Android-банкер просит проголосовать за него на фотоконкурсе |
26 октября 2015 года
Обнаруженный вирусными аналитиками «Доктор Веб» троянец, получивший имя Android.BankBot.80.origin, замаскирован злоумышленниками под официальное приложение-клиент одной из российских кредитных организаций и имеет соответствующее имя, а также значок, скопированный из настоящего банковского клиента для Android. Если обманутый пользователь установит и запустит троянца, тот попытается получить доступ к правам администратора мобильного устройства, демонстрируя соответствующий запрос снова и снова до тех пор, пока жертва не согласится выполнить требуемое действие. После этого Android.BankBot.80.origin удаляет ранее созданный на главном экране ярлык приложения и сразу же начинает вредоносную деятельность.
В частности, троянец сканирует адресную книгу пользователя и отправляет по всем найденным в ней телефонным номерам СМС-сообщение вида «Привет, проголосуй за меня http://******konkurs.ru/». При переходе по указанному в сообщении веб-адресу получатели данного СМС попадают на мошеннический сайт, якобы связанный с проводимым в настоящее время конкурсом фотографии. С данного веб-портала на мобильные устройства потенциальных жертв автоматически загружается одна из модификаций Android.BankBot.80.origin, детектируемая Антивирусом Dr.Web как Android.SmsBot.472.origin. Кроме того, на этом же на сайте владельцам смартфонов и планшетов под управлением различных операционных систем также предлагается установить специальную программу для участия в процессе голосования за лучшие работы фотографов. Однако это – лишь уловка киберпреступников, призванная «украсить» мошеннический портал: вне зависимости от того, какую мобильную платформу в итоге выберет пользователь, для загрузки ему будет предложен все тот же банкер, предназначенный для заражения ОС Android.
Одновременно с рассылкой СМС-спама Android.BankBot.80.origin соединяется с управляющим сервером и передает на него сообщение об успешном заражении Android-смартфона или планшета. Среди прочего в отправляемом запросе троянец указывает следующую информацию:
Затем Android.BankBot.80.origin ожидает поступления дальнейших команд злоумышленников, для чего с определенной периодичностью связывается с удаленным узлом на предмет появления новых указаний вирусописателей. Банкер может выполнить следующие директивы:
Основное предназначение данного троянца вполне традиционно – незаметная кража денег у российских клиентов ряда сотовых операторов, кредитных организаций, а также пользователей нескольких популярных платежных систем. В частности, вирусные аналитики «Доктор Веб» зафиксировали проверку банкером баланса мобильного телефона, банковского счета крупной кредитной организации, а также популярной платежной системы. Например, если на счету мобильного телефона жертвы имелись средства, Android.BankBot.80.origin пытался осуществить денежный перевод в пользу злоумышленников с использованием специализированных сервисных номеров, таких как 7878 и 3116. А если средства присутствовали на банковском счете или счете платежной системы, троянец предпринимал попытки похитить их, отправив соответствующую сервисную команду в СМС-сообщении. Кроме этого, банкер пытался получить доступ к личному кабинету сервиса мобильного оператора, а также одной из учетных записей банковского сервиса Visa популярной платежной системы.
Специалисты «Доктор Веб» обнаружили следующие номера телефонов и банковских карт, на которые киберпреступники пытались перевести деньги:
Вирусописатели реализовали в троянце весьма любопытный механизм, который призван продлить срок пребывания вредоносного приложения на зараженных устройствах как минимум до тех пор, пока троянец успешно не выполнит хищение средств. Т. к. Android.BankBot.80.origin осуществляет массовую рассылку СМС по всем имеющимся у пользователя контактам, рано или поздно у кого-нибудь из получателей сообщений должны возникнуть определенные сомнения в их происхождении. Наиболее простой и очевидный способ понять, действительно ли пришедшее СМС было отправлено вашим родственником, знакомым или коллегой – это позвонить на его номер и узнать лично. Поэтому, чтобы пользователя не смогли своевременно предупредить о наличии троянца на его мобильном устройстве, злоумышленники предусмотрели в функционале Android.BankBot.80.origin блокировку «опасных» для них звонков. Сразу после рассылки СМС-спама банкер инициализирует переадресацию всех входящих вызовов на номер +79009999999, тем самым не только лишая свою жертву возможности быть оперативно предупрежденным о наличии проблемы, но также и частично «отрезая» пострадавшего пользователя от внешнего мира.
Специалисты компании «Доктор Веб» в очередной раз настоятельно советуют владельцам мобильных устройств не устанавливать программы, полученные из ненадежных источников, а также игнорировать сомнительные СМС-сообщения и не переходить по указанным в них ссылкам. Все известные модификации троянца Android.BankBot.80.origin успешно обнаруживаются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей он не представляет опасности.
http://feedproxy.google.com/~r/drweb/viruses/~3/N2StoIA2vog/
|
|
Троянец маскируется под антивирусную утилиту |
16 октября 2015 года
Троянец, получивший наименование Trojan.BPLug.1041, был обнаружен при переходе из результатов поиска Google на взломанную злоумышленниками веб-страницу отечественного телеканала, посвященную одному из популярных российских телесериалов. Позже выяснилось, что компрометации подверглось еще несколько посещаемых интернет-ресурсов, в том числе связанных с телевизионными шоу. Если пользователь переходит на зараженный сайт с другого домена, а также при соблюдении ряда условий (использование 32-битной ОС семейства Windows или ОС семейства Mac OS X с архитектурой Intel и браузера, отличного от Opera), вредоносный скрипт открывает на вкладке, откуда был осуществлен переход, страницу злоумышленников. Встроенный в код этой веб-страницы специальный обработчик не позволяет закрыть данную вкладку, при нажатии клавиш или щелчке мышью демонстрируя на экране назойливое окно, предлагающее пользователю установить некое расширение для браузера. При этом злоумышленники выдают данное расширение за утилиту, якобы созданную широко известной компанией-производителем антивирусного ПО.
В процессе установки данный плагин требует у пользователя предоставить ему ряд специальных разрешений и после инсталляции отображается в списке установленных расширений Chrome под именем «Щит безопасности KIS».
Плагин, детектируемый Антивирусом Dr.Web как Trojan.BPLug.1041, включает в себя два обфусцированных файла на языке JavaScript. Основное предназначение троянца заключается в выполнении веб-инжектов, то есть встраивании постороннего содержимого в просматриваемые пользователем веб-страницы. При этом на всех сайтах вредоносная программа блокирует демонстрацию сторонней рекламы с любых доменов, кроме тех, список которых предусмотрен в ее конфигурации.
За отображение рекламы отвечает отдельная функция, с помощью которой троянец анализирует содержимое открытой пользователем веб-страницы. Если ее контекст включает порнографическое содержимое, Trojan.BPLug.1041 загружает рекламу соответствующей тематики из двух отдельных сетей. Кроме того, данное расширение содержит список сайтов, на которых троянец не показывает рекламу, среди них — fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru и некоторые другие. На сервер злоумышленников Trojan.BPLug.1041 отправляет сведения о других расширениях Chrome, установленных на инфицированном компьютере. При этом сервер может указать троянцу, какие расширения следует отключить.
Если пользователь авторизовался в «Одноклассниках», Trojan.BPLug.1041 пытается предоставить определенному приложению доступ к API этой социальной сети от имени жертвы путем авторизации по протоколу OAuth. При этом в процессе авторизации запрашиваются привилегии на изменение статуса, просмотр, редактирование, загрузку фотографий, просмотр и отправку сообщений от имени пользователя, а также некоторые другие. Можно предположить, что этот функционал используется злоумышленниками в различных рекламных целях — например, для продвижения групп, рассылки спама или каких-либо голосований.
Примечательно, что в интернет-магазине Chrome имеются целых три расширения с именем «Щит безопасности KIS», созданных одним и тем же автором, однако два из них по различным причинам нефункциональны. Общее число установок всех трех плагинов на сегодняшний день превышает 30 тысяч.
Специалисты компании «Доктор Веб» предостерегают пользователей от загрузки и инсталляции подозрительных расширений, полученных из недоверенных источников. Если в окне вашего браузера появилась подобная вкладка, не позволяющая себя закрыть, можно воспользоваться диспетчером задач, доступным в меню Google Chrome, и остановить соответствующий процесс браузера. Сигнатура Trojan.BPLug.1041 добавлена в вирусные базы Dr.Web, а веб-сайт, с которого распространялся этот троянец, — в списки нерекомендуемых для посещения интернет-ресурсов. Администрация взломанных злоумышленниками сайтов была своевременно проинформирована об инциденте.
http://feedproxy.google.com/~r/drweb/viruses/~3/E3UlD3_uguQ/
|
|
«Доктор Веб»: обзор вирусной активности в сентябре 2015 года |
1 октября 2015 года
С наступлением осени вирусописатели ничуть не снизили своей активности: в сентябре было зафиксировано распространение нескольких установщиков рекламных и нежелательных приложений — причем как для Windows, так и для Mac OS X, нового троянца, способного заражать POS-терминалы, а также различных вредоносных программ для ОС Linux и мобильной платформы Android.
POS-терминалы, работающие под управлением операционных систем семейства Microsoft Windows, всегда вызывали определенный интерес у киберпреступников, поскольку уже давно известны различные методы хищения треков банковских карт из памяти подобных устройств с использованием вредоносных программ. Одним из таких приложений является исследованный в сентябре специалистами компании «Доктор Веб» троянец Trojan.MWZLesson, представляющий собой модификацию другой опасной программы — BackDoor.Neutrino.50.
Trojan.MWZLesson может выполнять следующие команды:
Более подробные сведения об этом троянце можно почерпнуть в опубликованном на сайте компании «Доктор Веб» обзорном материале.
В течение сентября с использованием утилиты Dr.Web CureIt! было выявлено 155 554 503 нежелательных, потенциально опасных и вредоносных объекта.
Вирусные аналитики компании «Доктор Веб» продолжают наблюдать за функционированием бот-сетей, созданных злоумышленниками с использованием опасного файлового вируса Win32.Rmnet.12. Активность этих ботнетов в сентябре 2015 года показана на следующих иллюстрациях:
Rmnet — это семейство файловых вирусов, распространяющихся без участия пользователя, способных встраивать в просматриваемые пользователям веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов и выполнять различные команды, поступающие от злоумышленников.
