Новости о вирусах

  • Банковский троянец атакует любителей взломанных мобильных игр
  • 26 мая 2016 года

    Вирусные аналитики компании «Доктор Веб» постоянно фиксируют случаи распространения разнообразных банковских троянцев, которые предназначены для заражения мобильных устройств под управлением ОС Android. Не секрет, что киберпреступники очень часто стараются замаскировать такие вредоносные приложения под безобидные и полезные программы. Не стал исключением и банкер Android.BankBot.104.origin, которого вирусописатели преподносят потенциальным жертвам как ПО для взлома популярных мобильных игр, а также под видом программ для читерства.

    В поле зрения предприимчивых киберпреступников, распространяющих банковских троянцев, попали любители мобильных игр, которые стремятся получить все и сразу, не заплатив ни копейки и не потратив на это никаких усилий. В частности, когда пользователи пытаются найти в популярных поисковых системах информацию о читах для облегчения прохождения игр – например, возможности получить бесконечное золото, кристаллы и другую игровую валюту, – либо просто хотят скачать взломанную версию любимого игрового приложения, в результатах поиска потенциальным жертвам демонстрируются ссылки на многочисленные мошеннические веб-сайты, специально созданные для любителей пресловутой «халявы».

    screen Android.BankBot.104.origin #drweb screen Android.BankBot.104.origin #drweb

    Веб-порталы злоумышленников содержат информацию о более чем 1000 различных популярных игр, поэтому при поиске практически любой известной игры в первых строчках результатов поисковых систем пользователи непременно увидят предложение злоумышленников. Примечательно, что данные сайты имеют действительную цифровую подпись, в результате чего многие потенциальные жертвы могут посчитать их безопасными.

    При попытке скачать с этих веб-порталов то или иное приложение владелец мобильного устройства перенаправляется на еще один мошеннический сайт, с которого под видом взломанных версий ПО или программ для читерства скачивается банковский троянец Android.BankBot.104.origin. Помимо этого вредоносного приложения, на смартфоны и планшеты могут также загружаться и другие троянцы, в частности, представители семейства банкеров Android.ZBot.

    screen Android.BankBot.104.origin #drweb

    Распространяемый злоумышленниками троянец Android.BankBot.104.origin защищен специальным упаковщиком, который снижает вероятность обнаружения антивирусами и затрудняет анализ. Одна из последних его модификаций детектируется антивирусными продуктами Dr.Web для Android как Android.BankBot.72, однако вирусописатели постоянно создают новые перепакованные версии банкера, поэтому вредоносное приложение может обнаруживаться и под другими именами. Сам Android.BankBot.104.origin является обфусцированной версией банковского троянца Android.BankBot.80.origin – его код серьезно зашифрован, что также призвано осложнить анализ и обнаружение защитным ПО.

    screen Android.BankBot.104.origin #drweb

    Android.BankBot.104.origin устанавливается на Android-смартфоны и планшеты как приложение с именем «HACK» и после запуска пытается получить доступ к функциям администратора устройства. Затем троянец удаляет свой значок из списка приложений на главном экране, скрываясь от пользователя.

    screen Android.BankBot.104.origin #drweb screen Android.BankBot.104.origin #drweb

    Далее он приступает к непосредственному выполнению вредоносной деятельности. В частности, пытается определить, подключена ли у жертвы услуга мобильного банкинга, а также есть ли у нее какие-либо доступные денежные счета. Для этого вредоносное приложение отправляет СМС-сообщения со специальными командами на соответствующие номера банковских систем. Если Android.BankBot.104.origin обнаруживает деньги, он пытается незаметно перевести их на счета злоумышленников.

    Кроме того, киберпреступники могут дистанционно управлять банкером. Так, по команде с управляющего сервера троянец способен включить переадресацию вызовов на заданный номер, скрывать от пользователя входящие СМС и перехватывать их содержимое, отправлять СМС-сообщения, выполнять USSD-запросы, а также некоторые другие действия.

    Специалисты компании «Доктор Веб» рекомендуют геймерам не искать взломанные версии игр и приложений для ОС Android и не устанавливать сомнительные программы на мобильные устройства, поскольку попытка сэкономить небольшую сумму может обернуться потерей всех денег на банковских счетах. Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют известные модификации описанных троянцев, поэтому для наших пользователей они опасности не представляют.

    Подробнее о троянце

    Защитите ваше Android-устройство с помощью Dr.Web

    Купить онлайн Купить через Google Play Бесплатно

  • Троянец-бэкдор использует TeamViewer по-новому
  • 25 мая 2016 года

    Специалистам в области информационной безопасности известно несколько разновидностей вредоносных программ, использующих для получения несанкционированного доступа к зараженному компьютеру популярную утилиту удаленного администрирования TeamViewer. Новый троянец BackDoor.TeamViewer.49, обнаруженный вирусными аналитиками компании «Доктор Веб» и специалистами «Яндекс» в мае 2016 года, является исключением из этого правила, поскольку эксплуатирует данную программу с совсем иными целями.

    Для распространения троянца BackDoor.TeamViewer.49 киберпреступники используют другую вредоносную программу — Trojan.MulDrop6.39120, которая реализована в виде поддельного обновления Adobe Flash Player. Исполняемый файл Trojan.MulDrop6.39120 действительно устанавливает плеер на работающий под управлением Windows компьютер, но при этом втайне от пользователя сохраняет на диск приложение TeamViewer, троянца BackDoor.TeamViewer.49 и необходимый для его работы конфигурационный файл. В процессе установки на экране демонстрируется окно настоящего инсталлятора Flash Player.

    screen BackDoor.TeamViewer.49 #drweb

    Обычно различные троянцы используют TeamViewer с целью организации несанкционированного доступа к зараженному компьютеру. Однако бэкдору BackDoor.TeamViewer.49 утилита TeamViewer нужна совсем по другой причине: он активно использует в своей работе различные внутренние функции процесса этой программы. Кроме того, при своем запуске TeamViewer автоматически помещает в память компьютера библиотеку avicap32.dll, чем и воспользовались злоумышленники: они поместили в папку, в которую Trojan.MulDrop6.39120 сохраняет это приложение, троянскую библиотеку с таким же именем. В момент запуска TeamViewer автоматически загружает ее в память.

