Антивирусные программы Новости компании «Доктор Веб»

[Антивор 2 258]

Новости компании «Доктор Веб»

Цитата

25 октября 2017 года

Trojan.BadRabbit, известный также как BadRabbit, не представляет угрозы для пользователей актуальных версий продуктов Dr.Web с включённой превентивной защитой: шифрование пресекается с детектом DPH:Trojan.Encoder.32. Также превентивно запрещается запись кода его загрузки в MBR. По функционалу троянец похож на Trojan.Encoder.12544, известный также под именами Petya, Petya.A, ExPetya и WannaCry-2, использует тот же алгоритм, вредоносная программа и подробности её функционирования изучаются специалистами "Доктор Веб".

В сети существуют рекомендации по защите от данной угрозы, например, такие:

• создать файл C:\Windows\infpub.dat с атрибутом ReadOnly;
• создать файл C:\Windows\cscc.dat с атрибутом ReadOnly;
• запретить в групповых политиках (Политика ограниченного использования программ) выполнения infpub.dat и install_flash_player.exe.

Некоторые из этих мер могут дать кратковременный эффект, но специалисты "Доктор Веб" не могут рекомендовать ограничиваться подобными средствами при защите от киберугроз. Малейшее изменение во вредоносной программе может привести к тому, что подобные вышеперечисленным меры не дадут никакого эффекта. Таким образом, единственной надёжной рекомендацией может быть использование надёжного антивируса. Актуальная версия Dr.Web защищает от этого вируса.

Подробное описание будет опубликовано по результатам ведущегося сейчас антивирусной лабораторией расследования.

https://news.drweb.ru/show/?i=11547&lng=ru&p=0

 

[Антивор 2 258]

«Доктор Веб»: обзор вирусной активности для мобильных устройств в октябре 2017 года

• ГЛАВНОЕ
•  
• УГРОЗА МЕСЯЦА
•  
• СТАТИСТИКА
•  
• ТРОЯНЕЦ-ВЫМОГАТЕЛЬ

27 октября 2017 года

В октябре в каталоге Google Play был обнаружен очередной Android-троянец, встроенный в безобидные приложения. Он позволял злоумышленникам использовать зараженные мобильные устройства в качестве прокси-серверов. Кроме того, в прошедшем месяце широкую известность получил троянец-вымогатель, который шифровал файлы на Android-смартфонах и планшетах, менял пароль разблокировки экрана и требовал выкуп.

ГЛАВНЫЕ ТЕНДЕНЦИИ ОКТЯБРЯ

• Появление в СМИ информации об Android-троянце, который изменял PIN-код разблокировки экрана мобильных устройств и шифровал файлы.
• Обнаружение в Google Play вредоносной программы, превращавшей Android-устройства в прокси-серверы.

Мобильная угроза месяца

В октябре в каталоге Google Play был выявлен троянец Android.SockBot.5, который был добавлен в вирусную базу Dr.Web еще в июне 2017 года. Злоумышленники встроили его в следующие приложения:

• PvP skins for Minecraft
• Game Skins for Minecraft
• Military Skins for minecraft
• Cartoon skins for Minecraft
• Hot Skins for Minecraft PE
• Skins Herobrine for Minecraft
• Skins FNAF for Minecraft
• Assassins skins for Minecraft

Эти программы позволяли изменять внешний вид персонажей в мобильной версии популярной игры Minecraft.

  

После запуска троянец незаметно подключался к удаленному командному центру и устанавливал соединение с заданным сетевым адресом, используя протокол SOCKS. В результате киберпреступники превращали смартфоны и планшеты в прокси-серверы и могли пропускать через них сетевой трафик.

По данным антивирусных продуктов Dr.Web для Android

Android.Click.171.origin

Android.Click.173.origin

Троянцы, которые с определенной периодичностью обращаются к заданным веб-сайтам и могут использоваться для накрутки их популярности, а также перехода по рекламным ссылкам.

Android.HiddenAds.68.origin

Троянец, предназначенный для показа навязчивой рекламы.

Android.CallPay.1.origin

Вредоносная программа, которая предоставляет владельцам Android-устройств доступ к эротическим материалам, но в качестве оплаты этой «услуги» незаметно совершает звонки на премиум-номера.

Android.Sprovider.10

Троянец, который загружает на мобильные Android-устройства различные приложения и пытается их установить. Кроме того, он может показывать рекламу.