Как и прежде, активен ботнет, состоящий из персональных компьютеров, инфицированных файловым вирусом Win32.Sector, — график этой активности показан на следующей иллюстрации:
Вирус Win32.Sector располагает следующими функциональными возможностями:
В сентябре 2015 года вновь активизировались злоумышленники, осуществляющие массированные DDoS-атаки с использованием Linux-троянца Linux.BackDoor.Gates.5. По сравнению с предыдущим месяцем количество таких атак увеличилось на 263.5% и составило 7572. При этом страны-лидеры по числу атакованных узлов в сравнении с данными за август поменялись местами: на первое место вышли США, а Китай занял уверенную вторую позицию. Географическое распределение целей злоумышленников, организующих DDoS-атаки с применением Linux.BackDoor.Gates.5, показано на следующей иллюстрации:
Количество запросов на расшифровку, поступивших в службу технической поддержки «Доктор Веб»
| Август 2015 | Сентябрь 2015 | Динамика |
|---|---|---|
| 1425 | 1310 | - 8 % |
Этого функционала нет в лицензии Антивирус Dr.Web для Windows
| Превентивная защита | Защита данных от потери |
|---|---|
 |  |
В сентябре специалистам компании «Доктор Веб» вновь пришлось столкнуться с троянцами для операционных систем семейства Linux. Наиболее интересными среди таковых оказались Linux.Ellipsis.1 и Linux.Ellipsis.2. Второй из них предназначен для взлома различных устройств методом перебора логинов и паролей по словарю. Чтобы обеспечить анонимность в процессе доступа к взломанным с его помощью устройствам, злоумышленники используют троянца Linux.Ellipsis.1. Примечательно и то, что эта вредоносная программа обладает весьма своеобразным поведением, которое вирусные аналитики компании «Доктор Веб» назвали «параноидальным».
Основное предназначение Linux.Ellipsis.1 заключается в организации на инфицированном компьютере прокси-сервера: его киберпреступники и используют для несанкционированного доступа к скомпрометированным устройствам, чтобы «замести следы». Для этой цели троянец контролирует соединения по заданному локальному адресу и порту, проксируя весь транслируемый через этот адрес и порт трафик.
«Параноидальность» поведения Linux.Ellipsis.1 заключается в том, что он располагает довольно обширным списком характерных строк, обнаруживая которые в сетевом трафике, троянец блокирует обмен данными с соответствующим удаленным сервером. Кроме того, эта вредоносная программа проверяет все сетевые подключения компьютера и отсылает на управляющий сервер IP-адрес, с которым установлено соединение. Если сервер отвечает командой "kill", троянец прекращает работу приложения, которое установило соединение, а заодно блокирует этот IP-адрес на два часа. Более детальную информацию об архитектуре и принципах работы этих вредоносных программ можно получить, ознакомившись с опубликованной нами обзорной статьей.
Установщиками рекламных и нежелательных приложений для ОС Windows в наши дни никого уже не удивишь, однако в сентябре вирусные аналитики компании «Доктор Веб» познакомились с очередной такой программой, предназначенной для операционной системы Mac OS X. Данный образец, получивший наименование Adware.Mac.WeDownload.1, представляет собой поддельный дистрибутив проигрывателя Adobe Flash Player и распространяется с использованием ресурсов партнерской программы, ориентированной на монетизацию файлового трафика.
После отсылки соответствующего запроса Adware.Mac.WeDownload.1 получает от управляющего сервера список приложений, которые будут предложены пользователю для установки. Среди них замечены как нежелательные, так и откровенно вредоносные программы, в том числе Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, различные представители семейства Trojan.Conduit и некоторые другие опасные приложения, при этом количество и состав устанавливаемых программ зависит от географической «привязки» IP-адреса жертвы.
Более подробно об этом установщике нежелательных программ читайте в нашей информационной статье.
Сентябрь 2015 года запомнится специалистам по информационной безопасности широким распространением установщиков нежелательных, рекламных и даже опасных приложений, создаваемых злоумышленниками в рамках различных партнерских программ, направленных на монетизацию файлового трафика.
Так, в начале месяца вирусные аналитики компании «Доктор Веб» исследовали вредоносную программу Trojan.InstallCube.339, которая может быть загружена потенциальными жертвами с различных поддельных файлообменных ресурсов или торрент-трекеров. После запуска этот троянец получает необходимые для своей работы данные с управляющего сервера и демонстрирует пользователю окно с информацией о загружаемом объекте, имеющее значок популярного торрент-клиента mTorrent. Особенность управляющих серверов данной вредоносной программы состоит в том, что они позволяют скачать полезную нагрузку только если обращающийся к ним компьютер имеет российский IP-адрес. Подробнее об этой вредоносной программе рассказано в опубликованной на сайте компании «Доктор Веб» обзорной статье.
Другой опасный установщик, о котором мы рассказывали в середине месяца, носит название Trojan.RoboInstall.1. Как и другие подобные программы, этот троянец распространяется с использованием файлообменных сайтов, поддельных торрентов и иных аналогичных интернет-ресурсов, созданных злоумышленниками. Такие вредоносные программы зачастую используют и сами авторы бесплатных приложений для их монетизации — они получают вознаграждение за каждую дополнительную утилиту, загруженную троянцем на компьютеры пользователей. В отличие от многих других установщиков рекламного ПО, в отображаемых Trojan.RoboInstall.1 диалоговых окнах зачастую отсутствуют флажки, позволяющие отказаться от инсталляции дополнительных программ, поэтому их запуск на исполнение осуществляется без каких-либо условий.
В конце сентября злоумышленники предприняли попытку распространения вредоносной программы в почтовой рассылке, осуществлявшейся якобы от имени компании «Доктор Веб».
Киберпреступники предлагали своим жертвам принять участие в тестировании несуществующей утилиты Dr.Web CureIt 2, под видом которой с принадлежащего вирусописателям сайта загружался троянец Trojan.PWS.Stealer.13052, предназначенный для хищения паролей. С целью увеличения числа заражений данной вредоносной программой злоумышленники предлагали потенциальным жертвам отключить работающий на их компьютерах антивирус, якобы потому, что «утилита» может конфликтовать с другим антивирусным ПО. Подробнее об этом инциденте мы рассказывали в опубликованном нами новостном материале.
В течение сентября 2015 года в базу нерекомендуемых и вредоносных сайтов было добавлено 399 227 интернет-адресов.
| Август 2015 | Сентябрь 2015 | Динамика |
|---|---|---|
| + 834 753 | + 399 227 | - 51.39 % |
Сентябрь оказался чрезвычайно насыщенным на события вирусной тематики, связанные с мобильными устройствами. Так, специалисты по информационной безопасности обнаружили массовое проникновение троянского приложения в каталог App Store, а также многочисленные случаи размещения различных вредоносных программ в каталоге Google Play. В середине месяца вирусные аналитики «Доктор Веб» зафиксировали очередной инцидент с участием троянца, предустановленного злоумышленниками в одну из официальных Android-прошивок. Кроме этого, пользователям вновь угрожали банковские троянцы, Android-вымогатели и другие вредоносные приложения.
Наиболее заметные тенденции в сфере мобильной безопасности в сентябре:
Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.
Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live
http://feedproxy.google.com/~r/drweb/viruses/~3/2C4wUzmSurU/
|
|
Внимание: вредоносная рассылка от имени «Доктор Веб» |
29 сентября 2015 года
В последнее время интернет-пользователям стали приходить по электронной почте сообщения, отправленные якобы от лица антивирусной компании «Доктор Веб». Письма имеют тему «Здравствуйте, [имя пользователя], станьте нашим Тестером» и содержат предложение принять участие в тестировании некой утилиты «Dr.Web CureIt 2». При этом злоумышленники предлагают потенциальной жертве перед установкой данной «утилиты» отключить работающий на компьютере антивирус, который якобы может вызвать конфликт с устанавливаемой программой.
Известный случай получения подобной рассылки зафиксирован 29 сентября, в 04:10 по московскому времени. Ссылка, указанная в письме, ведет на вредоносный сайт, с которого на компьютер пользователя загружается троянец Trojan.PWS.Stealer.13052.
Данная вредоносная программа предназначена для кражи паролей и другой конфиденциальной информации на инфицированном компьютере. Компания «Доктор Веб» предупреждает пользователей о том, что она не проводит тестирования утилиты «Dr.Web CureIt 2», и призывает не идти на поводу у мошенников – не загружать и не запускать никаких приложений, полученных по ссылке в подобных почтовых сообщениях.
Сигнатура вредоносной программы Trojan.PWS.Stealer.13052 добавлена в вирусные базы Dr.Web, а адрес мошеннического сайта — в базы нерекомендуемых для посещения интернет-ресурсов. Отключать антивирус категорически не рекомендуется ни при каких обстоятельствах.
http://feedproxy.google.com/~r/drweb/viruses/~3/1ibv4119LrI/
|
|
Троянец-параноик организует прокси-сервер в ОС Linux |
24 сентября 2015 года
Linux.Ellipsis.1 был разработан злоумышленниками для создания на атакованной машине прокси-сервера, однако этот образец отличается от других вредоносных программ для ОС Linux весьма своеобразным поведением, которое специалисты компании «Доктор Веб» назвали «параноидальным». На сегодняшний день достоверно известно, что киберпреступники используют прокси-сервер в целях обеспечения собственной анонимности для доступа к устройствам, взломанным при помощи другой вредоносной программы, — Linux.Ellipsis.2. В целом применяемая киберпреступниками схема атаки выглядит так: при помощи троянца Linux.Ellipsis.2 они получают несанкционированный доступ по протоколу SSH к какому-либо сетевому устройству или компьютеру, а затем используют этот доступ в различных противоправных целях, сохраняя анонимность посредством Linux.Ellipsis.1.
Однако обо всем по порядку.
После запуска на инфицированном ПК Linux.Ellipsis.1 удаляет свой рабочий каталог и очищает список правил для iptables, а затем пытается завершить ряд работающих приложений, в первую очередь — программы для ведения и просмотра логов, а также анализа трафика. После этого троянец удаляет существующие директории и файлы системных журналов и создает на их месте папки с соответствующими именами. Тем самым блокируется возможность создания логов с такими именами в будущем.
