Нового троянца создал «фанат» Кребса

Понедельник, 21 Августа 2017 г. 19:12 + в цитатник

21 августа 2017 года

Троянцы-майнеры, использующие для добычи криптовалют вычислительные ресурсы компьютеров без ведома их владельцев, известны с 2011 года. За прошедшие годы интерес к ним со стороны злоумышленников не ослабел, о чем свидетельствует появление новых вредоносных программ этого типа.

Троянцы-майнеры появляются с завидной регулярностью, при этом вирусные аналитики «Доктор Веб» отмечают любопытную тенденцию: создатели таких программ все чаще ориентируются на платформу Linux. В последнее время широкое распространение получили работающие под управлением Linux «умные» устройства, владельцы которых не меняют установленные по умолчанию настройки, прежде всего — логин и пароль администратора. Именно поэтому взлом таких устройств не представляет для киберпреступников большой проблемы.

Очередной троянец-майнер, предназначенный для работы под управлением ОС Linux, получил наименование Linux.BtcMine.26. Схема его распространения похожа на механизм заражения троянцем Linux.Mirai: злоумышленники соединяются с атакуемым устройством по протоколу Telnet, подобрав логин и пароль, после чего сохраняют на нем программу-загрузчик. Затем киберпреступники запускают эту программу из терминала с помощью консольной команды, и на устройство загружается троянец Linux.BtcMine.26.

Анализ загрузчика майнера показал забавную особенность этого приложения: в его коде несколько раз встречается адрес сайта krebsonsecurity.com, принадлежащего известному эксперту по информационной безопасности Брайану Кребсу. По всей видимости, автор троянца является его тайным поклонником.

Троянец предназначен для майнинга Monero (XMR) — криптовалюты, созданной в 2014 году. В настоящее время известны сборки Linux.BtcMine.26 для аппаратных архитектур x86-64 и ARM. Характерными признаками присутствия майнера могут служить снижение быстродействия устройства и увеличение тепловыделения в процессе его работы. Наиболее надежным методом профилактики заражения подобными троянцами является своевременное изменение установленных по умолчанию логина и пароля на устройстве, при этом рекомендуется использовать сложные пароли, устойчивые к компрометации методом перебора по словарю. Также рекомендуется ограничить возможность дистанционного изменения настроек устройства при внешних подключениях к нему.

Сигнатура Linux.BtcMine.26 добавлена в базы Антивируса Dr.Web для Linux, так что этот троянец не представляет опасности для наших пользователей.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/P1FpNV1cSUU/

Комментарии (0)

«Доктор Веб»: обзор вирусной активности в июле 2017 года

Понедельник, 31 Июля 2017 г. 15:13 + в цитатник

31 июля 2017 года

Главное

Как правило, в середине лета редко происходят значительные события в сфере информационной безопасности, однако нынешний июль стал исключением из этого правила. В начале месяца специалисты компании «Доктор Веб» обнаружили в приложении для организации электронного документооборота M.E.Doc полноценный бэкдор. Чуть позже вирусные аналитики установили источник распространения троянца BackDoor.Dande, воровавшего информацию о закупках медикаментов у фармацевтических компаний. В конце месяца был установлен факт компрометации портала государственных услуг Российской Федерации (gosuslugi.ru). Также в июле было выявлено несколько опасных вредоносных программ для мобильной платформы Android.

ГЛАВНЫЕ ТЕНДЕНЦИИ ИЮЛЯ

Обнаружение бэкдора в программе M.E.Doc
Выявление источника распространения бэкдора Dande
Компрометация портала госуслуг

Угроза месяца

Популярное на территории Украины приложение для организации электронного документооборота M.E.Doc было разработано компанией Intellect Service. В одном из компонентов этого приложения, ZvitPublishedObjects.Server.MeCom, вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.

Этот же ключ реестра использовал в своей работе троянец-шифровальщик Trojan.Encoder.12703. Вирусные аналитики исследовали файл журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, и установили, что этот энкодер был запущен на пострадавшей машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc:

Дальнейшее исследование программы показало, что в одной из ее библиотек — ZvitPublishedObjects.dll — содержится бэкдор, который может выполнять следующие функции:

сбор данных для доступа к почтовым серверам;
выполнение произвольных команд в инфицированной системе;
загрузка на зараженный компьютер произвольных файлов;
загрузка, сохранение и запуск любых исполняемых файлов;
выгрузка произвольных файлов на удаленный сервер.

