Новости о вирусах

  • «Доктор Веб» исследовал червя, заражающего архивы и удаляющего других троянцев
  • 13 января 2017 года

    Черви — это вредоносные программы, которые умеют самостоятельно распространяться, но не могут заражать исполняемые файлы. Вирусные аналитики компании «Доктор Веб» исследовали одного из таких троянцев, который инфицирует RAR-архивы, удаляет другие опасные приложения и использует для своего распространения систему удаленного доступа VNC.

    Червь, названный BackDoor.Ragebot.45, получает команды с использованием протокола для обмена текстовыми сообщениями IRC (Internet Relay Chat). Для этого он подключается к чат-каналу, по которому злоумышленники отдают троянцу управляющие директивы.

    screen BackDoor.Ragebot.45 #drweb

    Заразив компьютер под управлением Windows, BackDoor.Ragebot.45 запускает на нем FTP-сервер, посредством которого скачивает на атакуемый ПК свою копию. Затем он сканирует доступные подсети в поисках узлов с открытым портом 5900, используемым для организации соединения при помощи системы удаленного доступа к рабочему столу Virtual Network Computing (VNC). Обнаружив такую машину, BackDoor.Ragebot.45 пытается получить к ней несанкционированный доступ путем перебора паролей по словарю.

    Если взлом удался, червь устанавливает с удаленным компьютером VNC-соединение и отправляет сигналы нажатия клавиш, с помощью которых запускает интерпретатор команд CMD и выполняет в нем код для загрузки по протоколу FTP собственной копии. Так червь распространяется автоматически.

    Еще одна функция BackDoor.Ragebot.45 — поиск и заражение RAR-архивов на съемных носителях. Обнаружив RAR-архив, червь помещает в него свою копию с именем setup.exe, installer.exe, self-installer.exe или self-extractor.exe. Для успешного заражения компьютера пользователь должен сам запустить извлеченный из архива исполняемый файл.

    Кроме того, троянец копирует себя в папку ICQ-клиента, а также ряда программ, предназначенных для установки P2P-соединений. Получив от злоумышленников соответствующую команду, BackDoor.Ragebot.45 ищет в системе других троянцев, при обнаружении которых завершает их процессы и удаляет исполняемые файлы. Троянец располагает специальными «белыми списками», содержащими имена файлов (в основном системных файлов Windows), которые он игнорирует, позволяя им работать на инфицированной машине.

    Образцы одной из старых версий BackDoor.Ragebot.45 некоторое время назад попали в свободный доступ. Можно предположить, что благодаря этому вредоносная программа будет активно распространяться и в дальнейшем. Антивирус Dr.Web обнаруживает и удаляет BackDoor.Ragebot.45, в связи с чем этот троянец не представляет опасности для наших пользователей.

    Подробнее о троянце

  • «Доктор Веб»: обзор вирусной активности за 2016 год
  • «Доктор Веб»: обзор вирусной активности для мобильных устройств в декабре 2016 года
  • «Доктор Веб» исследовал установщик нежелательного ПО и «неудаляемой» рекламы
  • 16 декабря 2016 года

    Вредоносные программы, предназначенные для несанкционированной установки других приложений, весьма популярны у злоумышленников. В Интернете действует множество так называемых «партнерских программ», выплачивающих вознаграждение за установку ПО, чем и пользуются вирусописатели. Одним из таких троянцев-установщиков является Trojan.Ticno.1537, исследованный вирусными аналитиками компании «Доктор Веб» в начале декабря 2016 года.

    Trojan.Ticno.1537 скачивается на атакуемый компьютер другой вредоносной программой. После запуска троянец пытается определить наличие виртуального окружения и средств отладки, проверяя имена запущенных процессов и соответствующие ветви системного реестра Windows. Кроме того, Trojan.Ticno.1537 проверяет идентификатор продукта Windows (Product ID), имя пользователя и компьютера, количество вложенных папок в директории Program Files, наименование производителя BIOS и присутствие в системе работающих процессов perl.exe или python.exe. Если проверка завершилась успешно, вредоносная программа запускает Проводник и завершает свою работу.

    Если троянец не обнаружил ничего подозрительного, он сохраняет на диск файл с именем 1.zip.

    #drweb

    На изображении выше показано нестандартное диалоговое окно сохранения файла Microsoft Windows: в его левом нижнем углу располагается ссылка «Дополнительные параметры», при нажатии на которую Trojan.Ticno.1537 покажет список программ, которые он собирается установить на компьютере:

    #drweb

    При нажатии кнопки Save Trojan.Ticno.1537 начинает загрузку и установку этих программ.

    #drweb

    Среди приложений, которые Trojan.Ticno.1537 устанавливает на компьютер жертвы — браузер Amigo и программа HomeSearch@Mail.ru разработки компании Mail.Ru, а также троянцы Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 и Adware.Plugin.1400.

    Упомянутый выше Trojan.ChromePatch.1 — это рекламный троянец, который проникает в систему вместе с приложением TrayCalendar, созданным в 2002 году. Сама программа и троянец упакованы в единый установочный пакет.

