Новости о вирусах

  • Обнаруженные «Доктор Веб» приложения из Google Play содержат троянский плагин
  • 23 июня 2016 года

    Каталог цифрового контента Google Play остается самым безопасным источником Android-приложений, однако и в нем время от времени появляются всевозможные вредоносные программы. Одной из них стал обнаруженный вирусными аналитиками компании «Доктор Веб» троянец Android.Valeriy.1.origin, которого вирусописатели используют для заработка на дорогостоящих подписках, а также для распространения других вредоносных приложений.

    Троянец Android.Valeriy.1.origin представляет собой вредоносный плагин, который вирусописатели встроили в безобидное ПО. Он распространяется разработчиками ZvonkoMedia LLC, Danil Prokhorov, а также horshaom в шести приложениях, доступных в Google Play:

    • Battery Booster;
    • Power Booster;
    • Blue Color Puzzle;
    • Blue And White;
    • Battery Checker;
    • Hard Jump - Reborn 3D.

    Все они являются играми и сервисными утилитами, и к настоящему моменту в общей сложности из каталога их загрузило более 15 500 пользователей. В то же время управляющий сервер троянца, к которому получили доступ специалисты компании «Доктор Веб», содержит сведения о более чем 55 000 уникальных установках. Вирусные аналитики «Доктор Веб» передали в компанию Google информацию о программах, скрывающих в себе Android.Valeriy.1.origin, однако на момент выхода новости они все еще присутствовали в каталоге.

    Android.Valeriy.1.origin #drweb

    Android.Valeriy.1.origin #drweb Android.Valeriy.1.origin #drweb

    Android.Valeriy.1.origin #drweb Android.Valeriy.1.origin #drweb

    После запуска игр и приложений, в которых находится Android.Valeriy.1.origin, вредоносный модуль соединяется с управляющим сервером и получает от него задание, содержащее специально сформированную ссылку. Троянец автоматически переходит по указанной ссылке, которая ведет на промежуточный веб-сайт, и тот, в зависимости от различных параметров, передает вредоносному приложению конечный URL. В большинстве случаев этот URL ведет на сомнительные веб-порталы, основная задача которых – получить номер мобильного телефона потенциальных жертв и подписать их на услугу, за использование которой ежедневно будет взиматься плата. Среди рекламируемых троянцем сервисов может встретиться, например, предложение посмотреть материалы эротического характера, а также скачать популярное ПО, которое на самом деле является бесплатным и доступно для загрузки в каталоге Google Play. Несмотря на то, что информация о факте подписки и ее стоимости указана на загружаемых страницах, многие пользователи могут ее просто не заметить и указать свой номер телефона.

    Android.Valeriy.1.origin #drweb Android.Valeriy.1.origin #drweb

    Android.Valeriy.1.origin #drweb Android.Valeriy.1.origin #drweb

    Android.Valeriy.1.origin автоматически открывает в окне WebView один из таких сайтов и выводит его на экран в виде рекламного баннера. Одновременно с получением соответствующего задания Android.Valeriy.1.origin начинает отслеживать все входящие СМС. После того как жертва указывает номер телефона, ей поступает код подтверждения подписки на платный сервис. Однако Android.Valeriy.1.origin перехватывает и блокирует эти сообщения, тем самым лишая пользователя информации о том, что он согласился с условиями предоставления дорогостоящей услуги. В результате с мобильных счетов жертв, попавших на уловку злоумышленников и фактически согласившихся с условиями предоставления сервиса, каждый день будет списываться определенная плата.

    Троянец может также скачивать и различные программы, в том числе вредоносные. Например, среди них вирусные аналитики «Доктор Веб» обнаружили троянца-загрузчика Android.DownLoader.355.origin. Кроме того, в задании от управляющего сервера Android.Valeriy.1.origin способен получать различные JavaScript-сценарии, которые также выполняются через WebView. Этот функционал может использоваться для незаметных нажатий на интерактивные элементы, рекламные баннеры и ссылки на загружаемых веб-страницах. Например, для автоматического подтверждения введенного пользователем номера телефона, а также с целью накрутки всевозможных счетчиков.

    Для защиты от мошеннических действий со стороны злоумышленников специалисты компании «Доктор Веб» советуют пользователям Android-смартфонов и планшетов внимательно читать информацию во всплывающих окнах и уведомлениях, а также рекомендуют не вводить номер мобильного телефона в сомнительные экранные формы.

    Большинство приложений, содержащих троянца Android.Valeriy.1.origin, защищено упаковщиком, который осложняет их анализ, однако антивирусные продукты Dr.Web для Android могут детектировать такие программы как Android.Valeriy.1 или Android.Packed.1. Все они успешно обнаруживаются и удаляются с мобильных устройств, поэтому для наших пользователей этот троянец опасности не представляет.

    Подробнее о троянце

    Защитите ваше Android-устройство с помощью Dr.Web

    Купить онлайн Купить через Google Play Бесплатно

  • «Доктор Веб» сообщает о первом троянце для 1С, запускающем шифровальщика-вымогателя
  • 22 июня 2016 года

    Троянец 1C.Drop.1, исследованный специалистами компании «Доктор Веб», самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца-шифровальщика. Вредоносные программы, при создании которых вирусописатели использовали какую-либо новую технологию или редкий язык программирования, появляются нечасто, и это – тот самый случай.

    Можно смело сказать, что 1C.Drop.1 — это первый попавший в вирусную лабораторию компании «Доктор Веб» троянец, фактически написанный на русском языке, вернее, на встроенном языке программирования 1С, который использует для записи команд кириллицу. При этом вредоносные файлы для 1С, которые могли модифицировать или заражать другие файлы внешней обработки, известны вирусным аналитикам «Доктор Веб» еще с 2005 года, однако полноценный троянец-дроппер, скрывающий в себе опасного шифровальщика, встретился им впервые.

    screen 1C.Drop.1 #drweb

    Троянец распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка» и следующим текстом:

    Здравствуйте!
    У нас сменился БИК банка.
    Просим обновить свой классификатор банков.
    Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
    Файл - Открыть обработку обновления классификаторов из вложения.
    Нажать ДА. Классификатор обновится в автоматическом режиме.
    При включенном интернете за 1-2 минуты.

    К письму прикреплен файл внешней обработки для программы «1С:Предприятие» с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно:

    screen 1C.Drop.1 #drweb

    Какую бы кнопку ни нажал пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением забавных котиков:

    screen 1C.Drop.1 #drweb

    В это же самое время троянец начинает свою вредоносную деятельность на компьютере. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует e-mail, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть. 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

    • "Управление торговлей, редакция 11.1"
    • "Управление торговлей (базовая), редакция 11.1"
    • "Управление торговлей, редакция 11.2"
    • "Управление торговлей (базовая), редакция 11.2"
    • "Бухгалтерия предприятия, редакция 3.0"
    • "Бухгалтерия предприятия (базовая), редакция 3.0"
    • "1С:Комплексная автоматизация 2.0"

    После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. К сожалению, в настоящее время специалисты компании «Доктор Веб» не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие», даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.

    Подробнее о троянце

  • «Доктор Веб» обнаружил в Google Play троянца, который крадет логины и пароли пользователей «ВКонтакте»
  • 15 июня 2016 года

    Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play нового троянца. Эта вредоносная программа, получившая имя Android.PWS.Vk.3, ворует у пользователей логины и пароли от учетных записей социальной сети «ВКонтакте».

    Троянец Android.PWS.Vk.3 прячется в приложении «Музыка из ВК», которое распространяется злоумышленниками через каталог Google Play от имени разработчика MixHard. Вирусные аналитики «Доктор Веб» проинформировали компанию Google об этой вредоносной программе, однако на момент публикации данного материала Android.PWS.Vk.3 был все еще доступен для загрузки.

    screen Android.PWS.Vk.3 #drweb

    Троянец представляет собой полноценный аудиоплеер, который позволяет прослушивать музыку, размещенную в социальной сети «ВКонтакте». Чтобы получить доступ к заявленному функционалу, пользователям необходимо войти в свою учетную запись, введя логин и пароль. Однако здесь владельцев мобильных устройств ждет неприятный сюрприз: вредоносное приложение втайне от них отправляет введенные данные на управляющий сервер, в результате чего злоумышленники фактически получают полный доступ к аккаунтам жертв и могут распоряжаться ими по своему усмотрению.

    screen Android.PWS.Vk.3 #drweb screen Android.PWS.Vk.3 #drweb screen Android.PWS.Vk.3 #drweb

    Специалисты компании «Доктор Веб» установили, что авторы Android.PWS.Vk.3 уже пытались продавать взломанные учетные записи на различных подпольных хакерских форумах. Кроме того, киберпреступники могут использовать украденные аккаунты и самостоятельно, например, для накрутки популярности различных групп и сообществ в сети «ВКонтакте».