    После запуска программы TeamViewer BackDoor.TeamViewer.49 удаляет ее значок из области уведомлений Windows и отключает в системе функцию показа сообщений об ошибках. Также троянец использует специальный механизм, призванный исключить его повторный запуск на зараженном компьютере. Необходимые для работы BackDoor.TeamViewer.49 параметры хранятся в зашифрованном конфигурационном файле.

    BackDoor.TeamViewer.49 регистрирует себя в автозагрузке, а затем в непрерывном цикле, но с определенными интервалами, устанавливает атрибуты «системный» и «скрытый» для своей папки, где хранятся сам исполняемый файл, вредоносная библиотека и файл конфигурации. Если в какой-то момент времени установить эти атрибуты не удалось, вредоносная программа приступает к процедуре удаления из системного реестра всех ключей, относящихся к программе TeamViewer.

    В теле троянца хранится еще одна зашифрованная библиотека, реализующая вредоносные функции BackDoor.TeamViewer.49. В ней содержится специальным образом сформированный массив с именами управляющих серверов, от которых троянец может получать различные команды. Вся информация, которой бэкдор обменивается с управляющим сервером, шифруется.

    Троянец способен выполнять несколько управляющих директив, однако две основные из них — это команды на установку соединения с указанным удаленным узлом (включая возможность авторизации на нем) и на перенаправление трафика от управляющего сервера на заданный удаленный узел через инфицированный компьютер. Это позволяет злоумышленникам обеспечить собственную анонимность в Интернете, соединяясь с удаленными узлами через зараженный компьютер как через обычный прокси-сервер.

    Вредоносные программы Trojan.MulDrop6.39120 и BackDoor.TeamViewer.49 распознаются и удаляются Антивирусом Dr.Web, поэтому не представляют опасности для наших пользователей.

    «Доктор Веб» выражает благодарность компании «Яндекс» за предоставленный для исследований образец троянца.

    Подробнее о троянце

  • Android-троянец атакует клиентов десятков банков по всему миру
  • Новый бэкдор крадет документы и шпионит за пользователем
  • 6 мая 2016 года

    Бэкдорами называют разновидность троянцев, способных выполнять на инфицированном компьютере команды злоумышленников. Как правило, бэкдоры используются для установки удаленного контроля над зараженной машиной и хищения различной конфиденциальной информации. Одним из представителей этого класса вредоносных программ стал обнаруженный специалистами компании «Доктор Веб» троянец, предназначенный для кражи документов и шпионажа.

    Угрожающий пользователям Microsoft Windows троянец BackDoor.Apper.1 распространяется с помощью дроппера, который представляет собой документ Microsoft Excel, содержащий специальный макрос. Этот макрос собирает по байтам и запускает самораспаковывающийся архив. Архив, в свою очередь, содержит исполняемый файл, имеющий действительную цифровую подпись компании Symantec, и динамическую библиотеку, в которой сосредоточен основной функционал бэкдора. Троянец регистрирует в автозагрузке исполняемый файл, который после своего запуска загружает в память атакуемого компьютера вредоносную библиотеку.

    screen #drweb

    Основное предназначение BackDoor.Apper.1 — кража с инфицированного компьютера различных документов. Зарегистрировав собственное приложение в автозагрузке, троянец удаляет исходный файл.

    После успешного запуска BackDoor.Apper.1 действует в качестве кейлоггера: фиксирует нажатия клавиш и записывает их в специальный зашифрованный файл. Еще одна функция троянца — мониторинг файловой системы. Если на диске компьютера имеется конфигурационный файл, содержащий пути к папкам, состояние которых троянец должен отслеживать, BackDoor.Apper.1 будет фиксировать все изменения в этих папках и передавать эту информацию на управляющий сервер.

    Перед установкой связи с командным сервером бэкдор собирает данные о зараженном компьютере: его имя, версию операционной системы, сведения о процессоре, оперативной памяти и дисках, после чего отсылает полученные сведения злоумышленникам. Затем троянец добывает более подробную информацию о дисковых накопителях, которая также передается на управляющий сервер вместе с файлом журнала кейлоггера. Вслед за этим BackDoor.Apper.1 переходит в режим ожидания команд.

    Для получения директивы троянец отправляет на управляющий сервер специальный запрос. Среди прочего бэкдор может по команде отправить злоумышленникам сведения о содержимом заданной папки или указанный киберпреступниками файл, удалить или переименовать какой-либо файловый объект, создать на зараженном компьютере новую папку, а также сделать снимок экрана и отправить его на принадлежащий киберпреступникам сервер.

    Антивирус Dr.Web детектирует и удаляет данного троянца, поэтому он не представляет опасности для наших пользователей.

    Подробнее о троянце

  • «Доктор Веб»: обзор вирусной активности для мобильных устройств в апреле 2016 года
  • 29 апреля 2016 года

    В апреле наибольшую активность среди нежелательных и вредоносных приложений вновь проявили всевозможные агрессивные рекламные модули – за последний месяц на мобильных устройствах они выявлялись чаще всего. Кроме того, в апреле вирусные аналитики компании «Доктор Веб» обнаружили новую вредоносную программу, предназначенную для автоматической установки различного ПО, а в каталоге Google Play выявили более 190 приложений, в которых скрывался троянец.

