возможности Trojan.Bolik.1 выглядят поистине пугающими, а его внутренняя архитектура довольно-таки сложна и неоднозначна. Антивирус Dr.Web детектирует и удаляет все компоненты этого опасного вируса, однако в связи с некоторыми особенностями внутреннего устройства Trojan.Bolik.1 лечение зараженного компьютера может занять длительное время. Пострадавшим от действия этой вредоносной программы пользователям рекомендуется набраться терпения в процессе антивирусного сканирования ПК.

Подробнее о вирусе

http://feedproxy.google.com/~r/drweb/viruses/~3/lB1v9wfSdJY/

26 мая 2016 года

Вирусные аналитики компании «Доктор Веб» постоянно фиксируют случаи распространения разнообразных банковских троянцев, которые предназначены для заражения мобильных устройств под управлением ОС Android. Не секрет, что киберпреступники очень часто стараются замаскировать такие вредоносные приложения под безобидные и полезные программы. Не стал исключением и банкер Android.BankBot.104.origin, которого вирусописатели преподносят потенциальным жертвам как ПО для взлома популярных мобильных игр, а также под видом программ для читерства.

В поле зрения предприимчивых киберпреступников, распространяющих банковских троянцев, попали любители мобильных игр, которые стремятся получить все и сразу, не заплатив ни копейки и не потратив на это никаких усилий. В частности, когда пользователи пытаются найти в популярных поисковых системах информацию о читах для облегчения прохождения игр – например, возможности получить бесконечное золото, кристаллы и другую игровую валюту, – либо просто хотят скачать взломанную версию любимого игрового приложения, в результатах поиска потенциальным жертвам демонстрируются ссылки на многочисленные мошеннические веб-сайты, специально созданные для любителей пресловутой «халявы».

Веб-порталы злоумышленников содержат информацию о более чем 1000 различных популярных игр, поэтому при поиске практически любой известной игры в первых строчках результатов поисковых систем пользователи непременно увидят предложение злоумышленников. Примечательно, что данные сайты имеют действительную цифровую подпись, в результате чего многие потенциальные жертвы могут посчитать их безопасными.

При попытке скачать с этих веб-порталов то или иное приложение владелец мобильного устройства перенаправляется на еще один мошеннический сайт, с которого под видом взломанных версий ПО или программ для читерства скачивается банковский троянец Android.BankBot.104.origin. Помимо этого вредоносного приложения, на смартфоны и планшеты могут также загружаться и другие троянцы, в частности, представители семейства банкеров Android.ZBot.

Распространяемый злоумышленниками троянец Android.BankBot.104.origin защищен специальным упаковщиком, который снижает вероятность обнаружения антивирусами и затрудняет анализ. Одна из последних его модификаций детектируется антивирусными продуктами Dr.Web для Android как Android.BankBot.72, однако вирусописатели постоянно создают новые перепакованные версии банкера, поэтому вредоносное приложение может обнаруживаться и под другими именами. Сам Android.BankBot.104.origin является обфусцированной версией банковского троянца Android.BankBot.80.origin – его код серьезно зашифрован, что также призвано осложнить анализ и обнаружение защитным ПО.

Android.BankBot.104.origin устанавливается на Android-смартфоны и планшеты как приложение с именем «HACK» и после запуска пытается получить доступ к функциям администратора устройства. Затем троянец удаляет свой значок из списка приложений на главном экране, скрываясь от пользователя.

Далее он приступает к непосредственному выполнению вредоносной деятельности. В частности, пытается определить, подключена ли у жертвы услуга мобильного банкинга, а также есть ли у нее какие-либо доступные денежные счета. Для этого вредоносное приложение отправляет СМС-сообщения со специальными командами на соответствующие номера банковских систем. Если Android.BankBot.104.origin обнаруживает деньги, он пытается незаметно перевести их на счета злоумышленников.

Кроме того, киберпреступники могут дистанционно управлять банкером. Так, по команде с управляющего сервера троянец способен включить переадресацию вызовов на заданный номер, скрывать от пользователя входящие СМС и перехватывать их содержимое, отправлять СМС-сообщения, выполнять USSD-запросы, а также некоторые другие действия.

Специалисты компании «Доктор Веб» рекомендуют геймерам не искать взломанные версии игр и приложений для ОС Android и не устанавливать сомнительные программы на мобильные устройства, поскольку попытка сэкономить небольшую сумму может обернуться потерей всех денег на банковских счетах. Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют известные модификации описанных троянцев, поэтому для наших пользователей они опасности не представляют.

Подробнее о троянце

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/ciGCmsP210M/

26 мая 2016 года

Вирусные аналитики компании «Доктор Веб» постоянно фиксируют случаи распространения разнообразных банковских троянцев, которые предназначены для заражения мобильных устройств под управлением ОС Android. Не секрет, что киберпреступники очень часто стараются замаскировать такие вредоносные приложения под безобидные и полезные программы. Не стал исключением и банкер Android.BankBot.104.origin, которого вирусописатели преподносят потенциальным жертвам как ПО для взлома популярных мобильных игр, а также под видом программ для читерства.

В поле зрения предприимчивых киберпреступников, распространяющих банковских троянцев, попали любители мобильных игр, которые стремятся получить все и сразу, не заплатив ни копейки и не потратив на это никаких усилий. В частности, когда пользователи пытаются найти в популярных поисковых системах информацию о читах для облегчения прохождения игр – например, возможности получить бесконечное золото, кристаллы и другую игровую валюту, – либо просто хотят скачать взломанную версию любимого игрового приложения, в результатах поиска потенциальным жертвам демонстрируются ссылки на многочисленные мошеннические веб-сайты, специально созданные для любителей пресловутой «халявы».

Веб-порталы злоумышленников содержат информацию о более чем 1000 различных популярных игр, поэтому при поиске практически любой известной игры в первых строчках результатов поисковых систем пользователи непременно увидят предложение злоумышленников. Примечательно, что данные сайты имеют действительную цифровую подпись, в результате чего многие потенциальные жертвы могут посчитать их безопасными.

При попытке скачать с этих веб-порталов то или иное приложение владелец мобильного устройства перенаправляется на еще один мошеннический сайт, с которого под видом взломанных версий ПО или программ для читерства скачивается банковский троянец Android.BankBot.104.origin. Помимо этого вредоносного приложения, на смартфоны и планшеты могут также загружаться и другие троянцы, в частности, представители семейства банкеров Android.ZBot.

Распространяемый злоумышленниками троянец Android.BankBot.104.origin защищен специальным упаковщиком, который снижает вероятность обнаружения антивирусами и затрудняет анализ. Одна из последних его модификаций детектируется антивирусными продуктами Dr.Web для Android как Android.BankBot.72, однако вирусописатели постоянно создают новые перепакованные версии банкера, поэтому вредоносное приложение может обнаруживаться и под другими именами. Сам Android.BankBot.104.origin является обфусцированной версией банковского троянца Android.BankBot.80.origin – его код серьезно зашифрован, что также призвано осложнить анализ и обнаружение защитным ПО.

Android.BankBot.104.origin устанавливается на Android-смартфоны и планшеты как приложение с именем «HACK» и после запуска пытается получить доступ к функциям администратора устройства. Затем троянец удаляет свой значок из списка приложений на главном экране, скрываясь от пользователя.

Далее он приступает к непосредственному выполнению вредоносной деятельности. В частности, пытается определить, подключена ли у жертвы услуга мобильного банкинга, а также есть ли у нее какие-либо доступные денежные счета. Для этого вредоносное приложение отправляет СМС-сообщения со специальными командами на соответствующие номера банковских систем. Если Android.BankBot.104.origin обнаруживает деньги, он пытается незаметно перевести их на счета злоумышленников.

Кроме того, киберпреступники могут дистанционно управлять банкером. Так, по команде с управляющего сервера троянец способен включить переадресацию вызовов на заданный номер, скрывать от пользователя входящие СМС и перехватывать их содержимое, отправлять СМС-сообщения, выполнять USSD-запросы, а также некоторые другие действия.

Специалисты компании «Доктор Веб» рекомендуют геймерам не искать взломанные версии игр и приложений для ОС Android и не устанавливать сомнительные программы на мобильные устройства, поскольку попытка сэкономить небольшую сумму может обернуться потерей всех денег на банковских счетах. Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют известные модификации описанных троянцев, поэтому для наших пользователей они опасности не представляют.

Подробнее о троянце

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/nOBz_ybsLgM/

25 мая 2016 года

Специалистам в области информационной безопасности известно несколько разновидностей вредоносных программ, использующих для получения несанкционированного доступа к зараженному компьютеру популярную утилиту удаленного администрирования TeamViewer. Новый троянец BackDoor.TeamViewer.49, обнаруженный вирусными аналитиками компании «Доктор Веб» и специалистами «Яндекс» в мае 2016 года, является исключением из этого правила, поскольку эксплуатирует данную программу с совсем иными целями.