    Ранее вирусописатели уже распространяли этого троянца через Google Play, в частности, под именами Music for VK и Music VK (разработчик Dobrandrav), однако в настоящее время эти версии удалены из каталога. В общей сложности Android.PWS.Vk.3 успело загрузить не менее 12 000 пользователей.

    screen Android.PWS.Vk.3 #drweb screen Android.PWS.Vk.3 #drweb

    Создатели троянца предположительно имеют собственную группу в социальной сети «ВКонтакте», насчитывающую более 44 600 подписчиков, в которой среди прочего всем участникам предлагается установить Android.PWS.Vk.3 на мобильные устройства.

    screen Android.PWS.Vk.3 #drweb

    Кроме того, в каталоге Google Play авторы Android.PWS.Vk.3 разместили еще одно приложение-плеер, которое в настоящее время не содержит явного вредоносного функционала. Эта программа называется «Музыка и видео для ВК» и распространяется злоумышленниками от имени разработчика Gomunkul.

    screen Android.PWS.Vk.3 #drweb

    Несмотря на то, что сейчас этот плеер не выполняет вредоносных действий, он может стать полноценным троянцем сразу после того, как вирусописатели изменят в нем всего лишь один параметр и выпустят соответствующее обновление программы. В результате приложение станет настойчиво предлагать пользователям установить некий плагин, необходимый для его работы, при этом стоит отметить, что сам плагин имеет тот же сертификат безопасности, что и троянец Android.PWS.Vk.3. На данный момент этот программный модуль не несет в себе какого-либо функционала, однако злоумышленники могут с легкостью обновить его и добавить в него любые функции, в том числе и вредоносные.

    screen Android.PWS.Vk.3 #drweb

    В настоящее время указанный плеер установило более 1 000 000 пользователей, и каждый из них рискует в любой момент стать жертвой вирусописателей. Поскольку эта программа представляет потенциальную опасность для владельцев Android-смартфонов и планшетов, она была добавлена в вирусную базу под наименованием Android.Click.123.

    Компания «Доктор Веб» рекомендует использовать только официальные Android-приложения для работы с социальными сетями, а также установить антивирус для предотвращения заражения мобильных устройств. Троянец Android.PWS.Vk.3 и потенциально опасная программа Android.Click.123 успешно детектируются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей они опасности не представляют.

    Подробнее о троянце

    Защитите ваше Android-устройство с помощью Dr.Web

    Купить онлайн Купить через Google Play Бесплатно

  • «Доктор Веб» может расшифровать файлы, зашифрованные CryptXXX
  • 14 июня 2016 года

    Троянцы-энкодеры представляют серьезную опасность для пользователей по всему миру: эти вредоносные программы шифруют хранящуюся на компьютере информацию и требуют выкуп за ее расшифровку. На сегодняшний день известно множество разновидностей шифровальщиков. Антивирусная компания «Доктор Веб» давно и успешно борется с такими программами-вымогателями: в некоторых случаях зашифрованные троянцем файлы можно восстановить. Это касается и энкодера, известного под именем CryptXXX, — специалисты «Доктор Веб» могут расшифровать поврежденные этим троянцем файлы, если они были зашифрованы до начала июня 2016 года.

    Вредоносная программа Trojan.Encoder.4393, также известная под именем CryptXXX, является типичным представителем многочисленной группы троянцев-энкодеров. Этот шифровальщик имеет несколько версий и распространяется злоумышленниками по всему миру. С целью увеличить прибыль от своей незаконной деятельности вирусописатели организовали специальный сервис по платной расшифровке поврежденных CryptXXX файлов, выплачивающий определенный процент распространителям троянца. Все копии CryptXXX обращаются на единый управляющий сервер, а предлагающие расшифровку сайты расположены в анонимной сети TOR. Успешностью партнерской программы, по всей видимости, отчасти и объясняется широта географии известных случаев заражения, а также высокая популярность CryptXXX среди злоумышленников. Зашифрованные троянцем файлы получают расширение *.crypt, а файлы с требованиями вымогателей имеют имена de_crypt_readme.txt, de_crypt_readme.html и de_crypt_readme.png.

    screen CryptXXX #drweb

    Если вы стали жертвой этой вредоносной программы, и файлы на вашем компьютере были зашифрованы до начала июня 2016 года, существует возможность восстановить информацию. Успех этой операции зависит от ряда факторов и в значительной степени — от действий самого пользователя.

    • Не пытайтесь удалить какие-либо файлы с компьютера или переустановить операционную систему, а также не пользуйтесь зараженным ПК до получения инструкций от службы технической поддержки компании «Доктор Веб».
    • Если вы запустили антивирусное сканирование, не предпринимайте каких-либо действий по лечению или удалению обнаруженных вредоносных программ — они могут понадобиться специалистам в процессе поиска ключа для расшифровки файлов.
    • Постарайтесь припомнить как можно больше информации об обстоятельствах заражения: это касается полученных вами по электронной почте подозрительных писем, скачанных из Интернета программ, сайтов, которые вы посещали.
    • Если у вас сохранилось письмо с вложением, после открытия которого файлы на компьютере оказались зашифрованными, не удаляйте его: это письмо должно помочь специалистам определить версию троянца, проникшего на ваш компьютер.

    Для расшифровки файлов, поврежденных в результате действия CryptXXX, воспользуйтесь специальной страницей сервиса на сайте антивирусной компании «Доктор Веб». Бесплатная помощь по расшифровке файлов оказывается только обладателям лицензии Dr.Web, у которых на момент заражения был установлен Dr.Web Security Space (для Windows), Антивирус Dr.Web для OS X или Linux не ниже версии 10 или Dr.Web Enterprise Security Suite (версии 6+). Другие пострадавшие могут воспользоваться платной услугой Dr.Web Rescue Pack через форму запроса: плата взимается только если анализ покажет, что расшифровка возможна. Кроме того, воспользовавшиеся этой услугой клиенты получают бесплатную двухгодичную лицензию на продукт Dr.Web Security Space для 1 ПК. Дополнительную информацию о троянцах-шифровальщиках и способах борьбы с ними можно найти по ссылке.

    Подробнее о троянце

  • «Доктор Веб» предупреждает: бестелесный троянец Kovter прячется в реестре
  • 10 июня 2016 года

    Среди современных вредоносных программ имеется особая категория троянцев, которых специалисты по информационной безопасности называют «бестелесными». Они действительно не присутствуют на инфицированном компьютере в виде отдельного файла, а работают непосредственно в оперативной памяти, используя для своего хранения различные контейнеры, например, системный реестр Windows. В этой статье компания «Доктор Веб» рассказывает об одном из представителей группы «бестелесных» троянцев, который получил название Trojan.Kovter.297.

    Trojan.Kovter распространяется с помощью другого троянца — Trojan.MulDrop6.42771, специально созданного для установки на атакуемые компьютеры вредоносных приложений. Такая связка детектируется Антивирусом Dr.Web под именем Trojan.Kovter.297. Несмотря на кажущуюся простоту своего предназначения, Trojan.MulDrop6.42771 имеет довольно-таки сложную архитектуру. Код троянца содержит множество случайных строк и вызовов функций, чтобы усложнить его анализ, а основная вредоносная библиотека скрыта в ресурсах Trojan.MulDrop6.42771 в виде картинки. Этот троянец умеет определять, не запущены ли на компьютере виртуальные машины и иные средства отладки, которые обычно используются вирусными аналитиками для исследования образцов вредоносного ПО, и при обнаружении таковых завершает свою работу. Кроме того, он может показывать на экране компьютера произвольные сообщения и отключать функцию контроля учетных записей пользователя Windows (User Accounts Control, UAC).

    Trojan.MulDrop6.42771 может обеспечить собственную автозагрузку в системе семью разными способами, а для запуска полезной нагрузки вирусописатели предусмотрели целых шесть различных методов: Trojan.MulDrop6.42771 использует тот из них, который указан в его конфигурации. Кроме того, эта вредоносная программа умеет копировать себя в корневые папки всех подключенных к зараженной машине дисков, создавая там файл автозапуска autorun.inf, то есть, распространяться подобно червю.