    Главные тенденции апреля

    • Выявление большого числа агрессивных рекламных Android-модулей
    • Обнаружение троянца в более чем 190 приложениях каталога Google Play
    • Обнаружение нового троянца-загрузчика, устанавливающего всевозможное ПО без разрешения и участия пользователя

    «Мобильная» угроза месяца

    В апреле специалисты «Доктор Веб» обнаружили в каталоге Google Play очередного троянца. Эта вредоносная программа, получившая имя Android.Click.95, скрывалась в более чем 190 приложениях, которые распространяли как минимум 6 разработчиков. Общее число загрузок этих приложений превысило 140 000.

    screen #drweb

    Android.Click.95 проверяет, установлено ли на зараженном мобильном устройстве то или иное приложение, указанное в настройках троянца. В зависимости от результата вредоносная программа открывает в веб-браузере мошеннический сайт с тревожным сообщением, в котором пользователю предлагается установить то или иное ПО, чтобы решить возникшую «проблему». Этот веб-сайт демонстрируется жертве каждые 2 минуты, в результате чего с мобильным устройством фактически становится невозможно работать. Если пользователь соглашается на установку, он перенаправляется на соответствующую рекламируемому приложению страницу в каталоге Google Play. Подробнее об этом случае рассказано в публикации на нашем сайте.

    По данным антивирусных продуктов Dr.Web для Android

    screen #drweb

    Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

    Троянцы-загрузчики

    Использование вредоносных Android-приложений, скачивающих и устанавливающих на мобильные устройства всевозможное ПО для увеличения его популярности, в настоящее время становится все более распространенным источником незаконного заработка вирусописателей. В апреле специалисты компании «Доктор Веб» выявили очередного такого троянца-загрузчика, получившего имя Android.GPLoader.1.origin. Эта вредоносная программа попадает в систему вместе с троянцем Android.GPLoader.2.origin, представляющим собой проигрыватель видеороликов категории «для взрослых». При запуске он сообщает о необходимости установить некий мультимедийный кодек, который на самом деле является вредоносным приложением Android.GPLoader.1.origin.

    screen #drweb

    После запуска Android.GPLoader.1.origin запрашивает у владельца мобильного устройства доступ к специальным возможностям операционной системы (Accessibility Service), которые троянец будет использовать для эмуляции пользовательских нажатий на экран. Затем вредоносная программа соединяется с управляющим сервером и получает от него список программ, которые требуется установить. Как только устройство переходит в ждущий режим и его дисплей выключается, Android.GPLoader.1.origin открывает в приложении Google Play разделы с заданным ПО и автоматически устанавливает соответствующие программы в систему, искусственно увеличивая их популярность.

    Вредоносные и нежелательные программы, которые показывают рекламу и без спроса устанавливают приложения, становятся все более распространенными. Чтобы снизить вероятность заражения мобильных устройств таким ПО и избежать негативных последствий, специалисты компании «Доктор Веб» советуют пользователям не скачивать и не устанавливать сомнительные приложения, а также рекомендуют защищать смартфоны и планшеты антивирусом.

    Защитите ваше Android-устройство с помощью Dr.Web

    Купить онлайн Купить через Google Play Бесплатно

  • Android-троянец из Google Play обманом заставляет пользователей устанавливать программы
  • 29 апреля 2016 года

    Каталог цифрового контента Google Play считается самым надежным источником ПО для смартфонов и планшетов под управлением ОС Android, однако в нем время от времени все же обнаруживаются всевозможные вредоносные программы. Недавно специалисты компании «Доктор Веб» выявили в этом каталоге более 190 приложений, в которых находится троянец Android.Click.95, пугающий пользователей наличием проблем на мобильных устройствах и заставляющий их устанавливать рекламируемые программы.

    Все приложения, в которые встроен Android.Click.95, являются довольно примитивными поделками. В большинстве случаев они представляют собой типичные программы-сборники, содержащие различные советы, гороскопы, сонники, анекдоты и другую информацию на каждый день, свободно доступную в Интернете. Вирусные аналитики «Доктор Веб» обнаружили более 190 таких приложений, распространяемых в Google Play как минимум шестью разработчиками: allnidiv, malnu3a, mulache, Lohari, Kisjhka и PolkaPola. При этом в общей сложности троянца успели загрузить как минимум 140 000 пользователей. Компания Google уже оповещена об этом инциденте, однако на момент написания материала многие из выявленных приложений все еще доступны для загрузки.

    screen #drwebscreen #drweb

    Попадая на мобильное устройство, Android.Click.95 начинает вредоносную деятельность не сразу, а лишь через 6 часов после того, как будет запущена содержащая троянца программа. Это сделано для того, чтобы отвести подозрения жертвы от истинного источника нежелательной активности в системе. По прошествии 6 часов Android.Click.95 проверяет, установлено ли на зараженном устройстве приложение, которое заранее указано в настройках троянца. В зависимости от результата Android.Click.95 открывает в веб-браузере мошеннический сайт с определенным тревожным сообщением. Например, если троянец не находит определенное приложение-браузер, пользователю демонстрируется соответствующее предупреждение о том, что его текущий веб-обозреватель небезопасен и нуждается в замене. Если же рекламируемая программа уже установлена, жертву пугают иной неполадкой – например, неисправностью аккумулятора.

    screen #drwebscreen #drweb

    Как же пользователю решить возникшую внезапно «проблему», о которой он раньше и не подозревал? Естественно, установить предлагаемое злоумышленниками ПО. А чтобы наверняка заставить жертву установить рекламируемую программу, Android.Click.95 загружает мошенническую веб-страницу каждые 2 минуты, фактически не давая владельцу смартфона или планшета нормально пользоваться устройством.

    После того как хозяин атакованного мобильного устройства все же соглашается установить предлагаемое ему ПО и нажимает соответствующую кнопку на веб-странице, он перенаправляется в каталог Google Play, в котором автоматически открывается раздел с той или иной программой, рекламируемой троянцем в данный момент. За каждую успешную установку злоумышленники получают денежное вознаграждение в рамках рекламных партнерских программ, поэтому неудивительно, что они создали так много различных копий Android.Click.95 в надежде на наибольшую финансовую отдачу.