    #drweb

    Одновременно с копированием на диск TrayCalendar инсталлятор сохраняет и устанавливает расширение для Google Chrome. Наиболее интересная особенность Trojan.ChromePatch.1 заключается в том, что он умеет заражать файл ресурсов браузера Chrome, — resources.pak. Злоумышленники используют этот прием как минимум с весны 2015 года, чтобы в Chrome реклама отображалась даже после того, как троянец будет удален с компьютера. При заражении размер этого файла не меняется, поскольку Trojan.ChromePatch.1 ищет в нем строки с комментариями и заменяет их собственным кодом. Назначение Trojan.ChromePatch.1 — показ в окне браузера Chrome нежелательной рекламы.

    Все упомянутые в статье троянцы успешно обнаруживается и удаляются Антивирусом Dr.Web, поэтому не представляют опасности для наших пользователей.

    Подробнее о троянце

  • «Доктор Веб» обнаружил троянцев в прошивках популярных мобильных Android-устройств
  • «Доктор Веб»: новая версия троянца Android.Loki заражает системные библиотеки
  • 9 декабря 2016 года

    Вирусные аналитики компании «Доктор Веб» обнаружили нового представителя семейства опасных троянцев Android.Loki, о котором мы сообщали в феврале 2016 года. Как и предыдущие версии, выявленная вредоносная программа внедряется в процессы различных приложений, в том числе системных, однако теперь для этого она заражает библиотеки ОС Android.

    Вредоносная программа, получившая имя Android.Loki.16.origin, представляет собой многокомпонентного троянца. Она незаметно загружает и устанавливает ПО на мобильные устройства под управлением ОС Android. Троянец заражает смартфоны и планшеты в несколько этапов.

    На первом этапе Android.Loki.16.origin загружается на мобильные устройства и запускается другими вредоносными программами. Затем он соединяется с управляющим сервером и скачивает с него вредоносный компонент Android.Loki.28, а также несколько эксплойтов для получения root-доступа. Все эти файлы сохраняются в рабочий каталог троянца. Далее Android.Loki.16.origin поочередно выполняет эксплойты и после успешного повышения системных привилегий запускает на исполнение модуль Android.Loki.28.

    В свою очередь, Android.Loki.28 после запуска монтирует раздел /system на запись, получая возможность вносить изменения в системные файлы. Затем он извлекает из себя дополнительные вредоносные компоненты Android.Loki.26 и Android.Loki.27 и помещает их в системные каталоги /system/bin/ и /system/lib/ соответственно. Далее вредоносная программа внедряет в одну из системных библиотек зависимость от троянского компонента Android.Loki.27. После модификации библиотеки вредоносный модуль Android.Loki.27 привязывается к ней и запускается каждый раз, когда ее задействует операционная система. На изображениях ниже представлен пример изменений, которые выполняет вредоносная программа:

    новая версия троянца Android.Loki заражает системные библиотеки #drweb новая версия троянца Android.Loki заражает системные библиотеки #drweb

    После того как Android.Loki.27 начинает работу, он запускает на исполнение вредоносный модуль Android.Loki.26. Его старт выполняется только из системных процессов, работающих с правами root. Таким образом, Android.Loki.26 получает root-полномочия и может незаметно загружать, устанавливать и удалять приложения. С помощью этого модуля киберпреступники загружают на Android-устройства не только другие вредоносные программы, но и рекламные модули или безобидное ПО, получая доход от показа назойливой рекламы или накрутки счетчика установок определенных приложений.

    Поскольку вредоносный модуль Android.Loki.27 изменяет системные компоненты, его удаление приведет к поломке зараженного мобильного устройства. При последующих включениях ОС Android не сможет нормально загрузиться, потому что не найдет в модифицированной библиотеке зависимость, соответствующую троянцу. Чтобы восстановить работу системы, устройство придется перепрошить. Поскольку все персональные файлы при этом будут удалены, перед прошивкой рекомендуется создать резервные копии важных данных и по возможности обратиться к специалисту.

    Антивирусные продукты Dr.Web для Android успешно распознают все известные модификации троянцев семейства Android.Loki, поэтому для наших пользователей они опасности не представляют.

    Подробнее о троянце

  • «Доктор Веб»: обзор вирусной активности для мобильных устройств в ноябре 2016 года
  • «Доктор Веб»: обзор вирусной активности в ноябре 2016 года
  • «Доктор Веб» обнаружил троянца, интересующегося строительными кранами
  • 17 ноября 2016 года

    Вредоносные программы для узкоспециализированных, или, как их еще называют, таргетированных атак, встречаются нечасто. В 2011 году компания «Доктор Веб» рассказывала о распространении троянца BackDoor.Dande, целенаправленно крадущего информацию у аптек и фармацевтических компаний. Спустя четыре года был обнаружен троянец BackDoor.Hser.1, атаковавший оборонные предприятия. А в ноябре 2016 года специалисты «Доктор Веб» исследовали бэкдор, нацеленный на российские компании, занимающиеся строительными кранами.