    Как уже упоминалось ранее, некоторые образцы Trojan.MulDrop6.42771 содержат бестелесного троянца семейства Trojan.Kovter. Обычно он запускается троянцем-носителем, но обладает и собственным механизмом автозапуска. Эта вредоносная программа создает в системном реестре несколько записей: одна содержит само тело троянца в зашифрованном виде, вторая — скрипт для его расшифровки и загрузки в память компьютера. Имена этих записей включают специальные нечитаемые символы, поэтому стандартная программа regedit не может их показать.

    screen Trojan.Kovter #drweb

    Фактически Trojan.Kovter работает в оперативной памяти инфицированного компьютера, не сохраняя собственную копию на диске в виде отдельного файла, что в определенной степени затрудняет его поиск и удаление. С точки зрения вредоносных функций Trojan.Kovter можно отнести к категории рекламных троянцев — он незаметно для пользователя запускает в фоновом режиме несколько экземпляров браузера Microsoft Internet Explorer, «посещает» с их помощью указанные злоумышленниками сайты и накручивает количество просмотров рекламы, нажимая на рекламные ссылки и баннеры. Таким образом злоумышленники получают прибыль от организаторов партнерских программ и рекламодателей, размещающих рекламу с оплатой за нажатия и переходы.

    Несмотря на то, что Trojan.Kovter старается работать на инфицированной машине скрытно, сканирование компьютера Антивирусом Dr.Web позволяет избавиться от заражения. Пользователям рекомендуется не забывать о своевременном обновлении вирусных баз и регулярно проверять компьютер при возникновении подозрений о присутствии на нем вредоносного ПО.

    Подробнее о Trojan.MulDrop6.42771
    Подробнее о Trojan.Kovter.297

  • Самораспространяющийся полиморфный банковский вирус Bolik — опаснейший наследник Zeus и Carberp
  • 3 июня 2016 года

    В июне 2016 года вирусные аналитики компании «Доктор Веб» завершили исследование нового опасного вируса. Он способен красть деньги со счетов клиентов российских банков, похищать конфиденциальную информацию и различными способами шпионить за своей жертвой. Вирус наследует некоторые технические решения широко известных банковских троянцев Zeus (Trojan.PWS.Panda) и Carberp, но в отличие от них умеет распространяться без участия пользователя и заражать исполняемые файлы. В этом и заключается его основная опасность. Помимо прочего, его крайне сложно вывести с зараженного компьютера: лечение может занимать несколько часов.

    Эта вредоносная программа получила наименование Trojan.Bolik.1. Ее важным отличием от других современных банковских троянцев, таких как Zeus и Carberp, является способность самостоятельно распространяться без участия пользователя и заражать исполняемые файлы. Такие вредоносные программы называют полиморфными файловыми вирусами.

    Умение распространяться самостоятельно и инфицировать программы можно назвать наиболее опасным свойством этого банкера. Функция самораспространения активируется по команде злоумышленников, после чего Trojan.Bolik.1 начинает опрашивать доступные для записи папки в сетевом окружении Windows и на подключенных USB-устройствах, ищет хранящиеся там исполняемые файлы и заражает их. При этом Trojan.Bolik.1 может инфицировать как 32-, так и 64-разрядные приложения.

    Зараженные этим вирусом программы детектируются Антивирусом Dr.Web под именем Win32.Bolik.1. Внутри каждой такой программы хранится в зашифрованном виде сам банковский троянец Trojan.Bolik.1, а также другая необходимая вирусу информация. Если пользователь запустит на своем компьютере инфицированное приложение, вирус расшифрует банковского троянца Trojan.Bolik.1 и запустит его прямо в памяти атакуемого компьютера, без сохранения на диск. При этом вирус имеет специальный встроенный механизм, позволяющий «на лету» изменять код и структуру собственной части, отвечающей за расшифровку Trojan.Bolik.1. Таким образом вирусописатели пытаются затруднить обнаружение своего детища антивирусными программами. Кроме того, Win32.Bolik.1 пытается противодействовать антивирусам, умеющим пошагово выполнять вредоносные программы в специальном эмуляторе, — в архитектуре этого вируса предусмотрены своеобразные «замедлители», состоящие из множества циклов и повторяющихся инструкций.

    От Carberp Trojan.Bolik.1 унаследовал виртуальную файловую систему, которая хранится в специальном файле. Этот файл троянец размещает в одной из системных директорий или в папке пользователя. Виртуальная файловая система позволяет вредоносной программе скрыто хранить на зараженном компьютере нужную ей для работы информацию. У Zeus Trojan.Bolik.1 позаимствовал механизм встраивания в просматриваемые пользователями веб-страницы постороннего содержимого, то есть реализацию технологии веб-инжектов. С ее помощью злоумышленники похищают у своих жертв логины и пароли для доступа к системам «банк-клиент» и другую ценную информацию. Trojan.Bolik.1 ориентирован прежде всего на кражу информации у клиентов российских банков — об этом свидетельствуют характерные строчки в конфигурационном файле, передаваемом вирусу с управляющего сервера.

    Основное назначение Trojan.Bolik.1 — кража различной ценной информации. Он может достичь этой цели разными способами. Например, контролировать данные, передаваемые и отправляемые браузерами Microsoft Internet Explorer, Chrome, Opera и Mozilla Firefox. Благодаря этому троянец способен похищать информацию, которую пользователь вводит в экранные формы. Кроме того, в шпионский арсенал банкера входит модуль для создания снимков экрана (скриншотов) и фиксации нажатий пользователем клавиш (кейлоггер). Также Trojan.Bolik.1 умеет создавать на зараженной машине собственный прокси-сервер и веб-сервер, позволяющий обмениваться файлами со злоумышленниками. Нужные файлы эта вредоносная программа может найти по заданной в специальной команде маске. Как и некоторые другие современные банковские троянцы, Trojan.Bolik.1 в состоянии организовывать так называемые «реверсные соединения» — с их помощью киберпреступники получают возможность «общаться» с зараженным компьютером, находящимся в защищенной брандмауэром сети или не имеющим внешнего IP-адреса, то есть работающим в сети с использованием NAT (Network Address Translation). Вся информация, которой Trojan.Bolik.1 обменивается с управляющим сервером, шифруется по сложному алгоритму и сжимается.

    Функциональные возможности Trojan.Bolik.1 выглядят поистине пугающими, а его внутренняя архитектура довольно-таки сложна и неоднозначна. Антивирус Dr.Web детектирует и удаляет все компоненты этого опасного вируса, однако в связи с некоторыми особенностями внутреннего устройства Trojan.Bolik.1 лечение зараженного компьютера может занять длительное время. Пострадавшим от действия этой вредоносной программы пользователям рекомендуется набраться терпения в процессе антивирусного сканирования ПК.

    Подробнее о вирусе

  • Банковский троянец атакует любителей взломанных мобильных игр
  • 26 мая 2016 года

    Вирусные аналитики компании «Доктор Веб» постоянно фиксируют случаи распространения разнообразных банковских троянцев, которые предназначены для заражения мобильных устройств под управлением ОС Android. Не секрет, что киберпреступники очень часто стараются замаскировать такие вредоносные приложения под безобидные и полезные программы. Не стал исключением и банкер Android.BankBot.104.origin, которого вирусописатели преподносят потенциальным жертвам как ПО для взлома популярных мобильных игр, а также под видом программ для читерства.

    В поле зрения предприимчивых киберпреступников, распространяющих банковских троянцев, попали любители мобильных игр, которые стремятся получить все и сразу, не заплатив ни копейки и не потратив на это никаких усилий. В частности, когда пользователи пытаются найти в популярных поисковых системах информацию о читах для облегчения прохождения игр – например, возможности получить бесконечное золото, кристаллы и другую игровую валюту, – либо просто хотят скачать взломанную версию любимого игрового приложения, в результатах поиска потенциальным жертвам демонстрируются ссылки на многочисленные мошеннические веб-сайты, специально созданные для любителей пресловутой «халявы».

    screen Android.BankBot.104.origin #drweb screen Android.BankBot.104.origin #drweb

    Веб-порталы злоумышленников содержат информацию о более чем 1000 различных популярных игр, поэтому при поиске практически любой известной игры в первых строчках результатов поисковых систем пользователи непременно увидят предложение злоумышленников. Примечательно, что данные сайты имеют действительную цифровую подпись, в результате чего многие потенциальные жертвы могут посчитать их безопасными.

    При попытке скачать с этих веб-порталов то или иное приложение владелец мобильного устройства перенаправляется на еще один мошеннический сайт, с которого под видом взломанных версий ПО или программ для читерства скачивается банковский троянец Android.BankBot.104.origin. Помимо этого вредоносного приложения, на смартфоны и планшеты могут также загружаться и другие троянцы, в частности, представители семейства банкеров Android.ZBot.

    screen Android.BankBot.104.origin #drweb

    Распространяемый злоумышленниками троянец Android.BankBot.104.origin защищен специальным упаковщиком, который снижает вероятность обнаружения антивирусами и затрудняет анализ. Одна из последних его модификаций детектируется антивирусными продуктами Dr.Web для Android как Android.BankBot.72, однако вирусописатели постоянно создают новые перепакованные версии банкера, поэтому вредоносное приложение может обнаруживаться и под другими именами. Сам Android.BankBot.104.origin является обфусцированной версией банковского троянца Android.BankBot.80.origin – его код серьезно зашифрован, что также призвано осложнить анализ и обнаружение защитным ПО.

    screen Android.BankBot.104.origin #drweb

    Android.BankBot.104.origin устанавливается на Android-смартфоны и планшеты как приложение с именем «HACK» и после запуска пытается получить доступ к функциям администратора устройства. Затем троянец удаляет свой значок из списка приложений на главном экране, скрываясь от пользователя.

    screen Android.BankBot.104.origin #drweb screen Android.BankBot.104.origin #drweb

    Далее он приступает к непосредственному выполнению вредоносной деятельности. В частности, пытается определить, подключена ли у жертвы услуга мобильного банкинга, а также есть ли у нее какие-либо доступные денежные счета. Для этого вредоносное приложение отправляет СМС-сообщения со специальными командами на соответствующие номера банковских систем. Если Android.BankBot.104.origin обнаруживает деньги, он пытается незаметно перевести их на счета злоумышленников.