    Компания «Доктор Веб» призывает владельцев Android-смартфонов и планшетов не устанавливать неизвестные приложения сомнительного качества, даже если они находятся в каталоге Google Play. Все программы, в которых скрывается Android.Click.95, успешно детектируются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот троянец опасности не представляет.

  • «Доктор Веб»: обзор вирусной активности в апреле 2016 года
  • Новая атака на пользователей Facebook
  • 29 апреля 2016 года

    На сегодняшний день Facebook является одной из наиболее популярных социальных сетей в мире, и потому интерес к ней со стороны злоумышленников со временем не снижается. Аналитики компании «Доктор Веб» выяснили, что созданный вирусописателями плагин для браузера Google Chrome, способный рассылать спам в Facebook, на сегодняшний день установили более 12 000 пользователей этой социальной сети.

    Вредоносный плагин для Google Chrome детектируется антивирусом Dr.Web под именем Trojan.BPlug.1074. Если пользователь Chrome, у которого установлен этот плагин, войдет в социальную сеть Facebook, Trojan.BPlug.1074 определяет его идентификатор (UID) и вносит изменения в оформление сайта социальной сети в окне браузера: удаляет меню «Быстрые настройки конфиденциальности», открывающееся нажатием на кнопку в верхней правой части окна Facebook, а также все остальные выпадающие меню, которые могут демонстрироваться в интерфейсе социальной сети. Затем троянец получает перечень друзей жертвы.

    После этого Trojan.BPlug.1074 автоматически создает новую страницу сообщества, название которой генерируется автоматически. С использованием ID сообщества, фотографии жертвы, установленной в качестве аватара, и адреса веб-страницы, извлекаемого из конфигурационного файла, троянец формирует пост формата «поделиться ссылкой» и с определенным временным интервалом размещает его в своей ленте. Поскольку троянец при создании поста «упоминает» в нем всех друзей текущего пользователя из полученного ранее списка, это сообщение также появляется в их ленте событий.

    screen #drweb

    При переходе по ссылке, указанной в таком сообщении, пользователь Facebook попадает на веб-страницу, копирующую внешний вид этой социальной сети (если переход осуществляется с какого-либо другого сайта, посетитель перенаправляется на пустую веб-страницу).

    screen #drweb

    Эта страница содержит заголовок «Hello please watch my video», под которым размещается якобы стандартный компонент видеопроигрывателя. Если посетитель использует браузер Chrome, при попытке просмотреть этот видеоролик на экране появится диалоговое окно, в котором ему будет предложено загрузить и установить плагин для браузера. Этот плагин также является копией троянца Trojan.BPlug.1074.

    screen #drweb

    Аналогичным образом Trojan.BPlug.1074 может распространять и другие плагины для браузера Google Chrome.

    Вирусные аналитики компании «Доктор Веб» выяснили, что к 28 апреля 2016 года вредоносный плагин Trojan.BPlug.1074 был загружен и установлен пользователями Facebook более чем 12 000 раз. Антивирус Dr.Web успешно обнаруживает и удаляет этого троянца, однако специалисты дополнительно рекомендуют пользователям проявлять осмотрительность и не устанавливать расширения к браузеру, даже если их предлагает загрузить такой популярный сайт, как Facebook.

    Подробнее о троянце

  • «Доктор Веб» предупреждает: опасайтесь мошеннических интернет-магазинов!
  • 22 апреля 2016 года

    Покупки в интернет-магазинах уже давно стали привычным делом для миллионов пользователей: сетевые торговые площадки позволяют выбрать товар с наиболее выгодными ценами, быстрой доставкой и удобным способом оплаты. Однако преимущества интернет-магазинов по достоинству оценили не только потенциальные покупатели, но и многочисленные сетевые мошенники, построившие на этом настоящий криминальный бизнес. Компания «Доктор Веб» предостерегает пользователей от необдуманных действий при совершении онлайн-покупок.

    В последнее время растет количество пострадавших от киберпреступников, которые наживаются на излишней доверчивости пользователей Интернета. Применяемая злоумышленниками схема мошенничества крайне проста и в то же время, судя по числу жертв, весьма популярна в Рунете.

    Все начинается с появления в сети интернет-магазина, предлагающего дорогую электронику, фототехнику, садовый и строительный инструмент, ювелирную продукцию или иные товары по крайне привлекательным ценам. На сайте торговой площадки, как правило, размещено множество положительных отзывов, оставленных счастливыми клиентами, а его адрес зачастую похож на URL других популярных интернет-магазинов. Такой ресурс имеет практически все элементы, традиционно присутствующие на сайтах онлайн-магазинов: адрес офиса, контактный телефон (по которому на звонки отвечает диспетчер), название компании –учредителя торговой площадки. Разве что сделаны они все с использованием одного и того же стандартного шаблона.

    screen #drweb

    Подобные магазины обещают организовать доставку выбранного покупателем товара в любой регион России с использованием услуг транспортных компаний и предлагают различные варианты оплаты: переводом на Qiwi-кошелек или банковскую карту. Также они принимают платежи через электронные терминалы и посредством различных платежных систем, единственное декларируемое ими важное условие сделки — стопроцентная предоплата.

    Оплатив покупку (как правило, на несколько десятков тысяч рублей), жертва ожидает подтверждения отправки своего заказа, однако спустя некоторое время сайт интернет-магазина неожиданно исчезает, отосланные на контактный адрес электронной почты письма возвращаются, а телефонный номер мошенников замолкает навсегда. И уже через несколько дней в точности такой же магазин с аналогичным ассортиментом товаров появляется в Интернете по другому адресу и с другим названием.

    Поскольку мошенники задействуют для организации своего криминального бизнеса услуги операторов IP-телефонии (с помощью которых арендовать прямой городской телефонный номер может любой желающий), а для вывода средств используются фирмы-однодневки, краденные документы или услуги подставных лиц (так называемых «дропов»), вычислить злоумышленников оказывается чрезвычайно трудно. Поэтому несколько приведенных ниже простых советов, возможно, уберегут наших читателей от опасности попасть в цепкие лапы сетевых преступников.