    Windows-троянца, получившего наименование BackDoor.Crane.1, злоумышленники использовали в ходе целенаправленной атаки на два крупнейших российских предприятия, занимающихся производством портальных и грузоподъемных кранов, а также сопутствующего оборудования. Это один из немногих случаев таргетированной атаки с применением вредоносного ПО, зафиксированных специалистами «Доктор Веб» за последнее время. Аналитики компании установили, что этот бэкдор и две другие вредоносные программы, которые он загружал на зараженные машины, в течение некоторого времени похищали с инфицированных компьютеров конфиденциальную информацию. Основной целью злоумышленников были финансовые документы, договоры и деловая переписка сотрудников. Кроме того, троянцы с определенной периодичностью делали снимки экранов зараженных ПК и отправляли их на принадлежащий злоумышленникам управляющий сервер. Эти факты позволяют предположить, что российские производители строительных подъемных кранов стали жертвами недобросовестной конкурентной борьбы.

    Далее мы кратко рассмотрим технические аспекты работы BackDoor.Crane.1.

    В ресурсах троянца вирусные аналитики обнаружили окно «О проекте Bot», которое при работе вредоносной программы не отображается на экране, — вероятно, вирусописатели забыли его удалить при заимствовании кода. Оно содержит строку «Copyright © 2015», однако текущая версия бэкдора была скомпилирована вирусописателями 21 апреля 2016 года.

    screen BackDoor.Crane.1 #drweb

    После запуска троянец проверяет наличие на диске атакуемого компьютера конфигурационного файла и в случае отсутствия создает его. Вслед за этим BackDoor.Crane.1 загружает в память зараженной машины собственные модули и с определенными интервалами начинает обращаться к управляющему серверу за заданиями. Примечательно, что в процессе обмена информацией с командным центром троянец использует в качестве значения параметра User-Agent строку «RSDN HTTP Reader» — исходя из этого можно сделать вывод, что вирусописатели копировали фрагменты кода с сайта для разработчиков ПО rsdn.org.

    BackDoor.Crane.1 имеет несколько модулей, которые могут быть установлены по команде злоумышленников. Каждый из них выполняет какую-либо конкретную задачу. Среди них:

    • выполнение переданной с управляющего сервера команды с использованием интерпретатора команд cmd;
    • скачивание файла по заданной ссылке и сохранение его в указанную папку на инфицированном компьютере;
    • составление и передача на управляющий сервер перечня содержимого заданной директории;
    • создание и передача на управляющий сервер снимка экрана;
    • загрузка файла на указанный злоумышленниками сервер с использованием протокола FTP;
    • загрузка файла на указанный злоумышленниками сервер с использованием протокола HTTP.

    Специалисты «Доктор Веб» установили, что некоторые модули BackDoor.Crane.1 скачивали и устанавливали на зараженные компьютеры двух написанных на языке Python троянцев, добавленных в вирусные базы Dr.Web под именами Python.BackDoor.Crane.1 и Python.BackDoor.Crane.2. Бэкдор Python.BackDoor.Crane.1 обменивается с управляющим сервером информацией с использованием протокола HTTP и может выполнять практически тот же набор команд, что и BackDoor.Crane.1. К этому списку добавилось несколько новых функций:

    • получить список файлов и каталогов по заданному пути;
    • удалить указанные файлы;
    • прекратить работу указанных процессов;
    • скопировать заданные файлы;
    • передать на управляющий сервер список запущенных процессов, информацию об операционной системе и дисках зараженного ПК;
    • завершить собственную работу.

    Вторая вредоносная программа — Python.BackDoor.Crane.2 — предназначена для выполнения на инфицированном компьютере полученного с управляющего сервера шелл-кода.

    Сигнатуры этих вредоносных программ добавлены в вирусные базы Dr.Web, поэтому не представляют опасности для наших пользователей.

    Подробнее о троянце

  • «Доктор Веб» обнаружил ботнет, атакующий российские банки
  • 14 ноября 2016 года

    Специалисты компании «Доктор Веб» зафиксировали серию DDoS-атак на сайты российских банков «Росбанк» и «Росэксимбанк». Для этого злоумышленники используют троянца BackDoor.IRC.Medusa.1.

    BackDoor.IRC.Medusa.1 — вредоносная программа, относящаяся к категории IRC-ботов. Так называют троянцев, которые способны объединяться в ботнеты и получать команды с помощью протокола обмена текстовыми сообщениями IRC (Internet Relay Chat). Подключаясь к определенному чат-каналу, IRC-боты ожидают от злоумышленников специальных директив. Основное предназначение BackDoor.IRC.Medusa.1 заключается в выполнении атак на отказ в обслуживании (DDoS-атак). Вирусные аналитики компании «Доктор Веб» предполагают, что именно эта вредоносная программа использовались в ходе массированных атак на Сбербанк России, о которых различные СМИ сообщали в последнее время.