На следующем этапе троянец Linux.Ellipsis.1 модифицирует конфигурационный файл "/etc/coyote/coyote.conf" таким образом, чтобы он содержал строку: alias passwd=cat\n. Затем он удаляет ряд системных утилит из каталогов /bin/, /sbin/, /usr/bin/, добавляет атрибут «неизменяемый» (immutable) к некоторым необходимым для его дальнейшей работы файлам и блокирует IP-адреса подсетей, указанные в переданной троянцу команде или перечисленные в его конфигурационном файле. При этом под «блокировкой» понимается предотвращение приема или передачи пакетов информации с/на определенный IP-адрес по заданному порту или протоколу с помощью создания соответствующих правил iptables.
Как уже упоминалось ранее, основное предназначение Linux.Ellipsis.1 заключается в организации на инфицированном компьютере прокси-сервера. Для этой цели троянец контролирует соединения по заданному локальному адресу и порту, проксируя весь транслируемый через этот адрес и порт трафик.
Для вредоносной программы Linux.Ellipsis.1 характерно весьма необычное поведение: троянец имеет довольно обширный список характерных строк, обнаруживая которые в сетевом трафике он блокирует обмен данными с соответствующим удаленным сервером по IP-адресу. Список запрещенных слов также имеет вариативную часть, которая зависит от содержимого входного пакета. Например, если поступающий на зараженную машину пакет данных содержит строку «User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)», то в список добавляются значения «eapmygev.» и «ascuviej.». Кроме того, в своей работе Linux.Ellipsis.1 использует список подозрительных и игнорируемых слов.
«Параноидальность» поведения Linux.Ellipsis.1 заключается еще и в том, что помимо блокировки удаленных узлов по адресам из заложенного в него списка троянец проверяет все сетевые подключения компьютера и отсылает на управляющий сервер IP-адрес узла, с которым установлено соединение. Если сервер отвечает командой "kill", троянец прекращает работу приложения, которое установило соединение, а заодно блокирует этот IP-адрес с помощью iptables. В своем домашнем каталоге Linux.Ellipsis.1 создает файл с именем "ip.filtered", где вместо "ip" подставляется строчное представление заблокированного IP-адреса. Аналогичная проверка производится для процессов, имеющих в имени строку "sshd". IP-адреса из списков блокируются навсегда, в то время как все остальные — на 2 часа: отдельный процесс троянца раз в полчаса проверяет содержимое собственного домашнего каталога и ищет там файлы, созданные более двух часов назад, имя которых начинается с IP-адреса, после чего удаляет их и соответствующее правило в таблице iptables.
Вскоре после обнаружения описанной выше вредоносной программы специалисты компании «Доктор Веб» выявили троянца Linux.Ellipsis.2, являющегося, судя по ряду характерных признаков, творением того же самого автора и предназначенного для подбора паролей методом грубой силы (брутфорс). Аналогично Linux.Ellipsis.1, этот троянец в процессе своей работы очищает список правил для iptables и удаляет «мешающие» ему приложения, создает папки, предотвращающие возможность ведения операционной системой файлов журналов, и обращается за получением задания к управляющему серверу, адрес которого он принимает в качестве входного аргумента при запуске. Количество потоков сканирования и ssh-подключений Linux.Ellipsis.2 автоматически вычисляет на основе данных о частоте процессора зараженной машины.
Получаемое троянцем с управляющего сервера задание содержит IP-адрес подсети, которую вредоносная программа сканирует на наличие устройств с открытым SSH-подключением на порту 22. При обнаружении таких устройств троянец пытается получить к ним доступ, перебирая пары логин-пароль по имеющемуся у него словарю, а в случае успеха отправляет сообщение об этом на сервер злоумышленников.
Сигнатуры перечисленнных вредоносных программ добавлены в вирусные базы, и потому они не представляют опасности для пользователей Антивируса Dr.Web.
http://feedproxy.google.com/~r/drweb/viruses/~3/55G4TWKfBkc/
|
|
Опасный установщик распространяет троянцев для Mac OS X |
21 сентября 2015 года
Экземпляр Adware.Mac.WeDownload.1, поступивший в вирусную лабораторию компании «Доктор Веб», представляет собой поддельный дистрибутив проигрывателя Adobe Flash Player и имеет следующую цифровую подпись: "Developer ID Application: Simon Max (GW6F4C87KX)". Данный загрузчик распространяется с использованием ресурсов партнерской программы, ориентированной на монетизацию файлового трафика.
В процессе установки Adware.Mac.WeDownload.1 запрашивает права суперадминистратора операционной системы, и последовательно обращается для загрузки главного окна приложения к трем управляющим серверам, адреса которых «зашиты» в его конфигурационном файле. Если ни один из удаленных узлов не ответил, установщик завершает свою работу. В случае успешного получения отклика Adware.Mac.WeDownload.1 отсылает на управляющий сервер POST-запрос, содержащий конфигурационные данные загрузчика в формате JSON (JavaScript Object Notation), а в ответ получает HTML-страницу с содержимым демонстрируемого пользователю окна. Все дальнейшие GET- и POST-запросы установщик снабжает меткой текущего времени и цифровой подписью, формируемой по специальному алгоритму.
После отсылки соответствующего запроса Adware.Mac.WeDownload.1 получает от управляющего сервера список приложений, которые будут предложены пользователю для установки. Среди них замечены как нежелательные, так и откровенно вредоносные программы, в том числе Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, различные представители семейства Trojan.Conduit и некоторые другие опасные приложения.
Количество и состав устанавливаемых программ зависит от географической «привязки» IP-адреса жертвы. Если список приложений пуст, пользователю не будет предложено для установки ничего сверх того, что он изначально желал скачать.
Специалисты компании «Доктор Веб» вновь обращают внимание пользователей компьютеров Apple на необходимость соблюдать осторожность и не загружать приложения из подозрительных источников. Сигнатура Adware.Mac.WeDownload.1 добавлена в вирусные базы, и потому этот установщик не представляет опасности для пользователей Антивируса Dr.Web для Mac OS X.
http://feedproxy.google.com/~r/drweb/viruses/~3/YvzkbyX5Ssw/
|
|
Trojan.MWZLesson – троянец для POS-терминалов |
15 сентября 2015 года
POS-троянец, добавленный в вирусные базы Dr.Web под именем Trojan.MWZLesson, после своего запуска регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт. Этот код злоумышленники позаимствовали у другой предназначенной для заражения POS-терминалов вредоносной программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троянец передает на управляющий сервер.
Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer, – эти запросы троянец дублирует на принадлежащий злоумышленникам управляющий сервер. Кроме того, данная вредоносная программа может выполнять следующие команды:
Обмен данными с управляющим центром Trojan.MWZLesson осуществляет по протоколу HTTP, при этом пакеты, которые троянец отсылает на удаленный сервер, не шифруются, однако вредоносная программа использует в них специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от троянца запросы.
В процессе изучения внутренней архитектуры Trojan.MWZLesson вирусные аналитики компании «Доктор Веб» пришли к выводу, что этот троянец им хорошо знаком, поскольку часть его кода раньше встречалась им в составе другой вредоносной программы. Ею оказался BackDoor.Neutrino.50, урезанной и сокращенной версией которого по сути и является Trojan.MWZLesson.
BackDoor.Neutrino.50 — это многофункциональный бэкдор, использующий при своем распространении эксплойты для уязвимости CVE-2012-0158. Зафиксированы случаи загрузки этой вредоносной программы с различных взломанных злоумышленниками сайтов. При запуске BackDoor.Neutrino.50 проверяет наличие в своем окружении виртуальных машин, в случае обнаружения таковых троянец выводит сообщение об ошибке "An unknown error occurred. Error - (0x[случайное число])", после чего BackDoor.Neutrino.50 удаляет себя из системы.
Помимо функций троянца для POS-терминалов, данный бэкдор обладает возможностью красть информацию из почтового клиента Microsoft, а также учетные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных ftp-клиентов. Кроме директив, характерных для Trojan.MWZLesson, троянец BackDoor.Neutrino.50 умеет выполнять и другие команды, в частности, он способен осуществлять несколько типов DDoS-атак, удалять некоторые другие работающие на инфицированной машине вредоносные программы, а также может попытаться заразить компьютеры, доступные в локальной сети.
Сигнатуры этих троянцев добавлены в вирусные базы Dr.Web, поэтому они не представляют опасности для пользователей наших антивирусных продуктов.
http://feedproxy.google.com/~r/drweb/viruses/~3/6Z5RplF1t6c/
|
|
«Доктор Веб» предупреждает: троянец Trojan.RoboInstall.1 устанавливает нежелательные приложения |
14 сентября 2015 года
Как и многие другие установщики различного рекламного и «партнерского» ПО, Trojan.RoboInstall.1 распространяется с использованием файлообменных сайтов, поддельных торрентов и иных аналогичных интернет-ресурсов, созданных злоумышленниками. Такие вредоносные программы зачастую используют и сами программисты для монетизации своих бесплатных приложений — они получают вознаграждение за каждую дополнительную утилиту, установленную подобным троянцем на компьютеры пользователей. Запустившись на целевой машине, Trojan.RoboInstall.1 проверяет хранящуюся в его структурах конфигурационную информацию, и в случае если она повреждена или отсутствует, демонстрирует на экране сообщение об ошибке:
Адрес управляющего сервера хранится в конфигурационных данных Trojan.RoboInstall.1. На этот адрес троянец отправляет POST-запрос, содержащий массив информации в формате JSON (JavaScript Object Notation), сжатый при помощи библиотеки ZLIB. В ответ он принимает информацию о загружаемых исполняемых файлах и настройках демонстрации флажков для отказа их установки. Примечательно, что, в отличие от многих других установщиков рекламного ПО, в отображаемых Trojan.RoboInstall.1 диалоговых окнах такие флажки зачастую отсутствуют, и запуск на исполнение загружаемых троянцем файлов осуществляется без каких-либо дополнительных условий.