Adware.Jiubang.2

Adware.Fly2tech.2

Adware.SalmonAds.1.origin

Adware.Jiubang.1

Adware.Fly2tech.4

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянец-вымогатель

В прошедшем месяце в СМИ появилась информация о распространении опасного троянца-вымогателя для ОС Android, который изменял PIN-код разблокировки экрана смартфонов и планшетов, шифровал файлы пользователя и требовал выкуп за восстановление работоспособности устройства. Эта вредоносная программа была добавлена в вирусную базу Dr.Web как Android.Banker.184.origin еще в августе 2017 года, поэтому она не представляла опасности для наших пользователей.

После запуска троянец пытается получить доступ к специальным возможностям (Accessibility Service), с использованием которых самостоятельно добавляет себя в список администраторов устройства. Затем он изменяет PIN-код разблокировки экрана, шифрует доступные пользовательские файлы (фотографии, видео, документы, музыку и т. д.) и демонстрирует сообщение с требованием оплаты выкупа. При этом существуют версии вредоносной программы, которые не шифруют файлы размером больше 10 Мбайт.

Несмотря на то что функционал Android.Banker.184.origin в некоторых публикациях называется уникальным, другие троянцы ранее уже использовали аналогичные возможности. Еще в 2014 году компания «Доктор Веб» обнаружила Android-вымогателя Android.Locker.38.origin, который устанавливал собственный код на разблокировку экрана. В том же году появился и первый троянец-энкодер для ОС Android, получивший имя Android.Locker.2.origin. Выполнение же вредоносных действий с использованием функций Accessibility Service (таких, как автоматическое добавление вредоносного приложения в список администраторов) также уже применялось в Android-троянцах, например в Android.BankBot.211.origin.

Злоумышленники по-прежнему пытаются распространять троянцев через официальный каталог Android-приложений Google Play и продолжают совершенствовать вредоносные программы. Для защиты мобильных устройств от потенциального заражения владельцам смартфонов и планшетов необходимо использовать антивирусные продукты Dr.Web для Android.

 

 

Ваш Android нуждается в защите
Используйте Dr.Web

Скачать бесплатно

• Первый российский антивирус для Android

• Более 100 миллионов скачиваний только с Google Play

• Бесплатный для пользователей домашних продуктов Dr.Web

[Антивор 2 258]

«Доктор Веб» обнаружил в Google Play зараженные игры, скачанные более 4 500 000 раз

Цитата

16 января 2018 года

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько игр для ОС Android со встроенным в них троянцем Android.RemoteCode.127.origin. Он незаметно скачивает и запускает дополнительные модули, которые выполняют различные вредоносные функции. Например, симулируют действия пользователей, скрытно открывая веб-сайты и нажимая на расположенные на них элементы.

Android.RemoteCode.127.origin входит в состав программной платформы (SDK, Software Development Kit) под названием 呀呀云 («Я Я Юнь»), которую разработчики используют для расширения функционала своих приложений. В частности, она позволяет игрокам поддерживать друг с другом связь. Однако помимо заявленных возможностей указанная платформа выполняет троянские функции, скрытно загружая с удаленного сервера вредоносные модули.

При запуске программ, в которые встроен этот SDK, Android.RemoteCode.127.origin делает запрос к управляющему серверу. В ответ он может получить команду на загрузку и запуск вредоносных модулей, способных выполнять самые разные действия. Один из таких модулей, который перехватили и исследовали специалисты «Доктор Веб», получил имя Android.RemoteCode.126.origin. После старта он соединяется с управляющим сервером и получает от него ссылку для загрузки безобидного на первый взгляд изображения.

В действительности же в этом графическом файле спрятан еще один троянский модуль, представляющий обновленную версию Android.RemoteCode.126.origin.Такой метод маскировки вредоносных объектов в изображениях (стеганография) уже не раз встречался вирусным аналитикам. Например, он применялся в обнаруженном в 2016 году троянце Android.Xiny.19.origin.

После расшифровки и запуска новая версия троянского модуля (детектируется Dr.Web как Android.RemoteCode.125.origin) начинает работать одновременно со старой, дублируя ее функции. Затем этот модуль скачивает еще одно изображение, в котором также скрыт вредоносный компонент. Он получил имя Android.Click.221.origin.