    BackDoor.IRC.Medusa.1 может выполнять несколько типов DDoS-атак, а также по команде злоумышленников загружать и запускать на зараженной машине исполняемые файлы. На иллюстрации ниже представлено опубликованное вирусописателями руководство оператора бот-сети, созданной с использованием троянца BackDoor.IRC.Medusa.1, которое содержит перечень поддерживаемых троянцем команд:

    screen BackDoor.IRC.Medusa.1 #drweb

    В настоящее время киберпреступники активно продвигают BackDoor.IRC.Medusa.1 на подпольных форумах. Создатели троянца утверждают, что ботнет из 100 зараженных компьютеров способен генерировать до 20 000-25 000 запросов в секунду с пиковым значением в 30 000. В качестве доказательства они приводят график тестовой атаки на http-сервер NGNIX:

    screen BackDoor.IRC.Medusa.1 #drweb

    На данный момент на одном из IRC-каналов, контролирующих ботнет BackDoor.IRC.Medusa.1, зарегистрировано 314 активных подключений. Анализ журнала переданных бот-сети команд показывает, что с 11 по 14 ноября 2016 года злоумышленники неоднократно атаковали веб-сайты rosbank.ru («Росбанк»), eximbank.ru («Росэксимбанк»), а также fr.livraison.lu и en.livraison.lu (сеть ресторанов Livraison) и korytov-photographer.ru (частный веб-сайт).

    screen BackDoor.IRC.Medusa.1 #drweb

    Сигнатура BackDoor.IRC.Medusa.1 добавлена в вирусные базы Dr.Web. Специалисты компании «Доктор Веб» продолжают следить за развитием ситуации.

    Подробнее о троянце

  • «Доктор Веб»: Более 1 000 000 пользователей загрузили Android-троянца из Google Play
  • «Доктор Веб»: обзор вирусной активности для мобильных устройств в октябре 2016 года
  • 27 октября 2016 года

    Второй осенний месяц не преподнес никаких сюрпризов пользователям Android-устройств. В самом начале октября в каталоге Google Play был обнаружен троянец, использующий зараженные смартфоны и планшеты в качестве прокси-серверов.

    ГЛАВНЫЕ ТЕНДЕНЦИИ ОКТЯБРЯ

    • Обнаружение Android-троянцев в каталоге приложений Google Play

    «Мобильная» угроза месяца

    В конце сентября — начале октября специалисты по информационной безопасности обнаружили в каталоге Google Play троянца Android.SockBot.1. Эта вредоносная программа была встроена в различные приложения, такие как справочники по прохождению игр, а также любительские модификации и дополнения к игровым приложениям. После запуска на мобильном Android-устройстве Android.SockBot.1 незаметно устанавливает интернет-соединение и использует зараженный смартфон или планшет в качестве прокси-сервера. Благодаря этому злоумышленники могут анонимно соединяться с удаленными компьютерами и другими устройствами, подключенными к сети, не раскрывая своего реального местоположения. Кроме того, они могут перехватывать и перенаправлять сетевой трафик, похищать конфиденциальную информацию и даже организовывать DDoS-атаки (распределенные атаки, приводящие к отказу в обслуживании) на интернет-серверы.

    screen Android.SockBot.1 #drweb screen Android.SockBot.1 #drweb screen Android.SockBot.1 #drweb

    По данным антивирусных продуктов Dr.Web для Android

    По данным антивирусных продуктов Dr.Web для Android #drweb

    • Android.Banker.70.origin
    • Android.Xiny.26.origin
      Троянские программы, которые получают root-привилегии, копируются в системный каталог Android и в дальнейшем устанавливают различные приложения без разрешения пользователя. Также они могут показывать навязчивую рекламу.
    • Android.BankBot.139.origin
      Троянцы, которые крадут логины и пароли доступа от учетных записей мобильного банкинга, а также похищают деньги с банковских счетов пользователей мобильных устройств под управлением ОС Android.
    • Android.Mobifun.7
      Троянец, предназначенный для загрузки других Android-приложений.
    • Android.Backdoor.471.origin
      Троянец, незаметно выполняющий вредоносные действия по команде злоумышленников.

    По данным антивирусных продуктов Dr.Web для Android #drweb

    Несмотря на усиленные меры безопасности, вредоносные программы для мобильных Android-устройств по-прежнему могут проникать в официальные каталоги приложений, такие как Google Play. Поэтому перед установкой понравившегося ПО пользователи должны удостовериться, что та или иная программа распространяется надежным разработчиком и не является подделкой. Кроме того, для защиты смартфонов и планшетов от вредоносных и нежелательных приложений владельцы Android-устройств могут установить антивирусные продукты Dr.Web для Android.

    Защитите ваше Android-устройство с помощью Dr.Web

    Купить онлайн Купить через Google Play Бесплатно

  • «Доктор Веб»: обзор вирусной активности в октябре 2016 года
  • «Доктор Веб» исследовал бэкдор для Linux
  • 20 октября 2016 года

    Большинство троянцев-бэкдоров представляет угрозу для ОС Windows, однако некоторые могут работать на устройствах под управлением Linux. Именно такого троянца исследовали в октябре 2016 года специалисты компании «Доктор Веб».

    Вредоносная программа получила наименование Linux.BackDoor.FakeFile.1, и распространяется она, судя по ряду признаков, в архиве под видом PDF-файла, документа Microsoft Office или Open Office.

    При запуске троянец сохраняет себя в папку .gconf/apps/gnome-common/gnome-common, расположенную в домашней директории пользователя. Затем в папке, из которой был запущен, он ищет скрытый файл с именем, соответствующим своему имени, после чего перемещает его на место исполняемого файла. Например, если ELF-файл Linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf. Если документ отсутствует, Linux.BackDoor.FakeFile.1 создает его и затем открывает в программе gedit.