Компания «Доктор Веб» вновь напоминает читателям о необходимости проявлять бдительность, не загружать исполняемые файлы с подозрительных интернет-ресурсов и использовать на своих компьютерах современное антивирусное ПО. Сигнатура Trojan.RoboInstall.1 добавлена в вирусные базы, поэтому данная вредоносная программа не представляет опасности для пользователей Антивируса Dr.Web.
http://feedproxy.google.com/~r/drweb/viruses/~3/J0kllR_Q4GU/
|
|
«Доктор Веб» рекомендует: книга «PRO вирусы» - для всех, кто стремится к безопасности |
11 сентября 2015 года
Автор книги «PRO вирусы» освещает историю появления и эволюции компьютерных вирусов, рассказывает об этапах развития подпольного киберкриминального рынка, а также сравнивает различные типы вредоносных программ, их характеристики и деструктивные функции, приводит наиболее распространенные варианты их классификации. Отдельные главы посвящены рассмотрению путей распространения вирусов, способов заражения компьютера, архитектуре ботнетов и, конечно же, описывают методы противодействия современным киберугрозам.
«PRO вирусы»: рекомендуем к прочтению книгу аналитика компании «Доктор Веб»
Вот что сам автор рассказал пресс-службе «Доктор Веб» о своей книге.
— Читатель книги «PRO вирусы» – кто он?
— На практике я очень часто сталкиваюсь с тем, что не только простые пользователи, но даже некоторые IT-специалисты обладают довольно-таки поверхностными знаниями в сфере информационной безопасности, путаются в терминологии, доверяют различным домыслам и мифам. Особенно это становится заметно в процессе изучения статей некоторых отечественных журналистов, пишущих про вредоносные программы и называющих, например, классических троянцев «вирусами», или смешивающих понятия «уязвимость» и «эксплойт». Кроме того, неточностями часто грешат опубликованные в сети переводы материалов зарубежных авторов. Поэтому, когда издательство предложило мне написать эдакий «ликбез» по компьютерной вирусологии, я согласился не раздумывая. Иными словами, эта книга ориентирована на читателя, обладающего базовыми знаниями в компьютерной сфере и интересующегося вопросами информационной безопасности. Она — для всех, кто желает узнать, чем отличается, скажем, «буткит» от «руткита», и почему «боты» – это не только бабушкины зимние ботинки.
— Книга называется «PRO вирусы», однако ее тематика существенно шире. Удалось ли охватить все актуальные аспекты современного мира интернет-угроз? Ждать ли читателям продолжения?
— Объем книги был изначально фиксированным, таково было пожелание издательства. Уместить в заданные скромные рамки большой объем информации невозможно чисто физически. Поэтому книга, кстати, получилась именно «PRO вирусы», а не «PRO антивирусы» — собственно, методам противодействия вредоносным программам там посвящен лишь один относительно небольшой раздел. Так что тематика для дальнейшей работы в данном направлении, очевидно, есть, и если эта книга заинтересует читателей, будет и продолжение. О том, «чего бояться», я уже написал, надеюсь, что настанет время написать и о том, «как с этим бороться». Кроме того, я надеюсь, что время от времени мы будем обновлять книгу, чтобы актуализировать изложенную в ней информацию. Ну, а с появлением электронной версии, которую издательство планирует выпустить через несколько месяцев после выхода «бумажной», сделать это будет еще проще.
— Как ты считаешь: для пользователя, который стремится к максимальному уровню безопасности, знания являются приложением к антивирусу или, наоборот, антивирус – к знаниям? На что следует полагаться в большей степени?
— Полагаться, прежде всего, следует на здравый смысл, и не в последнюю очередь — на понимание процессов, которые могут привести к заражению. Именно их я и пытался описать на страницах книги. Безусловно, если пользователи безрассудно загружают приложения с сомнительных сайтов или устраивают чемпионат по скоростному открытию вложений в полученных от спамеров письмах, им, скорее всего, не поможет даже самый современный антивирус. Вирусописатели прекрасно владеют современным инструментарием для обхода антивирусного детекта, и до того момента, пока новый образец вредоносной программы не попадет в лабораторию антивирусной компании, на протяжении некоторого времени он может и вовсе не детектироваться защитным ПО. В то же время достаточно принять элементарные меры для обеспечения безопасности – например, регулярно делать резервные копии наиболее ценных файлов, использовать сложные пароли, не работать в системе под учетной записью с административными полномочиями, проверять полученные по электронной почте или загруженные из Интернета подозрительные файлы антивирусом или с помощью публичных сервисов вроде VirusTotal, и риск заражения можно заметно снизить. Но для этого нужно как минимум знать, чего опасаться. Praemonitus praemunitus — «предупреждён — значит вооружён».
— Какие из современных вредоносных программ являются твоими «любимыми» (если можно так выразиться) в плане их оригинальности или специфичности распространения? Нашли ли они свое место в книге?
— Каждая вредоносная программа по-своему интересна. Например, наиболее обширным и разнообразным функционалом обладают банковские троянцы — их всегда интересно описывать. Есть, конечно, и оригинальные вредоносные программы, например, BackDoor.Dande, шпионивший за аптекарями и фармацевтами, или Trojan.SteamBurglar, кравший виртуальные предметы и артефакты у поклонников компьютерных игр. Обо всех этих угрозах, кстати, мы писали и на нашем корпоративном сайте.
— Наряду с научными и техническими публикациями в твоем «багаже» есть и фантастические произведения. Если научно пофантазировать – как ты видишь противостояние вирусописателей и антивирусной индустрии, скажем, лет через 10?
— Противостояние никуда не денется: современный мир киберпреступности — это гигантская международная индустрия с многомиллионными оборотами, поэтому вирусописатели вряд ли захотят потерять столь лакомый кусок и дружно перейти на «светлую сторону силы». Следовательно, как используемые злоумышленниками технологии создания вредоносных программ, так и технологии противодействия им будут непрерывно развиваться. Разве что акценты, скорее всего, сместятся в сторону мобильных устройств и портативных гаджетов, которые год за годом постепенно вытесняют с рынка традиционные «настольные» ПК и ноутбуки. Через десять лет компьютерная индустрия станет преимущественно мобильной. Кстати, как раз сейчас я пишу научно-фантастическую книгу, посвященную, в том числе, противостоянию киберпреступников и их идеологических противников как раз в этот самый временной период — через 10 лет. В книге будет рассказываться о технологиях, которые в конечном итоге могут привести к явлению, называемому сейчас термином «кибервойна». Ожидается, что книга будет опубликована в начале 2016 года.
Во второй половине сентября книга появится в Москве - в магазинах «Библио-Глобус» (ул. Мясницкая, д. 6/3, стр. 1) и Московский Дом Книги (ул. Новый Арбат, д. 8).
http://feedproxy.google.com/~r/drweb/viruses/~3/Cstyjupcx7k/
|
|
«Доктор Веб» предупреждает об очередном установщике нежелательных программ |
9 сентября 2015 года
Как и многие другие установщики рекламных и нежелательных приложений, Trojan.InstallCube.339 может быть загружен пользователями с различных файлообменных сайтов и поддельных торрент-трекеров, специально созданных злоумышленниками для распространения вредоносного ПО.
Размер троянца Trojan.InstallCube.339 в упакованном виде составляет порядка 3,5 МБ. После распаковки в памяти компьютера он заполняет часть имеющихся в его структуре данных информацией об управляющих серверах — вероятно, это сделано с целью затруднить анализ данной вредоносной программы. После этого троянец собирает сведения о компьютере, на котором он запущен, и демонстрирует на экране окно с индикатором процесса загрузки.
После получения данных с управляющего сервера Trojan.InstallCube.339 отображает диалоговое окно с информацией о загружаемом объекте, при этом окно имеет значок популярного торрент-клиента mTorrent. Особенность управляющих серверов данной вредоносной программы состоит в том, что они позволяют скачать полезную нагрузку только в том случае, если обращающийся к ним клиентский компьютер имеет российский IP-адрес.
При щелчке мышью по едва заметной ссылке «Settings», расположенной в нижней части окна, пользователю демонстрируется список дополнительных программ, которые троянец установит на его компьютер. Обозначающие список данных приложений флажки являются неактивными, однако их можно сбросить в режиме «Выборочная установка».
Нажатие на кнопку «Сохранить» в предыдущем окне приводит к началу процесса загрузки требуемого пользователю файла и всех дополнительных программ. Перед завершением работы Trojan.InstallCube.339 удаляет себя.
Специалисты компании «Доктор Веб» вновь призывают пользователей соблюдать осмотрительность и не загружать файлы из подозрительных источников. При работе с торрент-трекерами лучше использовать проверенные клиентские программы, и, конечно же, устанавливать на своих компьютерах современное антивирусное ПО.
http://feedproxy.google.com/~r/drweb/viruses/~3/tyaLv-FP5ko/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных Android-устройств в августе 2015 года |
31 августа 2015 года
| Июль 2015 | Август 2015 | Динамика |
|---|---|---|
| 11 422 | 12 504 | +9,47% |
В августе специалисты компании «Доктор Веб» исследовали образец нового Android-троянца, созданного злоумышленниками для кибершпионажа. Эта вредоносная программа, получившая имя Android.Backdoor.260.origin, предназначена для слежки за китайскими пользователями и способна перехватывать СМС-сообщения, переписку в мессенджере QQ, красть информацию из телефонной книги, незаметно производить аудиозапись окружения с использованием встроенного микрофона, получать координаты зараженного мобильного устройства и перехватывать все вводимые жертвой данные.
Особенности Android.Backdoor.260.origin:
Более подробная информация об этом вредоносном приложении содержится в опубликованном специалистами компании «Доктор Веб» материале.
В августе пользователи мобильных Android-устройств вновь оказались под прицелом киберпреступников, охотившихся за деньгами на банковских счетах, однако активность таких злоумышленников была заметно ниже, чем в предыдущие месяцы. Как и прежде, вирусописатели использовали свой излюбленный способ распространения банковских троянцев, а именно – применяли спам-рассылку СМС-сообщений, в которых указывали ведущую на загрузку вредоносного приложения ссылку.
Так, среди южнокорейских пользователей Android распространялся троянец Android.MulDrop.69.origin, устанавливающий на мобильные устройства вредоносную программу Android.MulDrop.38, которая, в свою очередь, инсталлировала банкера Android.BankBot.74.origin.
В то же время при атаках на российских пользователей были замечены банковские троянцы Android.SmsBot.365.origin, а также Android.SmsBot.451.origin, которых вирусописатели распространяли под видом поступивших MMS-сообщений.