Для распространения троянца BackDoor.TeamViewer.49 киберпреступники используют другую вредоносную программу — Trojan.MulDrop6.39120, которая реализована в виде поддельного обновления Adobe Flash Player. Исполняемый файл Trojan.MulDrop6.39120 действительно устанавливает плеер на работающий под управлением Windows компьютер, но при этом втайне от пользователя сохраняет на диск приложение TeamViewer, троянца BackDoor.TeamViewer.49 и необходимый для его работы конфигурационный файл. В процессе установки на экране демонстрируется окно настоящего инсталлятора Flash Player.

Обычно различные троянцы используют TeamViewer с целью организации несанкционированного доступа к зараженному компьютеру. Однако бэкдору BackDoor.TeamViewer.49 утилита TeamViewer нужна совсем по другой причине: он активно использует в своей работе различные внутренние функции процесса этой программы. Кроме того, при своем запуске TeamViewer автоматически помещает в память компьютера библиотеку avicap32.dll, чем и воспользовались злоумышленники: они поместили в папку, в которую Trojan.MulDrop6.39120 сохраняет это приложение, троянскую библиотеку с таким же именем. В момент запуска TeamViewer автоматически загружает ее в память.

После запуска программы TeamViewer BackDoor.TeamViewer.49 удаляет ее значок из области уведомлений Windows и отключает в системе функцию показа сообщений об ошибках. Также троянец использует специальный механизм, призванный исключить его повторный запуск на зараженном компьютере. Необходимые для работы BackDoor.TeamViewer.49 параметры хранятся в зашифрованном конфигурационном файле.

BackDoor.TeamViewer.49 регистрирует себя в автозагрузке, а затем в непрерывном цикле, но с определенными интервалами, устанавливает атрибуты «системный» и «скрытый» для своей папки, где хранятся сам исполняемый файл, вредоносная библиотека и файл конфигурации. Если в какой-то момент времени установить эти атрибуты не удалось, вредоносная программа приступает к процедуре удаления из системного реестра всех ключей, относящихся к программе TeamViewer.

В теле троянца хранится еще одна зашифрованная библиотека, реализующая вредоносные функции BackDoor.TeamViewer.49. В ней содержится специальным образом сформированный массив с именами управляющих серверов, от которых троянец может получать различные команды. Вся информация, которой бэкдор обменивается с управляющим сервером, шифруется.

Троянец способен выполнять несколько управляющих директив, однако две основные из них — это команды на установку соединения с указанным удаленным узлом (включая возможность авторизации на нем) и на перенаправление трафика от управляющего сервера на заданный удаленный узел через инфицированный компьютер. Это позволяет злоумышленникам обеспечить собственную анонимность в Интернете, соединяясь с удаленными узлами через зараженный компьютер как через обычный прокси-сервер.

Вредоносные программы Trojan.MulDrop6.39120 и BackDoor.TeamViewer.49 распознаются и удаляются Антивирусом Dr.Web, поэтому не представляют опасности для наших пользователей.

«Доктор Веб» выражает благодарность компании «Яндекс» за предоставленный для исследований образец троянца.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/Vgq7Ce-v1DY/

25 мая 2016 года

Специалистам в области информационной безопасности известно несколько разновидностей вредоносных программ, использующих для получения несанкционированного доступа к зараженному компьютеру популярную утилиту удаленного администрирования TeamViewer. Новый троянец BackDoor.TeamViewer.49, обнаруженный вирусными аналитиками компании «Доктор Веб» в мае 2016 года, является исключением из этого правила, поскольку эксплуатирует данную программу с совсем иными целями.

Для распространения троянца BackDoor.TeamViewer.49 киберпреступники используют другую вредоносную программу — Trojan.MulDrop6.39120, которая реализована в виде поддельного обновления Adobe Flash Player. Исполняемый файл Trojan.MulDrop6.39120 действительно устанавливает плеер на работающий под управлением Windows компьютер, но при этом втайне от пользователя сохраняет на диск приложение TeamViewer, троянца BackDoor.TeamViewer.49 и необходимый для его работы конфигурационный файл. В процессе установки на экране демонстрируется окно настоящего инсталлятора Flash Player.

Обычно различные троянцы используют TeamViewer с целью организации несанкционированного доступа к зараженному компьютеру. Однако бэкдору BackDoor.TeamViewer.49 утилита TeamViewer нужна совсем по другой причине: он активно использует в своей работе различные внутренние функции процесса этой программы. Кроме того, при своем запуске TeamViewer автоматически помещает в память компьютера библиотеку avicap32.dll, чем и воспользовались злоумышленники: они поместили в папку, в которую Trojan.MulDrop6.39120 сохраняет это приложение, троянскую библиотеку с таким же именем. В момент запуска TeamViewer автоматически загружает ее в память.

После запуска программы TeamViewer BackDoor.TeamViewer.49 удаляет ее значок из области уведомлений Windows и отключает в системе функцию показа сообщений об ошибках. Также троянец использует специальный механизм, призванный исключить его повторный запуск на зараженном компьютере. Необходимые для работы BackDoor.TeamViewer.49 параметры хранятся в зашифрованном конфигурационном файле.

BackDoor.TeamViewer.49 регистрирует себя в автозагрузке, а затем в непрерывном цикле, но с определенными интервалами, устанавливает атрибуты «системный» и «скрытый» для своей папки, где хранятся сам исполняемый файл, вредоносная библиотека и файл конфигурации. Если в какой-то момент времени установить эти атрибуты не удалось, вредоносная программа приступает к процедуре удаления из системного реестра всех ключей, относящихся к программе TeamViewer.

В теле троянца хранится еще одна зашифрованная библиотека, реализующая вредоносные функции BackDoor.TeamViewer.49. В ней содержится специальным образом сформированный массив с именами управляющих серверов, от которых троянец может получать различные команды. Вся информация, которой бэкдор обменивается с управляющим сервером, шифруется.

Троянец способен выполнять несколько управляющих директив, однако две основные из них — это команды на установку соединения с указанным удаленным узлом (включая возможность авторизации на нем) и на перенаправление трафика от управляющего сервера на заданный удаленный узел через инфицированный компьютер. Это позволяет злоумышленникам обеспечить собственную анонимность в Интернете, соединяясь с удаленными узлами через зараженный компьютер как через обычный прокси-сервер.

Вредоносные программы Trojan.MulDrop6.39120 и BackDoor.TeamViewer.49 распознаются и удаляются Антивирусом Dr.Web, поэтому не представляют опасности для наших пользователей.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/-HyokS6UMCg/

25 мая 2016 года

Специалистам в области информационной безопасности известно несколько разновидностей вредоносных программ, использующих для получения несанкционированного доступа к зараженному компьютеру популярную утилиту удаленного администрирования TeamViewer. Новый троянец BackDoor.TeamViewer.49, обнаруженный вирусными аналитиками компании «Доктор Веб» и специалистами «Яндекс» в мае 2016 года, является исключением из этого правила, поскольку эксплуатирует данную программу с совсем иными целями.

Для распространения троянца BackDoor.TeamViewer.49 киберпреступники используют другую вредоносную программу — Trojan.MulDrop6.39120, которая реализована в виде поддельного обновления Adobe Flash Player. Исполняемый файл Trojan.MulDrop6.39120 действительно устанавливает плеер на работающий под управлением Windows компьютер, но при этом втайне от пользователя сохраняет на диск приложение TeamViewer, троянца BackDoor.TeamViewer.49 и необходимый для его работы конфигурационный файл. В процессе установки на экране демонстрируется окно настоящего инсталлятора Flash Player.

Обычно различные троянцы используют TeamViewer с целью организации несанкционированного доступа к зараженному компьютеру. Однако бэкдору BackDoor.TeamViewer.49 утилита TeamViewer нужна совсем по другой причине: он активно использует в своей работе различные внутренние функции процесса этой программы. Кроме того, при своем запуске TeamViewer автоматически помещает в память компьютера библиотеку avicap32.dll, чем и воспользовались злоумышленники: они поместили в папку, в которую Trojan.MulDrop6.39120 сохраняет это приложение, троянскую библиотеку с таким же именем. В момент запуска TeamViewer автоматически загружает ее в память.

После запуска программы TeamViewer BackDoor.TeamViewer.49 удаляет ее значок из области уведомлений Windows и отключает в системе функцию показа сообщений об ошибках. Также троянец использует специальный механизм, призванный исключить его повторный запуск на зараженном компьютере. Необходимые для работы BackDoor.TeamViewer.49 параметры хранятся в зашифрованном конфигурационном файле.