    После этого троянец проверяет имя дистрибутива Linux, который используется на атакуемом устройстве: если оно отличается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы <HOME>/.profile или <HOME>/.bash_profile команду для собственного автоматического запуска. Затем он извлекает из собственного файла и расшифровывает конфигурационные данные, после чего запускает два потока: один обменивается информацией с управляющим сервером, второй следит за длительностью соединения. Если троянцу не поступало команд более 30 минут, соединение разрывается.

    Linux.BackDoor.FakeFile.1 может выполнять следующие команды:

    • передать на управляющий сервер количество сообщений, отправленных в ходе текущего соединения;
    • передать список содержимого заданной папки;
    • передать на управляющий сервер указанный файл или папку со всем содержимым;
    • удалить каталог;
    • удалить файл;
    • переименовать указанную папку;
    • удалить себя;
    • запустить новую копию процесса;
    • закрыть текущее соединение;
    • организовать backconnect и запустить sh;
    • завершить backconnect;
    • открыть исполняемый файл процесса на запись;
    • закрыть файл процесса;
    • создать файл или папку;
    • записать переданные значения в файл;
    • получить имена, разрешения, размеры и даты создания файлов в указанной директории;
    • установить права 777 на указанный файл;
    • завершить выполнение бэкдора.

    Для своей работы Linux.BackDoor.FakeFile.1 не требует привилегий root, он может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого он был запущен. Сигнатура троянца добавлена в вирусные базы Dr.Web, поэтому он не представляет опасности для наших пользователей.

    Подробнее о троянце

  • «Доктор Веб» представляет обзор Linux-угроз для Интернета вещей
  • 17 октября 2016 года

    Под управлением Linux работает множество различных бытовых устройств: телевизионных приставок, сетевых хранилищ, роутеров, камер видеонаблюдения, многие из которых используются с настройками по умолчанию, что делает их легко доступными для взлома. Компания «Доктор Веб» собрала статистику по наиболее распространенным сегодня Linux-угрозам, в том числе представляющим опасность для Интернета вещей. Это исследование показывает, что чаще всего киберпреступники устанавливают на скомпрометированные девайсы троянцев для проведения DDoS-атак.

    На данный момент основной задачей киберпреступников, распространяющих троянцев для Интернета вещей, является создание ботнетов для осуществления DDoS-атак, однако некоторые троянцы применяются для использования инфицированного устройства в качестве прокси-сервера. С середины сентября 2016 года специалисты «Доктор Веб» зафиксировали 11 636 атак на различные Linux-устройства, из них 9 582 осуществлялось по протоколу SSH и 2054 — по протоколу Telnet. Наиболее часто злоумышленники загружали на взломанные устройства 15 различных видов вредоносных программ, большинство из которых относится к семействам Linux.DownLoader, Linux.DDoS и Linux.BackDoor.Fgt. Пропорциональное соотношение этих троянцев показано на диаграмме ниже.

    graph #drweb

    Наиболее распространенной вредоносной программой согласно этой статистике оказался троянец Linux.Downloader.37, предназначенный для проведения DDoS-атак. Среди Linux-угроз встречаются также представители семейств Linux.Mrblack, Linux.BackDoor.Gates, Linux.Mirai, Linux.Nyadrop, Perl.Flood и Perl.DDoS – с их помощью злоумышленники тоже могут выполнять атаки на отказ в обслуживании. Больше всего на атакованных Linux-устройствах было обнаружено различных модификаций Linux.BackDoor.Fgt. Существуют версии этого троянца для архитектур MIPS, SPARC, m68k, SuperH, PowerPC и других. Linux.BackDoor.Fgt также предназначен для организации DDoS-атак.

    Все эти вредоносные программы киберпреступники загружают на устройства, подобрав к ним логин и пароль и подключившись по протоколам Telnet или SSH. Так, по Telnet злоумышленники чаще всего пытаются соединиться с атакуемым узлом с использованием логина ‘root’, а по SSH — ‘admin’:

    graph #drweb

    graph #drweb

    В таблице ниже показаны некоторые стандартные сочетания логинов и паролей, используемых злоумышленниками при взломе различных устройств под управлением Linux. Эти сочетания киберпреступники применяли при проведении реальных атак.

    SSH
    ЛогинПарольУстройство/приложение (предположительно)
    InformixInformixСемейство систем управления реляционными базами данных (СУБД) Informix, выпускаемых компанией IBM
    PiRaspberryRaspberry Pi
    RootNagiosxiNagios Server and Network Monitoring Software
    nagiosNagiosПО Nagios
    cactiuserCactiПО Cacti
    rootSynopassПО Synology
    adminArticonProxySG - Secure Web Gateway от Blue Coat Systems
    Telnet
    Rootxc3511Камеры видеонаблюдения
    RootVizxvКамеры видеонаблюдения производства Dahua
    RootAnkoКамеры видеонаблюдения производства Anko
    Root5upРоутеры производства TP-Link
    RootXA1bac0MXКамеры видеонаблюдения производства CNB