Его основная задача – незаметное открытие веб-сайтов и нажатие на расположенные на них элементы – например, ссылки и баннеры. Для этого Android.Click.221.origin загружает с указанного управляющим сервером адреса скрипт, которому предоставляет возможность совершать различные действия на странице, в том числе симулировать клики по указанным скриптом элементам. Таким образом, если в задании троянца был переход по ссылкам или рекламным объявлениям, злоумышленники получают прибыль за накрутку счетчика посещений веб-страниц и нажатия на баннеры. Однако этим функционал Android.RemoteCode.127.origin не ограничивается, т. к. вирусописатели способны создать другие троянские модули, которые будут выполнять иные вредоносные действия. Например, показывать фишинговые окна для кражи логинов и паролей, демонстрировать рекламу, а также скрытно загружать и устанавливать приложения.

Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play 27 игр, в которых использовался троянский SDK. В общей сложности их загрузили более 4 500 000 владельцев мобильных устройств. Список приложений с внедренным Android.RemoteCode.127.origin представлен в таблице ниже:

Название программы	Название программного пакета	Версия
Hero Mission	com.dodjoy.yxsm.global	1.8
Era of Arcania	com.games37.eoa	2.2.5
Clash of Civilizations	com.tapenjoy.warx	0.11.1
Sword and Magic	com.UE.JYMF&hl	1.0.0
خاتم التنين - Dragon Ring (For Egypt)	com.reedgame.ljeg	1.0.0
perang pahlawan	com.baiduyn.indonesiamyth	1.1400.2.0
樂舞 - 超人氣3D戀愛跳舞手遊	com.baplay.love	1.0.2
Fleet Glory	com.entertainment.mfgen.android	1.5.1
Kıyamet Kombat Arena	com.esportshooting.fps.thekillbox.tr	1.1.4
Love Dance	com.fitfun.cubizone.love	1.1.2
Never Find Me - 8v8 real-time casual game	com.gemstone.neverfindme	1.0.12
惡靈退散-JK女生の穿越冒險	com.ghosttuisan.android	0.1.7
King of Warship: National Hero	com.herogames.gplay.kowglo	1.5.0
King of Warship:Sail and Shoot	com.herogames.gplay.kowsea	1.5.0
狂暴之翼-2017年度最具人氣及最佳對戰手遊	com.icantw.wings	0.2.8
武動九天	com.indie.wdjt.ft1	1.0.5
武動九天	com.indie.wdjt.ft2	1.0.7
Royal flush	com.jiahe.jian.hjths	2.0.0.2
Sword and Magic	com.linecorp.LGSAMTH	Зависит от модели устройства
Gumballs & Dungeons：Roguelike RPG Dungeon crawler	com.qc.mgden.android	0.41.171020.09-1.8.6
Soul Awakening	com.sa.xueqing.en	1.1.0
Warship Rising - 10 vs 10 Real-Time Esport Battle	com.sixwaves.warshiprising	1.0.8
Thủy Chiến - 12 Vs 12	com.vtcmobile.thuychien	1.2.0
Dance Together	music.party.together	1.1.0
頂上三国 - 本格RPGバトル	com.yileweb.mgcsgja.android	1.0.5
靈魂撕裂	com.moloong.wjhj.tw	1.1.0
Star Legends	com.dr.xjlh1	1.0.6

Вирусные аналитики проинформировали корпорацию Google о наличии троянского компонента в указанных приложениях, однако на момент выхода этой публикации они все еще были доступны для загрузки. Владельцам Android-смартфонов и планшетов, которые установили игры с троянцем Android.RemoteCode.127.origin, рекомендуется удалить их. Антивирусные продукты Dr.Web для Android успешно детектируют программы, в которых содержится Android.RemoteCode.127.origin, поэтому для наших пользователей этот троянец опасности не представляет.

 

[Антивор 2 258]

Около 8% умных телевизоров и устройств на Android уязвимы для нового майнера: «Доктор Веб» рассказывает, как защититься.

Цитата

8 февраля 2018 года

Информация о распространении троянца Android.CoinMine.15, известного также под названием ADB.miner, появилась несколько дней назад в блоге китайской компании, работающей в сфере информационной безопасности. По данным китайских исследователей, скорость распространения троянца в активный период была очень велика: ежедневно количество инфицированных устройств возрастало вдвое. Специалисты «Доктор Веб» полагают, что большинство зараженных устройств – «умные» телевизоры, поскольку именно они, как правило, имеют постоянное подключение к Интернету с использованием ADB.