Кроме того, модуль обновления M.E.Doc позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1 — именно так на инфицированных компьютерах и был запущен Trojan.Encoder.12544. Подробнее о расследовании «Доктор Веб» читайте в опубликованной на нашем сайте статье.

Статистика

По данным статистики Антивируса Dr.Web

Trojan.DownLoader
Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.InstallCore
Семейство установщиков нежелательных и вредоносных приложений.
Trojan.BtcMine
Семейство вредоносных программ, которые втайне от пользователя применяют вычислительные ресурсы зараженного компьютера для добычи (майнинга) различных криптовалют – например, Bitcoin.

По данным серверов статистики «Доктор Веб»

JS.DownLoader
Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
JS.Inject.3
Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.InstallCore
Семейство установщиков нежелательных и вредоносных приложений.
Trojan.DownLoader
Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.PWS.Stealer
Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Статистика вредоносных программ в почтовом трафике

JS.DownLoader
Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
JS.Inject.3
Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.PWS.Stealer
Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
Trojan.Encoder.6218
Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
Trojan.InstallCore
Семейство установщиков нежелательных и вредоносных приложений.

По данным бота Dr.Web для Telegram

Android.Locker.139.origin
Представитель семейства Android-троянцев, предназначенных для вымогательства. Они показывают навязчивое сообщение якобы о нарушении закона и о последовавшей в связи с этим блокировке мобильного устройства, для снятия которой пользователю предлагается заплатить определенную сумму.
EICAR Test File
Специальный текстовый файл, предназначенный для тестирования работоспособности антивирусов. Все антивирусные программы при обнаружении такого файла должны реагировать на него в точности таким же образом, как в случае выявления какой-либо реальной компьютерной угрозы.
Joke.Locker.1.origin
Программа-шутка для ОС Android, блокирующая экран мобильного устройства и выводящая на него изображение «синего экрана смерти» ОС Windows (BSOD, Blue Screen of Death).
Android.SmsSend.20784
Представитель семейства вредоносных программ, предназначенных для отправки СМС-сообщений с повышенной тарификацией и подписки пользователей на различные платные контент-услуги и сервисы.
Trojan.PWS.Stealer
Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Шифровальщики

В июле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 34,80% обращений;
Trojan.Encoder.567 — 8,21% обращений;
Trojan.Encoder.761 — 3,19% обращений;
Trojan.Encoder.5342 — 3,04% обращений;
Trojan.Encoder.11423 — 2,13% обращений;
Trojan.Encoder.11432 — 1,98% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение июля 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 327 295 интернет-адресов.

Июнь 2017	Июль 2017	Динамика
+ 229 381	+ 327 295	+ 42,6%

В середине июля потенциально опасным для пользователей неожиданно стал портал государственных услуг Российской Федерации (gosuslugi.ru), на котором вирусные аналитики компании «Доктор Веб» обнаружили потенциально вредоносный код. Этот код заставлял браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо, как минимум 5 из которых принадлежали нидерландским компаниям. В процессе динамической генерации страницы сайта, к которой обращается пользователь, в код разметки веб-страниц добавляется контейнер , позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. Все уязвимости сайта gosuslugi.ru были устранены администрацией ресурса спустя несколько часов после публикации новости об этом инциденте.

Нерекомендуемые сайты

Другие события в сфере информационной безопасности

В 2011 году компания «Доктор Веб» сообщила о появлении троянца BackDoor.Dande, шпионящего за фармацевтическими компаниями и аптеками. Исследовав жесткий диск, предоставленный одной из пострадавших организаций, вирусные аналитики установили, что троянца скачивал и запускал в целевых системах один из компонентов приложения ePrica, которое используют руководители аптек для анализа цен на лекарства и выбора наиболее подходящих поставщиков. Этот модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал бэкдор на атакуемых компьютерах. При этом указанный модуль имел цифровую подпись «Спарго».

Проведенный компанией «Доктор Веб» анализ показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica. Среди модулей троянца присутствует установщик бэкдора, а также компоненты для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы 1C. Важно отметить, что даже после удаления ПО ePrica бэкдор оставался в системе и продолжал шпионить за пользователями. Подробности проведенного специалистами «Доктор Веб» исследования ПО ePrica изложены в опубликованной на нашем сайте статье.