    Количество уникальных IP-адресов, с которых злоумышленники атакуют отслеживаемые компанией «Доктор Веб» Linux-устройства, в среднем составляет 100:

    graph #drweb

    Число уникальных вредоносных файлов, загружаемых киберпреступниками на взломанные устройства, также меняется со временем – от нескольких единиц до нескольких десятков:

    graph #drweb

    Весьма интересно выглядит статистика загрузок на уязвимые устройства троянца Linux.Mirai: после того как исходные коды этой вредоносной программы появились в публичном доступе, она сразу же стала пользоваться популярностью у злоумышленников. Об этом наглядно свидетельствует растущее число уникальных IP-адресов, с которых загружается этот троянец:

    graph #drweb

    В октябре для установки Linux.Mirai начал использоваться троянец семейства Linux.Luabot. Также во второй половине сентября аналитики «Доктор Веб» фиксировали атаки с использованием троянца Linux.Nyadrop.1, об обнаружении которого сообщили авторы блога MalwareMustDie. Исходя из используемых при проведении атак сочетаний логина и пароля можно сделать вывод, что одной из целей злоумышленников были роутеры производства компании TP-Link. Троянец Linux.Nyadrop.1. имеет размер всего лишь 621 байт и предназначен для установки на скомпрометированное устройство других троянцев.

    Ниже представлено географическое распределение IP-адресов, с которых на уязвимые Linux-устройства загружалось вредоносное ПО:

    map #drweb

    Специалисты компании «Доктор Веб» продолжают следить за распространением вредоносных программ для ОС Linux и будут своевременно информировать пользователей об актуальных тенденциях в этой сфере.

  • «Доктор Веб» обнаружил первого энкодера на Go и разработал дешифровку
  • «Доктор Веб» исследовал семейство опасных Linux-троянцев
  • 27 сентября 2016 года

    Аналитики «Доктор Веб» исследовали троянца Linux.Mirai, который используется для организации DDoS-атак. Более ранние модификации этой вредоносной программы уже были изучены, поэтому в обновленной версии Linux.Mirai специалисты смогли найти признаки предыдущих версий и даже характерные черты троянцев других семейств.

    Первая версия вредоносной программы для Linux, которая впоследствии получила название Linux.Mirai, появилась еще в мае 2016 года и была добавлена в вирусные базы Dr.Web под именем Linux.DDoS.87. Этот троянец, способный работать на устройствах с архитектурой х86, ARM, MIPS, SPARC, SH-4 и M68K, предназначен для организации атак на отказ в обслуживании, то есть DDoS-атак.

    Linux.DDoS.87 содержит в своем коде ряд ошибок, которые были устранены вирусописателями в последующих версиях. Этот троянец имеет определенное сходство с вредоносными программами семейства Linux.BackDoor.Fgt, об одном из представителей которого мы уже писали в ноябре 2014 года. После запуска на зараженном устройстве Linux.DDoS.87 ищет в памяти процессы других троянских программ и прекращает их выполнение. Чтобы избежать случайной остановки собственного процесса, троянец создает в своей папке файл с именем .shinigami и периодически проверяет его наличие. Затем Linux.DDoS.87 пытается установить соединение со своим управляющим сервером для получения дальнейших инструкций. На сервер отправляется идентификатор, определяющий архитектуру инфицированного компьютера, и сведения о MAC-адресе сетевой карты.

    По команде злоумышленников Linux.DDoS.87 способен выполнять следующие виды DDoS-атак:

    • UDP flood;
    • UDP flood over GRE;
    • DNS flood;
    • TCP flood (несколько разновидностей);
    • HTTP flood.

    Максимальный срок непрерывной работы Linux.DDoS.87 на инфицированной машине составляет одну неделю, по истечении которой троянец завершает собственный процесс.

    В начале августа 2016 года вирусные аналитики компании «Доктор Веб» обнаружили новую версию этого опасного троянца, получившую наименование Linux.DDoS.89. Эта вредоносная программа имеет множество общих черт со своей предшественницей, однако прослеживаются и характерные отличия от Linux.DDoS.87. Например, в обновленной версии изменился порядок действий при запуске троянца. Механизм защиты от выгрузки собственного процесса также претерпел изменения: теперь вредоносная программа не пытается определить наличие специального файла в собственной папке, а выполняет проверку на основе идентификатора процесса (PID). Среди отсылаемой Linux.DDoS.89 на управляющий сервер информации отсутствует МАС-адрес сетевого адаптера. Кроме того, из списка поддерживаемых типов атак исчез HTTP flood. В то же время формат получаемых от злоумышленников команд остался прежним. Кроме того, в Linux.DDoS.89 появился новый компонент — telnet-сканнер, который ранее использовался во всех версиях Linux.BackDoor.Fgt. Этот сканер предназначен для поиска в сети уязвимых устройств и несанкционированного подключения к ним по протоколу telnet.