Этот Android-троянец, предназначенный для добычи криптовалюты Monero, способен инфицировать другие устройства без участия пользователя. Вредоносная программа Android.CoinMine.15 заражает Android-устройства с открытым портом 5555, который используется интерфейсом отладчика Android Debug Bridge (ADB). Инфицированными могут оказаться не только «умные» телевизоры, но также смартфоны, планшеты, телевизионные приставки, роутеры, медиаплееры и ресиверы – то есть устройства, использующие отладку по сети. Еще одним потенциально уязвимым устройством является одноплатный компьютер Raspberry Pi 3 с установленной ОС Android.

Распространение троянца происходит следующим образом. С другого зараженного устройства на атакуемый узел устанавливается приложение droidbot.apk, а также файлы с именами nohup, sss и bot.dat. Затем файл sss запускается с помощью утилиты nohup и в процессе работы становится демоном. После этого он извлекает из bot.dat другие компоненты троянца, в том числе конфигурационный файл в формате JSON, приложения-майнеры (для 32- и 64-разрядной версии ОС) и экземпляр троянской программы droidbot. После запуска droidbot в непрерывном цикле случайным образом генерирует IP-адрес и пытается подключиться к порту 5555. В случае успеха троянец предпринимает попытку заразить обнаруженное устройство с использованием интерфейса отладчика ADB. В отдельном потоке Android.CoinMine.15 запускает приложение-майнер, предназначенное для добычи криптовалюты Monero (XMR). Заражение подобными вредоносными программами может привести к заметному снижению быстродействия устройства, его нагреву, а также быстрому расходованию ресурса аккумулятора.

В ОС Android отладчик ADB по умолчанию отключен, однако некоторые производители все же оставляют его включенным. Кроме того, ADB по каким-либо причинам может быть включен самим пользователем — чаще всего режим отладки необходим разработчикам программ. Согласно статистике, собранной Dr.Web для Android, отладчик Android Debug Bridge включен на 8% устройств, защищенных нашим антивирусом. Поскольку такая настройка может представлять потенциальную угрозу, специальный компонент Dr.Web – Аудитор безопасности – предупреждает пользователя о включенном отладчике и предлагает отключить его.

Специалисты компании «Доктор Веб» рекомендуют всем владельцам Android-устройств выполнить проверку операционной системы на предмет потенциально опасных настроек. Для этого на нашем сайте или в официальном каталоге Google Play можно приобрести Dr.Web Security Space для Android, в состав которого входит Аудитор безопасности. Если на вашем устройстве включена, но не используется отладка по USB, лучше эту функцию отключить. Троянец-майнер Android.CoinMine.15 детектируется и удаляется антивирусными программами Dr.Web для Android, поэтому не представляет угрозы для наших пользователей.

Подробнее о троянце

 

[Антивор 2 258]

«Доктор Веб» предупреждает о распространении нового троянца-шифровальщика.

Цитата

5 февраля 2018 года

Троянцы-энкодеры, шифрующие хранящиеся на зараженном устройстве файлы и требующие выкуп за их расшифровку, по-прежнему представляют серьезную опасность. Компания «Доктор Веб» предупреждает пользователей о распространении очередного такого шифровальщика.

Троянец, названный создателями «GandCrab!», был добавлен в вирусные базы Dr.Web под именем Trojan.Encoder.24384. Он присваивает зашифрованным файлам расширение *.GDCB. В настоящее время известно две версии этого энкодера.

Запустившись на атакуемом устройстве, работающем под управлением Microsoft Windows, Trojan.Encoder.24384 может собирать информацию о наличии запущенных процессов антивирусов. Затем, выполнив проверку с целью предотвращения повторного запуска, он принудительно завершает процессы программ по заданному вирусописателями списку. Установив свою копию на диск, для обеспечения своего автоматического запуска энкодер модифицирует ветвь системного реестра Windows.

Троянец шифрует содержимое фиксированных, съемных и сетевых дисков, за исключением ряда папок, среди которых имеются служебные и системные. Каждый диск шифруется в отдельном потоке. После окончания шифрования троянец отправляет на сервер данные о количестве зашифрованных файлов и времени, потраченном на шифрование.

Троянец использует управляющий сервер, доменное имя которого не разрешается стандартными способами. Для получения IP-адреса этого сервера шифровальщик выполняет команду nslookup и ищет нужную информацию в ее выводе.

В настоящее время расшифровка файлов, зашифрованных троянцем Trojan.Encoder.24384, невозможна. Компания «Доктор Веб» снова напоминает пользователям, что наиболее надежным способом уберечь свои файлы является своевременное резервное копирование всех важных данных, при этом для хранения резервных копий желательно использовать внешние носители информации.