Вредоносное и нежелательное ПО для мобильных устройств

В начале месяца специалисты компании «Доктор Веб» обнаружили троянца-загрузчика Android.DownLoader.558.origin в популярной игре BlazBlue, доступной в каталоге Google Play. Эта вредоносная программа могла незаметно скачивать и запускать непроверенные компоненты приложений. Позже вирусные аналитики исследовали опасного троянца Android.BankBot.211.origin. Он мог управлять зараженными мобильными устройствами, похищал конфиденциальную банковскую информацию и другие секретные сведения, в частности пароли. В конце месяца вирусные аналитики выявили троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек ОС Android и поместили в прошивку нескольких моделей мобильных устройств. Эта вредоносная программа внедрялась в процессы всех запускаемых программ и незаметно запускала троянские модули.

Наиболее заметные события, связанные с «мобильной» безопасностью в июле:

обнаружение Android-троянца в прошивке нескольких моделей мобильных устройств;
выявление в каталоге Google Play троянца-загрузчика;
появление банковского троянца, который мог управлять зараженными устройствами и крал конфиденциальную информацию.

Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

http://feedproxy.google.com/~r/drweb/viruses/~3/k5-7ktAzQEQ/

Комментарии (0)

«Доктор Веб»: обзор вирусной активности в июле 2017 года

Понедельник, 31 Июля 2017 г. 15:13 + в цитатник

31 июля 2017 года

Главное

Как правило, в середине лета редко происходят значительные события в сфере информационной безопасности, однако нынешний июль стал исключением из этого правила. В начале месяца специалисты компании «Доктор Веб» обнаружили в приложении для организации электронного документооборота M.E.Doc полноценный бэкдор. Чуть позже вирусные аналитики установили источник распространения троянца BackDoor.Dande, воровавшего информацию о закупках медикаментов у фармацевтических компаний. В конце месяца был установлен факт компрометации портала государственных услуг Российской Федерации (gosuslugi.ru). Также в июле было выявлено несколько опасных вредоносных программ для мобильной платформы Android.

ГЛАВНЫЕ ТЕНДЕНЦИИ ИЮЛЯ

Обнаружение бэкдора в программе M.E.Doc
Выявление источника распространения бэкдора Dande
Компрометация портала госуслуг

Угроза месяца

Популярное на территории Украины приложение для организации электронного документооборота M.E.Doc было разработано компанией Intellect Service. В одном из компонентов этого приложения, ZvitPublishedObjects.Server.MeCom, вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.

Этот же ключ реестра использовал в своей работе троянец-шифровальщик Trojan.Encoder.12703. Вирусные аналитики исследовали файл журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, и установили, что этот энкодер был запущен на пострадавшей машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc:

Дальнейшее исследование программы показало, что в одной из ее библиотек — ZvitPublishedObjects.dll — содержится бэкдор, который может выполнять следующие функции:

сбор данных для доступа к почтовым серверам;
выполнение произвольных команд в инфицированной системе;
загрузка на зараженный компьютер произвольных файлов;
загрузка, сохранение и запуск любых исполняемых файлов;
выгрузка произвольных файлов на удаленный сервер.

Кроме того, модуль обновления M.E.Doc позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1 — именно так на инфицированных компьютерах и был запущен Trojan.Encoder.12544. Подробнее о расследовании «Доктор Веб» читайте в опубликованной на нашем сайте статье.

Статистика

По данным статистики Антивируса Dr.Web

Trojan.DownLoader
Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.InstallCore
Семейство установщиков нежелательных и вредоносных приложений.
Trojan.BtcMine
Семейство вредоносных программ, которые втайне от пользователя применяют вычислительные ресурсы зараженного компьютера для добычи (майнинга) различных криптовалют – например, Bitcoin.

По данным серверов статистики «Доктор Веб»

JS.DownLoader
Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
JS.Inject.3
Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.InstallCore
Семейство установщиков нежелательных и вредоносных приложений.
Trojan.DownLoader
Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.PWS.Stealer
Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Статистика вредоносных программ в почтовом трафике

JS.DownLoader
Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
JS.Inject.3
Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.PWS.Stealer
Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
Trojan.Encoder.6218
Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
Trojan.InstallCore
Семейство установщиков нежелательных и вредоносных приложений.