    В конце августа – начале сентября была обнаружена еще одна обновленная версия этого троянца, получившая название Linux.Mirai. В некоторых образцах вредоносной программы появилась функция самоудаления. Троянец научился отключать предотвращающий зависание операционной системы сторожевой таймер watchdog (чтобы исключить перезагрузку устройства), а в перечень выполняемых типов атак вернулся HTTP flood. Тем не менее, Linux.Mirai во многом похож на своих предшественников. Для сравнения на иллюстрации ниже показан фрагмент кода Linux.DDoS.87 (слева) и Linux.Mirai (справа).

    screen Linux.DDoS.87 #drweb screen Linux.Mirai #drweb

    Некоторые исследователи сообщили в своих публикациях, что если Linux.Mirai удается обнаружить в сети уязвимое telnet-устройство, троянец выполняет зашитый в его тело bash-сценарий. Такое поведение действительно характерно для Linux.BackDoor.Fgt, однако ни в одном из образцов Linux.Mirai, имеющихся в распоряжении вирусных аналитиков «Доктор Веб», подобного сценария обнаружить не удалось. Наши специалисты были бы благодарны коллегам за предоставленные образцы Linux.Mirai, в которых вирусописатели предусмотрели такую функцию.

    Специалисты компании «Доктор Веб» подготовили подробный технический обзор этого семейства вредоносных программ, который можно загрузить с нашего сайта в формате PDF.

  • «Доктор Веб»: троянцы Android.Xiny научились внедряться в системные процессы
  • 20 сентября 2016 года

    Вирусные аналитики компании «Доктор Веб» обнаружили новые версии троянцев семейства Android.Xiny, которые предназначены для незаметной загрузки и удаления программ. Теперь эти троянцы могут внедряться в процессы системных приложений и загружать в атакуемые программы различные вредоносные плагины.

    Троянцы семейства Android.Xiny известны с марта 2015 года. Вирусописатели активно распространяют их через различные сайты – сборники ПО для мобильных устройств и даже через официальные каталоги приложений, такие как Google Play, о чем компания «Доктор Веб» сообщала ранее.

    Попадая на Android-смартфоны и планшеты, троянцы Android.Xiny пытаются получить root-доступ, чтобы незаметно загружать и устанавливать различное ПО. Кроме того, они могут показывать надоедливую рекламу. Одной из особенностей этих вредоносных приложений является впервые использованный механизм защиты от удаления. Он основан на том, что троянским apk-файлам присваивается атрибут «неизменяемый» (immutable). Однако злоумышленники продолжили совершенствовать троянцев Xiny и добавили в них возможность внедряться (выполнять инжект) в процессы системных программ, чтобы запускать от их имени различные вредоносные плагины.

    Один из таких обновленных троянцев, исследованный вирусными аналитиками «Доктор Веб», получил имя Android.Xiny.60. Он устанавливается в системный каталог мобильных устройств другими представителями семейства Android.Xiny. После запуска Android.Xiny.60 извлекает из своих файловых ресурсов несколько вспомогательных троянских компонентов и копирует их в системные каталоги:

    • /system/xbin/igpi;
    • /system/lib/igpld.so;
    • /system/lib/igpfix.so;
    • /system/framework/igpi.jar.

    Далее при помощи модуля igpi (добавлен в вирусную базу Dr.Web как Android.Xiny.61) троянец выполняет инжект библиотеки igpld.so (детектируется Dr.Web как Android.Xiny.62) в процессы системных приложений Google Play (com.android.vending) и Сервисы Google Play (com.google.android.gms, co.google.android.gms.persistent). Кроме того, внедрение этого вредоносного модуля может выполняться и в системный процесс zygote, однако в текущей версии троянца эта функция не используется.

    При заражении процесса zygote Android.Xiny.62 начинает отслеживать запуск новых приложений. В результате, если троянец обнаруживает вновь запущенный процесс, он внедряет в него вредоносный модуль igpi.jar (Android.Xiny.60). Этот же модуль внедряется и после заражения процессов системных приложений Google Play и Сервисы Google Play.

    screen #drweb

    Основная задача модуля igpi.jar – загрузка заданных злоумышленниками вредоносных плагинов и их запуск в контексте зараженных программ. Он отслеживает состояние мобильного устройства и при наступлении определенных системных событий (например, включение или выключение экрана, изменение состояния подключения к сети, подключение или отключение зарядного устройства и ряд других) соединяется с управляющим сервером, куда отправляет следующую информацию об инфицированном смартфоне или планшете:

    • IMEI-идентификатор;
    • IMSI-идентификатор;
    • MAC-адрес сетевого адаптера;
    • версию ОС;
    • название модели мобильного устройства;
    • язык системы;
    • имя программного пакета, внутри процесса которого работает троянец.

    В ответ Android.Xiny.60 может загрузить и запустить вредоносные плагины, которые после скачивания будут работать как часть того или иного атакованного приложения. Вирусные аналитики пока не зафиксировали распространение таких вредоносных модулей, однако если злоумышленники их создадут, Android.Xiny.60 будет способен атаковать пользователей многих программ. Например, если троянец внедрится в процесс Google Play, он сможет загрузить в него модуль для установки ПО. Если будет заражен процесс какого-либо мессенджера, Android.Xiny.60 получит возможность перехватывать и отправлять сообщения. А если троянец внедрится в процесс банковской программы, после запуска необходимого плагина он сможет красть конфиденциальные данные (логины, пароли, номера кредитных карт и т. п.) и даже незаметно переводить деньги на счета злоумышленников.

    Специалисты компании «Доктор Веб» продолжают отслеживать активность троянцев семейства Android.Xiny. Для защиты мобильных устройств от заражения рекомендуется установить антивирусные продукты Dr.Web для Android, которые успешно детектируют все известные модификации этих вредоносных программ.