Число записей для банковских троянцев Android.BankBot в вирусной базе Dr.Web:
| Июль 2015 | Август 2015 | Динамика |
|---|---|---|
| 135 | 138 | +2,22% |
Число записей для банковских троянцев Android.SmsBot в вирусной базе Dr.Web:
| Июль 2015 | Август 2015 | Динамика |
|---|---|---|
| 473 | 495 | +4,65% |
В прошедшем месяце вирусные аналитики компании «Доктор Веб» вновь отметили заметный рост числа опасных троянцев-вымогателей семейства Android.Locker, которые блокируют мобильные устройства и требуют выкуп за их разблокировку. Число записей для Android-вымогателей в вирусной базе Dr.Web:
| Июль 2015 | Август 2015 | Динамика |
|---|---|---|
| 356 | 431 | +21% |
В августе увеличилось количество СМС-троянцев, отправляющих дорогостоящие сообщения на премиум-номера и подписывающих пользователей на ненужные платные услуги. Число записей для СМС-троянцев Android.SmsSend в вирусной базе Dr.Web:
| Июль 2015 | Август 2015 | Динамика |
|---|---|---|
| 5259 | 5728 | +9% |
http://feedproxy.google.com/~r/drweb/viruses/~3/2YssplYVjoM/
|
|
«Доктор Веб»: обзор вирусной активности в августе 2015 года |
28 августа 2015 года
Август 2015 года был отмечен появлением новой троянской программы, заражающей роутеры, которые работают под управлением операционной системы Linux, а также троянца-майнера, способного, подобно червю, самостоятельно копировать себя по локальной сети. Помимо этого в августе зафиксировано распространение опасного троянца-загрузчика, скрывавшегося в документах Microsoft Word, установщика нежелательных программ из семейства LoadMoney, а также нескольких новых вредоносных приложений, угрожающих пользователям мобильной платформы Android.
С возникновением электронных криптовалют на свет появились и троянские программы, предназначенные для их майнинга (добычи). Однако со временем объем вычислений, которые необходимо выполнить для успеха подобных операций, значительно возрос, в связи с чем популярность троянцев-майнеров стала понемногу падать. Вместе с тем в августе в вирусную лабораторию компании «Доктор Веб» поступил очередной образец такого троянца, получивший наименование Trojan.BtcMine.737.
По своей внутренней архитектуре Trojan.BtcMine.737 напоминает матрешку, состоящую из трех вложенных друг в друга установщиков: первый представляет собой дроппер — он пытается остановить процессы Trojan.BtcMine.737, если ранее они уже были запущены в системе, а затем извлекает из своего тела и помещает во временную папку исполняемый файл другого установщика, запускает его, а исходный файл удаляет. Второй установщик обладает возможностями, похожими на функционал сетевого червя: он сохраняет в одной из папок на диске атакованного компьютера и запускает исполняемый файл, затем создает свои копии в нескольких папках, к одной из которых автоматически открывает доступ из локальной сети. В целевых папках эти копии вредоносной программы отображаются в виде файла с именем Key, имеющего значок WinRAR-архива.
Затем троянец копирует себя в корневую папку всех дисков инфицированной машины, перечисляет доступные в сетевом окружении компьютеры и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка. Помимо этого, вредоносная программа пытается при наличии соответствующего оборудования организовать на инфицированном компьютере открытую точку доступа WiFi. Если вредоносной программе удалось получить доступ к одному из компьютеров в локальной сети, предпринимается попытка сохранить и запустить на нем копию троянца. Программа CNminer.exe, которую Trojan.BtcMine.737 сохраняет на диск на втором этапе своей установки, как раз и является установщиком утилиты для добычи (майнинга) криптовалюты. Более подробную информацию об этой вредоносной программе можно почерпнуть в опубликованной на нашем сайте статье.
Как и ранее, вирусные аналитики компании «Доктор Веб» продолжают внимательно отслеживать деятельность двух подсетей ботнета, созданного злоумышленниками с использованием зараженных файловым вирусом Win32.Rmnet.12 компьютеров. Их активность показана на следующих иллюстрациях:
Rmnet — это семейство файловых вирусов, распространяющихся без участия пользователя, способных встраивать в просматриваемые пользователям веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов и выполнять различные команды, поступающие от злоумышленников.
Проявляет активность и бот-сеть, состоящая из персональных компьютеров, зараженных опасным файловым вирусом Win32.Sector, — график этой активности показан на следующей иллюстрации:
Файловый вирус Win32.Sector обладает перечисленными ниже функциональными возможностями:
В августе 2015 года несколько активизировались администраторы ботнета Linux.BackDoor.Gates.5, с помощью которого злоумышленники осуществляют DDoS-атаки на различные веб-сайты. По сравнению с предыдущим месяцем количество таких атак увеличилось на 118,3% и составило 2083. При этом 86,7 % атакованных сайтов, как и прежде, расположены на территории Китая, а еще 10,7 % — в США.
Количество запросов на расшифровку, поступивших в службу технической поддержки «Доктор Веб»
| Июль 2015 | Август 2015 | Динамика |
|---|---|---|
| 1414 | 1425 | + 0,77 % |
Этого функционала нет в лицензии Антивирус Dr.Web для Windows
| Превентивная защита | Защита данных от потери |
|---|---|
| |
В августе 2015 года специалисты компании «Доктор Веб» исследовали большую группу вредоносных программ, совместно используемых злоумышленниками для целенаправленных атак на роутеры, работающие под управлением операционных систем семейства Linux.
Троянец, добавленный в вирусные базы Dr.Web под именем Linux.PNScan.1, предположительно устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с использованием уязвимости shellshock путем запуска сценария с соответствующими параметрами, а впоследствии его загружают и устанавливают на атакованные роутеры троянцы семейства Linux.BackDoor.Tsunami, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1. Единственным назначением Linux.PNScan.1 является взлом роутера и загрузка на него вредоносного скрипта, который устанавливает на маршрутизатор бэкдоры, собранные в соответствии с используемой роутером архитектурой, — ARM, MIPS или PowerPC. Если же с использованием уязвимости shellshock злоумышленникам удастся взломать компьютер с архитектурой Intel x86, в скрипте предусмотрена загрузка бэкдора и на такой случай. Данные бэкдоры могут выполнять различные поступающие от злоумышленников команды, одной из которых, в частности, является команда загрузки утилиты Tool.Linux.BrutePma.1, — с ее помощью осуществляется взлом административных панелей систем управления реляционными базами данных PHPMyAdmin.
Помимо перечисленных выше опасных приложений, вирусные аналитики компании «Доктор Веб» обнаружили на принадлежащих злоумышленникам серверах и другие вредоносные программы: среди них — еще одна модификация троянца Linux.PNScan.2, вредоносная программа Trojan.Mbot, предназначенная для взлома веб-сайтов, троянец Perl.Ircbot.13, который служит для поиска уязвимостей на сайтах, работающих с различными системами управления контентом и ПО для организации интернет-магазинов, а также некоторые другие. Всего вирусным аналитикам компании «Доктор Веб» известно о 1439 случаях заражения устройств с использованием перечисленных выше инструментов, при этом в 649 случаях выявлено географическое положение инфицированных устройств:
Более полную информацию об обнаруженных специалистами компании «Доктор Веб» вредоносных программах и сведения о данном инциденте можно получить, ознакомившись с опубликованной на нашем сайте подробной статьей.
В августе 2015 года вирусные аналитики компании «Доктор Веб» исследовали опасного троянца-загрузчика, распространявшегося в виде вложенного в сообщения электронной почты документа Word и получившего наименование W97M.DownLoader.507. Для ознакомления с якобы зашифрованным содержимым документа злоумышленники предлагают потенциальной жертве включить в редакторе Word использование макросов.
Если жертва соглашается выполнить это действие, ей демонстрируется полный текст документа, а в это время троянец загружает с удаленного сервера и собирает из фрагментов несколько вредоносных сценариев, которые, в свою очередь, скачивают с принадлежащего злоумышленникам узла и запускают опасного банковского троянца. Подробнее об этой угрозе читайте в опубликованной на сайте нашей компании обзорной статье.
Другая вредоносная программа, тщательно исследованная вирусными аналитиками «Доктор Веб» в августе, Trojan.LoadMoney.336, встречается на компьютерах пользователей достаточно часто и представляет собой установщик нежелательных приложений. Распространяется он следующим образом: при обращении жертвы к созданному злоумышленниками файлообменному ресурсу происходит автоматическое перенаправление на промежуточный сайт, с которого на компьютер осуществляется загрузка троянца Trojan.LoadMoney.336. После запуска троянец обращается на другой сервер, откуда получает зашифрованный конфигурационный файл. В этом файле содержатся ссылки на различные партнерские приложения, которые тоже загружаются из Интернета и запускаются на инфицированном компьютере, — среди них могут оказаться не только безобидные программы, но и опасные вредоносные приложения.
Более полная информация об этом троянце изложена в опубликованной нами тематической статье.
В течение августа 2015 года в базу нерекомендуемых и вредоносных сайтов было добавлено 834 753 интернет-адреса.
| Август 2015 | Динамика | |
|---|---|---|
| + 821 409 | + 834 753 | + 1,62 % |
В августе активность вредоносных приложений, предназначенных для работы на мобильных устройствах под управлением ОС Android, в целом была заметно ниже по сравнению с предыдущими месяцами наблюдений. Тем не менее, пользователи Android-смартфонов и планшетов по-прежнему оставались основной целью ориентированных на мобильный сегмент киберпреступников. Так, специалисты по информационной безопасности выявили очередного опасного Android-троянца, предназначенного для кибершпионажа. Кроме этого, вирусные аналитики «Доктор Веб» отметили рост числа новых Android-вымогателей, вредоносных программ-банкеров, а также СМС-троянцев. Наиболее заметные тенденции в сфере безопасности ОС Android в августе:
Более подробно о вирусной обстановке для мобильных Android-устройств в августе читайте в специально подготовленном обзоре.
Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live
http://feedproxy.google.com/~r/drweb/viruses/~3/YR_aZsy43Tk/
|
|
Очередной Android-троянец шпионит за китайскими пользователями |
25 августа 2015 года
Android.Backdoor.260.origin устанавливается на мобильные устройства в качестве приложения с именем «AndroidUpdate», поэтому весьма вероятно, что злоумышленники распространяют троянца под видом важного обновления ПО с целью обмануть потенциальных жертв и заставить их инсталлировать его.