BackDoor.TeamViewer.49 регистрирует себя в автозагрузке, а затем в непрерывном цикле, но с определенными интервалами, устанавливает атрибуты «системный» и «скрытый» для своей папки, где хранятся сам исполняемый файл, вредоносная библиотека и файл конфигурации. Если в какой-то момент времени установить эти атрибуты не удалось, вредоносная программа приступает к процедуре удаления из системного реестра всех ключей, относящихся к программе TeamViewer.

В теле троянца хранится еще одна зашифрованная библиотека, реализующая вредоносные функции BackDoor.TeamViewer.49. В ней содержится специальным образом сформированный массив с именами управляющих серверов, от которых троянец может получать различные команды. Вся информация, которой бэкдор обменивается с управляющим сервером, шифруется.

Троянец способен выполнять несколько управляющих директив, однако две основные из них — это команды на установку соединения с указанным удаленным узлом (включая возможность авторизации на нем) и на перенаправление трафика от управляющего сервера на заданный удаленный узел через инфицированный компьютер. Это позволяет злоумышленникам обеспечить собственную анонимность в Интернете, соединяясь с удаленными узлами через зараженный компьютер как через обычный прокси-сервер.

Вредоносные программы Trojan.MulDrop6.39120 и BackDoor.TeamViewer.49 распознаются и удаляются Антивирусом Dr.Web, поэтому не представляют опасности для наших пользователей.

«Доктор Веб» выражает благодарность компании «Яндекс» за предоставленный для исследований образец троянца.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/-HyokS6UMCg/

12 мая 2016 года

В настоящее время существуют сотни различных представителей банковских троянцев для ОС Android, и один из них – Android.SmsSpy.88.origin, известный вирусным аналитикам компании «Доктор Веб» еще с 2014 года. Несмотря на свой возраст эта вредоносная программа нисколько не утратила актуальности, поскольку вирусописатели усовершенствовали ее функционал, сделав банкера более опасным и добавив функции троянца-вымогателя. Банковские троянцы, заражающие мобильные устройства под управлением ОС Android, представляют собой одну из главных угроз для пользователей, поскольку способны украсть все деньги со счетов своих жертв. О «высотах», которых сумел достичь Android.SmsSpy.88.origin, мы расскажем в этом материале.

Первые версии вредоносной программы Android.SmsSpy.88.origin, об одной из которых компания «Доктор Веб» впервые сообщила в апреле 2014 года, были довольно примитивными. Изначально злоумышленники использовали этого троянца для перехвата СМС-сообщений с одноразовыми банковскими паролями, а также для незаметной отправки СМС и выполнения телефонных звонков. Позднее вирусописатели несколько усовершенствовали возможности Android.SmsSpy.88.origin, добавив в него функционал для кражи информации о кредитных картах. В частности, при запуске программы Google Play, а также нескольких приложений типа «банк-клиент» известных российских банков троянец показывал поверх их окон поддельную форму ввода конфиденциальных данных и после получения сведений о кредитной карте отправлял их киберпреступникам.

Примечательно, что все ранние модификации троянца атаковали только пользователей из России и ряда стран СНГ, при этом распространялся Android.SmsSpy.88.origin благодаря СМС-спаму. В частности, потенциальным жертвам могли приходить сообщения, в которых предлагалось перейти по указанной ссылке и ознакомиться с ответом на размещенное в Интернете объявление. В действительности же эти ссылки вели на мошеннические веб-сайты, при посещении которых на Android-устройства загружалось вредоносное приложение, замаскированное под безобидную программу.

Позднее число атак с использованием этого банкера значительно сократилось, однако с конца 2015 года вирусные аналитики «Доктор Веб» начали фиксировать распространение новых, более функциональных версий троянца, которые в отличие от ранних модификаций предназначались для заражения Android-смартфонов и планшетов уже по всему миру.

Как и прежде, это вредоносное приложение попадает на мобильные устройства под видом безобидных программ, например, проигрывателя Adobe Flash Player. После запуска Android.SmsSpy.88.origin запрашивает у пользователя доступ к правам администратора мобильного устройства, чтобы в дальнейшем затруднить свое удаление из зараженной системы.

Далее троянец подключается к сети и поддерживает соединение в активном состоянии, используя для этого Wi-Fi или канал передачи данных мобильного оператора. Таким образом вредоносное приложение пытается обеспечить постоянную связь с управляющим сервером, чтобы избежать каких-либо перебоев в работе. Затем банкер формирует для зараженного устройства уникальный идентификатор, который вместе с другой технической информацией передается на сервер злоумышленников, где происходит регистрация инфицированного смартфона или планшета.

Основная задача новых модификаций Android.SmsSpy.88.origin осталась неизменной: троянец пытается похитить логины и пароли от учетных записей мобильного банкинга и передает их киберпреступникам, а также может незаметно украсть деньги со счетов пользователей. Для этого банкер отслеживает запуск приложений типа «банк-клиент», список которых хранится в конфигурационном файле. Число контролируемых приложений в различных модификациях троянца может незначительно различаться, однако общее их количество, которое установили вирусные аналитики «Доктор Веб», на данный момент приближается к 100.

После того как владелец устройства запускает одно из атакуемых приложений, Android.SmsSpy.88.origin при помощи компонента WebView показывает поверх его окна фишинговую форму ввода аутентификационных данных для доступа к учетной записи мобильного банкинга. Как только пользователь предоставляет троянцу нужную информацию, она незаметно передается злоумышленникам, и те получают полный контроль над всеми счетами жертвы.

Одна из главных особенностей Android.SmsSpy.88.origin заключается в том, что с использованием этого троянца киберпреступники могут атаковать клиентов фактически любого банка. Для этого им необходимо лишь создать новый шаблон мошеннической формы аутентификации и отдать вредоносному приложению команду на обновление конфигурационного файла, в котором будет указано название банковского клиентского ПО соответствующей кредитной организации.

Помимо кражи логинов и паролей для доступа к банковским учетным записям новая версия троянца по-прежнему пытается похитить у пользователей информацию и об их кредитных картах. Для этого Android.SmsSpy.88.origin отслеживает запуск целого ряда популярных приложений, а также некоторых системных программ, и после того как это ПО начинает работу, показывает поверх его окна фишинговую форму настроек платежного сервиса Google Play.

Однако троянец способен выполнять и другие вредоносные действия. В частности, по команде киберпреступников Android.SmsSpy.88.origin может перехватывать и отсылать СМС- и MMS-сообщения, отправлять USSD-запросы, рассылать СМС по всем номерам из телефонной книги, передавать на сервер все имеющиеся сообщения, установить пароль на разблокировку экрана или заблокировать экран специально сформированным окном. Так, получив команду на блокировку, троянец загружает с управляющего сервера заранее подготовленный шаблон окна с текстом, в котором жертву обвиняют в незаконном хранении и распространении порнографии и требуют в качестве штрафа оплатить подарочную карту музыкального сервиса iTunes.

Таким образом, Android.SmsSpy.88.origin несет в себе не только возможности банковского троянца и реализует шпионские функции, но также может использоваться злоумышленниками и в качестве троянца-вымогателя, давая вирусописателям шанс получить больше незаконной прибыли.

Ко всему прочему обновленный Android.SmsSpy.88.origin обладает и функцией самозащиты: вредоносное приложение пытается помешать работе целого ряда антивирусных программ и сервисных утилит, не позволяя им запуститься.

С начала 2016 года специалисты компании «Доктор Веб» получили доступ к более чем 50 бот-сетям, которые состояли из мобильных устройств, зараженных различными модификациями Android.SmsSpy.88.origin. В результате проведенного исследования вирусные аналитики установили, что киберпреступники атаковали пользователей более 200 стран, а общее подтвержденное число инфицированных устройств достигло почти 40 000.

Наибольшее число устройств, зараженных троянцем, пришлось на Турцию (18,29%), Индию (8,81%), Испанию (6,90%), Австралию (6,87%), Германию (5,77%), Францию (3,34%), США (2,95%), Филиппины (2,70%), Индонезию (2,22%), Италию (1,99%), ЮАР (1,59%), Великобританию (1,53%), Пакистан (1,51%), Польшу (1,1%), Иран (0,98%), Саудовскую Аравию (0,96%), Китай (0,92%), а также Бангладеш (0,85%).

При этом наибольшее число мобильных устройств, зараженных Android.SmsSpy.88.origin, работало на ОС Android версии 4.4 (35,71%), 5.1 (14,46%), 5.0 (14,10%), 4.2 (13,00%) и 4.1 (9,88%).