Подробнее о троянце

 

[Антивор 2 258]

Антивирусные новости

Цитата

6 марта 2018 года

Вирусные аналитики компании «Доктор Веб» исследуют нескольких троянцев, относящихся к известному семейству Trojan.LoadMoney и скачивающих на инфицированные компьютеры другие опасные приложения.

Семейство вредоносных программ Trojan.LoadMoney известно еще с 2013 года, и новые его представители появляются с завидной регулярностью. Один из них получил название Trojan.LoadMoney.3209. В троянце содержится два интернет-адреса, с которых он скачивает и запускает другие вредоносные программы. На момент исследования он загружал с обоих адресов идентичный зашифрованный файл и сохранял его во временную папку со случайным именем. Затем этот файл считывался в память, удалялся, а потом снова сохранялся во временную папку, также со случайным именем. Наконец, этот исполняемый файл считывался в память и запускался из нее, а исходный файл удалялся.

Один из файлов, которые загружает Trojan.LoadMoney.3209, получил название Trojan.LoadMoney.3558. Эта вредоносная программа устроена сложнее. Trojan.LoadMoney.3558 играет роль основного инфектора системы и использует для скачивания файлов свободно распространяемую утилиту cURL. Эта утилита позволяет взаимодействовать сразу с несколькими серверами в Интернете по множеству разных протоколов. Троянец расшифровывает ее и сохраняет на диск. Для скачивания файлов на зараженный компьютер с помощью cURL Trojan.LoadMoney.3558 использует Планировщик заданий Windows. Троянец содержит четыре зашифрованных адреса интернет-ресурсов, один из них используется для работы cURL, а с трех оставшихся незаметно для пользователя загружается и запускается исполняемый файл, получивший наименование Trojan.LoadMoney.3263. После запуска исходный файл Trojan.LoadMoney.3263 удаляется.

После скачивания троянец извлекает из себя исполняемый файл, восстанавливает его заголовок и сохраняет во временной папке, а потом запускает. Указанный файл детектируется Dr.Web под именем Trojan.Siggen7.35395. Благодаря тому, что вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, все упомянутые выше троянцы не проявляют себя в зараженной системе, поэтому обнаружить их вредоносную деятельность непросто.

Вирусные аналитики «Доктор Веб» продолжают исследование этого семейства вредоносных программ и загружаемых ими из Интернета опасных файлов. По мере выявления новых фактов мы будем информировать о них наших читателей. Антивирусные продукты Dr.Web надежно защищают от всех известных на сегодняшний день представителей семейства Trojan.LoadMoney, поэтому те не представляют опасности для наших пользователей.

Подробнее о троянце

 

[Антивор 2 258]

«Доктор Веб»: обзор вирусной активности в марте 2018 года

Цитата

«Доктор Веб»: обзор вирусной активности в марте 2018 года

Скачать в PDF

• ГЛАВНОЕ
•  
• УГРОЗА МЕСЯЦА
•  
• СТАТИСТИКА
•  
• ШИФРОВАЛЬЩИКИ
•  
• ОПАСНЫЕ САЙТЫ
•  
• ДРУГИЕ СОБЫТИЯ
• ДЛЯ МОБИЛЬНЫХ УСТРОЙСТВ

3 апреля 2018 года

В минувшем марте специалисты «Доктор Веб» выявили и исследовали множество новых вредоносных программ. В начале месяца была зафиксирована массовая фишинговая рассылка якобы от имени компании Mail.Ru. Также аналитики изучили несколько новых троянцев, относящихся к обширному семейству вредоносных программ Trojan.LoadMoney. Во второй половине месяца был обнаружен опасный троянец Trojan.PWS.Stealer.23012, похищающий с зараженного устройства файлы и другую конфиденциальную информацию. Наконец, в марте вирусные аналитики выявили целый ряд вредоносных программ для мобильной платформы Google Android.

Главные тенденции марта

• Массовая рассылка фишинговых сообщений по электронной почте
• Распространение новых представителей семейства Trojan.LoadMoney
• Появление опасного троянца, похищающего конфиденциальную информацию

Угроза месяца

Распространение вредоносной программы Trojan.PWS.Stealer.23012 началось 11 марта 2018 года. Ссылки на троянца вирусописатели размещали в комментариях к видео на популярном интернет-ресурсе YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр (так называемым «читам») с применением специальных приложений. Киберпреступники пытаются выдать троянца за такие программы и другие полезные утилиты.