Android.Backdoor.260.origin имеет весьма сложную модульную архитектуру: значительная часть его вредоносного функционала сосредоточена в специально созданных вирусописателями модулях, которые размещены внутри программного пакета вредоносного приложения. При первом старте троянец извлекает следующие вспомогательные компоненты:
Далее он пытается запустить на исполнение с root-привилегиями двоичный файл cInstall (детектируется антивирусом Dr.Web как Android.BackDoor.41). В случае успеха этот вредоносный модуль помещает в системные каталоги мобильного устройства ряд извлеченных ранее файлов, а также пытается незаметно установить специализированную утилиту под названием «Substrate», расширяющую возможности приложений и используемую Android.Backdoor.260.origin для перехвата вводимых данных. Если же root-полномочия вредоносной программе предоставлены не были, то с большой долей вероятности проинсталлировать требуемые компоненты ей не удастся, в результате чего троянец не сможет корректно выполнять большинство своих функций.
После успешной установки всех необходимых модулей Android.Backdoor.260.origin удаляет созданный им ранее ярлык приложения и запускает вредоносный системный сервис PowerDetectService, активирующий работу троянского модуля libnativeLoad.so, добавленного в вирусную базу Dr.Web как Android.BackDoor.42, а также утилиты Substrate (Tool.Substrate.1.origin по классификации компании «Доктор Веб»). Важно отметить, что сама по себе эта утилита не является вредоносной и доступна для загрузки в каталоге Google Play. Однако в данном случае она была несколько модифицирована вирусописателями и интегрирована в Android.Backdoor.260.origin, в результате чего стала являться потенциально опасной для пользователей.
Задействованный троянцем вредоносный компонент libnativeLoad.so запускает на исполнение файл detect (Android.BackDoor.45), который инициализирует работу двоичного модуля 1.dat (Android.BackDoor.44). В свою очередь, он активирует работу троянской библиотеки libsleep4.so (Android.BackDoor.46), которая в постоянном режиме создает снимки экрана зараженного устройства и перехватывает вводимые на клавиатуре данные, а также библиотеки libstay2.so (Android.BackDoor.43), крадущей информацию из телефонной книги и отслеживающей СМС-сообщения и переписку в мессенджере QQ.
Кроме этого, троянский компонент 1.dat способен принимать от управляющего сервера целый ряд команд, среди которых можно выделить следующие:
Примечательно, что часть полученных команд выполняется модулем 1.dat самостоятельно, в то время как для исполнения остальных он обращается к функционалу других троянских библиотек, которые тесно взаимодействуют между собой через сокеты UNIX с использованием следующих двухбайтовых команд:
Специалисты компании «Доктор Веб» в очередной раз призывают владельцев мобильных Android-устройств отказаться от установки сомнительных приложений, полученных из не вызывающих доверия источников, а также рекомендуют использовать надежную антивирусную программу. Записи для троянца Android.Backdoor.260.origin и всех его вредоносных компонентов внесены в вирусную базу Dr.Web, поэтому для пользователей антивирусных продуктов Dr.Web для Android они не представляют угрозы.
http://feedproxy.google.com/~r/drweb/viruses/~3/A6BTr1z8ao8/
|
|
Trojan.LoadMoney – популярный установщик нежелательных программ |
19 августа 2015 года
Эта вредоносная программа-установщик, созданная вирусописателями для монетизации файлового трафика, использует в процессе своей работы следующий принцип. Потенциальная жертва злоумышленников отыскивает на принадлежащем им файлообменном сайте нужный файл и пытается его скачать. В этот момент происходит автоматическое перенаправление пользователя на промежуточный сайт, с которого на компьютер жертвы осуществляется загрузка троянца Trojan.LoadMoney.336. После запуска троянец обращается на другой сервер, откуда он получает зашифрованный конфигурационный файл. В этом файле содержатся ссылки на различные партнерские приложения, которые тоже загружаются из Интернета и запускаются на инфицированном компьютере, а также на рекламное и откровенно вредоносное ПО: так, вирусным аналитикам известно о том, что Trojan.LoadMoney.336 загружает троянца Trojan.LoadMoney.894, который, в свою очередь, скачивает Trojan.LoadMoney.919 и Trojan.LoadMoney.915, а последний загружает и устанавливает на зараженной машине Trojan.Zadved.158.
После запуска троянец выполняет ряд манипуляций в системе, чтобы облегчить собственную работу и затруднить свое опознание среди других действующих процессов. В частности, он запрещает завершение работы Windows, возвращая при попытке выключения компьютера ошибку «Выполняется загрузка и установка обновлений». После успешной инициализации Trojan.LoadMoney.336 ожидает остановки курсора мыши, затем запускает две собственные копии, а исходный файл удаляет.
Троянец собирает на зараженном компьютере и передает злоумышленникам следующую информацию:
Затем Trojan.LoadMoney.336 обращается к своему управляющему серверу с GET-запросом и получает от него зашифрованный ответ, содержащий ссылки для последующей загрузки файлов. Их скачивание выполняется в отдельном потоке: троянец отправляет на содержащий требуемые файлы сервер соответствующий HEAD-запрос, и, в случае если тот возвращает ошибку 405 (Method Not Allowed) или 501 (Not Implemented), на сервер отправляется повторный GET-запрос. Если указанная в конфигурационных данных ссылка на целевой файл оказывается корректной, троянец извлекает информацию о длине файла и его имени из ответа сервера, после чего начинает загрузку приложения.
Помимо ссылок на загружаемые и устанавливаемые компоненты зашифрованный конфигурационный файл содержит также сведения о диалоговом окне, которое демонстрируется пользователю перед их установкой.
На иллюстрации хорошо видно, что флажки, с помощью которых можно отключить устанавливаемые на компьютер пользователя компоненты, по умолчанию неактивны, однако третий из них при наведении на него курсора мыши неожиданно активизируется и позволяет сбросить первые два.
Помимо Trojan.LoadMoney аналогичные схемы, позволяющие злоумышленникам зарабатывать на незаметной установке пользователям различных нежелательных программ, реализуют и другие партнерские программы. Специалисты компании «Доктор Веб» напоминают о необходимости использовать на компьютере современное антивирусное ПО, а также о том, что пользователям следует проявлять осмотрительность и не загружать какие-либо приложения с подозрительных сайтов.
http://feedproxy.google.com/~r/drweb/viruses/~3/xeeNHrm3S8A/
|
|
Троянец-загрузчик скрывается в документах Word |
14 августа 2015 года
W97M.DownLoader.507 представляет собой документ Microsoft Word, распространяющийся в виде вложения в электронные письма. Так, образец, полученный специалистами компании «Доктор Веб», маскировался под пересылаемое по почте факсимильное сообщение, однако в процессе формирования письма злоумышленники ошиблись с указанной в параметрах датой его создания.
Сам документ якобы зашифрован с использованием алгоритма RSA, и для ознакомления с его содержимым злоумышленники предлагают потенциальной жертве включить в редакторе Word использование макросов.
Документ также содержит якобы пустую страницу, на которой, тем не менее, находится полная версия письма, набранная шрифтом белого цвета, — этот текст отображается после включения пользователем макросов в настройках редактора.
После включения макросов пользователю демонстрируется полный текст документа, а в это время троянец загружает с удаленного сервера несколько фрагментов кода, формирует из них файлы сценариев в форматах .bat, .vbs или .ps1 в зависимости от установленной на компьютере версии Windows, сохраняет их на диск компьютера и запускает на исполнение. Сценарии, в свою очередь, скачивают с принадлежащего злоумышленникам сервера и запускают исполняемый файл — в качестве такового с помощью данного образца W97M.DownLoader.507 на атакуемый компьютер проникает опасный банковский троянец Trojan.Dyre.553.
Специалисты компании «Доктор Веб» вновь напоминают пользователям о необходимости проявлять осторожность и осмотрительность: не следует открывать вложенные в сообщения от неизвестных отправителей документы Microsoft Office, не проверив их безопасность с использованием антивирусной программы, и тем более не стоит включать в настройках Word запуск макросов при открытии подобных документов.
http://feedproxy.google.com/~r/drweb/viruses/~3/e6lMnXEo2h0/
|
|
Троянец-майнер самостоятельно распространяется по сети |
6 августа 2015 года
По своей внутренней архитектуре Trojan.BtcMine.737 напоминает матрешку, состоящую из трех вложенных друг в друга установщиков, созданных злоумышленниками с использованием технологии Nullsoft Scriptable Install System (NSIS). Первый слой этого своеобразного «сэндвича» представляет собой довольно-таки простой дроппер: он пытается остановить процессы Trojan.BtcMine.737, если ранее они уже были запущены в системе, а затем извлекает из своего тела и помещает во временную папку исполняемый файл другого установщика, запускает его, а исходный файл удаляет.
Второй установщик обладает чуть более широкими возможностями, похожими на функционал сетевого червя. В первую очередь он сохраняет в одной из папок на диске атакованного компьютера и запускает исполняемый файл CNminer.exe, который также представляет собой NSIS-установщик, затем создает собственную копию в папке автозагрузки, в папке «Документы» пользователя Windows и во вновь созданной на диске директории, к которой автоматически открывает доступ из локальной сети. В целевых папках эти копии вредоносной программы отображаются в виде файла с именем Key, имеющего значок WinRAR-архива.
Затем троянец копирует себя в корневую папку всех дисков инфицированной машины (эту операцию он повторяет с определенной периодичностью), перечисляет доступные в сетевом окружении компьютеры и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка. Помимо этого, вредоносная программа пытается подобрать пароль к локальной учетной записи пользователя Windows. Если это удается, Trojan.BtcMine.737 при наличии соответствующего оборудования запускает на инфицированном компьютере открытую точку доступа WiFi. Если вредоносной программе удалось получить доступ к одному из компьютеров в локальной сети, предпринимается попытка сохранить и запустить на нем копию троянца либо с использованием инструментария Windows Management Instrumentation (WMI), либо при помощи планировщика заданий.