Обширная география распространения Android.SmsSpy.88.origin объясняется тем, что создавшие троянца вирусописатели рекламируют его на различных подпольных хакерских форумах, продавая как коммерческий продукт. При этом в комплекте с самой вредоносной программой злоумышленники – покупатели незаконной услуги получают и серверную часть вместе с панелью администрирования, при помощи которой могут управлять зараженными устройствами.

Чтобы обезопасить себя от подобных банковских троянцев, воспользуйтесь рядом простых рекомендаций от специалистов компании «Доктор Веб»:

• по возможности применяйте отдельное мобильное устройство для работы с банковскими услугами;
• установите лимит вывода денег с банковского счета с использованием мобильного банкинга;
• не переходите по ссылкам, пришедшим в подозрительных СМС-сообщениях;
• не устанавливайте приложения, полученные из ненадежных источников;
• используйте антивирусную программу.

Антивирусные продукты Dr.Web для Android успешно детектируют все известные модификации троянца Android.SmsSpy.88.origin, поэтому для наших пользователей он угрозы не представляет.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/UZanOefya9w/

12 мая 2016 года

В настоящее время существуют сотни различных представителей банковских троянцев для ОС Android, и один из них – Android.SmsSpy.88.origin, известный вирусным аналитикам компании «Доктор Веб» еще с 2014 года. Несмотря на свой возраст эта вредоносная программа нисколько не утратила актуальности, поскольку вирусописатели усовершенствовали ее функционал, сделав банкера более опасным и добавив функции троянца-вымогателя. Банковские троянцы, заражающие мобильные устройства под управлением ОС Android, представляют собой одну из главных угроз для пользователей, поскольку способны украсть все деньги со счетов своих жертв. О «высотах», которых сумел достичь Android.SmsSpy.88.origin, мы расскажем в этом материале.

Первые версии вредоносной программы Android.SmsSpy.88.origin, об одной из которых компания «Доктор Веб» впервые сообщила в апреле 2014 года, были довольно примитивными. Изначально злоумышленники использовали этого троянца для перехвата СМС-сообщений с одноразовыми банковскими паролями, а также для незаметной отправки СМС и выполнения телефонных звонков. Позднее вирусописатели несколько усовершенствовали возможности Android.SmsSpy.88.origin, добавив в него функционал для кражи информации о кредитных картах. В частности, при запуске программы Google Play, а также нескольких приложений типа «банк-клиент» известных российских банков троянец показывал поверх их окон поддельную форму ввода конфиденциальных данных и после получения сведений о кредитной карте отправлял их киберпреступникам.

Примечательно, что все ранние модификации троянца атаковали только пользователей из России и ряда стран СНГ, при этом распространялся Android.SmsSpy.88.origin благодаря СМС-спаму. В частности, потенциальным жертвам могли приходить сообщения, в которых предлагалось перейти по указанной ссылке и ознакомиться с ответом на размещенное в Интернете объявление. В действительности же эти ссылки вели на мошеннические веб-сайты, при посещении которых на Android-устройства загружалось вредоносное приложение, замаскированное под безобидную программу.

Позднее число атак с использованием этого банкера значительно сократилось, однако с конца 2015 года вирусные аналитики «Доктор Веб» начали фиксировать распространение новых, более функциональных версий троянца, которые в отличие от ранних модификаций предназначались для заражения Android-смартфонов и планшетов уже по всему миру.

Как и прежде, это вредоносное приложение попадает на мобильные устройства под видом безобидных программ, например, проигрывателя Adobe Flash Player. После запуска Android.SmsSpy.88.origin запрашивает у пользователя доступ к правам администратора мобильного устройства, чтобы в дальнейшем затруднить свое удаление из зараженной системы.

Далее троянец подключается к сети и поддерживает соединение в активном состоянии, используя для этого Wi-Fi или канал передачи данных мобильного оператора. Таким образом вредоносное приложение пытается обеспечить постоянную связь с управляющим сервером, чтобы избежать каких-либо перебоев в работе. Затем банкер формирует для зараженного устройства уникальный идентификатор, который вместе с другой технической информацией передается на сервер злоумышленников, где происходит регистрация инфицированного смартфона или планшета.

Основная задача новых модификаций Android.SmsSpy.88.origin осталась неизменной: троянец пытается похитить логины и пароли от учетных записей мобильного банкинга и передает их киберпреступникам, а также может незаметно украсть деньги со счетов пользователей. Для этого банкер отслеживает запуск приложений типа «банк-клиент», список которых хранится в конфигурационном файле. Число контролируемых приложений в различных модификациях троянца может незначительно различаться, однако общее их количество, которое установили вирусные аналитики «Доктор Веб», на данный момент приближается к 100.

После того как владелец устройства запускает одно из атакуемых приложений, Android.SmsSpy.88.origin при помощи компонента WebView показывает поверх его окна фишинговую форму ввода аутентификационных данных для доступа к учетной записи мобильного банкинга. Как только пользователь предоставляет троянцу нужную информацию, она незаметно передается злоумышленникам, и те получают полный контроль над всеми счетами жертвы.

Одна из главных особенностей Android.SmsSpy.88.origin заключается в том, что с использованием этого троянца киберпреступники могут атаковать клиентов фактически любого банка. Для этого им необходимо лишь создать новый шаблон мошеннической формы аутентификации и отдать вредоносному приложению команду на обновление конфигурационного файла, в котором будет указано название банковского клиентского ПО соответствующей кредитной организации.

Помимо кражи логинов и паролей для доступа к банковским учетным записям новая версия троянца по-прежнему пытается похитить у пользователей информацию и об их кредитных картах. Для этого Android.SmsSpy.88.origin отслеживает запуск целого ряда популярных приложений, а также некоторых системных программ, и после того как это ПО начинает работу, показывает поверх его окна фишинговую форму настроек платежного сервиса Google Play.

Однако троянец способен выполнять и другие вредоносные действия. В частности, по команде киберпреступников Android.SmsSpy.88.origin может перехватывать и отсылать СМС- и MMS-сообщения, отправлять USSD-запросы, рассылать СМС по всем номерам из телефонной книги, передавать на сервер все имеющиеся сообщения, установить пароль на разблокировку экрана или заблокировать экран специально сформированным окном. Так, получив команду на блокировку, троянец загружает с управляющего сервера заранее подготовленный шаблон окна с текстом, в котором жертву обвиняют в незаконном хранении и распространении порнографии и требуют в качестве штрафа оплатить подарочную карту музыкального сервиса iTunes.

Таким образом, Android.SmsSpy.88.origin несет в себе не только возможности банковского троянца и реализует шпионские функции, но также может использоваться злоумышленниками и в качестве троянца-вымогателя, давая вирусописателям шанс получить больше незаконной прибыли.

Ко всему прочему обновленный Android.SmsSpy.88.origin обладает и функцией самозащиты: вредоносное приложение пытается помешать работе целого ряда антивирусных программ и сервисных утилит, не позволяя им запуститься.

С начала 2016 года специалисты компании «Доктор Веб» получили доступ к более чем 50 бот-сетям, которые состояли из мобильных устройств, зараженных различными модификациями Android.SmsSpy.88.origin. В результате проведенного исследования вирусные аналитики установили, что киберпреступники атаковали пользователей более 200 стран, а общее подтвержденное число инфицированных устройств достигло почти 40 000.

Наибольшее число устройств, зараженных троянцем, пришлось на Турцию (18,29%), Индию (8,81%), Испанию (6,90%), Австралию (6,87%), Германию (5,77%), Францию (3,34%), США (2,95%), Филиппины (2,70%), Индонезию (2,22%), Италию (1,99%), ЮАР (1,59%), Великобританию (1,53%), Пакистан (1,51%), Польшу (1,1%), Иран (0,98%), Саудовскую Аравию (0,96%), Китай (0,92%), а также Бангладеш (0,85%).

При этом наибольшее число мобильных устройств, зараженных Android.SmsSpy.88.origin, работало на ОС Android версии 4.4 (35,71%), 5.1 (14,46%), 5.0 (14,10%), 4.2 (13,00%) и 4.1 (9,88%).

Обширная география распространения Android.SmsSpy.88.origin объясняется тем, что создавшие троянца вирусописатели рекламируют его на различных подпольных хакерских форумах, продавая как коммерческий продукт. При этом в комплекте с самой вредоносной программой злоумышленники – покупатели незаконной услуги получают и серверную часть вместе с панелью администрирования, при помощи которой могут управлять зараженными устройствами.