    Кроме того, киберпреступники могут дистанционно управлять банкером. Так, по команде с управляющего сервера троянец способен включить переадресацию вызовов на заданный номер, скрывать от пользователя входящие СМС и перехватывать их содержимое, отправлять СМС-сообщения, выполнять USSD-запросы, а также некоторые другие действия.

    Специалисты компании «Доктор Веб» рекомендуют геймерам не искать взломанные версии игр и приложений для ОС Android и не устанавливать сомнительные программы на мобильные устройства, поскольку попытка сэкономить небольшую сумму может обернуться потерей всех денег на банковских счетах. Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют известные модификации описанных троянцев, поэтому для наших пользователей они опасности не представляют.

    Подробнее о троянце

    Защитите ваше Android-устройство с помощью Dr.Web

    Купить онлайн Купить через Google Play Бесплатно

  • Троянец-бэкдор использует TeamViewer по-новому
  • 25 мая 2016 года

    Специалистам в области информационной безопасности известно несколько разновидностей вредоносных программ, использующих для получения несанкционированного доступа к зараженному компьютеру популярную утилиту удаленного администрирования TeamViewer. Новый троянец BackDoor.TeamViewer.49, обнаруженный вирусными аналитиками компании «Доктор Веб» и специалистами «Яндекс» в мае 2016 года, является исключением из этого правила, поскольку эксплуатирует данную программу с совсем иными целями.

    Для распространения троянца BackDoor.TeamViewer.49 киберпреступники используют другую вредоносную программу — Trojan.MulDrop6.39120, которая реализована в виде поддельного обновления Adobe Flash Player. Исполняемый файл Trojan.MulDrop6.39120 действительно устанавливает плеер на работающий под управлением Windows компьютер, но при этом втайне от пользователя сохраняет на диск приложение TeamViewer, троянца BackDoor.TeamViewer.49 и необходимый для его работы конфигурационный файл. В процессе установки на экране демонстрируется окно настоящего инсталлятора Flash Player.

    screen BackDoor.TeamViewer.49 #drweb

    Обычно различные троянцы используют TeamViewer с целью организации несанкционированного доступа к зараженному компьютеру. Однако бэкдору BackDoor.TeamViewer.49 утилита TeamViewer нужна совсем по другой причине: он активно использует в своей работе различные внутренние функции процесса этой программы. Кроме того, при своем запуске TeamViewer автоматически помещает в память компьютера библиотеку avicap32.dll, чем и воспользовались злоумышленники: они поместили в папку, в которую Trojan.MulDrop6.39120 сохраняет это приложение, троянскую библиотеку с таким же именем. В момент запуска TeamViewer автоматически загружает ее в память.

    После запуска программы TeamViewer BackDoor.TeamViewer.49 удаляет ее значок из области уведомлений Windows и отключает в системе функцию показа сообщений об ошибках. Также троянец использует специальный механизм, призванный исключить его повторный запуск на зараженном компьютере. Необходимые для работы BackDoor.TeamViewer.49 параметры хранятся в зашифрованном конфигурационном файле.

    BackDoor.TeamViewer.49 регистрирует себя в автозагрузке, а затем в непрерывном цикле, но с определенными интервалами, устанавливает атрибуты «системный» и «скрытый» для своей папки, где хранятся сам исполняемый файл, вредоносная библиотека и файл конфигурации. Если в какой-то момент времени установить эти атрибуты не удалось, вредоносная программа приступает к процедуре удаления из системного реестра всех ключей, относящихся к программе TeamViewer.

    В теле троянца хранится еще одна зашифрованная библиотека, реализующая вредоносные функции BackDoor.TeamViewer.49. В ней содержится специальным образом сформированный массив с именами управляющих серверов, от которых троянец может получать различные команды. Вся информация, которой бэкдор обменивается с управляющим сервером, шифруется.

    Троянец способен выполнять несколько управляющих директив, однако две основные из них — это команды на установку соединения с указанным удаленным узлом (включая возможность авторизации на нем) и на перенаправление трафика от управляющего сервера на заданный удаленный узел через инфицированный компьютер. Это позволяет злоумышленникам обеспечить собственную анонимность в Интернете, соединяясь с удаленными узлами через зараженный компьютер как через обычный прокси-сервер.

    Вредоносные программы Trojan.MulDrop6.39120 и BackDoor.TeamViewer.49 распознаются и удаляются Антивирусом Dr.Web, поэтому не представляют опасности для наших пользователей.

    «Доктор Веб» выражает благодарность компании «Яндекс» за предоставленный для исследований образец троянца.

    Подробнее о троянце

  • Android-троянец атакует клиентов десятков банков по всему миру
  • Новый бэкдор крадет документы и шпионит за пользователем
  • 6 мая 2016 года

    Бэкдорами называют разновидность троянцев, способных выполнять на инфицированном компьютере команды злоумышленников. Как правило, бэкдоры используются для установки удаленного контроля над зараженной машиной и хищения различной конфиденциальной информации. Одним из представителей этого класса вредоносных программ стал обнаруженный специалистами компании «Доктор Веб» троянец, предназначенный для кражи документов и шпионажа.

    Угрожающий пользователям Microsoft Windows троянец BackDoor.Apper.1 распространяется с помощью дроппера, который представляет собой документ Microsoft Excel, содержащий специальный макрос. Этот макрос собирает по байтам и запускает самораспаковывающийся архив. Архив, в свою очередь, содержит исполняемый файл, имеющий действительную цифровую подпись компании Symantec, и динамическую библиотеку, в которой сосредоточен основной функционал бэкдора. Троянец регистрирует в автозагрузке исполняемый файл, который после своего запуска загружает в память атакуемого компьютера вредоносную библиотеку.

    screen #drweb

    Основное предназначение BackDoor.Apper.1 — кража с инфицированного компьютера различных документов. Зарегистрировав собственное приложение в автозагрузке, троянец удаляет исходный файл.

    После успешного запуска BackDoor.Apper.1 действует в качестве кейлоггера: фиксирует нажатия клавиш и записывает их в специальный зашифрованный файл. Еще одна функция троянца — мониторинг файловой системы. Если на диске компьютера имеется конфигурационный файл, содержащий пути к папкам, состояние которых троянец должен отслеживать, BackDoor.Apper.1 будет фиксировать все изменения в этих папках и передавать эту информацию на управляющий сервер.

    Перед установкой связи с командным сервером бэкдор собирает данные о зараженном компьютере: его имя, версию операционной системы, сведения о процессоре, оперативной памяти и дисках, после чего отсылает полученные сведения злоумышленникам. Затем троянец добывает более подробную информацию о дисковых накопителях, которая также передается на управляющий сервер вместе с файлом журнала кейлоггера. Вслед за этим BackDoor.Apper.1 переходит в режим ожидания команд.

    Для получения директивы троянец отправляет на управляющий сервер специальный запрос. Среди прочего бэкдор может по команде отправить злоумышленникам сведения о содержимом заданной папки или указанный киберпреступниками файл, удалить или переименовать какой-либо файловый объект, создать на зараженном компьютере новую папку, а также сделать снимок экрана и отправить его на принадлежащий киберпреступникам сервер.

    Антивирус Dr.Web детектирует и удаляет данного троянца, поэтому он не представляет опасности для наших пользователей.

    Подробнее о троянце

  • «Доктор Веб»: обзор вирусной активности для мобильных устройств в апреле 2016 года
  • 29 апреля 2016 года

    В апреле наибольшую активность среди нежелательных и вредоносных приложений вновь проявили всевозможные агрессивные рекламные модули – за последний месяц на мобильных устройствах они выявлялись чаще всего. Кроме того, в апреле вирусные аналитики компании «Доктор Веб» обнаружили новую вредоносную программу, предназначенную для автоматической установки различного ПО, а в каталоге Google Play выявили более 190 приложений, в которых скрывался троянец.