Троянец собирает на инфицированном компьютере файлы Cookies, а также сохраненные логины и пароли из нескольких популярных браузеров, делает снимок экрана и копирует файлы с Рабочего стола Windows. Похищенная информация вместе с данными о расположении зараженного устройства отправляется на сервер злоумышленников. Более подробно о принципах работы Trojan.PWS.Stealer.23012 рассказано в опубликованной на нашем сайте статье.

По данным статистики Антивируса Dr.Web

По данным серверов статистики «Доктор Веб»

BackDoor.Meterpreter.56

Представитель семейства вредоносных программ, позволяющих злоумышленникам удаленно управлять зараженным компьютером и отдавать ему различные команды.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

BackDoor.IRC.Bot.4771

Представитель семейства вредоносных программ, позволяющих злоумышленникам удаленно управлять зараженным компьютером и отдавать ему различные команды. Управление этим троянцем осуществляется с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat).

Trojan.Encoder.11432

Сетевой червь, запускающий на компьютере жертвы опасного троянца-шифровальщика. Известен также под именем WannaCry.

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.Encoder.24788

Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

Java.Jrat.58

Вредоносная программа для удаленного управления компьютером (Remote Access Tools, RAT), написанная на языке Java.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Шифровальщики

В марте в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 15.38% обращений;
• Trojan.Encoder.11464 — 7.26% обращений;
• Trojan.Encoder.11539 — 6.62% обращений;
• Trojan.Encoder.24249 — 5.77% обращений;
• Trojan.Encoder.567 — 3.63% обращений;
• Trojan.Encoder.2667 — 2.35% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

 

НАСТРОЙ-КА DR.WEB ОТ ШИФРОВАЛЬЩИКОВ

 

ОБУЧАЮЩИЙ КУРС

 

О БЕСПЛАТНОМ ВОССТАНОВЛЕНИИ

 

DR.WEB RESCUE PACK

Опасные сайты

В начале марта компания «Доктор Веб» сообщила о массовой рассылке по электронной почте фишинговых писем якобы от имени компании Mail.Ru. В этих посланиях злоумышленники предупреждали получателей о блокировке их учетных записей на сервере Mail.Ru и предлагали пройти повторную авторизацию. Ссылка в письме вела на поддельный сайт Mail.Ru, а введенная пользователем информация незамедлительно передавалась злоумышленникам.

Адрес поддельного сайта был добавлен в базы Офисного и Родительского контроля Dr.Web.

В течение марта 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 624 474 интернет-адреса.

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Trojan.Inject

Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.

Trojan.Zadved

Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

Trojan.Moneyinst.520

Вредоносная программа, устанавливающая на компьютер жертвы различное ПО, в том числе других троянцев.

Trojan.Encoder.11432

Сетевой червь, запускающий на компьютере жертвы опасного троянца-шифровальщика. Известен также под именем WannaCry.

 

[Антивор 2 258]

1 апреля 2020 года

Компания «Доктор Веб» подготовила подробную инструкцию о том, как обеспечить информационную безопасность сотрудников на удаленном рабочем месте средствами Dr.Web Enterprise Security Suite. Приглашаем использовать возможности Dr.Web всех, чей офис в массовом порядке «мигрирует» на удаленную работу.

Цитата

Инструкция «Dr.Web Enterprise Security Suite. Защита удаленных сотрудников»

В условиях эпидемии коронавируса многие компании и организации переводят своих сотрудников на удаленную работу. Это создает условия, благоприятные для атак злоумышленников, значительно увеличилось количество фишинговых кампаний. Это угрожает бизнесу потерей данных, компрометацией переписки, кражей паролей, проникновением злоумышленников в корпоративную сеть.

Подробная инструкция о том, как обеспечить внедрение централизованной антивирусной защиты на удаленном рабочем месте средствами Dr.Web Enterprise Security Suite, содержит рекомендации по развертыванию антивирусной защиты и детальные инструкции по введению ее в строй, снабженные пошаговыми алгоритмами и скриншотами. Инструкция адресована системным администраторам, задача которых – защитить корпоративные данные от утери, порчи или кражи, а также помочь сотрудникам адаптироваться к новому формату работы.

Скачать инструкцию

Напомним также, что в условиях перехода на «удаленку» «Доктор Веб» решил поддержать своих корпоративных клиентов предоставлением бесплатных 3-месячных лицензий.