Чтобы обезопасить себя от подобных банковских троянцев, воспользуйтесь рядом простых рекомендаций от специалистов компании «Доктор Веб»:

• по возможности применяйте отдельное мобильное устройство для работы с банковскими услугами;
• установите лимит вывода денег с банковского счета с использованием мобильного банкинга;
• не переходите по ссылкам, пришедшим в подозрительных СМС-сообщениях;
• не устанавливайте приложения, полученные из ненадежных источников;
• используйте антивирусную программу.

Антивирусные продукты Dr.Web для Android успешно детектируют все известные модификации троянца Android.SmsSpy.88.origin, поэтому для наших пользователей он угрозы не представляет.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/45VloVuwV0U/

6 мая 2016 года

Бэкдорами называют разновидность троянцев, способных выполнять на инфицированном компьютере команды злоумышленников. Как правило, бэкдоры используются для установки удаленного контроля над зараженной машиной и хищения различной конфиденциальной информации. Одним из представителей этого класса вредоносных программ стал обнаруженный специалистами компании «Доктор Веб» троянец, предназначенный для кражи документов и шпионажа.

Угрожающий пользователям Microsoft Windows троянец BackDoor.Apper.1 распространяется с помощью дроппера, который представляет собой документ Microsoft Excel, содержащий специальный макрос. Этот макрос собирает по байтам и запускает самораспаковывающийся архив. Архив, в свою очередь, содержит исполняемый файл, имеющий действительную цифровую подпись компании Symantec, и динамическую библиотеку, в которой сосредоточен основной функционал бэкдора. Троянец регистрирует в автозагрузке исполняемый файл, который после своего запуска загружает в память атакуемого компьютера вредоносную библиотеку.

Основное предназначение BackDoor.Apper.1 — кража с инфицированного компьютера различных документов. Зарегистрировав собственное приложение в автозагрузке, троянец удаляет исходный файл.

После успешного запуска BackDoor.Apper.1 действует в качестве кейлоггера: фиксирует нажатия клавиш и записывает их в специальный зашифрованный файл. Еще одна функция троянца — мониторинг файловой системы. Если на диске компьютера имеется конфигурационный файл, содержащий пути к папкам, состояние которых троянец должен отслеживать, BackDoor.Apper.1 будет фиксировать все изменения в этих папках и передавать эту информацию на управляющий сервер.

Перед установкой связи с командным сервером бэкдор собирает данные о зараженном компьютере: его имя, версию операционной системы, сведения о процессоре, оперативной памяти и дисках, после чего отсылает полученные сведения злоумышленникам. Затем троянец добывает более подробную информацию о дисковых накопителях, которая также передается на управляющий сервер вместе с файлом журнала кейлоггера. Вслед за этим BackDoor.Apper.1 переходит в режим ожидания команд.

Для получения директивы троянец отправляет на управляющий сервер специальный запрос. Среди прочего бэкдор может по команде отправить злоумышленникам сведения о содержимом заданной папки или указанный киберпреступниками файл, удалить или переименовать какой-либо файловый объект, создать на зараженном компьютере новую папку, а также сделать снимок экрана и отправить его на принадлежащий киберпреступникам сервер.

Антивирус Dr.Web детектирует и удаляет данного троянца, поэтому он не представляет опасности для наших пользователей.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/XnOK0JMWgcU/

6 мая 2016 года

Бэкдорами называют разновидность троянцев, способных выполнять на инфицированном компьютере команды злоумышленников. Как правило, бэкдоры используются для установки удаленного контроля над зараженной машиной и хищения различной конфиденциальной информации. Одним из представителей этого класса вредоносных программ стал обнаруженный специалистами компании «Доктор Веб» троянец, предназначенный для кражи документов и шпионажа.

Угрожающий пользователям Microsoft Windows троянец BackDoor.Apper.1 распространяется с помощью дроппера, который представляет собой документ Microsoft Excel, содержащий специальный макрос. Этот макрос собирает по байтам и запускает самораспаковывающийся архив. Архив, в свою очередь, содержит исполняемый файл, имеющий действительную цифровую подпись компании Symantec, и динамическую библиотеку, в которой сосредоточен основной функционал бэкдора. Троянец регистрирует в автозагрузке исполняемый файл, который после своего запуска загружает в память атакуемого компьютера вредоносную библиотеку.

Основное предназначение BackDoor.Apper.1 — кража с инфицированного компьютера различных документов. Зарегистрировав собственное приложение в автозагрузке, троянец удаляет исходный файл.

После успешного запуска BackDoor.Apper.1 действует в качестве кейлоггера: фиксирует нажатия клавиш и записывает их в специальный зашифрованный файл. Еще одна функция троянца — мониторинг файловой системы. Если на диске компьютера имеется конфигурационный файл, содержащий пути к папкам, состояние которых троянец должен отслеживать, BackDoor.Apper.1 будет фиксировать все изменения в этих папках и передавать эту информацию на управляющий сервер.

Перед установкой связи с командным сервером бэкдор собирает данные о зараженном компьютере: его имя, версию операционной системы, сведения о процессоре, оперативной памяти и дисках, после чего отсылает полученные сведения злоумышленникам. Затем троянец добывает более подробную информацию о дисковых накопителях, которая также передается на управляющий сервер вместе с файлом журнала кейлоггера. Вслед за этим BackDoor.Apper.1 переходит в режим ожидания команд.

Для получения директивы троянец отправляет на управляющий сервер специальный запрос. Среди прочего бэкдор может по команде отправить злоумышленникам сведения о содержимом заданной папки или указанный киберпреступниками файл, удалить или переименовать какой-либо файловый объект, создать на зараженном компьютере новую папку, а также сделать снимок экрана и отправить его на принадлежащий киберпреступникам сервер.

Антивирус Dr.Web детектирует и удаляет данного троянца, поэтому он не представляет опасности для наших пользователей.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/MVfZwXaiZbk/

29 апреля 2016 года

В апреле наибольшую активность среди нежелательных и вредоносных приложений вновь проявили всевозможные агрессивные рекламные модули – за последний месяц на мобильных устройствах они выявлялись чаще всего. Кроме того, в апреле вирусные аналитики компании «Доктор Веб» обнаружили новую вредоносную программу, предназначенную для автоматической установки различного ПО, а в каталоге Google Play выявили более 190 приложений, в которых скрывался троянец.

«Мобильная» угроза месяца

В апреле специалисты «Доктор Веб» обнаружили в каталоге Google Play очередного троянца. Эта вредоносная программа, получившая имя Android.Click.95, скрывалась в более чем 190 приложениях, которые распространяли как минимум 6 разработчиков. Общее число загрузок этих приложений превысило 140 000.

Android.Click.95 проверяет, установлено ли на зараженном мобильном устройстве то или иное приложение, указанное в настройках троянца. В зависимости от результата вредоносная программа открывает в веб-браузере мошеннический сайт с тревожным сообщением, в котором пользователю предлагается установить то или иное ПО, чтобы решить возникшую «проблему». Этот веб-сайт демонстрируется жертве каждые 2 минуты, в результате чего с мобильным устройством фактически становится невозможно работать. Если пользователь соглашается на установку, он перенаправляется на соответствующую рекламируемому приложению страницу в каталоге Google Play. Подробнее об этом случае рассказано в публикации на нашем сайте.

По данным антивирусных продуктов Dr.Web для Android

• Adware.WalkFree.1.origin
• Adware.WalkFree.2.origin
• Adware.AdMogo.2.origin
• Adware.Leadbolt.12.origin
• Adware.Airpush.31.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянцы-загрузчики

Использование вредоносных Android-приложений, скачивающих и устанавливающих на мобильные устройства всевозможное ПО для увеличения его популярности, в настоящее время становится все более распространенным источником незаконного заработка вирусописателей. В апреле специалисты компании «Доктор Веб» выявили очередного такого троянца-загрузчика, получившего имя Android.GPLoader.1.origin. Эта вредоносная программа попадает в систему вместе с троянцем Android.GPLoader.2.origin, представляющим собой проигрыватель видеороликов категории «для взрослых». При запуске он сообщает о необходимости установить некий мультимедийный кодек, который на самом деле является вредоносным приложением Android.GPLoader.1.origin.

После запуска Android.GPLoader.1.origin запрашивает у владельца мобильного устройства доступ к специальным возможностям операционной системы (Accessibility Service), которые троянец будет использовать для эмуляции пользовательских нажатий на экран. Затем вредоносная программа соединяется с управляющим сервером и получает от него список программ, которые требуется установить. Как только устройство переходит в ждущий режим и его дисплей выключается, Android.GPLoader.1.origin открывает в приложении Google Play разделы с заданным ПО и автоматически устанавливает соответствующие программы в систему, искусственно увеличивая их популярность.