    Главные тенденции апреля

    • Выявление большого числа агрессивных рекламных Android-модулей
    • Обнаружение троянца в более чем 190 приложениях каталога Google Play
    • Обнаружение нового троянца-загрузчика, устанавливающего всевозможное ПО без разрешения и участия пользователя

    «Мобильная» угроза месяца

    В апреле специалисты «Доктор Веб» обнаружили в каталоге Google Play очередного троянца. Эта вредоносная программа, получившая имя Android.Click.95, скрывалась в более чем 190 приложениях, которые распространяли как минимум 6 разработчиков. Общее число загрузок этих приложений превысило 140 000.

    screen #drweb

    Android.Click.95 проверяет, установлено ли на зараженном мобильном устройстве то или иное приложение, указанное в настройках троянца. В зависимости от результата вредоносная программа открывает в веб-браузере мошеннический сайт с тревожным сообщением, в котором пользователю предлагается установить то или иное ПО, чтобы решить возникшую «проблему». Этот веб-сайт демонстрируется жертве каждые 2 минуты, в результате чего с мобильным устройством фактически становится невозможно работать. Если пользователь соглашается на установку, он перенаправляется на соответствующую рекламируемому приложению страницу в каталоге Google Play. Подробнее об этом случае рассказано в публикации на нашем сайте.

    По данным антивирусных продуктов Dr.Web для Android

    screen #drweb

    Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

    Троянцы-загрузчики

    Использование вредоносных Android-приложений, скачивающих и устанавливающих на мобильные устройства всевозможное ПО для увеличения его популярности, в настоящее время становится все более распространенным источником незаконного заработка вирусописателей. В апреле специалисты компании «Доктор Веб» выявили очередного такого троянца-загрузчика, получившего имя Android.GPLoader.1.origin. Эта вредоносная программа попадает в систему вместе с троянцем Android.GPLoader.2.origin, представляющим собой проигрыватель видеороликов категории «для взрослых». При запуске он сообщает о необходимости установить некий мультимедийный кодек, который на самом деле является вредоносным приложением Android.GPLoader.1.origin.

    screen #drweb

    После запуска Android.GPLoader.1.origin запрашивает у владельца мобильного устройства доступ к специальным возможностям операционной системы (Accessibility Service), которые троянец будет использовать для эмуляции пользовательских нажатий на экран. Затем вредоносная программа соединяется с управляющим сервером и получает от него список программ, которые требуется установить. Как только устройство переходит в ждущий режим и его дисплей выключается, Android.GPLoader.1.origin открывает в приложении Google Play разделы с заданным ПО и автоматически устанавливает соответствующие программы в систему, искусственно увеличивая их популярность.

    Вредоносные и нежелательные программы, которые показывают рекламу и без спроса устанавливают приложения, становятся все более распространенными. Чтобы снизить вероятность заражения мобильных устройств таким ПО и избежать негативных последствий, специалисты компании «Доктор Веб» советуют пользователям не скачивать и не устанавливать сомнительные приложения, а также рекомендуют защищать смартфоны и планшеты антивирусом.

    Защитите ваше Android-устройство с помощью Dr.Web

    Купить онлайн Купить через Google Play Бесплатно

  • Android-троянец из Google Play обманом заставляет пользователей устанавливать программы
  • 29 апреля 2016 года

    Каталог цифрового контента Google Play считается самым надежным источником ПО для смартфонов и планшетов под управлением ОС Android, однако в нем время от времени все же обнаруживаются всевозможные вредоносные программы. Недавно специалисты компании «Доктор Веб» выявили в этом каталоге более 190 приложений, в которых находится троянец Android.Click.95, пугающий пользователей наличием проблем на мобильных устройствах и заставляющий их устанавливать рекламируемые программы.

    Все приложения, в которые встроен Android.Click.95, являются довольно примитивными поделками. В большинстве случаев они представляют собой типичные программы-сборники, содержащие различные советы, гороскопы, сонники, анекдоты и другую информацию на каждый день, свободно доступную в Интернете. Вирусные аналитики «Доктор Веб» обнаружили более 190 таких приложений, распространяемых в Google Play как минимум шестью разработчиками: allnidiv, malnu3a, mulache, Lohari, Kisjhka и PolkaPola. При этом в общей сложности троянца успели загрузить как минимум 140 000 пользователей. Компания Google уже оповещена об этом инциденте, однако на момент написания материала многие из выявленных приложений все еще доступны для загрузки.

    screen #drwebscreen #drweb

    Попадая на мобильное устройство, Android.Click.95 начинает вредоносную деятельность не сразу, а лишь через 6 часов после того, как будет запущена содержащая троянца программа. Это сделано для того, чтобы отвести подозрения жертвы от истинного источника нежелательной активности в системе. По прошествии 6 часов Android.Click.95 проверяет, установлено ли на зараженном устройстве приложение, которое заранее указано в настройках троянца. В зависимости от результата Android.Click.95 открывает в веб-браузере мошеннический сайт с определенным тревожным сообщением. Например, если троянец не находит определенное приложение-браузер, пользователю демонстрируется соответствующее предупреждение о том, что его текущий веб-обозреватель небезопасен и нуждается в замене. Если же рекламируемая программа уже установлена, жертву пугают иной неполадкой – например, неисправностью аккумулятора.

    screen #drwebscreen #drweb

    Как же пользователю решить возникшую внезапно «проблему», о которой он раньше и не подозревал? Естественно, установить предлагаемое злоумышленниками ПО. А чтобы наверняка заставить жертву установить рекламируемую программу, Android.Click.95 загружает мошенническую веб-страницу каждые 2 минуты, фактически не давая владельцу смартфона или планшета нормально пользоваться устройством.

    После того как хозяин атакованного мобильного устройства все же соглашается установить предлагаемое ему ПО и нажимает соответствующую кнопку на веб-странице, он перенаправляется в каталог Google Play, в котором автоматически открывается раздел с той или иной программой, рекламируемой троянцем в данный момент. За каждую успешную установку злоумышленники получают денежное вознаграждение в рамках рекламных партнерских программ, поэтому неудивительно, что они создали так много различных копий Android.Click.95 в надежде на наибольшую финансовую отдачу.

    Компания «Доктор Веб» призывает владельцев Android-смартфонов и планшетов не устанавливать неизвестные приложения сомнительного качества, даже если они находятся в каталоге Google Play. Все программы, в которых скрывается Android.Click.95, успешно детектируются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот троянец опасности не представляет.

  • «Доктор Веб»: обзор вирусной активности в апреле 2016 года
  • Новая атака на пользователей Facebook
  • 29 апреля 2016 года

    На сегодняшний день Facebook является одной из наиболее популярных социальных сетей в мире, и потому интерес к ней со стороны злоумышленников со временем не снижается. Аналитики компании «Доктор Веб» выяснили, что созданный вирусописателями плагин для браузера Google Chrome, способный рассылать спам в Facebook, на сегодняшний день установили более 12 000 пользователей этой социальной сети.

    Вредоносный плагин для Google Chrome детектируется антивирусом Dr.Web под именем Trojan.BPlug.1074. Если пользователь Chrome, у которого установлен этот плагин, войдет в социальную сеть Facebook, Trojan.BPlug.1074 определяет его идентификатор (UID) и вносит изменения в оформление сайта социальной сети в окне браузера: удаляет меню «Быстрые настройки конфиденциальности», открывающееся нажатием на кнопку в верхней правой части окна Facebook, а также все остальные выпадающие меню, которые могут демонстрироваться в интерфейсе социальной сети. Затем троянец получает перечень друзей жертвы.

    После этого Trojan.BPlug.1074 автоматически создает новую страницу сообщества, название которой генерируется автоматически. С использованием ID сообщества, фотографии жертвы, установленной в качестве аватара, и адреса веб-страницы, извлекаемого из конфигурационного файла, троянец формирует пост формата «поделиться ссылкой» и с определенным временным интервалом размещает его в своей ленте. Поскольку троянец при создании поста «упоминает» в нем всех друзей текущего пользователя из полученного ранее списка, это сообщение также появляется в их ленте событий.

    screen #drweb

    При переходе по ссылке, указанной в таком сообщении, пользователь Facebook попадает на веб-страницу, копирующую внешний вид этой социальной сети (если переход осуществляется с какого-либо другого сайта, посетитель перенаправляется на пустую веб-страницу).

    screen #drweb

    Эта страница содержит заголовок «Hello please watch my video», под которым размещается якобы стандартный компонент видеопроигрывателя. Если посетитель использует браузер Chrome, при попытке просмотреть этот видеоролик на экране появится диалоговое окно, в котором ему будет предложено загрузить и установить плагин для браузера. Этот плагин также является копией троянца Trojan.BPlug.1074.

    screen #drweb

    Аналогичным образом Trojan.BPlug.1074 может распространять и другие плагины для браузера Google Chrome.