По данным бота Dr.Web для Telegram

Android.Locker.139.origin
Представитель семейства Android-троянцев, предназначенных для вымогательства. Они показывают навязчивое сообщение якобы о нарушении закона и о последовавшей в связи с этим блокировке мобильного устройства, для снятия которой пользователю предлагается заплатить определенную сумму.
EICAR Test File
Специальный текстовый файл, предназначенный для тестирования работоспособности антивирусов. Все антивирусные программы при обнаружении такого файла должны реагировать на него в точности таким же образом, как в случае выявления какой-либо реальной компьютерной угрозы.
Joke.Locker.1.origin
Программа-шутка для ОС Android, блокирующая экран мобильного устройства и выводящая на него изображение «синего экрана смерти» ОС Windows (BSOD, Blue Screen of Death).
Android.SmsSend.20784
Представитель семейства вредоносных программ, предназначенных для отправки СМС-сообщений с повышенной тарификацией и подписки пользователей на различные платные контент-услуги и сервисы.
Trojan.PWS.Stealer
Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Шифровальщики

В июле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 34,80% обращений;
Trojan.Encoder.567 — 8,21% обращений;
Trojan.Encoder.761 — 3,19% обращений;
Trojan.Encoder.5342 — 3,04% обращений;
Trojan.Encoder.11423 — 2,13% обращений;
Trojan.Encoder.11432 — 1,98% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение июля 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 327 295 интернет-адресов.

Июнь 2017	Июль 2017	Динамика
+ 229 381	+ 327 295	+ 42,6%

В середине июля потенциально опасным для пользователей неожиданно стал портал государственных услуг Российской Федерации (gosuslugi.ru), на котором вирусные аналитики компании «Доктор Веб» обнаружили потенциально вредоносный код. Этот код заставлял браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо, как минимум 5 из которых принадлежали нидерландским компаниям. В процессе динамической генерации страницы сайта, к которой обращается пользователь, в код разметки веб-страниц добавляется контейнер , позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. Все уязвимости сайта gosuslugi.ru были устранены администрацией ресурса спустя несколько часов после публикации новости об этом инциденте.

Нерекомендуемые сайты

Другие события в сфере информационной безопасности

В 2011 году компания «Доктор Веб» сообщила о появлении троянца BackDoor.Dande, шпионящего за фармацевтическими компаниями и аптеками. Исследовав жесткий диск, предоставленный одной из пострадавших организаций, вирусные аналитики установили, что троянца скачивал и запускал в целевых системах один из компонентов приложения ePrica, которое используют руководители аптек для анализа цен на лекарства и выбора наиболее подходящих поставщиков. Этот модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал бэкдор на атакуемых компьютерах. При этом указанный модуль имел цифровую подпись «Спарго».

Проведенный компанией «Доктор Веб» анализ показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica. Среди модулей троянца присутствует установщик бэкдора, а также компоненты для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы 1C. Важно отметить, что даже после удаления ПО ePrica бэкдор оставался в системе и продолжал шпионить за пользователями. Подробности проведенного специалистами «Доктор Веб» исследования ПО ePrica изложены в опубликованной на нашем сайте статье.

Вредоносное и нежелательное ПО для мобильных устройств

В начале месяца специалисты компании «Доктор Веб» обнаружили троянца-загрузчика Android.DownLoader.558.origin в популярной игре BlazBlue, доступной в каталоге Google Play. Эта вредоносная программа могла незаметно скачивать и запускать непроверенные компоненты приложений. Позже вирусные аналитики исследовали опасного троянца Android.BankBot.211.origin. Он мог управлять зараженными мобильными устройствами, похищал конфиденциальную банковскую информацию и другие секретные сведения, в частности пароли. В конце месяца вирусные аналитики выявили троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек ОС Android и поместили в прошивку нескольких моделей мобильных устройств. Эта вредоносная программа внедрялась в процессы всех запускаемых программ и незаметно запускала троянские модули.

Наиболее заметные события, связанные с «мобильной» безопасностью в июле:

обнаружение Android-троянца в прошивке нескольких моделей мобильных устройств;
выявление в каталоге Google Play троянца-загрузчика;
появление банковского троянца, который мог управлять зараженными устройствами и крал конфиденциальную информацию.

Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

http://feedproxy.google.com/~r/drweb/viruses/~3/EXIcMOfn6KQ/

Комментарии (0)

«Доктор Веб»: обзор вирусной активности в июле 2017 года

Понедельник, 31 Июля 2017 г. 15:13 + в цитатник

31 июля 2017 года

Главное

Как правило, в середине лета редко происходят значительные события в сфере информационной безопасности, однако нынешний июль стал исключением из этого правила. В начале месяца специалисты компании «Доктор Веб» обнаружили в приложении для организации электронного документооборота M.E.Doc полноценный бэкдор. Чуть позже вирусные аналитики установили источник распространения троянца BackDoor.Dande, воровавшего информацию о закупках медикаментов у фармацевтических компаний. В конце месяца был установлен факт компрометации портала государственных услуг Российской Федерации (gosuslugi.ru). Также в июле было выявлено несколько опасных вредоносных программ для мобильной платформы Android.