Программа CNminer.exe, которую Trojan.BtcMine.737 сохраняет на диск на втором этапе своей установки, как раз и является установщиком утилиты для добычи (майнинга) криптовалюты. Запустившись на инфицированном компьютере, приложение CNminer.exe сохраняет в текущей папке исполняемые файлы майнера для 32-разрядной и 64-разрядной архитектур, а также текстовый файл с необходимыми для его работы конфигурационными данными. Ссылку на исполняемый файл троянец вносит в отвечающую за автоматический запуск приложений ветвь системного реестра Windows, и, кроме того, сохраняет ярлык на него в стандартной папке автозапуска. После старта установщика содержащийся в нем сценарий останавливает уже работающие процессы майнеров (если они были запущены ранее), затем обращается к своему управляющему серверу, который возвращает ему в виде HTML-файла дополнительные конфигурационные данные с параметрами пулов и номерами электронных кошельков, причем эти номера периодически меняются. Следует отметить, что в качестве майнера для добычи криптовалюты злоумышленники используют утилиту другого разработчика, детектируемую Антивирусом Dr.Web как программу из семейства Tool.BtcMine. Создатель этой утилиты распространяет ее на условии оплаты комиссии в размере 2,5% от всей добытой с ее помощью криптовалюты, поэтому вирусописатели автоматически направляют ему часть своей незаконной выручки в качестве комиссионных.
Поскольку Trojan.BtcMine.737 обладает способностью к самостоятельному распространению по локальной сети, он может представлять опасность для компьютеров, не защищенных антивирусными программами. Антивирус Dr.Web детектирует и успешно удаляет этого троянца, поэтому пользователи продукции «Доктор Веб» надежно защищены от действий данного майнера.
http://feedproxy.google.com/~r/drweb/viruses/~3/_WpvPU-vUSw/
|
|
Новый троянец для Linux заражает роутеры |
4 августа 2015 года
Механизм распространения троянца Linux.PNScan.1 достаточно своеобразен: вирусные аналитики компании «Доктор Веб» предполагают, что изначально он устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с использованием уязвимости shellshock путем запуска сценария с соответствующими параметрами, а впоследствии его загружают и устанавливают на атакованные роутеры троянцы семейства Linux.BackDoor.Tsunami, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1. Единственным назначением Linux.PNScan.1 является взлом роутера и загрузка на него вредоносного скрипта, который устанавливает на маршрутизатор бэкдоры, собранные в соответствии с используемой роутером архитектурой, — ARM, MIPS или PowerPC. Если же с использованием уязвимости shellshock злоумышленникам удастся взломать компьютер с архитектурой Intel x86, в скрипте предусмотрена загрузка бэкдора и на такой случай.
При запуске Linux.PNScan.1 используются входные параметры, определяющие диапазон IP-адресов для последующего сканирования, а также тип атаки. При проведении атак используются RCE-уязвимости с целью запуска соответствующего sh-сценария: так, для роутеров производства компании Linksys применяется атака на уязвимость в протоколе HNAP (Home Network Administration Protocol) и уязвимость CVE-2013-2678, при этом с целью авторизации троянец пытается подобрать сочетание логина и пароля по специальному словарю. Кроме того, Linux.PNScan.1 активно использует уязвимость ShellShock (CVE-2014-6271) и уязвимость в подсистеме удаленного вызова команд маршрутизаторов Fritz!Box.
Загружаемые троянцем Linux.PNScan.1 вредоносные приложения детектируются антивирусным ПО Dr.Web как Linux.BackDoor.Tsunami.133 и Linux.BackDoor.Tsunami.144. Данные вредоносные программы регистрируют себя в списке автозагрузки атакованного маршрутизатора, после чего, выбрав из списка адрес управляющего сервера, подключаются к нему с использованием протокола IRC. Это — многофункциональные бэкдоры, способные осуществлять DDoS-атаки различных типов (в том числе ACK Flood, SYN Flood ,UDP Flood), а также выполнять поступающие от злоумышленников команды. Одной из таких команд служит директива загрузки утилиты Tool.Linux.BrutePma.1, с использованием которой осуществляется взлом административных панелей систем управления реляционными базами данных PHPMyAdmin. В процессе запуска этот скрипт получает диапазон IP-адресов и два файла, в одном из которых расположен словарь для подбора пары login:password, а в другом — путь к административной панели PHPMyAdmin.
С использованием команд, отдаваемых злоумышленниками инфицированным роутерам, распространяется и троянец Linux.BackDoor.Tsunami.150, также предназначенный для организации DDoS-атак и способный выполнять другие вредоносные функции. Этот бэкдор обладает широким функционалом по подбору паролей для несанкционированного доступа к удаленным узлам по протоколу SSH. В случае успеха этой операции в зависимости от типа атаки на скомпрометированном устройстве Linux.BackDoor.Tsunami.150 либо выполняет сценарий для загрузки бэкдора Linux.BackDoor.Tsunami.133 и Linux.BackDoor.Tsunami.144, либо собирает информацию об ОС устройства и направляет ее злоумышленникам. Технически упомянутые бэкдоры семейства Linux.BackDoor.Tsunami могут использоваться для доставки жертвам любых троянских программ.
Вскоре специалисты компании «Доктор Веб» обнаружили новую модификацию данного троянца, добавленную в базы под именем Linux.PNScan.2. В этой версии вредоносной программы упор был сделан не на эксплуатацию уязвимостей, а на получение несанкционированного доступа к удаленным устройствам, на которых применяются стандартные пароли. Троянец генерирует список IP-адресов и пытается соединиться с ними по протоколу SSH, используя сочетание логина и пароля root;root; admin;admin; или ubnt;ubnt. В случае успеха он помещает в папку "/tmp/.xs/" атакованного устройства набор своих файлов (в зависимости от модели скомпрометированного устройства существуют наборы файлов для архитектур ARM, MIPS, MIPSEL, x86) и запускает их. Периодически Linux.PNScan.2 вновь опрашивает устройства по списку, и, если они оказались вылеченными, заражает их снова.
Также на используемом злоумышленниками сервере вирусные аналитики компании «Доктор Веб» обнаружили другие вредоносные программы, среди них — троянец Trojan.Mbot, предназначенный для взлома веб-сайтов, работающих с системами управления контентом WordPress, Joomla, а также использующих ПО для организации интернет-магазина osCommerce. Еще один троянец, обнаруженный там же, получил наименование Perl.Ircbot.13 — он предназначен для поиска уязвимостей на сайтах, работающих с системами управления контентом WordPress, Joomla, e107, WHMCS, а также использующих ПО для организации интернет-магазинов Zen Cart и osCommerce. Взломанные киберпреступниками сайты использовались в качестве прокси-серверов, а также для распространения применяемых в атаках инструментов. Еще одна обнаруженная аналитиками на принадлежащем злоумышленникам сервере программа предназначена для взлома серверов SMTP с использованием метода грубой силы (брутфорс), она получила название Tool.Linux.BruteSmtp.1. Кроме нее там же была найдена программа для массовой рассылки спама Perl.Spambot.2, которая использовалась злоумышленниками для отправки фишинговых сообщений якобы от имени международной платежной системы VISA.
Всего вирусным аналитикам компании «Доктор Веб» известно о 1439 случаях заражения устройств с использованием перечисленных выше инструментов, при этом в 649 случаях выявлено географическое положение инфицированных устройств. Наибольшее их количество располагается на территории Японии, чуть меньше – в Германии, США и Тайване. Распространение взломанных злоумышленниками устройств по странам мира показано на следующей иллюстрации:
Сигнатуры данных вредоносных программ добавлены в вирусные базы Антивируса Dr.Web для Linux.
http://feedproxy.google.com/~r/drweb/viruses/~3/cpQGC9JWdIU/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных Android-устройств в июле 2015 года |
3 августа 2015 года
| Июнь 2015 | Июль 2015 | Динамика |
|---|---|---|
| 10 144 | 11 422 | +12,6% |
В июле был обнаружен весьма примечательный Android-троянец, добавленный в вирусную базу Dr.Web как Android.Poder.1. Это вредоносное приложение, внедренное злоумышленниками в целый ряд безобидных программ (преимущественно игр), осуществляет кражу конфиденциальных данных, может рассылать по всем контактам из телефонной книги пользователя СМС-сообщения со ссылкой на загрузку копии троянца, а также демонстрирует различные рекламные сообщения, принося прибыль своим создателям. Помимо показа рекламы, Android.Poder.1 обладает еще одним инструментом монетизации. В частности, для доступа к некоторым функциям, которые в оригинальных приложениях были бесплатными, пользователям предлагается совершить небольшой платеж, который в итоге поступает предприимчивым вирусописателям. Особенности данного троянца:
В прошедшем июле специалисты по информационной безопасности выявили очередных Android-троянцев, которые были загружены вирусописателями в каталог Google Play. Данные вредоносные программы получили по классификации компании «Доктор Веб» имена Android.Spy.134 и Android.Spy.135 и скрывались в безобидных, на первый взгляд, играх. Эти троянцы были способны демонстрировать на экране поддельное окно аутентификации приложения-клиента Facebook, запрашивая у владельцев мобильных устройств логин и пароль от их учетных записей, и передавали введенные данные на удаленный сервер. Вскоре после этого многие пользователи социальной сети, находящиеся в списке контактов жертв, могли получить сообщение от «друга», в котором рекомендовалось установить игру, перейдя по указанной ссылке. Благодаря такому приему создатели троянцев добились значительных успехов в их распространении: на момент удаления Android.Spy.134 и Android.Spy.135 из каталога Google Play в общей сложности они были загружены более 500 000 раз.
Особенности данных троянцев:
В конце июля вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play другого троянца, получившего имя Android.DownLoader.171.origin. Это вредоносное приложение предназначено для загрузки и установки различных программ на мобильные устройства. Кроме того, по команде вирусописателей оно способно удалять уже установленное ПО. Еще одной вредоносной функцией Android.DownLoader.171.origin является демонстрация рекламы в панели нотификаций операционной системы.
На момент обнаружения этого троянца в каталоге Google Play его успели скачать более 100 000 пользователей. Однако злоумышленники распространяли данное приложение и на других популярных онлайн-площадках, ориентированных, преимущественно, на китайскую аудиторию. В результате общее число установивших Android.DownLoader.171.origin владельцев Android-устройств превысило 1,5 миллиона. Подробнее о троянце рассказано в опубликованном материале на сайте компании «Доктор Веб».