Вредоносные и нежелательные программы, которые показывают рекламу и без спроса устанавливают приложения, становятся все более распространенными. Чтобы снизить вероятность заражения мобильных устройств таким ПО и избежать негативных последствий, специалисты компании «Доктор Веб» советуют пользователям не скачивать и не устанавливать сомнительные приложения, а также рекомендуют защищать смартфоны и планшеты антивирусом.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/HObe-JEuTX0/

29 апреля 2016 года

В апреле наибольшую активность среди нежелательных и вредоносных приложений вновь проявили всевозможные агрессивные рекламные модули – за последний месяц на мобильных устройствах они выявлялись чаще всего. Кроме того, в апреле вирусные аналитики компании «Доктор Веб» обнаружили новую вредоносную программу, предназначенную для автоматической установки различного ПО, а в каталоге Google Play выявили более 190 приложений, в которых скрывался троянец.

«Мобильная» угроза месяца

В апреле специалисты «Доктор Веб» обнаружили в каталоге Google Play очередного троянца. Эта вредоносная программа, получившая имя Android.Click.95, скрывалась в более чем 190 приложениях, которые распространяли как минимум 6 разработчиков. Общее число загрузок этих приложений превысило 140 000.

Android.Click.95 проверяет, установлено ли на зараженном мобильном устройстве то или иное приложение, указанное в настройках троянца. В зависимости от результата вредоносная программа открывает в веб-браузере мошеннический сайт с тревожным сообщением, в котором пользователю предлагается установить то или иное ПО, чтобы решить возникшую «проблему». Этот веб-сайт демонстрируется жертве каждые 2 минуты, в результате чего с мобильным устройством фактически становится невозможно работать. Если пользователь соглашается на установку, он перенаправляется на соответствующую рекламируемому приложению страницу в каталоге Google Play. Подробнее об этом случае рассказано в публикации на нашем сайте.

По данным антивирусных продуктов Dr.Web для Android

• Adware.WalkFree.1.origin
• Adware.WalkFree.2.origin
• Adware.AdMogo.2.origin
• Adware.Leadbolt.12.origin
• Adware.Airpush.31.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянцы-загрузчики

Использование вредоносных Android-приложений, скачивающих и устанавливающих на мобильные устройства всевозможное ПО для увеличения его популярности, в настоящее время становится все более распространенным источником незаконного заработка вирусописателей. В апреле специалисты компании «Доктор Веб» выявили очередного такого троянца-загрузчика, получившего имя Android.GPLoader.1.origin. Эта вредоносная программа попадает в систему вместе с троянцем Android.GPLoader.2.origin, представляющим собой проигрыватель видеороликов категории «для взрослых». При запуске он сообщает о необходимости установить некий мультимедийный кодек, который на самом деле является вредоносным приложением Android.GPLoader.1.origin.

После запуска Android.GPLoader.1.origin запрашивает у владельца мобильного устройства доступ к специальным возможностям операционной системы (Accessibility Service), которые троянец будет использовать для эмуляции пользовательских нажатий на экран. Затем вредоносная программа соединяется с управляющим сервером и получает от него список программ, которые требуется установить. Как только устройство переходит в ждущий режим и его дисплей выключается, Android.GPLoader.1.origin открывает в приложении Google Play разделы с заданным ПО и автоматически устанавливает соответствующие программы в систему, искусственно увеличивая их популярность.

Вредоносные и нежелательные программы, которые показывают рекламу и без спроса устанавливают приложения, становятся все более распространенными. Чтобы снизить вероятность заражения мобильных устройств таким ПО и избежать негативных последствий, специалисты компании «Доктор Веб» советуют пользователям не скачивать и не устанавливать сомнительные приложения, а также рекомендуют защищать смартфоны и планшеты антивирусом.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/Uqhh16IpoT8/

29 апреля 2016 года

Каталог цифрового контента Google Play считается самым надежным источником ПО для смартфонов и планшетов под управлением ОС Android, однако в нем время от времени все же обнаруживаются всевозможные вредоносные программы. Недавно специалисты компании «Доктор Веб» выявили в этом каталоге более 190 приложений, в которых находится троянец Android.Click.95, пугающий пользователей наличием проблем на мобильных устройствах и заставляющий их устанавливать рекламируемые программы.

Все приложения, в которые встроен Android.Click.95, являются довольно примитивными поделками. В большинстве случаев они представляют собой типичные программы-сборники, содержащие различные советы, гороскопы, сонники, анекдоты и другую информацию на каждый день, свободно доступную в Интернете. Вирусные аналитики «Доктор Веб» обнаружили более 190 таких приложений, распространяемых в Google Play как минимум шестью разработчиками: allnidiv, malnu3a, mulache, Lohari, Kisjhka и PolkaPola. При этом в общей сложности троянца успели загрузить как минимум 140 000 пользователей. Компания Google уже оповещена об этом инциденте, однако на момент написания материала многие из выявленных приложений все еще доступны для загрузки.

Попадая на мобильное устройство, Android.Click.95 начинает вредоносную деятельность не сразу, а лишь через 6 часов после того, как будет запущена содержащая троянца программа. Это сделано для того, чтобы отвести подозрения жертвы от истинного источника нежелательной активности в системе. По прошествии 6 часов Android.Click.95 проверяет, установлено ли на зараженном устройстве приложение, которое заранее указано в настройках троянца. В зависимости от результата Android.Click.95 открывает в веб-браузере мошеннический сайт с определенным тревожным сообщением. Например, если троянец не находит определенное приложение-браузер, пользователю демонстрируется соответствующее предупреждение о том, что его текущий веб-обозреватель небезопасен и нуждается в замене. Если же рекламируемая программа уже установлена, жертву пугают иной неполадкой – например, неисправностью аккумулятора.

Как же пользователю решить возникшую внезапно «проблему», о которой он раньше и не подозревал? Естественно, установить предлагаемое злоумышленниками ПО. А чтобы наверняка заставить жертву установить рекламируемую программу, Android.Click.95 загружает мошенническую веб-страницу каждые 2 минуты, фактически не давая владельцу смартфона или планшета нормально пользоваться устройством.

После того как хозяин атакованного мобильного устройства все же соглашается установить предлагаемое ему ПО и нажимает соответствующую кнопку на веб-странице, он перенаправляется в каталог Google Play, в котором автоматически открывается раздел с той или иной программой, рекламируемой троянцем в данный момент. За каждую успешную установку злоумышленники получают денежное вознаграждение в рамках рекламных партнерских программ, поэтому неудивительно, что они создали так много различных копий Android.Click.95 в надежде на наибольшую финансовую отдачу.

Компания «Доктор Веб» призывает владельцев Android-смартфонов и планшетов не устанавливать неизвестные приложения сомнительного качества, даже если они находятся в каталоге Google Play. Все программы, в которых скрывается Android.Click.95, успешно детектируются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот троянец опасности не представляет.

http://feedproxy.google.com/~r/drweb/viruses/~3/59FjQnM4f5A/

29 апреля 2016 года

Каталог цифрового контента Google Play считается самым надежным источником ПО для смартфонов и планшетов под управлением ОС Android, однако в нем время от времени все же обнаруживаются всевозможные вредоносные программы. Недавно специалисты компании «Доктор Веб» выявили в этом каталоге более 190 приложений, в которых находится троянец Android.Click.95, пугающий пользователей наличием проблем на мобильных устройствах и заставляющий их устанавливать рекламируемые программы.

Все приложения, в которые встроен Android.Click.95, являются довольно примитивными поделками. В большинстве случаев они представляют собой типичные программы-сборники, содержащие различные советы, гороскопы, сонники, анекдоты и другую информацию на каждый день, свободно доступную в Интернете. Вирусные аналитики «Доктор Веб» обнаружили более 190 таких приложений, распространяемых в Google Play как минимум шестью разработчиками: allnidiv, malnu3a, mulache, Lohari, Kisjhka и PolkaPola. При этом в общей сложности троянца успели загрузить как минимум 140 000 пользователей. Компания Google уже оповещена об этом инциденте, однако на момент написания материала многие из выявленных приложений все еще доступны для загрузки.

Попадая на мобильное устройство, Android.Click.95 начинает вредоносную деятельность не сразу, а лишь через 6 часов после того, как будет запущена содержащая троянца программа. Это сделано для того, чтобы отвести подозрения жертвы от истинного источника нежелательной активности в системе. По прошествии 6 часов Android.Click.95 проверяет, установлено ли на зараженном устройстве приложение, которое заранее указано в настройках троянца. В зависимости от результата Android.Click.95 открывает в веб-браузере мошеннический сайт с определенным тревожным сообщением. Например, если троянец не находит определенное приложение-браузер, пользователю демонстрируется соответствующее предупреждение о том, что его текущий веб-обозреватель небезопасен и нуждается в замене. Если же рекламируемая программа уже установлена, жертву пугают иной неполадкой – например, неисправностью аккумулятора.