ГЛАВНЫЕ ТЕНДЕНЦИИ ИЮЛЯ

Обнаружение бэкдора в программе M.E.Doc
Выявление источника распространения бэкдора Dande
Компрометация портала госуслуг

Угроза месяца

Популярное на территории Украины приложение для организации электронного документооборота M.E.Doc было разработано компанией Intellect Service. В одном из компонентов этого приложения, ZvitPublishedObjects.Server.MeCom, вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.

Этот же ключ реестра использовал в своей работе троянец-шифровальщик Trojan.Encoder.12703. Вирусные аналитики исследовали файл журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, и установили, что этот энкодер был запущен на пострадавшей машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc:

Дальнейшее исследование программы показало, что в одной из ее библиотек — ZvitPublishedObjects.dll — содержится бэкдор, который может выполнять следующие функции:

сбор данных для доступа к почтовым серверам;
выполнение произвольных команд в инфицированной системе;
загрузка на зараженный компьютер произвольных файлов;
загрузка, сохранение и запуск любых исполняемых файлов;
выгрузка произвольных файлов на удаленный сервер.

Кроме того, модуль обновления M.E.Doc позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1 — именно так на инфицированных компьютерах и был запущен Trojan.Encoder.12544. Подробнее о расследовании «Доктор Веб» читайте в опубликованной на нашем сайте статье.

Статистика

По данным статистики Антивируса Dr.Web

Trojan.DownLoader
Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.InstallCore
Семейство установщиков нежелательных и вредоносных приложений.
Trojan.BtcMine
Семейство вредоносных программ, которые втайне от пользователя применяют вычислительные ресурсы зараженного компьютера для добычи (майнинга) различных криптовалют – например, Bitcoin.

По данным серверов статистики «Доктор Веб»

JS.DownLoader
Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
JS.Inject.3
Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.InstallCore
Семейство установщиков нежелательных и вредоносных приложений.
Trojan.DownLoader
Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.PWS.Stealer
Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Статистика вредоносных программ в почтовом трафике

JS.DownLoader
Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
JS.Inject.3
Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.PWS.Stealer
Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
Trojan.Encoder.6218
Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
Trojan.InstallCore
Семейство установщиков нежелательных и вредоносных приложений.

По данным бота Dr.Web для Telegram

Android.Locker.139.origin
Представитель семейства Android-троянцев, предназначенных для вымогательства. Они показывают навязчивое сообщение якобы о нарушении закона и о последовавшей в связи с этим блокировке мобильного устройства, для снятия которой пользователю предлагается заплатить определенную сумму.
EICAR Test File
Специальный текстовый файл, предназначенный для тестирования работоспособности антивирусов. Все антивирусные программы при обнаружении такого файла должны реагировать на него в точности таким же образом, как в случае выявления какой-либо реальной компьютерной угрозы.
Joke.Locker.1.origin
Программа-шутка для ОС Android, блокирующая экран мобильного устройства и выводящая на него изображение «синего экрана смерти» ОС Windows (BSOD, Blue Screen of Death).
Android.SmsSend.20784
Представитель семейства вредоносных программ, предназначенных для отправки СМС-сообщений с повышенной тарификацией и подписки пользователей на различные платные контент-услуги и сервисы.
Trojan.PWS.Stealer
Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Шифровальщики

В июле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 34,80% обращений;
Trojan.Encoder.567 — 8,21% обращений;
Trojan.Encoder.761 — 3,19% обращений;
Trojan.Encoder.5342 — 3,04% обращений;
Trojan.Encoder.11423 — 2,13% обращений;
Trojan.Encoder.11432 — 1,98% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение июля 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 327 295 интернет-адресов.

Июнь 2017	Июль 2017	Динамика
+ 229 381	+ 327 295	+ 42,6%

В середине июля потенциально опасным для пользователей неожиданно стал портал государственных услуг Российской Федерации (gosuslugi.ru), на котором вирусные аналитики компании «Доктор Веб» обнаружили потенциально вредоносный код. Этот код заставлял браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо, как минимум 5 из которых принадлежали нидерландским компаниям. В процессе динамической генерации страницы сайта, к которой обращается пользователь, в код разметки веб-страниц добавляется контейнер , позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. Все уязвимости сайта gosuslugi.ru были устранены администрацией ресурса спустя несколько часов после публикации новости об этом инциденте.