    • Старайтесь проявлять благоразумие: не «покупайтесь» на обещания тотальных распродаж и баснословных скидок. Если дорогой мобильный телефон продается за полцены — это повод насторожиться.
    • С помощью любого бесплатного сервиса WHOIS постарайтесь определить дату регистрации домена: если адрес магазина был зарегистрирован всего несколько недель или месяцев назад, это тревожный признак. Сервис WHOIS можно отыскать, например, на сайте российского регистратора доменов Nic.Ru: www.nic.ru/whois.
    • Поищите отзывы о выбранном вами магазине в Интернете. Конечно, злоумышленники могут и сами оставлять положительные комментарии, но наличие хотя бы нескольких отрицательных рецензий является важным сигналом. В особенности стоит обратить внимание на даты публикации положительных рекомендаций — если они оставлены раньше, чем был зарегистрирован домен интернет-магазина, это верный признак мошенничества.
    • С помощью любого сервиса онлайн-карт поищите адрес, по которому якобы находится офис или склад интернет-магазина. Зачастую по этому адресу оказывается пустырь, заброшенный завод или автостоянка.

    Если вы все же стали жертвой киберпреступников, обязательно напишите заявление в полицию о совершенном в отношении вас правонарушении — мошенничество, в том числе совершенное в Интернете, является серьезным преступлением. В свою очередь, специалисты компании «Доктор Веб» стараются оперативно добавлять адреса фальшивых интернет-магазинов в базу нерекомендуемых сайтов.

  • Хакерская Linux-утилита заражает злоумышленников троянцем
  • 13 апреля 2016 года

    Появление новых троянцев-бэкдоров, способных выполнять команды злоумышленников и предоставлять возможность удаленного управления зараженным компьютером, всегда является значимым событием в сфере информационной безопасности. Тем более, если такие вредоносные программы предназначены для операционных систем семейства Linux. В апреле вирусные аналитики компании «Доктор Веб» обнаружили сразу несколько подобных троянцев, получивших названия Linux.BackDoor.Xudp.1, Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 соответственно.

    Первым звеном в цепочке заражения является ELF-файл, детектируемый Антивирусом Dr.Web под именем Linux.Downloader.77. Примечательно, что изначально это приложение предназначено для организации одной из разновидностей атак на удаленные узлы путем массовой отправки на заданный адрес UDP-пакетов. Linux.Downloader.77 — это «троянизированная» версия упомянутой программы. Потенциальная жертва самостоятельно загружает и запускает на своем компьютере эту утилиту, которая при загрузке просит у пользователя предоставить ей привилегии root, — без этого она отказывается работать. Следует отметить, что подобные программы-«флудеры» нередко реализуют дополнительные скрытые функции – например, могут загружать из Интернета другие опасные программы. В этом отношении не является исключением и Linux.Downloader.77.

    Если Linux.Downloader.77 получает root-полномочия, он скачивает с сервера злоумышленников и запускает другой скрипт – Linux.Downloader.116. Этот сценарий загружает основной модуль бэкдора Linux.BackDoor.Xudp.1, сохраняет его под именем /lib/.socket1 или /lib/.loves, размещает сценарий автозапуска в папке /etc/ под именем rc.local и настраивает задачу автоматического запуска троянца в cron. Помимо этого в процессе установки вредоносной программы очищается содержимое iptables.

    После запуска Linux.BackDoor.Xudp.1 расшифровывает хранящийся в его теле блок конфигурационных данных, содержащих необходимую для его работы информацию, и отправляет на сервер сведения об инфицированном компьютере. После этого он запускает три независимых потока. В первом из них бэкдор использует протокол HTTP. Троянец отсылает на управляющий сервер сообщение о том, что он запущен, получает ключ для шифрования сообщений, данные о сервере, на который следует отправлять запросы, и номер порта. После этого Linux.BackDoor.Xudp.1 с определенной периодичностью отправляет на этот сервер запросы, в ответ на которые ему может поступить какая-либо команда. Предположительно, этот механизм может использоваться для самообновления вредоносной программы. Все поступающие директивы зашифрованы, и троянец расшифровывает их с помощью сгенерированного им ключа.

    Во втором потоке Linux.BackDoor.Xudp.1 также ожидает получения от сервера управляющих команд, только по протоколу UDP. В третьем потоке троянец отправляет на управляющий сервер с заданным интервалом времени определенную дейтограмму, чтобы сообщить, что он все еще работает.

    Среди команд, которые способен выполнять Linux.BackDoor.Xudp.1, исследователи выявили приказ на непрерывную отправку заданному удаленному узлу различных запросов (флуд), осуществление DDoS-атак, выполнение произвольных команд на зараженном устройстве. Также Linux.BackDoor.Xudp.1 способен по команде сканировать порты в заданном диапазоне IP-адресов, может запускать указанные злоумышленником файлы, выслать им какой-либо файл, а также выполнять иные задачи. Вирусные аналитики компании «Доктор Веб» отмечают, что этот троянец, по всей видимости, находится в процессе активной разработки — его новые модификации появляются с завидной регулярностью.

    Троянцы Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 являются усовершенствованными версиями бэкдора Linux.BackDoor.Xudp.1 и отличаются от него лишь некоторыми деталями — например, именем, под которым вредоносная программа сохраняется в системе, объемом отсылаемой на управляющий сервер информации о зараженной машине или набором выполняемых команд. Все эти вредоносные программы успешно детектируются Антивирусом Dr.Web для Linux и потому не представляют опасности для наших пользователей.