Как же пользователю решить возникшую внезапно «проблему», о которой он раньше и не подозревал? Естественно, установить предлагаемое злоумышленниками ПО. А чтобы наверняка заставить жертву установить рекламируемую программу, Android.Click.95 загружает мошенническую веб-страницу каждые 2 минуты, фактически не давая владельцу смартфона или планшета нормально пользоваться устройством.

После того как хозяин атакованного мобильного устройства все же соглашается установить предлагаемое ему ПО и нажимает соответствующую кнопку на веб-странице, он перенаправляется в каталог Google Play, в котором автоматически открывается раздел с той или иной программой, рекламируемой троянцем в данный момент. За каждую успешную установку злоумышленники получают денежное вознаграждение в рамках рекламных партнерских программ, поэтому неудивительно, что они создали так много различных копий Android.Click.95 в надежде на наибольшую финансовую отдачу.

Компания «Доктор Веб» призывает владельцев Android-смартфонов и планшетов не устанавливать неизвестные приложения сомнительного качества, даже если они находятся в каталоге Google Play. Все программы, в которых скрывается Android.Click.95, успешно детектируются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот троянец опасности не представляет.

http://feedproxy.google.com/~r/drweb/viruses/~3/mZReo6i4YOY/

29 апреля 2016 года

В начале апреля 2016 года вирусные аналитики компании «Доктор Веб» обнаружили новую модификацию банковского троянца Gozi, способную создавать одноранговую бот-сеть. А чуть позже был выявлен бэкдор для Linux, распространяющийся с помощью хакерской утилиты. Также в апреле активизировались сетевые мошенники, создающие фиктивные интернет-магазины с целью обмана покупателей, — от действия киберпреступников уже пострадали многие пользователи Всемирной сети.

Угроза месяца

Новые банковские троянцы, предназначенные для хищения денег со счетов своих жертв, появляются нечасто — вирусописатели охотнее модифицируют уже существующие и проверенные в деле вредоносные программы. Одной из таких модификаций стала новая версия троянца Trojan.Gozi, имеющего широкий спектр функциональных возможностей: он может похищать данные, которые пользователи вводят в различные экранные формы, фиксировать нажатия клавиш (кейлоггинг), умеет встраивать постороннее содержимое в веб-страницы на зараженном компьютере (то есть выполнять веб-инжекты). Кроме того, с помощью Trojan.Gozi киберпреступники могут получить удаленный доступ к рабочему столу зараженной машины с использованием технологии Virtual Network Computing (VNC). Этот троянец по команде злоумышленников может запустить на инфицированном ПК прокси-сервер SOCKS, а также загружать и устанавливать различные плагины.

Однако основное отличие новой версии Trojan.Gozi от предшественников — появившаяся возможность формировать одноранговые ботнеты, то есть обмениваться данными с другими зараженными машинами напрямую, посредством создания P2P-сети. Подробнее об этой вредоносной программе читайте в обзорной статье на сайте компании «Доктор Веб».

По данным статистики лечащей утилиты Dr.Web CureIt!

• Trojan.InstallCore.1903

  Представитель семейства установщиков нежелательных и вредоносных приложений.

• Trojan.StartPage

  Семейство вредоносных программ, способных подменять стартовую страницу в настройках браузера.

• Trojan.Zadved

  Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

• Trojan.DownLoader

  Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

По данным серверов статистики «Доктор Веб»

• Trojan.InstallCore.1903

  Представитель семейства установщиков нежелательных и вредоносных приложений.

• BackDoor.IRC.NgrBot.42

  Довольно распространенный троянец, известный специалистам по информационной безопасности еще с 2011 года. Вредоносные программы этого семейства способны выполнять на инфицированном компьютере поступающие от злоумышленников команды, а управление ими киберпреступники осуществляют с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat).

• JS.Redirector

  Семейство вредоносных сценариев, написанных на языке JavaScript, предназначенных для перенаправления пользователей браузеров на различные (в том числе вредоносные и мошеннические) веб-страницы.

• JS.Downloader

  Семейство вредоносных сценариев, написанных на языке JavaScript, предназначенных для загрузки и установки на компьютер других вредоносных программ.

• Trojan.Zadved

  Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

Статистика вредоносных программ в почтовом трафике

• JS.Downloader

  Семейство вредоносных сценариев, написанных на языке JavaScript, предназначенных для загрузки и установки на компьютер других вредоносных программ.

• Trojan.InstallCore.1903

  Представитель семейства установщиков нежелательных и вредоносных приложений.

• Trojan.PWS.Stealer

  Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Троянцы-шифровальщики

Наиболее распространенным шифровальщиком в апреле 2016 года является Trojan.Encoder.858.

Dr.Web Security Space 11.0 для Windows
защищает от троянцев-шифровальщиков

Этого функционала нет в лицензии Антивирус Dr.Web для Windows

Защита данных от потери

Подробней Смотрите видео о настройке

Опасные сайты

В течение апреля 2016 года в базу нерекомендуемых и вредоносных сайтов было добавлено 749 173 интернет-адреса.

В апреле заметно активизировались сетевые мошенники, создающие фиктивные интернет-магазины с целью обмануть доверчивых пользователей Интернета. Такие сайты имеют практически все элементы, традиционно присутствующие на страницах онлайн-магазинов, однако сделаны они все с использованием одного и того же стандартного шаблона.

О том, каким образом сетевые жулики обманывают своих покупателей и как уберечься от этого способа мошенничества, читайте в опубликованной нами статье.

Другие события

Чтобы проникнуть в сети различных коммерческих предприятий, злоумышленники используют различные методы. Серьезной «дырой» в безопасности, которой могут воспользоваться хакеры, порой становятся неправильные настройки серверных приложений или других программных средств. В апреле 2016 года специалисты компании «Доктор Веб» обнаружили ошибку в конфигурации оборудования одной из зарубежных компаний, предоставляющих услугу DNS-хостинга. В результате клиенты этой фирмы открывали всему миру список зарегистрированных ими поддоменов, в частности используемых для внутренних целей. Такие домены могут быть задействованы, например, для организации непубличных внутренних веб-серверов, систем контроля версий, баг-трекеров, различных служб мониторинга, вики-ресурсов и т. д. С использованием подобного списка адресов злоумышленникам становится значительно проще исследовать сеть потенциальной жертвы для поиска слабых или незащищенных мест. Более подробно о расследовании этого инцидента рассказано в опубликованном на сайте компании «Доктор Веб» новостном материале.

Также в апреле было зафиксировано распространение троянца-бэкдора для ОС Linux, получившего наименование Linux.BackDoor.Xudp.1. Примечательная особенность этой вредоносной программы заключалась в том, что она проникала на компьютер жертвы при помощи хакерской утилиты, предназначенной для организации одной из разновидностей атак на удаленные узлы путем массовой отправки на заданный адрес UDP-пакетов. Иными словами, пользователь Linux, решивший атаковать какой-либо узел Интернета, сам оказывался жертвой атаки троянца.

Среди команд, которые способен выполнять Linux.BackDoor.Xudp.1, исследователи выявили приказ на непрерывную отправку заданному удаленному узлу различных запросов (флуд), осуществление DDoS-атак, выполнение произвольных команд на зараженном устройстве. Также Linux.BackDoor.Xudp.1 способен по команде сканировать порты в заданном диапазоне IP-адресов, может запускать указанные злоумышленником файлы, выслать им какой-либо файл, а также выполнять иные задачи. О других особенностях работы этого бэкдора можно прочитать в соответствующей информационной статье.

В самом конце апреля была зафиксирована атака на пользователей социальной сети Facebook — вредоносная программа Trojan.BPlug.1074, представляющая собой плагин для браузера Google Chrome, рассылала спам в этой социальной сети. Также с ее помощью злоумышленники распространяли другие опасные надстройки для Chrome. По информации, имеющейся у аналитиков «Доктор Веб», на 29 апреля Trojan.BPlug.1074 загрузили более 12 000 пользователей Facebook. Подробная информация об этом инциденте изложена в опубликованном на сайте «Доктор Веб» новостном материале.

Вредоносное и нежелательное ПО для мобильных устройств

Согласно статистике, собранной с использованием антивирусных продуктов Dr.Web для Android, в апреле наблюдалась активность агрессивных рекламных платформ – в прошедшем месяце они обнаруживались чаще других вредоносных и нежелательных программ. Зачастую такие программные модули могут не только показывать навязчивую рекламу, но и красть конфиденциальную информацию, а также загружать и устанавливать всевозможное ПО, принося неплохую прибыль вирусописателям. Кроме того, в апреле специалисты компании «Доктор Веб» обнаружили нового троянца Android.GPLoader.1.origin, предназначенного для несанкционированной установки приложений.