    Вирусные аналитики компании «Доктор Веб» выяснили, что к 28 апреля 2016 года вредоносный плагин Trojan.BPlug.1074 был загружен и установлен пользователями Facebook более чем 12 000 раз. Антивирус Dr.Web успешно обнаруживает и удаляет этого троянца, однако специалисты дополнительно рекомендуют пользователям проявлять осмотрительность и не устанавливать расширения к браузеру, даже если их предлагает загрузить такой популярный сайт, как Facebook.

    Подробнее о троянце

  • «Доктор Веб» предупреждает: опасайтесь мошеннических интернет-магазинов!
  • 22 апреля 2016 года

    Покупки в интернет-магазинах уже давно стали привычным делом для миллионов пользователей: сетевые торговые площадки позволяют выбрать товар с наиболее выгодными ценами, быстрой доставкой и удобным способом оплаты. Однако преимущества интернет-магазинов по достоинству оценили не только потенциальные покупатели, но и многочисленные сетевые мошенники, построившие на этом настоящий криминальный бизнес. Компания «Доктор Веб» предостерегает пользователей от необдуманных действий при совершении онлайн-покупок.

    В последнее время растет количество пострадавших от киберпреступников, которые наживаются на излишней доверчивости пользователей Интернета. Применяемая злоумышленниками схема мошенничества крайне проста и в то же время, судя по числу жертв, весьма популярна в Рунете.

    Все начинается с появления в сети интернет-магазина, предлагающего дорогую электронику, фототехнику, садовый и строительный инструмент, ювелирную продукцию или иные товары по крайне привлекательным ценам. На сайте торговой площадки, как правило, размещено множество положительных отзывов, оставленных счастливыми клиентами, а его адрес зачастую похож на URL других популярных интернет-магазинов. Такой ресурс имеет практически все элементы, традиционно присутствующие на сайтах онлайн-магазинов: адрес офиса, контактный телефон (по которому на звонки отвечает диспетчер), название компании –учредителя торговой площадки. Разве что сделаны они все с использованием одного и того же стандартного шаблона.

    screen #drweb

    Подобные магазины обещают организовать доставку выбранного покупателем товара в любой регион России с использованием услуг транспортных компаний и предлагают различные варианты оплаты: переводом на Qiwi-кошелек или банковскую карту. Также они принимают платежи через электронные терминалы и посредством различных платежных систем, единственное декларируемое ими важное условие сделки — стопроцентная предоплата.

    Оплатив покупку (как правило, на несколько десятков тысяч рублей), жертва ожидает подтверждения отправки своего заказа, однако спустя некоторое время сайт интернет-магазина неожиданно исчезает, отосланные на контактный адрес электронной почты письма возвращаются, а телефонный номер мошенников замолкает навсегда. И уже через несколько дней в точности такой же магазин с аналогичным ассортиментом товаров появляется в Интернете по другому адресу и с другим названием.

    Поскольку мошенники задействуют для организации своего криминального бизнеса услуги операторов IP-телефонии (с помощью которых арендовать прямой городской телефонный номер может любой желающий), а для вывода средств используются фирмы-однодневки, краденные документы или услуги подставных лиц (так называемых «дропов»), вычислить злоумышленников оказывается чрезвычайно трудно. Поэтому несколько приведенных ниже простых советов, возможно, уберегут наших читателей от опасности попасть в цепкие лапы сетевых преступников.

    • Старайтесь проявлять благоразумие: не «покупайтесь» на обещания тотальных распродаж и баснословных скидок. Если дорогой мобильный телефон продается за полцены — это повод насторожиться.
    • С помощью любого бесплатного сервиса WHOIS постарайтесь определить дату регистрации домена: если адрес магазина был зарегистрирован всего несколько недель или месяцев назад, это тревожный признак. Сервис WHOIS можно отыскать, например, на сайте российского регистратора доменов Nic.Ru: www.nic.ru/whois.
    • Поищите отзывы о выбранном вами магазине в Интернете. Конечно, злоумышленники могут и сами оставлять положительные комментарии, но наличие хотя бы нескольких отрицательных рецензий является важным сигналом. В особенности стоит обратить внимание на даты публикации положительных рекомендаций — если они оставлены раньше, чем был зарегистрирован домен интернет-магазина, это верный признак мошенничества.
    • С помощью любого сервиса онлайн-карт поищите адрес, по которому якобы находится офис или склад интернет-магазина. Зачастую по этому адресу оказывается пустырь, заброшенный завод или автостоянка.

    Если вы все же стали жертвой киберпреступников, обязательно напишите заявление в полицию о совершенном в отношении вас правонарушении — мошенничество, в том числе совершенное в Интернете, является серьезным преступлением. В свою очередь, специалисты компании «Доктор Веб» стараются оперативно добавлять адреса фальшивых интернет-магазинов в базу нерекомендуемых сайтов.

  • Хакерская Linux-утилита заражает злоумышленников троянцем
  • 13 апреля 2016 года

    Появление новых троянцев-бэкдоров, способных выполнять команды злоумышленников и предоставлять возможность удаленного управления зараженным компьютером, всегда является значимым событием в сфере информационной безопасности. Тем более, если такие вредоносные программы предназначены для операционных систем семейства Linux. В апреле вирусные аналитики компании «Доктор Веб» обнаружили сразу несколько подобных троянцев, получивших названия Linux.BackDoor.Xudp.1, Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 соответственно.

    Первым звеном в цепочке заражения является ELF-файл, детектируемый Антивирусом Dr.Web под именем Linux.Downloader.77. Примечательно, что изначально это приложение предназначено для организации одной из разновидностей атак на удаленные узлы путем массовой отправки на заданный адрес UDP-пакетов. Linux.Downloader.77 — это «троянизированная» версия упомянутой программы. Потенциальная жертва самостоятельно загружает и запускает на своем компьютере эту утилиту, которая при загрузке просит у пользователя предоставить ей привилегии root, — без этого она отказывается работать. Следует отметить, что подобные программы-«флудеры» нередко реализуют дополнительные скрытые функции – например, могут загружать из Интернета другие опасные программы. В этом отношении не является исключением и Linux.Downloader.77.

    Если Linux.Downloader.77 получает root-полномочия, он скачивает с сервера злоумышленников и запускает другой скрипт – Linux.Downloader.116. Этот сценарий загружает основной модуль бэкдора Linux.BackDoor.Xudp.1, сохраняет его под именем /lib/.socket1 или /lib/.loves, размещает сценарий автозапуска в папке /etc/ под именем rc.local и настраивает задачу автоматического запуска троянца в cron. Помимо этого в процессе установки вредоносной программы очищается содержимое iptables.

    После запуска Linux.BackDoor.Xudp.1 расшифровывает хранящийся в его теле блок конфигурационных данных, содержащих необходимую для его работы информацию, и отправляет на сервер сведения об инфицированном компьютере. После этого он запускает три независимых потока. В первом из них бэкдор использует протокол HTTP. Троянец отсылает на управляющий сервер сообщение о том, что он запущен, получает ключ для шифрования сообщений, данные о сервере, на который следует отправлять запросы, и номер порта. После этого Linux.BackDoor.Xudp.1 с определенной периодичностью отправляет на этот сервер запросы, в ответ на которые ему может поступить какая-либо команда. Предположительно, этот механизм может использоваться для самообновления вредоносной программы. Все поступающие директивы зашифрованы, и троянец расшифровывает их с помощью сгенерированного им ключа.

    Во втором потоке Linux.BackDoor.Xudp.1 также ожидает получения от сервера управляющих команд, только по протоколу UDP. В третьем потоке троянец отправляет на управляющий сервер с заданным интервалом времени определенную дейтограмму, чтобы сообщить, что он все еще работает.

    Среди команд, которые способен выполнять Linux.BackDoor.Xudp.1, исследователи выявили приказ на непрерывную отправку заданному удаленному узлу различных запросов (флуд), осуществление DDoS-атак, выполнение произвольных команд на зараженном устройстве. Также Linux.BackDoor.Xudp.1 способен по команде сканировать порты в заданном диапазоне IP-адресов, может запускать указанные злоумышленником файлы, выслать им какой-либо файл, а также выполнять иные задачи. Вирусные аналитики компании «Доктор Веб» отмечают, что этот троянец, по всей видимости, находится в процессе активной разработки — его новые модификации появляются с завидной регулярностью.

    Троянцы Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 являются усовершенствованными версиями бэкдора Linux.BackDoor.Xudp.1 и отличаются от него лишь некоторыми деталями — например, именем, под которым вредоносная программа сохраняется в системе, объемом отсылаемой на управляющий сервер информации о зараженной машине или набором выполняемых команд. Все эти вредоносные программы успешно детектируются Антивирусом Dr.Web для Linux и потому не представляют опасности для наших пользователей.