    Подробнее о троянце

  • Новая версия банковского троянца Gozi создает P2P-ботнет
  • 8 апреля 2016 года

    Принципиально новые банковские троянцы появляются на свет нечасто — как правило, злоумышленники предпочитают модифицировать старые и давно известные вредоносные программы. Одной из таких модификаций банкера, исходные коды которого некоторое время назад были опубликованы в свободном доступе, является обнаруженный вирусными аналитиками «Доктор Веб» Trojan.Gozi.

    Эта вредоносная программа, способная работать на компьютерах под управлением 32- и 64-разрядных версий Windows, реализует чрезвычайно широкий набор функций. Trojan.Gozi позволяет злоумышленникам похищать данные, которые пользователи вводят в различные экранные формы, фиксировать нажатия клавиш (кейлоггинг), умеет встраивать в просматриваемые на зараженном компьютере веб-страницы постороннее содержимое (то есть, выполнять веб-инжекты). Кроме того, с помощью Trojan.Gozi киберпреступники могут получить удаленный доступ к рабочему столу зараженной машины с использованием технологии Virtual Network Computing (VNC). Этот троянец по команде злоумышленников может запустить на инфицированном ПК прокси-сервер SOCKS, а также загружать и устанавливать различные плагины.

    #drweb

    Как и многие другие современные вредоносные программы, для определения адресов своих управляющих серверов Trojan.Gozi использует специальный алгоритм генерации доменов — Domain generation algorithm (DGA). Для этого он загружает с сервера NASA текстовый файл, используемый в качестве словаря, особым образом преобразует его с учетом текущей даты и на основе полученных значений формирует доменные имена, которые будет использовать в дальнейшем в качестве адресов управляющих серверов. Троянец автоматически меняет управляющий сервер каждые 15 дней. Вся информация, которой Trojan.Gozi обменивается со своими командными серверами, шифруется.

    В отличие от предыдущих версий подобных вредоносных программ, Trojan.Gozi обладает возможностью формировать одноранговые ботнеты, то есть обмениваться данными с другими зараженными машинами напрямую, посредством создания P2P-сети. Передаваемая таким образом информация также шифруется.

    Благодаря наличию достаточно большого набора шпионских функций, и в первую очередь — возможности выполнять веб-инжекты, троянец Trojan.Gozi может похищать на инфицированном компьютере различную конфиденциальную информацию, в том числе используемую для доступа к системам «банк-клиент». Эта вредоносная программа успешно детектируется антивирусным ПО Dr.Web и потому не представляет угрозы для наших пользователей.

    Подробнее о троянце

  • Android-троянец распространяется с помощью спутников GPS
  • Более чем в 100 приложениях из Google Play обнаружен троянец-шпион, показывающий рекламу
  • 31 марта 2016 года

    Вредоносные программы для ОС Android, которые приносят доход своим создателям благодаря показу навязчивой рекламы, становятся все более распространенными. Очередного такого троянца, обладающего шпионскими функциями и получившего имя Android.Spy.277.origin, специалисты компании «Доктор Веб» обнаружили в более чем 100 приложениях, размещенных в каталоге Google Play.

    Большинство программ, в составе которых распространяется Android.Spy.277.origin, представляют собой поддельные версии популярного ПО, название и внешний вид которого злоумышленники позаимствовали для привлечения внимания пользователей и увеличения количества загрузок троянца. В частности, среди обнаруженных специалистами «Доктор Веб» программ-двойников встречаются всевозможные утилиты, фоторедакторы, графические оболочки, анимированные обои рабочего стола и другие приложения. В общей сложности вирусные аналитики выявили более 100 наименований программ, содержащих Android.Spy.277.origin, а суммарное количество их загрузок превысило 3 200 000. Компания «Доктор Веб» уведомила службу безопасности корпорации Google о существующей проблеме, и на данный момент некоторые из этих вредоносных приложений уже недоступны для загрузки из каталога Google Play.

    После запуска программ, в которых находится троянец, последний передает на управляющий сервер очень подробные сведения о зараженном мобильном устройстве. Среди прочего, он собирает следующую информацию:

    • email-адрес, привязанный к пользовательской учетной записи Google;
    • IMEI-идентификатор;
    • версию ОС;
    • версию SDK системы;
    • навание модели устройства;
    • разрешение экрана;
    • идентификатор сервиса Google Cloud Messaging (GCM id);
    • номер мобильного телефона;
    • страну проживания пользователя;
    • тип центрального процессора;
    • MAC-адрес сетевого адаптера;
    • параметр «user_agent», формируемый по специальному алгоритму;
    • наименование мобильного оператора;
    • тип подключения к сети;
    • подтип сети;
    • наличие root-доступа в системе;
    • наличие у приложения, в котором находится троянец, прав администратора устройства;
    • название пакета приложения, содержащего троянца;
    • наличие установленного приложения Google Play.

    Каждый раз, когда пользователь запускает то или иное приложение, установленное на устройстве, троянец повторно передает на сервер вышеуказанные данные, название запущенного приложения, а также запрашивает параметры, необходимые для начала показа рекламы. В частности, Android.Spy.277.origin может получить следующие указания:

    • «show_log» – включить или отключить ведение журнала работы троянца;
    • «install_plugin» – установить плагин, скрытый внутри программного пакета вредоносного приложения;
    • «banner», «interstitial», «video_ads» – показать различные виды рекламных баннеров (в том числе поверх интерфейса ОС и других приложений);
    • «notification» – отобразить в информационной панели уведомление с полученными параметрами;
    • «list_shortcut» – поместить на рабочий стол ярлыки, нажатие на которых приведет к открытию заданных разделов в каталоге Google Play;
    • «redirect_gp» – открыть в приложении Google Play страницу с заданным в команде адресом;
    • «redirect_browser» – открыть заданный веб-адрес в предустановленном браузере;
    • «redirect_chrome» – открыть заданный веб-адрес в браузере Chrome;
    • «redirect_fb» – перейти на указанную в команде страницу социальной сети Facebook.