Наиболее заметные события, связанные с «мобильной» безопасностью в апреле:

• активность агрессивных рекламных модулей для ОС Android;
• обнаружение нового троянца, способного устанавливать программы без участия пользователя.

Более подробно о вирусной обстановке для мобильных устройств в апреле читайте в нашем обзоре.

Узнайте больше с Dr.Web

Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live

http://feedproxy.google.com/~r/drweb/viruses/~3/MluvpmPQGZA/

29 апреля 2016 года

В начале апреля 2016 года вирусные аналитики компании «Доктор Веб» обнаружили новую модификацию банковского троянца Gozi, способную создавать одноранговую бот-сеть. А чуть позже был выявлен бэкдор для Linux, распространяющийся с помощью хакерской утилиты. Также в апреле активизировались сетевые мошенники, создающие фиктивные интернет-магазины с целью обмана покупателей, — от действия киберпреступников уже пострадали многие пользователи Всемирной сети.

Угроза месяца

Новые банковские троянцы, предназначенные для хищения денег со счетов своих жертв, появляются нечасто — вирусописатели охотнее модифицируют уже существующие и проверенные в деле вредоносные программы. Одной из таких модификаций стала новая версия троянца Trojan.Gozi, имеющего широкий спектр функциональных возможностей: он может похищать данные, которые пользователи вводят в различные экранные формы, фиксировать нажатия клавиш (кейлоггинг), умеет встраивать постороннее содержимое в веб-страницы на зараженном компьютере (то есть выполнять веб-инжекты). Кроме того, с помощью Trojan.Gozi киберпреступники могут получить удаленный доступ к рабочему столу зараженной машины с использованием технологии Virtual Network Computing (VNC). Этот троянец по команде злоумышленников может запустить на инфицированном ПК прокси-сервер SOCKS, а также загружать и устанавливать различные плагины.

Однако основное отличие новой версии Trojan.Gozi от предшественников — появившаяся возможность формировать одноранговые ботнеты, то есть обмениваться данными с другими зараженными машинами напрямую, посредством создания P2P-сети. Подробнее об этой вредоносной программе читайте в обзорной статье на сайте компании «Доктор Веб».

По данным статистики лечащей утилиты Dr.Web CureIt!

• Trojan.InstallCore.1903

  Представитель семейства установщиков нежелательных и вредоносных приложений.

• Trojan.StartPage

  Семейство вредоносных программ, способных подменять стартовую страницу в настройках браузера.

• Trojan.Zadved

  Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

• Trojan.DownLoader

  Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

По данным серверов статистики «Доктор Веб»

• Trojan.InstallCore.1903

  Представитель семейства установщиков нежелательных и вредоносных приложений.

• BackDoor.IRC.NgrBot.42

  Довольно распространенный троянец, известный специалистам по информационной безопасности еще с 2011 года. Вредоносные программы этого семейства способны выполнять на инфицированном компьютере поступающие от злоумышленников команды, а управление ими киберпреступники осуществляют с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat).

• JS.Redirector

  Семейство вредоносных сценариев, написанных на языке JavaScript, предназначенных для перенаправления пользователей браузеров на различные (в том числе вредоносные и мошеннические) веб-страницы.

• JS.Downloader

  Семейство вредоносных сценариев, написанных на языке JavaScript, предназначенных для загрузки и установки на компьютер других вредоносных программ.

• Trojan.Zadved

  Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

Статистика вредоносных программ в почтовом трафике

• JS.Downloader

  Семейство вредоносных сценариев, написанных на языке JavaScript, предназначенных для загрузки и установки на компьютер других вредоносных программ.

• Trojan.InstallCore.1903

  Представитель семейства установщиков нежелательных и вредоносных приложений.

• Trojan.PWS.Stealer

  Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Троянцы-шифровальщики

Наиболее распространенным шифровальщиком в апреле 2016 года является Trojan.Encoder.858.

Dr.Web Security Space 11.0 для Windows
защищает от троянцев-шифровальщиков

Этого функционала нет в лицензии Антивирус Dr.Web для Windows

Защита данных от потери

Подробней Смотрите видео о настройке

Опасные сайты

В течение апреля 2016 года в базу нерекомендуемых и вредоносных сайтов было добавлено 749 173 интернет-адреса.

В апреле заметно активизировались сетевые мошенники, создающие фиктивные интернет-магазины с целью обмануть доверчивых пользователей Интернета. Такие сайты имеют практически все элементы, традиционно присутствующие на страницах онлайн-магазинов, однако сделаны они все с использованием одного и того же стандартного шаблона.

О том, каким образом сетевые жулики обманывают своих покупателей и как уберечься от этого способа мошенничества, читайте в опубликованной нами статье.

Другие события

Чтобы проникнуть в сети различных коммерческих предприятий, злоумышленники используют различные методы. Серьезной «дырой» в безопасности, которой могут воспользоваться хакеры, порой становятся неправильные настройки серверных приложений или других программных средств. В апреле 2016 года специалисты компании «Доктор Веб» обнаружили ошибку в конфигурации оборудования одной из зарубежных компаний, предоставляющих услугу DNS-хостинга. В результате клиенты этой фирмы открывали всему миру список зарегистрированных ими поддоменов, в частности используемых для внутренних целей. Такие домены могут быть задействованы, например, для организации непубличных внутренних веб-серверов, систем контроля версий, баг-трекеров, различных служб мониторинга, вики-ресурсов и т. д. С использованием подобного списка адресов злоумышленникам становится значительно проще исследовать сеть потенциальной жертвы для поиска слабых или незащищенных мест. Более подробно о расследовании этого инцидента рассказано в опубликованном на сайте компании «Доктор Веб» новостном материале.

Также в апреле было зафиксировано распространение троянца-бэкдора для ОС Linux, получившего наименование Linux.BackDoor.Xudp.1. Примечательная особенность этой вредоносной программы заключалась в том, что она проникала на компьютер жертвы при помощи хакерской утилиты, предназначенной для организации одной из разновидностей атак на удаленные узлы путем массовой отправки на заданный адрес UDP-пакетов. Иными словами, пользователь Linux, решивший атаковать какой-либо узел Интернета, сам оказывался жертвой атаки троянца.

Среди команд, которые способен выполнять Linux.BackDoor.Xudp.1, исследователи выявили приказ на непрерывную отправку заданному удаленному узлу различных запросов (флуд), осуществление DDoS-атак, выполнение произвольных команд на зараженном устройстве. Также Linux.BackDoor.Xudp.1 способен по команде сканировать порты в заданном диапазоне IP-адресов, может запускать указанные злоумышленником файлы, выслать им какой-либо файл, а также выполнять иные задачи. О других особенностях работы этого бэкдора можно прочитать в соответствующей информационной статье.

В самом конце апреля была зафиксирована атака на пользователей социальной сети Facebook — вредоносная программа Trojan.BPlug.1074, представляющая собой плагин для браузера Google Chrome, рассылала спам в этой социальной сети. Также с ее помощью злоумышленники распространяли другие опасные надстройки для Chrome. По информации, имеющейся у аналитиков «Доктор Веб», на 29 апреля Trojan.BPlug.1074 загрузили более 12 000 пользователей Facebook. Подробная информация об этом инциденте изложена в опубликованном на сайте «Доктор Веб» новостном материале.

Вредоносное и нежелательное ПО для мобильных устройств

Согласно статистике, собранной с использованием антивирусных продуктов Dr.Web для Android, в апреле наблюдалась активность агрессивных рекламных платформ – в прошедшем месяце они обнаруживались чаще других вредоносных и нежелательных программ. Зачастую такие программные модули могут не только показывать навязчивую рекламу, но и красть конфиденциальную информацию, а также загружать и устанавливать всевозможное ПО, принося неплохую прибыль вирусописателям. Кроме того, в апреле специалисты компании «Доктор Веб» обнаружили нового троянца Android.GPLoader.1.origin, предназначенного для несанкционированной установки приложений.

Наиболее заметные события, связанные с «мобильной» безопасностью в апреле:

• активность агрессивных рекламных модулей для ОС Android;
• обнаружение нового троянца, способного устанавливать программы без участия пользователя.

Более подробно о вирусной обстановке для мобильных устройств в апреле читайте в нашем обзоре.

Узнайте больше с Dr.Web

Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live

http://feedproxy.google.com/~r/drweb/viruses/~3/7uz75c6gB7c/