Нерекомендуемые сайты

Другие события в сфере информационной безопасности

В 2011 году компания «Доктор Веб» сообщила о появлении троянца BackDoor.Dande, шпионящего за фармацевтическими компаниями и аптеками. Исследовав жесткий диск, предоставленный одной из пострадавших организаций, вирусные аналитики установили, что троянца скачивал и запускал в целевых системах один из компонентов приложения ePrica, которое используют руководители аптек для анализа цен на лекарства и выбора наиболее подходящих поставщиков. Этот модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал бэкдор на атакуемых компьютерах. При этом указанный модуль имел цифровую подпись «Спарго».

Проведенный компанией «Доктор Веб» анализ показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica. Среди модулей троянца присутствует установщик бэкдора, а также компоненты для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы 1C. Важно отметить, что даже после удаления ПО ePrica бэкдор оставался в системе и продолжал шпионить за пользователями. Подробности проведенного специалистами «Доктор Веб» исследования ПО ePrica изложены в опубликованной на нашем сайте статье.

Вредоносное и нежелательное ПО для мобильных устройств

В начале месяца специалисты компании «Доктор Веб» обнаружили троянца-загрузчика Android.DownLoader.558.origin в популярной игре BlazBlue, доступной в каталоге Google Play. Эта вредоносная программа могла незаметно скачивать и запускать непроверенные компоненты приложений. Позже вирусные аналитики исследовали опасного троянца Android.BankBot.211.origin. Он мог управлять зараженными мобильными устройствами, похищал конфиденциальную банковскую информацию и другие секретные сведения, в частности пароли. В конце месяца вирусные аналитики выявили троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек ОС Android и поместили в прошивку нескольких моделей мобильных устройств. Эта вредоносная программа внедрялась в процессы всех запускаемых программ и незаметно запускала троянские модули.

Наиболее заметные события, связанные с «мобильной» безопасностью в июле:

обнаружение Android-троянца в прошивке нескольких моделей мобильных устройств;
выявление в каталоге Google Play троянца-загрузчика;
появление банковского троянца, который мог управлять зараженными устройствами и крал конфиденциальную информацию.

Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

http://feedproxy.google.com/~r/drweb/viruses/~3/DK5rmdd5cLE/

Комментарии (0)

«Доктор Веб»: обзор вирусной активности для мобильных устройств в июле 2017 года

Понедельник, 31 Июля 2017 г. 03:00 + в цитатник

31 июля 2017 года

В июле специалисты компании «Доктор Веб» обнаружили на нескольких моделях Android-смартфонов предустановленного троянца, которого злоумышленники внедрили в системную библиотеку. Эта вредоносная программа проникала в процессы приложений и могла незаметно скачивать и запускать дополнительные модули. Кроме того, в каталоге Google Play была выявлена игра со встроенным в нее троянцем-загрузчиком. Также в июле вирусные аналитики исследовали опасного банковского троянца, получающего контроль над зараженными устройствами и крадущего конфиденциальные данные.

ГЛАВНЫЕ ТЕНДЕНЦИИ ИЮЛЯ

Обнаружение в прошивке нескольких моделей Android-устройств троянца, который внедрялся в процессы приложений и незаметно запускал вредоносные модули
Выявление троянца-загрузчика в каталоге Google Play
Появление опасного банковского троянца

Мобильная угроза месяца

В июле вирусные аналитики компании «Доктор Веб» выявили троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек ОС Android. Эта вредоносная программа проникает в процессы всех работающих приложений и может незаметно скачивать и запускать дополнительные троянские модули. Троянец был обнаружен сразу на нескольких моделях Android-устройств.

Особенности Android.Triada.231:

встраивание в системную библиотеку выполнено на уровне исходного кода;
проникает в процессы всех запускаемых приложений и внедряет в них вредоносные модули;
для удаления троянца с устройства требуется установка чистого образа операционной системы.

Подробнее о троянце рассказано в публикации, размещенной на сайте компании «Доктор Веб».

По данным антивирусных продуктов Dr.Web для Android

Android.DownLoader.337.origin
Android.DownLoader.526.origin: Троянские программы, предназначенные для загрузки других приложений.
Android.HiddenAds.85.origin
Android.HiddenAds.68.origin
Android.HiddenAds.83.origin: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Avazu.8.origin
Adware.SalmonAds.1.origin
Adware.Jiubang.1
Adware.Batmobi.4
Adware.Cootek.1.origin: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянец в Google Play

В июле специалисты компании «Доктор Веб» обнаружили в каталоге Google Play троянца Android.DownLoader.558.origin, встроенного в популярную игру BlazBlue. Эта вредоносная программа входит в состав программного модуля, предназначенного для оптимизации обновления ПО. Ее опасность заключается в том, что она способна незаметно скачивать и запускать непроверенные компоненты приложений. Подробная информация об Android.DownLoader.558.origin содержится в нашей новости.