Полностью - здесь

[Антивор 2 258]

10 апреля 2020 года

В марте число выявленных на Android-устройствах угроз выросло на 21,24% по сравнению с февралем. Количество обнаруженных вредоносных программ увеличилось на 21,6%, нежелательных – на 13,37%, потенциально опасных – на 32,65%, рекламных – на 27,64%.

В течение месяца вирусные аналитики «Доктор Веб» выявили новые вредоносные приложения в каталоге Google Play. Среди них был троян семейства Android.Joker, показывающий рекламу и способный подписывать пользователей на платные мобильные услуги, а также опасный многофункциональный троян Android.Circle.1, выполняющий команды злоумышленников.

ГЛАВНЫЕ ТЕНДЕНЦИИ МАРТА

• Рост числа угроз, выявленных на Android-устройствах
• Обнаружение новых вредоносных программ в Google Play

Далее - см. скрытый контент

Скрытый текст

Угроза месяца

В марте компания «Доктор Веб» сообщила об обнаружении в каталоге Google Play нового опасного трояна Android.Circle.1, которого установили свыше 700 000 пользователей. По команде злоумышленников он показывал рекламу и загружал различные веб-сайты, на которых имитировал действия пользователей, нажимая на баннеры и ссылки. Пример демонстрируемой им рекламы:

  

В течение месяца наши специалисты выявили несколько модификаций этого вредоносного приложения.

Особенности Android.Circle.1:

• встроен в безобидные программы;
• создан с использованием механизма Multiple APKs, который позволяет загружать в Google Play множество копий одного приложения для поддержки различных моделей устройств и процессорных архитектур;
• принимает от управляющего сервера и выполняет BeanShell-скрипты;
• часть функций трояна вынесена в отдельную нативную библиотеку;
• чтобы скрыться от пользователя, некоторые модификации Android.Circle.1 после установки выдают себя за важный системный компонент.

По данным антивирусных продуктов Dr.Web для Android

Android.RemoteCode.246.origin

Android.RemoteCode.256.origin

Android.RemoteCode.262.origin

Вредоносные программы, которые загружают и выполняют произвольный код.

Android.MobiDash.4945

Троянская программа, показывающая рекламу.

Android.Triada.491.origin

Многофункциональный троян, выполняющий разнообразные вредоносные действия.

Program.FakeAntiVirus.2.origin

Детектирование рекламных программ, которые имитируют работу антивирусного ПО.

Program.FreeAndroidSpy.1.origin

Program.Mrecorder.1.origin

Program.MobileTool.2.origin

Приложения, которые следят за владельцами Android-устройств и могут использоваться для кибершпионажа.

Program.Algo360.2.origin

Детектирование программного модуля, который используется в приложениях различных финансовых организаций, выдающих денежные займы. Он представляет собой агрегатор данных пользователей, для которых формируется кредитный профиль. Модуль собирает информацию об СМС-сообщениях, закладках браузера, местоположении устройства, записях календаря и другие персональные данные.

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.11.origin

Tool.VirtualApk.1.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки.

Tool.Rooter.3

Утилита для получения root-полномочий на Android-устройствах. Может использоваться злоумышленниками и вредоносными программами.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах:

• Adware.Myteam.2.origin
• Adware.Adpush.6547
• Adware.Toofan.1.origin
• Adware.Mobby.5.origin
• Adware.IrTv.1.origin

Угрозы в Google Play

Наряду с троянами семейства Android.Circle в марте в Google Play был найден очередной представитель семейства Android.Joker, получивший имя Android.Joker.102.origin. Он распространялся под видом редакторов изображений и сборников обоев. Вредоносная программа могла загружать и запускать троянские модули и произвольный код, а также подписывать пользователей на дорогостоящие сервисы.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

 

 

[Антивор 2 258]

В приложении для заботы о зрении пользователей Android-устройств обнаружен троян

1 декабря 2020 года

Вирусные аналитики компании «Доктор Веб» выявили трояна в программе, предназначенной для заботы о зрении владельцев Android-устройств. Помимо заявленных в ней возможностей она выполняет и вредоносные действия ― переходит по ссылкам и демонстрирует веб-сайты поверх других приложений.

Скрытый текст

Приложение под названием Eye Care - Your close Eye Care Assistant доступно в каталоге Google Play с 2018 года, но троянская функциональность появилась в нем лишь в 2019 году, начиная с версии 1.2.11. Вредоносные версии программы были добавлены в вирусную базу Dr.Web как Android.Mixi.44.origin.