    Как видно на представленных ниже примерах рекламных баннеров, троянец может фактически запугивать пользователей, например, ложно информируя о повреждении аккумулятора устройства и предлагая скачать ненужные программы для его «починки».

    #drweb   #drweb

    А ниже показаны примеры рекламных сообщений, которые отображаются в панели уведомлений, а также рекламные ярлыки, при нажатии на которые пользователь попадает на страницы с рекламируемыми приложениями, размещенными в каталоге Google Play.

    #drweb   #drweb   #drweb

    Примечательно, что плагин, скрытый в файловых ресурсах Android.Spy.277.origin, имеет тот же самый функционал, что и сам троянец. Получив необходимую команду от сервера, вредоносное приложение пытается установить этот модуль под видом важного обновления. После его установки на зараженном устройстве фактически будут находиться две копии Android.Spy.277.origin, поэтому даже в случае удаления исходной версии троянца в системе останется его «дублер», который продолжит показывать навязчивую рекламу.

    Ниже представлен список названий программных пакетов приложений, в которых на данный момент был найден троянец:

    • com.true.icaller
    • com.appstorenew.topappvn
    • com.easyandroid.free.ios6
    • com.entertainmentphotoedior.photoeffect
    • lockscreenios8.loveslockios.com.myapplication
    • com.livewallpaper.christmaswallpaper
    • com.entertainment.drumsetpro
    • com.entertainment.nocrop.nocropvideo
    • com.entertainment.fastandslowmotionvideotool
    • com.sticker.wangcats
    • com.chuthuphap.xinchu2016
    • smartapps.cameraselfie.camerachristmas
    • com.ultils.scanwifi
    • com.entertainmenttrinhduyet.coccocnhanhnhat
    • com.entertainment.malmath.apps.mm
    • com.newyear2016.framestickertet
    • com.entertainment.audio.crossdjfree
    • com.igallery.styleiphone
    • com.crazystudio.mms7.imessager
    • smartapps.music.nhactet
    • com.styleios.phonebookios9
    • com.battery.repairbattery
    • com.golauncher.ip
    • com.photo.entertainment.blurphotoeffect.photoeffect
    • com.irec.recoder
    • com.Jewel.pro2016
    • com.tones.ip.ring
    • com.entertainment.phone.speedbooster
    • com.noelphoto.stickerchristmas2016
    • smartapps.smstet.tinnhantet2016
    • com.styleios9.lockscreenchristmas2016
    • com.stickerphoto.catwangs
    • com.ultils.frontcamera
    • com.phaotet.phaono2
    • com.video.videoplayer
    • com.entertainment.mypianophone.pianomagic
    • com.entertainment.vhscamcorder
    • com.o2yc.xmas
    • smartapps.musictet.nhacxuan
    • com.inote.iphones6
    • christmas.dhbkhn.smartapps.christmas
    • com.bobby.carrothd
    • om.entertainment.camera.fisheyepro
    • com.entertainment.simplemind
    • com.icall.phonebook.io
    • com.entertainment.photo.photoeditoreffect
    • com.editphoto.makecdcover
    • com.tv.ontivivideo
    • smartapps.giaixam.gieoquedaunam
    • com.ultils.frontcamera
    • com.applock.lockscreenos9v4
    • com.beauty.camera.os
    • com.igallery.iphotos
    • com.calculator.dailycalories
    • com.os7.launcher.theme
    • com.trong.duoihinhbatchu.chucmungnammoi
    • com.apppro.phonebookios9
    • com.icamera.phone6s.os
    • com.entertainment.video.reversevideo
    • com.entertainment.photoeditor.photoeffect
    • com.appvv.meme
    • com.newyear.haitetnew
    • com.classic.redballhd
    • com.entertainmentmusic.musicplayer.styleiphoneios
    • com.camera.ios8.style
    • com.countdown.countdownnewyear2016
    • com.photographic.iphonecamera
    • com.contactstyle.phonebookstyleofios9
    • com.entertainment.blurphotobackground.photoeffect.cameraeditor.photoeffect
    • com.color.christmas.xmas
    • com.bottle.picinpiccamera
    • com.entertainment.videocollagemaker
    • com.wallpaper.wallpaperxmasandnewyear2016
    • com.ultils.lockapp.smslock
    • com.apppro.phonebookios9
    • com.entertainment.myguitar.guitarpro
    • com.sticker.stickerframetet2016
    • com.bd.android.kmlauncher
    • com.entertainment.batterysaver.batterydoctor
    • com.trong.jumpy.gamehaynhatquadat
    • com.entertainmentphotocollageeditor
    • smartapps.smsgiangsinh.christmas2016
    • smartapps.musicchristmas.christmasmusichot
    • com.golauncher.ip
    • com.applock.lockscreenos9v4
    • com.imessenger.ios
    • com.livewall.paper.xmas
    • com.main.windows.wlauncher.os.wp
    • com.entertainmentlaunchpad.launchpadultimate
    • com.fsoft.matchespuzzle
    • com.entertainment.photodat.image.imageblur
    • com.videoeditor.instashot
    • com.entertainment.hi.controls
    • com.icontrol.style.os
    • smartapps.zing.video.hot
    • com.photo.entertainment.photoblur.forinstasquare
    • com.entertainment.livewallpaperchristmas
    • com.entertainment.tivionline
    • com.iphoto.os
    • com.tool.batterychecker
    • com.photo.multiphotoblur
    • smartapps.nhactet.nhacdjtet
    • com.runliketroll.troll
    • com.jinx.metalslug.contra

    Компания «Доктор Веб» рекомендует владельцам Android-смартфонов и планшетов внимательно относиться к скачиваемым приложениям и устанавливать их только в том случае, если есть уверенность в благонадежности разработчика. Все известные модификации Android.Spy.277.origin успешно обнаруживаются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот троянец не представляет опасности.