Банковский троянец

В прошедшем месяце был обнаружен опасный банковский троянец Android.BankBot.211.origin, который пытался получить доступ к специальным возможностям (Accessibility Service) в ОС Android. С их помощью он мог управлять зараженными устройствами и красть всю вводимую на клавиатуре информацию, в том числе пароли. Кроме того, Android.BankBot.211.origin показывал фишинговые формы для ввода конфиденциальных данных поверх запускаемых банковских программ, ПО для работы с платежными сервисами и других приложений. С особенностями работы этого троянца можно ознакомиться, прочитав соответствующий материал на нашем сайте.

Вирусописатели по-прежнему атакуют пользователей мобильных Android-устройств. Они постоянно расширяют функционал троянцев и стараются распространять их всеми доступными способами. Для защиты от вредоносных приложений владельцам смартфонов и планшетов рекомендуется установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Скачать бесплатно

Первый российский антивирус для Android

Более 100 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/-nWFzjcaQCA/

Комментарии (0)

«Доктор Веб»: обзор вирусной активности для мобильных устройств в июле 2017 года

Понедельник, 31 Июля 2017 г. 03:00 + в цитатник

31 июля 2017 года

В июле специалисты компании «Доктор Веб» обнаружили на нескольких моделях Android-смартфонов предустановленного троянца, которого злоумышленники внедрили в системную библиотеку. Эта вредоносная программа проникала в процессы приложений и могла незаметно скачивать и запускать дополнительные модули. Кроме того, в каталоге Google Play была выявлена игра со встроенным в нее троянцем-загрузчиком. Также в июле вирусные аналитики исследовали опасного банковского троянца, получающего контроль над зараженными устройствами и крадущего конфиденциальные данные.

ГЛАВНЫЕ ТЕНДЕНЦИИ ИЮЛЯ

Обнаружение в прошивке нескольких моделей Android-устройств троянца, который внедрялся в процессы приложений и незаметно запускал вредоносные модули
Выявление троянца-загрузчика в каталоге Google Play
Появление опасного банковского троянца

Мобильная угроза месяца

В июле вирусные аналитики компании «Доктор Веб» выявили троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек ОС Android. Эта вредоносная программа проникает в процессы всех работающих приложений и может незаметно скачивать и запускать дополнительные троянские модули. Троянец был обнаружен сразу на нескольких моделях Android-устройств.

Особенности Android.Triada.231:

встраивание в системную библиотеку выполнено на уровне исходного кода;
проникает в процессы всех запускаемых приложений и внедряет в них вредоносные модули;
для удаления троянца с устройства требуется установка чистого образа операционной системы.

Подробнее о троянце рассказано в публикации, размещенной на сайте компании «Доктор Веб».

По данным антивирусных продуктов Dr.Web для Android

Android.DownLoader.337.origin
Android.DownLoader.526.origin: Троянские программы, предназначенные для загрузки других приложений.
Android.HiddenAds.85.origin
Android.HiddenAds.68.origin
Android.HiddenAds.83.origin: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Avazu.8.origin
Adware.SalmonAds.1.origin
Adware.Jiubang.1
Adware.Batmobi.4
Adware.Cootek.1.origin: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянец в Google Play

В июле специалисты компании «Доктор Веб» обнаружили в каталоге Google Play троянца Android.DownLoader.558.origin, встроенного в популярную игру BlazBlue. Эта вредоносная программа входит в состав программного модуля, предназначенного для оптимизации обновления ПО. Ее опасность заключается в том, что она способна незаметно скачивать и запускать непроверенные компоненты приложений. Подробная информация об Android.DownLoader.558.origin содержится в нашей новости.

Банковский троянец

В прошедшем месяце был обнаружен опасный банковский троянец Android.BankBot.211.origin, который пытался получить доступ к специальным возможностям (Accessibility Service) в ОС Android. С их помощью он мог управлять зараженными устройствами и красть всю вводимую на клавиатуре информацию, в том числе пароли. Кроме того, Android.BankBot.211.origin показывал фишинговые формы для ввода конфиденциальных данных поверх запускаемых банковских программ, ПО для работы с платежными сервисами и других приложений. С особенностями работы этого троянца можно ознакомиться, прочитав соответствующий материал на нашем сайте.