    Подробнее о троянце

  • Новая версия банковского троянца Gozi создает P2P-ботнет
  • 8 апреля 2016 года

    Принципиально новые банковские троянцы появляются на свет нечасто — как правило, злоумышленники предпочитают модифицировать старые и давно известные вредоносные программы. Одной из таких модификаций банкера, исходные коды которого некоторое время назад были опубликованы в свободном доступе, является обнаруженный вирусными аналитиками «Доктор Веб» Trojan.Gozi.

    Эта вредоносная программа, способная работать на компьютерах под управлением 32- и 64-разрядных версий Windows, реализует чрезвычайно широкий набор функций. Trojan.Gozi позволяет злоумышленникам похищать данные, которые пользователи вводят в различные экранные формы, фиксировать нажатия клавиш (кейлоггинг), умеет встраивать в просматриваемые на зараженном компьютере веб-страницы постороннее содержимое (то есть, выполнять веб-инжекты). Кроме того, с помощью Trojan.Gozi киберпреступники могут получить удаленный доступ к рабочему столу зараженной машины с использованием технологии Virtual Network Computing (VNC). Этот троянец по команде злоумышленников может запустить на инфицированном ПК прокси-сервер SOCKS, а также загружать и устанавливать различные плагины.

    #drweb

    Как и многие другие современные вредоносные программы, для определения адресов своих управляющих серверов Trojan.Gozi использует специальный алгоритм генерации доменов — Domain generation algorithm (DGA). Для этого он загружает с сервера NASA текстовый файл, используемый в качестве словаря, особым образом преобразует его с учетом текущей даты и на основе полученных значений формирует доменные имена, которые будет использовать в дальнейшем в качестве адресов управляющих серверов. Троянец автоматически меняет управляющий сервер каждые 15 дней. Вся информация, которой Trojan.Gozi обменивается со своими командными серверами, шифруется.

    В отличие от предыдущих версий подобных вредоносных программ, Trojan.Gozi обладает возможностью формировать одноранговые ботнеты, то есть обмениваться данными с другими зараженными машинами напрямую, посредством создания P2P-сети. Передаваемая таким образом информация также шифруется.

    Благодаря наличию достаточно большого набора шпионских функций, и в первую очередь — возможности выполнять веб-инжекты, троянец Trojan.Gozi может похищать на инфицированном компьютере различную конфиденциальную информацию, в том числе используемую для доступа к системам «банк-клиент». Эта вредоносная программа успешно детектируется антивирусным ПО Dr.Web и потому не представляет угрозы для наших пользователей.

    Подробнее о троянце

  • Android-троянец распространяется с помощью спутников GPS
  • Более чем в 100 приложениях из Google Play обнаружен троянец-шпион, показывающий рекламу
  • 31 марта 2016 года

    Вредоносные программы для ОС Android, которые приносят доход своим создателям благодаря показу навязчивой рекламы, становятся все более распространенными. Очередного такого троянца, обладающего шпионскими функциями и получившего имя Android.Spy.277.origin, специалисты компании «Доктор Веб» обнаружили в более чем 100 приложениях, размещенных в каталоге Google Play.

    Большинство программ, в составе которых распространяется Android.Spy.277.origin, представляют собой поддельные версии популярного ПО, название и внешний вид которого злоумышленники позаимствовали для привлечения внимания пользователей и увеличения количества загрузок троянца. В частности, среди обнаруженных специалистами «Доктор Веб» программ-двойников встречаются всевозможные утилиты, фоторедакторы, графические оболочки, анимированные обои рабочего стола и другие приложения. В общей сложности вирусные аналитики выявили более 100 наименований программ, содержащих Android.Spy.277.origin, а суммарное количество их загрузок превысило 3 200 000. Компания «Доктор Веб» уведомила службу безопасности корпорации Google о существующей проблеме, и на данный момент некоторые из этих вредоносных приложений уже недоступны для загрузки из каталога Google Play.

    После запуска программ, в которых находится троянец, последний передает на управляющий сервер очень подробные сведения о зараженном мобильном устройстве. Среди прочего, он собирает следующую информацию:

    • email-адрес, привязанный к пользовательской учетной записи Google;
    • IMEI-идентификатор;
    • версию ОС;
    • версию SDK системы;
    • навание модели устройства;
    • разрешение экрана;
    • идентификатор сервиса Google Cloud Messaging (GCM id);
    • номер мобильного телефона;
    • страну проживания пользователя;
    • тип центрального процессора;
    • MAC-адрес сетевого адаптера;
    • параметр «user_agent», формируемый по специальному алгоритму;
    • наименование мобильного оператора;
    • тип подключения к сети;
    • подтип сети;
    • наличие root-доступа в системе;
    • наличие у приложения, в котором находится троянец, прав администратора устройства;
    • название пакета приложения, содержащего троянца;
    • наличие установленного приложения Google Play.

    Каждый раз, когда пользователь запускает то или иное приложение, установленное на устройстве, троянец повторно передает на сервер вышеуказанные данные, название запущенного приложения, а также запрашивает параметры, необходимые для начала показа рекламы. В частности, Android.Spy.277.origin может получить следующие указания:

    • «show_log» – включить или отключить ведение журнала работы троянца;
    • «install_plugin» – установить плагин, скрытый внутри программного пакета вредоносного приложения;
    • «banner», «interstitial», «video_ads» – показать различные виды рекламных баннеров (в том числе поверх интерфейса ОС и других приложений);
    • «notification» – отобразить в информационной панели уведомление с полученными параметрами;
    • «list_shortcut» – поместить на рабочий стол ярлыки, нажатие на которых приведет к открытию заданных разделов в каталоге Google Play;
    • «redirect_gp» – открыть в приложении Google Play страницу с заданным в команде адресом;
    • «redirect_browser» – открыть заданный веб-адрес в предустановленном браузере;
    • «redirect_chrome» – открыть заданный веб-адрес в браузере Chrome;
    • «redirect_fb» – перейти на указанную в команде страницу социальной сети Facebook.

    Как видно на представленных ниже примерах рекламных баннеров, троянец может фактически запугивать пользователей, например, ложно информируя о повреждении аккумулятора устройства и предлагая скачать ненужные программы для его «починки».

    #drweb   #drweb

    А ниже показаны примеры рекламных сообщений, которые отображаются в панели уведомлений, а также рекламные ярлыки, при нажатии на которые пользователь попадает на страницы с рекламируемыми приложениями, размещенными в каталоге Google Play.

    #drweb   #drweb   #drweb

    Примечательно, что плагин, скрытый в файловых ресурсах Android.Spy.277.origin, имеет тот же самый функционал, что и сам троянец. Получив необходимую команду от сервера, вредоносное приложение пытается установить этот модуль под видом важного обновления. После его установки на зараженном устройстве фактически будут находиться две копии Android.Spy.277.origin, поэтому даже в случае удаления исходной версии троянца в системе останется его «дублер», который продолжит показывать навязчивую рекламу.

    Ниже представлен список названий программных пакетов приложений, в которых на данный момент был найден троянец:

    • com.true.icaller
    • com.appstorenew.topappvn
    • com.easyandroid.free.ios6
    • com.entertainmentphotoedior.photoeffect
    • lockscreenios8.loveslockios.com.myapplication
    • com.livewallpaper.christmaswallpaper
    • com.entertainment.drumsetpro
    • com.entertainment.nocrop.nocropvideo
    • com.entertainment.fastandslowmotionvideotool
    • com.sticker.wangcats
    • com.chuthuphap.xinchu2016
    • smartapps.cameraselfie.camerachristmas
    • com.ultils.scanwifi
    • com.entertainmenttrinhduyet.coccocnhanhnhat
    • com.entertainment.malmath.apps.mm
    • com.newyear2016.framestickertet
    • com.entertainment.audio.crossdjfree
    • com.igallery.styleiphone
    • com.crazystudio.mms7.imessager
    • smartapps.music.nhactet
    • com.styleios.phonebookios9
    • com.battery.repairbattery
    • com.golauncher.ip
    • com.photo.entertainment.blurphotoeffect.photoeffect
    • com.irec.recoder
    • com.Jewel.pro2016
    • com.tones.ip.ring
    • com.entertainment.phone.speedbooster
    • com.noelphoto.stickerchristmas2016
    • smartapps.smstet.tinnhantet2016
    • com.styleios9.lockscreenchristmas2016
    • com.stickerphoto.catwangs
    • com.ultils.frontcamera
    • com.phaotet.phaono2
    • com.video.videoplayer
    • com.entertainment.mypianophone.pianomagic
    • com.entertainment.vhscamcorder
    • com.o2yc.xmas
    • smartapps.musictet.nhacxuan
    • com.inote.iphones6
    • christmas.dhbkhn.smartapps.christmas
    • com.bobby.carrothd
    • om.entertainment.camera.fisheyepro
    • com.entertainment.simplemind
    • com.icall.phonebook.io
    • com.entertainment.photo.photoeditoreffect
    • com.editphoto.makecdcover
    • com.tv.ontivivideo
    • smartapps.giaixam.gieoquedaunam
    • com.ultils.frontcamera
    • com.applock.lockscreenos9v4
    • com.beauty.camera.os
    • com.igallery.iphotos
    • com.calculator.dailycalories
    • com.os7.launcher.theme
    • com.trong.duoihinhbatchu.chucmungnammoi
    • com.apppro.phonebookios9
    • com.icamera.phone6s.os
    • com.entertainment.video.reversevideo
    • com.entertainment.photoeditor.photoeffect
    • com.appvv.meme
    • com.newyear.haitetnew
    • com.classic.redballhd
    • com.entertainmentmusic.musicplayer.styleiphoneios
    • com.camera.ios8.style
    • com.countdown.countdownnewyear2016
    • com.photographic.iphonecamera
    • com.contactstyle.phonebookstyleofios9
    • com.entertainment.blurphotobackground.photoeffect.cameraeditor.photoeffect
    • com.color.christmas.xmas
    • com.bottle.picinpiccamera
    • com.entertainment.videocollagemaker
    • com.wallpaper.wallpaperxmasandnewyear2016
    • com.ultils.lockapp.smslock
    • com.apppro.phonebookios9
    • com.entertainment.myguitar.guitarpro
    • com.sticker.stickerframetet2016
    • com.bd.android.kmlauncher
    • com.entertainment.batterysaver.batterydoctor
    • com.trong.jumpy.gamehaynhatquadat
    • com.entertainmentphotocollageeditor
    • smartapps.smsgiangsinh.christmas2016
    • smartapps.musicchristmas.christmasmusichot
    • com.golauncher.ip
    • com.applock.lockscreenos9v4
    • com.imessenger.ios
    • com.livewall.paper.xmas
    • com.main.windows.wlauncher.os.wp
    • com.entertainmentlaunchpad.launchpadultimate
    • com.fsoft.matchespuzzle
    • com.entertainment.photodat.image.imageblur
    • com.videoeditor.instashot
    • com.entertainment.hi.controls
    • com.icontrol.style.os
    • smartapps.zing.video.hot
    • com.photo.entertainment.photoblur.forinstasquare
    • com.entertainment.livewallpaperchristmas
    • com.entertainment.tivionline
    • com.iphoto.os
    • com.tool.batterychecker
    • com.photo.multiphotoblur
    • smartapps.nhactet.nhacdjtet
    • com.runliketroll.troll
    • com.jinx.metalslug.contra

    Компания «Доктор Веб» рекомендует владельцам Android-смартфонов и планшетов внимательно относиться к скачиваемым приложениям и устанавливать их только в том случае, если есть уверенность в благонадежности разработчика. Все известные модификации Android.Spy.277.origin успешно обнаруживаются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот троянец не представляет опасности.

    Защитите ваше Android-устройство с помощью Dr.Web

    Купить онлайн Купить через Google Play Бесплатно

  • «Доктор Веб»: обзор вирусной активности для мобильных устройств в марте 2016 года
  • 31 марта 2016 года

    ГЛАВНЫЕ ТЕНДЕНЦИИ МАРТА

    • Обнаружение рекламного Android-троянца, проникшего в популярные приложения и прошивку нескольких десятков моделей мобильных устройств
    • Обнаружение в каталоге Google Play более 100 приложений, которые содержали троянца-шпиона, показывающего рекламу
    • Завершение исследования опасного троянца, внедряющегося в важный системный процесс ОС Android, а также в процессы других приложений

    «Мобильная» угроза месяца

    В марте специалисты компании «Доктор Веб» исследовали вредоносную программу Android.Gmobi.1, которая была обнаружена в приложениях TrendMicro Dr.Safety, TrendMicro Dr.Booster и Asus WebStorage, а также предустановлена на более чем 40 моделях мобильных Android-устройств. Она представляет собой специализированную программную SDK-платформу (Software Development Kit), используемую разработчиками ПО и производителями смартфонов и планшетов. Вероятнее всего, авторы не задумывали этот модуль как троянца, однако ведет он себя как типичная вредоносная программа.

    screen Android.Gmobi.1 #drweb

    Так, Android.Gmobi.1 может демонстрировать навязчивую рекламу нескольких типов, например, помещать ее в панель уведомлений или показывать в виде баннеров поверх окон запущенных программ. Кроме того, троянец без спроса создает ярлыки на рабочем столе ОС, открывает различные страницы в веб-браузере и в приложении Google Play, а также способен загружать, устанавливать и запускать различное ПО. Ко всему прочему, Android.Gmobi.1 обладает и шпионскими функциями – он крадет и передает злоумышленникам различную конфиденциальную информацию. Подробнее об этом вредоносном приложении можно узнать из опубликованной на сайте компании «Доктор Веб» новости.

    По данным антивирусных продуктов Dr.Web для Android

    По данным антивирусных продуктов Dr.Web для Android #drweb

    • Adware.WalkFree.1.origin

    • Adware.Leadbolt.12.origin

    • Adware.AdMogo.2.origin

      Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.
    • Android.Xiny.26.origin

      Троянская программа, которая получает root-привилегии, устанавливается в системный каталог Android и в дальнейшем устанавливает различные программы без разрешения пользователя. Также она может показывать навязчивую рекламу.
    • Adware.Airpush.31.origin

      Нежелательный программный модуль, встраиваемый в Android-приложения и предназначенный для показа навязчивой рекламы на мобильных устройствах.

    Троянцы-шпионы

    В конце марта вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play более 100 приложений, которые содержали троянца-шпиона Android.Spy.277.origin, показывающего навязчивую рекламу. Эта вредоносная программа распространялась главным образом в поддельных версиях популярного ПО. Android.Spy.277.origin передает на управляющий сервер большой объем конфиденциальной информации и способен отображать рекламу различного типа.

    screen Android.Spy.277.origin #drweb screen Android.Spy.277.origin #drweb

    В частности, он может показать рекламу в виде баннеров поверх окон других приложений или интерфейса ОС, выводить сообщения в панель уведомлений, создавать ярлыки на рабочем столе и автоматически открывать ссылки в веб-браузере. Более полная информация об этом троянце содержится в публикации на нашем сайте.

    Примечательные троянцы

    В марте вирусные аналитики «Доктор Веб» завершили исследование целой группы троянцев семейства Android.Triada, внедряющихся в важный системный процесс Zygote и выполняющих вредоносные действия по команде злоумышленников. В ОС Android процесс Zygote отвечает за запуск всех приложений и при их старте создает для них в оперативной памяти свою копию, содержащую системные библиотеки и другие необходимые для работы компоненты. Внедряясь в Zygote, троянцы фактически получают возможность инфицировать процессы всех запускаемых в дальнейшем программ и могут выполнять вредоносные действия от имени и с правами этих приложений.

    Основная вредоносная функция, реализованная в настоящий момент в троянцах Android.Triada, – это незаметная отправка СМС, а также подмена текста и номера получателя у сообщений, которые отправляет пользователь зараженного мобильного устройства. Тем не менее, по команде с управляющего сервера вредоносные программы могут загрузить дополнительные компоненты, которые будут использоваться для выполнения других нежелательных действий, необходимых злоумышленникам.

    Примечательно, что представители семейства Android.Triada обладают функцией самозащиты. В частности, троянцы пытаются отследить и завершить работу ряда популярных в Китае антивирусных программ. Кроме того, они контролируют целостность своих компонентов: если какой-либо из вредоносных файлов будет удален с устройства, он будет восстановлен из оперативной памяти.

    Появление троянцев Android.Triada вновь показало, что вредоносные приложения для Android-смартфонов и планшетов становятся все опаснее и изощреннее и зачастую не уступают по своим функциональным возможностям троянцам для ОС Windows. Специалисты «Доктор Веб» постоянно отслеживают вирусную обстановку и оперативно добавляют в вирусную базу записи для всех новых вредоносных приложений.

    Защитите ваше Android-устройство с помощью Dr.Web

    Купить онлайн Купить через Google Play Бесплатно

       Решения






    «Доктор Веб» © 2007 Компания "Доктор Веб" - производитель и поставщик антивирусных решений семейства Dr.WEB.
    Среди потребителей продуктов компании домашние пользователи из всех регионов мира и крупные российские предприятия, небольшие организации и системообразующие корпорации, которым коллектив "Доктор Веб" благодарен за поддержку и преданность продукту в течение многих лет. Государственные сертификаты и награды, полученные антивирусом Dr.WEB, а также география его пользователей свидетельствуют о степени исключительного доверия к продукту, созданному талантливыми программистами России.