В минувшем месяце вирусная база Dr.Web пополнилась сразу несколькими новыми записями для троянцев-бэкдоров семейства Android.Backdoor, предназначенных для выполнения на зараженных мобильных устройствах различных нежелательных действий по команде вирусописателей. В частности, среди выявленных вредоносных программ такого типа стоит отметить троянцев Android.Backdoor.114.origin и Android.Backdoor.213.origin. Данные бэкдоры распространялись вирусописателями в модифицированных ими безобидных приложениях и были способны красть у пользователей различную конфиденциальную информацию, а также незаметно загружать и устанавливать другие приложения. Ко всему прочему, троянец Android.Backdoor.114.origin пытался получить root-доступ в инфицированной системе для того, чтобы выполнить свою установку в системный каталог, обеспечив себе тем самым определенную защиту от своего удаления.
Число записей для троянцев семейства Android.Backdoor в вирусной базе Dr.Web:
| Июнь 2015 | Июль 2015 | Динамика |
|---|---|---|
| 214 | 257 | +20,1% |
В июле было выявлено большое число новых троянцев-вымогателей семейства Android.Locker. Эти опасные вредоносные приложения блокируют мобильные устройства и требуют у пользователей выкуп за их разблокировку. Число записей для Android-вымогателей в вирусной базе Dr.Web:
| Июнь 2015 | Июль 2015 | Динамика |
|---|---|---|
| 301 | 356 | +14,8% |
В июле злоумышленники продолжили распространять всевозможных троянцев, предназначенных для кражи денег с банковских счетов. Так, южнокорейские вирусописатели вновь организовали несколько спам-кампаний по рассылке СМС-сообщений, в которых указывалась ссылка на загрузку копии того или иного вредоносного Android-приложения. По сравнению с предыдущими месяцами, число таких атак было невелико и составило менее десятка.
При этом в июле киберпреступники из Южной Кореи при помощи СМС-спама распространяли следующих Android-троянцев:
Число записей для банковских троянцев Android.BankBot в вирусной базе Dr.Web:
| Июнь 2015 | Июль 2015 | Динамика |
|---|---|---|
| 122 | 135 | +10,65% |
Также в прошедшем месяце было обнаружено большое число новых СМС-троянцев, отправляющих дорогостоящие сообщения на премиум-номера и подписывающих пользователей на ненужные платные услуги. Число записей для СМС-троянцев Android.SmsSend в вирусной базе Dr.Web:
| Июнь 2015 | Июль 2015 | Динамика |
|---|---|---|
| 4745 | 5259 | +10,83% |
http://feedproxy.google.com/~r/drweb/viruses/~3/Mgm_f36zj3Y/
|
|
«Доктор Веб»: обзор вирусной активности в июле 2015 года |
30 июля 2015 года
В июле 2015 года вновь активизировались вирусописатели, создающие вредоносные программы для операционных систем семейства Linux. Также вирусные базы Dr.Web пополнились новыми записями для троянцев, угрожающих пользователям ОС Windows. Не сидят сложа руки и злоумышленники, создающие опасное ПО для мобильной платформы Google Android: в июле вирусные аналитики компании «Доктор Веб» обнаружили множество подобных троянцев, а одного из них пользователи даже скачали с различных интернет-ресурсов более 1,5 млн. раз.
Вредоносные программы, предназначенные для демонстрации жертвам назойливой рекламы при открытии в окне браузера различных веб-страниц, постепенно совершенствуются, используемые ими алгоритмы — усложняются, а ассортимент таких троянцев постепенно растет. Так, в июле 2015 года вирусными аналитиками компании «Доктор Веб» был обнаружен троянец Trojan.Ormes.186, использующий технологию веб-инжектов для внедрения в веб-страницы посторонней рекламы.
Trojan.Ormes.186 реализован в виде расширения для браузеров Mozilla Firefox, Chrome и Opera, распространяется он с использованием программ-дропперов. В теле вредоносной программы содержится список, состоящий из порядка 200 адресов интернет-ресурсов, при обращении к которым Trojan.Ormes.186 выполняет веб-инжекты. Среди них — различные сайты для поиска и размещения вакансий, а также адреса популярных поисковых систем и социальных сетей.
Помимо встраивания в веб-страницы рекламных баннеров, троянец обладает возможностью эмулировать щелчки мышью по различным элементам веб-страниц с целью подтверждения подписок для абонентов мобильных операторов «Мегафон» и «Билайн». Можно смело сказать, что эта вредоносная программа обладает значительным количеством функциональных возможностей:
Более подробная информация о данной угрозе приведена в опубликованной на сайте компании «Доктор Веб» обзорной статье.
В июле, как и прежде, продолжают функционировать бот-сети, за деятельностью которых внимательно следят вирусные аналитики компании «Доктор Веб». Среди них — ботнет, состоящий из зараженных файловым вирусом Win32.Rmnet.12 компьютеров, активность двух подсетей которого показана на следующих диаграммах:
Rmnet — это семейство файловых вирусов, распространяющихся без участия пользователя, способных встраивать в просматриваемые пользователям веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов и выполнять различные команды, поступающие от злоумышленников.
Также продолжает свое существование бот-сеть, состоящая из зараженных вирусом Win32.Sector компьютеров — ее среднесуточная активность показана на следующей иллюстрации. Данная вредоносная программа обладает следующими деструктивными функциями:
По сравнению с предыдущим месяцем еще заметнее снизилось число DDoS-атак на веб-сайты, предпринятых злоумышленниками с использованием вредоносной программы Linux.BackDoor.Gates.5. Число целей этих атак в июле составило 954, что на 25,7% меньше июньских показателей. Сократились и географические масштабы использования ботнета: 74.8% атак приходится на веб-сайты, расположенные на территории Китая, еще 20.4% атакованных сайтов находится в США.
Количество запросов на расшифровку, поступивших в службу технической поддержки «Доктор Веб»
| Июнь 2015 | Июль 2015 | Динамика |
|---|---|---|
| 1417 | 1414 | - 0,2 % |
Этого функционала нет в лицензии Антивирус Dr.Web для Windows
| Превентивная защита | Защита данных от потери |
|---|---|
| |
Злоумышленники продолжают создавать все новые и новые вредоносные программы для операционных систем семейства Linux. В июле 2015 года вирусные аналитики компании «Доктор Веб» обнаружили еще одного троянца для этой платформы, получившего наименование Linux.BackDoor.Dklkt.1.
Этот бэкдор по задумке авторов должен реализовывать довольно обширный набор функций, однако на текущий момент большая часть предусмотренных в его архитектуре команд игнорируется. Фактически троянец в состоянии выполнять следующие команды злоумышленников: директиву начала DDoS-атаки, запуска SOCKS proxy-сервера, запуска указанного в пришедшей команде приложения, перезагрузки или выключения компьютера. Исходные компоненты бэкдора были созданы таким образом, чтобы исполняемый файл можно было собрать как для архитектуры Linux, так и для Windows. Более подробно функциональные возможности и особенности этой вредоносной программы описаны в опубликованной нами статье.
В течение июля 2015 года в базу нерекомендуемых и вредоносных сайтов было добавлено 821 409 интернет-адресов.
| Июнь 2015 | Июль 2015 | Динамика |
|---|---|---|
| + 978 982 | + 821 409 | - 16 % |
Прошедший июль оказался весьма насыщенным на события вирусной тематики в мобильном сегменте: на протяжении всего месяца специалисты компании «Доктор Веб» фиксировали появление очередных вредоносных Android-приложений, а также отмечали различные атаки на пользователей Android-смартфонов и планшетов. В частности, в конце месяца вирусными аналитиками был обнаружен троянец Android.DownLoader.171.origin, распространявшийся в официальном каталоге приложений Google Play. Общее количество его загрузок с учетом альтернативных площадок составило порядка 1,5 млн. Этот троянец умеет не только устанавливать программы по команде злоумышленников, но также незаметно для пользователя удалять их. Кроме того, он способен демонстрировать пользователю уведомление в панели нотификаций Android, при нажатии на которое открывается окно браузера и выполняется переход на указанный злоумышленниками веб-сайт. Дополнительную информацию об этой вредоносной программе можно получить, ознакомившись с соответствующей статьей.
Наиболее заметные тенденции в сфере безопасности ОС Android в июле:
Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live
http://feedproxy.google.com/~r/drweb/viruses/~3/cqxPOuheBTw/
|
|
Опасный загрузчик для Android скачало 1,5 миллиона пользователей |
24 июля 2015 года
Вредоносная программа Android.DownLoader.171.origin распространяется под именем KKBrowser. Статистика загрузок на Google Play показывает порядка 100 000 – 500 000 установок приложения, однако, если прибавить к этому числу китайские сборники ПО, на которых также распространяется Android.DownLoader.171.origin (Baidu — 880 000 установок, qq — 310 000, 360cn — 60 000, Wandoujia —58 000), общее количество скачиваний превысит 1,5 миллиона.
Также в каталоге Google Play присутствует версия данного троянца для пользователей из Индонезии (она насчитывает 1000 - 5000 загрузок).
Android.DownLoader.171.origin сочетает в себе функции троянца-загрузчика и рекламного приложения. После установки на инфицированном устройстве вредоносная программа обращается к управляющим серверам и загружает указанные злоумышленниками приложения, при этом в случае наличия на устройстве доступа с привилегиями root приложения устанавливаются автоматически, а в противном случае на экране устройства демонстрируется соответствующий запрос.
Троянец умеет не только устанавливать, но также незаметно для пользователя удалять программы — автоматически при наличии прав root или с использованием запроса соответствующего разрешения у пользователя. Помимо этого Android.DownLoader.171.origin способен демонстрировать пользователю уведомление в панели нотификаций Android, выглядящее, как сообщение о поступлении электронной почты, в то время как на самом деле содержимое нотификаций определяет управляющий сервер — при нажатии на такое сообщение открывается окно браузера и выполняется переход на указанный злоумышленниками веб-сайт.
Вредоносная программа выполняет проверку на наличие установленных антивирусов китайского производства, а также собирает и отправляет на сервер злоумышленников сведения об инфицированном устройстве, такие как язык локализации и версия ОС, наличие административного доступа, модель устройства, разрешение экрана, значение IMEI и т. д.
Специалисты компании «Доктор Веб» еще раз обращают внимание пользователей на то обстоятельство, что даже установка программ из официальных источников не может на сто процентов гарантировать безопасность мобильных устройств. Только использование современных антивирусных решений может защитить от различных вредоносных программ.
http://feedproxy.google.com/~r/drweb/viruses/~3/hpvYH45UwzE/
|
|