Вирусописатели по-прежнему атакуют пользователей мобильных Android-устройств. Они постоянно расширяют функционал троянцев и стараются распространять их всеми доступными способами. Для защиты от вредоносных приложений владельцам смартфонов и планшетов рекомендуется установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Скачать бесплатно

Первый российский антивирус для Android

Более 100 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/e9SoIV0vpFk/

Комментарии (0)

«Доктор Веб»: предустановленный на Android-устройствах троянец заражает процессы приложений и скачивает вредоносные модули

Четверг, 27 Июля 2017 г. 03:00 + в цитатник

27 июля 2017 года

Вирусные аналитики компании «Доктор Веб» обнаружили вредоносную программу, встроенную в прошивку нескольких мобильных устройств под управлением ОС Android. Троянец, получивший имя Android.Triada.231, внедрен в одну из системных библиотек. Он проникает в процессы всех работающих приложений и способен незаметно скачивать и запускать дополнительные модули.

Троянцы семейства Android.Triada внедряются в системный процесс компонента ОС Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря заражению Zygote они встраиваются в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое. После этого они незаметно скачивают и запускают различные вредоносные модули.

В отличие от других представителей этого семейства, которые для выполнения вредоносных действий пытаются получить root-привилегии, обнаруженный вирусными аналитиками «Доктор Веб» троянец Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Ее модифицированная версия была найдена сразу на нескольких мобильных устройствах, среди которых Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. Библиотека libandroid_runtime.so используется всеми Android-приложениями, поэтому вредоносный код в зараженной системе присутствует в памяти всех запускаемых приложений.

Внедрение Android.Triada.231 в эту библиотеку было выполнено на уровне исходного кода. Можно предположить, что к распространению троянца причастны инсайдеры либо недобросовестные партнеры, которые участвовали в создании прошивок зараженных мобильных устройств.

Android.Triada.231 встроен в libandroid_runtime.so таким образом, что он получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Поскольку служба Zygote начинает работу раньше других программ, первоначальный запуск троянца происходит именно через нее.

После инициализации вредоносная программа выполняет предварительную настройку ряда параметров, создает рабочий каталог и проверяет, в каком окружении она работает. Если троянец функционирует в среде Dalvik, он перехватывает один из системных методов, что позволяет ему отслеживать старт всех приложений и начинать вредоносную деятельность сразу после их старта.

Основная функция Android.Triada.231 — незаметный запуск дополнительных вредоносных модулей, которые могут загружать другие компоненты троянца. Для их запуска Android.Triada.231 проверяет наличие в созданной им ранее рабочей директории специального подкаталога. Его имя должно содержать значение MD5 имени программного пакета приложения, в процесс которого внедрился троянец. Если Android.Triada.231 находит такой каталог, он ищет в нем файл 32.mmd или 64.mmd (для 32- и 64-битных версий операционной системы соответственно). При наличии такого файла троянец расшифровывает его, сохраняет под именем libcnfgp.so, после чего загружает его в оперативную память с использованием одного из системных методов и удаляет расшифрованный файл с устройства. Если же вредоносная программа не находит нужный объект, она ищет файл 36.jmd. Android.Triada.231 расшифровывает его, сохраняет под именем mms-core.jar, запускает при помощи класса DexClassLoader, после чего также удаляет созданную копию.

В результате Android.Triada.231 способен внедрять самые разнообразные троянские модули в процессы любых программ и влиять на их работу. Например, вирусописатели могут отдать троянцу команду на скачивание и запуск вредоносных плагинов для кражи конфиденциальной информации из банковских приложений, модулей для кибершпионажа и перехвата переписки из клиентов социальных сетей и интернет-мессенджеров и т. п.

Кроме того, Android.Triada.231 может извлекать из библиотеки libandroid_runtime.so троянский модуль Android.Triada.194.origin, который хранится в ней в зашифрованном виде. Его основная функция — загрузка из Интернета дополнительных вредоносных компонентов, а также обеспечение их взаимодействия друг с другом.

Поскольку Android.Triada.231 встроен в одну из библиотек операционной системы и расположен в системном разделе, удаление его стандартными методами невозможно. Единственным надежным и безопасным способом борьбы с этим троянцем является установка заведомо чистой прошивки ОС Android. Специалисты «Доктор Веб» уведомили производителей скомпрометированных смартфонов об имеющейся проблеме, поэтому пользователям рекомендуется установить все возможные обновления, которые будут выпущены для таких устройств.

Подробнее о троянце

Защитите ваше Android-устройство с помощью Dr.Web

Купить онлайн Купить через Google Play Бесплатно

http://feedproxy.google.com/~r/drweb/viruses/~3/CPPkJWrdoXg/