Внешне это приложение выглядит безобидно и работает в соответствии с ожиданиями пользователя. Однако после запуска оно незаметно приступает к выполнению вредоносных действий.

Android.Mixi.44.origin собирает и передает на C&C-сервер следующую информацию о зараженном устройстве:

• уникальный идентификатор пользователя, генерируемый трояном;
• уникальный идентификатор устройства;
• рекламный идентификатор Google;
• версию операционной системы;
• версию приложения, в которое встроен троян;
• версию приложения Play Маркет, установленную на устройстве;
• версию движка WebView.

Одной из его функций является мошенническая монетизация недавно выполненных установок приложений. Для этого Android.Mixi.44.origin постоянно отслеживает факт установки и удаления программ, сохраняя информацию о каждом таком действии.

Подключаясь к C&C-серверу, троян получает от него ссылку на сайт, с которого передается список веб-адресов для посещения. С интервалом в несколько секунд он незаметно загружает каждый из них в невидимом WebView. Если полученная в результате цепочки перенаправлений ссылка ведет на страницу приложения, размещенного в каталоге Google Play, но еще не установленного на устройство, троян запоминает имя пакета этого приложения и время перехода по ссылке. Далее он просто ожидает момента, когда пользователь выполнит установку нужной программы. Если в дальнейшем Android.Mixi.44.origin обнаруживает установку такого приложения, он передает в сервис рекламной аналитики, отслеживающий успешно выполненные рекламные задания, имя пакета, а также реферал-идентификатор (идентификатор участника партнерской программы). Таким образом троян пытается обмануть этот сервис и присвоить злоумышленникам установку приложения, которую пользователь выполнил самостоятельно и без их участия.

Если же полученная в задании ссылка на страницу в Google Play ведет на приложение, которое уже было установлено ранее, и информация о нем известна трояну, Android.Mixi.44.origin аналогичным образом пытается обмануть сервис аналитики, передав ему имя пакета вместе с реферал-идентификатором злоумышленников.

Другая функция Android.Mixi.44.origin ― работа в режиме кликера, когда получаемые трояном ссылки ведут на всевозможные сайты. Посещая их незаметно для пользователя, он увеличивает их популярность, за что партнерские сервисы также платят злоумышленникам.

Кроме того, по команде C&C-сервера троян способен загружать различные веб-страницы и демонстрировать их поверх окон других приложений, а также поверх интерфейса самой операционной системы. Для этого он эксплуатирует уязвимость Toast Overlay, известную на протяжении нескольких лет. Ей подвержены устройства под управлением ОС Android вплоть до версии 7.1. Троян создает всплывающее уведомление типа Toast, которое перекрывает все остальные графические элементы. В это уведомление он помещает WebView с загруженной в него целевой веб-страницей. При этом содержимое такой страницы может быть любым: рекламный баннер, видеоролик или даже фишинговый сайт.

Таким образом, основными функциями Android.Mixi.44.origin являются показ рекламы, накрутка счетчиков популярности веб-сайтов, а также его потенциальное применение в фишинг-атаках. Вместе с тем этот троян принадлежит к семейству многофункциональных вредоносных приложений, предназначенных для выполнения широкого спектра задач. Отдельные представители этого семейства способны получать root-полномочия, незаметно устанавливать и удалять другие программы и выполнять другие опасные действия. При этом некоторые из этих троянов обнаруживались в том числе в системных каталогах Android-устройств. Один из них ― Android.Mixi.36.origin. Он использует потенциально опасную утилиту Tool.SilentInstaller.7.origin для скрытого запуска загружаемых приложений. А среди скачиваемых им программ может быть Android.Mixi.42.origin ― одна из модификаций рассмотренного трояна Android.Mixi.44.origin. Она обладает всеми ее функциями, но уже способна самостоятельно скачивать и незаметно запускать ПО.

Антивирусные продукты Dr.Web для Android успешно детектируют все известные модификации Android.Mixi.44.origin, а также других троянов этого семейства, поэтому для наших пользователей те опасности не представляют. Для удаления вредоносных Android-приложений из системных директорий необходимо комплексное решение Dr.Web Security Space для Android, а также наличие root-доступа. Проверить, подвержено ли ваше устройство уязвимости Toast Overlay, можно также с помощью Dr.Web Security Space для Android.

Подробнее об Android.Mixi.44.origin

Подробнее об уязвимости Toast Overlay