    Подробнее о троянце

  • «Доктор Веб» предупреждает о новом Linux-троянце
  • 13 сентября 2016 года

    DDoS (англ. Distributed Denial of Service, распределенная атака, приводящая к отказу в обслуживании) — наиболее распространенный способ атак на сетевые ресурсы. Злоумышленники направляют на целевой сервер большой поток запросов, с которым тот не в состоянии справиться, что вызывает его отказ. Часто для таких атак используются специальные вредоносные программы. Одну из них, получившую название Linux.DDoS.93, исследовали аналитики компании «Доктор Веб».

    Троянец Linux.DDoS.93 создан вирусописателями для заражения устройств под управлением операционных систем семейства Linux. Предположительно эта вредоносная программа распространяется при помощи набора уязвимостей ShellShock в программе GNU Bash.

    При запуске Linux.DDoS.93 пытается изменить содержимое ряда системных папок Linux, чтобы обеспечить собственную автозагрузку. Затем троянец ищет на атакуемом компьютере другие экземпляры Linux.DDoS.93 и, если таковые нашлись, прекращает их работу.

    Успешно запустившись в инфицированной системе, Linux.DDoS.93 создает два дочерних процесса. Первый обменивается информацией с управляющим сервером, а второй в непрерывном цикле проверяет, работает ли родительский процесс, и в случае остановки перезапускает его. В свою очередь родительский процесс тоже следит за дочерним и перезапускает его при необходимости — так троянец поддерживает свою непрерывную работу на зараженной машине.

    Linux.DDoS.93 умеет выполнять следующие команды:

    • обновить вредоносную программу;
    • скачать и запустить указанный в команде файл;
    • самоудалиться;
    • начать атаку методом UDP flood на указанный порт;
    • начать атаку методом UDP flood на случайный порт;
    • начать атаку методом Spoofed UDP flood;
    • начать атаку методом TCP flood;
    • начать атаку методом TCP flood (в пакеты записываются случайные данные длиной 4096 байт);
    • начать атаку методом HTTP flood с использованием GET-запросов;
    • начать атаку методом HTTP flood с использованием POST-запросов;
    • начать атаку методом HTTP flood с использованием HEAD-запросов;
    • отправить на 255 случайных IP-адресов HTTP-запросы с указанными параметрами;
    • завершить выполнение;
    • отправить команду “ping”.

    Когда троянец получает команду начать DDoS-атаку или отправить случайные запросы, он сначала прекращает все дочерние процессы, а затем запускает 25 новых процессов, которые и выполняют атаку указанным злоумышленниками методом. Сигнатура Linux.DDoS.93 добавлена в вирусные базы Dr.Web, поэтому он не представляет опасности для наших пользователей.

    Подробнее о троянце

  • «Доктор Веб» исследовал Linux-троянца, написанного на Rust
  • 8 сентября 2016 года

    Вирусные аналитики компании «Доктор Веб» исследовали нового Linux-троянца, получившего наименование Linux.BackDoor.Irc.16. Его особенность заключается в том, что он написан на языке Rust, — раньше аналитики не встречали троянцев, созданных с использованием этой технологии.

    Linux.BackDoor.Irc.16 представляет собой бэкдор — эта вредоносная программа выполняет поступающие от злоумышленников команды. Для их получения троянец использует протокол обмена текстовыми сообщениями IRC (Internet Relay Chat). Подключаясь к заданному в его конфигурации публичному чат-каналу, Linux.BackDoor.Irc.16 ожидает управляющих сообщений.

    screen #drweb

    Троянец способен выполнять лишь четыре команды — присоединиться к указанному чат-каналу, отправить киберпреступникам информацию об инфицированном компьютере, передать данные о запущенных в системе приложениях или удалить самого себя с зараженной машины.

    Linux.BackDoor.Irc.16 отличает от других IRC-ботов то, что этот троянец написан на языке Rust. Rust — язык программирования, спонсируемый организацией Mozilla Research, первая стабильная версия которого появилась совсем недавно, в 2015 году. Троянец является кроссплатформенным: чтобы запустить его на Windows, вирусописателям нужно просто перекомпилировать эту вредоносную программу. Вирусные аналитики «Доктор Веб» предполагают, что Linux.BackDoor.Irc.16 представляет собой созданный кем-то прототип (Proof of Concept), поскольку он не содержит каких-либо механизмов самораспространения, а на IRC-канале, с помощью которого троянец получает команды, в настоящее время отсутствует активность.

    Сигнатура Linux.BackDoor.Irc.16 добавлена в вирусные базы Dr.Web, поэтому он не представляет опасности для наших пользователей.

    Подробнее о троянце

       Решения






    «Доктор Веб» © 2007 Компания "Доктор Веб" - производитель и поставщик антивирусных решений семейства Dr.WEB.
    Среди потребителей продуктов компании домашние пользователи из всех регионов мира и крупные российские предприятия, небольшие организации и системообразующие корпорации, которым коллектив "Доктор Веб" благодарен за поддержку и преданность продукту в течение многих лет. Государственные сертификаты и награды, полученные антивирусом Dr.WEB, а также география его пользователей свидетельствуют о степени исключительного доверия к продукту, созданному талантливыми программистами России.