    Защитите ваше Android-устройство с помощью Dr.Web

    Купить онлайн Купить через Google Play Бесплатно

  • «Доктор Веб»: обзор вирусной активности для мобильных устройств в марте 2016 года
  • 31 марта 2016 года

    ГЛАВНЫЕ ТЕНДЕНЦИИ МАРТА

    • Обнаружение рекламного Android-троянца, проникшего в популярные приложения и прошивку нескольких десятков моделей мобильных устройств
    • Обнаружение в каталоге Google Play более 100 приложений, которые содержали троянца-шпиона, показывающего рекламу
    • Завершение исследования опасного троянца, внедряющегося в важный системный процесс ОС Android, а также в процессы других приложений

    «Мобильная» угроза месяца

    В марте специалисты компании «Доктор Веб» исследовали вредоносную программу Android.Gmobi.1, которая была обнаружена в приложениях TrendMicro Dr.Safety, TrendMicro Dr.Booster и Asus WebStorage, а также предустановлена на более чем 40 моделях мобильных Android-устройств. Она представляет собой специализированную программную SDK-платформу (Software Development Kit), используемую разработчиками ПО и производителями смартфонов и планшетов. Вероятнее всего, авторы не задумывали этот модуль как троянца, однако ведет он себя как типичная вредоносная программа.

    screen Android.Gmobi.1 #drweb

    Так, Android.Gmobi.1 может демонстрировать навязчивую рекламу нескольких типов, например, помещать ее в панель уведомлений или показывать в виде баннеров поверх окон запущенных программ. Кроме того, троянец без спроса создает ярлыки на рабочем столе ОС, открывает различные страницы в веб-браузере и в приложении Google Play, а также способен загружать, устанавливать и запускать различное ПО. Ко всему прочему, Android.Gmobi.1 обладает и шпионскими функциями – он крадет и передает злоумышленникам различную конфиденциальную информацию. Подробнее об этом вредоносном приложении можно узнать из опубликованной на сайте компании «Доктор Веб» новости.

    По данным антивирусных продуктов Dr.Web для Android

    По данным антивирусных продуктов Dr.Web для Android #drweb

    • Adware.WalkFree.1.origin

    • Adware.Leadbolt.12.origin

    • Adware.AdMogo.2.origin

      Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.
    • Android.Xiny.26.origin

      Троянская программа, которая получает root-привилегии, устанавливается в системный каталог Android и в дальнейшем устанавливает различные программы без разрешения пользователя. Также она может показывать навязчивую рекламу.
    • Adware.Airpush.31.origin

      Нежелательный программный модуль, встраиваемый в Android-приложения и предназначенный для показа навязчивой рекламы на мобильных устройствах.

    Троянцы-шпионы

    В конце марта вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play более 100 приложений, которые содержали троянца-шпиона Android.Spy.277.origin, показывающего навязчивую рекламу. Эта вредоносная программа распространялась главным образом в поддельных версиях популярного ПО. Android.Spy.277.origin передает на управляющий сервер большой объем конфиденциальной информации и способен отображать рекламу различного типа.

    screen Android.Spy.277.origin #drweb screen Android.Spy.277.origin #drweb

    В частности, он может показать рекламу в виде баннеров поверх окон других приложений или интерфейса ОС, выводить сообщения в панель уведомлений, создавать ярлыки на рабочем столе и автоматически открывать ссылки в веб-браузере. Более полная информация об этом троянце содержится в публикации на нашем сайте.

    Примечательные троянцы

    В марте вирусные аналитики «Доктор Веб» завершили исследование целой группы троянцев семейства Android.Triada, внедряющихся в важный системный процесс Zygote и выполняющих вредоносные действия по команде злоумышленников. В ОС Android процесс Zygote отвечает за запуск всех приложений и при их старте создает для них в оперативной памяти свою копию, содержащую системные библиотеки и другие необходимые для работы компоненты. Внедряясь в Zygote, троянцы фактически получают возможность инфицировать процессы всех запускаемых в дальнейшем программ и могут выполнять вредоносные действия от имени и с правами этих приложений.

    Основная вредоносная функция, реализованная в настоящий момент в троянцах Android.Triada, – это незаметная отправка СМС, а также подмена текста и номера получателя у сообщений, которые отправляет пользователь зараженного мобильного устройства. Тем не менее, по команде с управляющего сервера вредоносные программы могут загрузить дополнительные компоненты, которые будут использоваться для выполнения других нежелательных действий, необходимых злоумышленникам.

    Примечательно, что представители семейства Android.Triada обладают функцией самозащиты. В частности, троянцы пытаются отследить и завершить работу ряда популярных в Китае антивирусных программ. Кроме того, они контролируют целостность своих компонентов: если какой-либо из вредоносных файлов будет удален с устройства, он будет восстановлен из оперативной памяти.

    Появление троянцев Android.Triada вновь показало, что вредоносные приложения для Android-смартфонов и планшетов становятся все опаснее и изощреннее и зачастую не уступают по своим функциональным возможностям троянцам для ОС Windows. Специалисты «Доктор Веб» постоянно отслеживают вирусную обстановку и оперативно добавляют в вирусную базу записи для всех новых вредоносных приложений.

    Защитите ваше Android-устройство с помощью Dr.Web

    Купить онлайн Купить через Google Play Бесплатно

  • «Доктор Веб»: обзор вирусной активности в марте 2016 года
  • Рекламный троянец проник в прошивку Android-устройств и приложения известных компаний
  • 17 марта 2016 года

    Многие современные Android-троянцы предназначены для показа навязчивой рекламы, а также установки всевозможного ПО на мобильные устройства. С их помощью вирусописатели получают неплохую прибыль, поэтому неудивительно, что число подобных вредоносных программ растет. Один из таких троянцев, исследованный в марте специалистами «Доктор Веб», был найден в прошивках около 40 Android-устройств. Кроме того, он был обнаружен и в нескольких приложениях от известных компаний.

    Троянец, получивший имя Android.Gmobi.1, представляет собой специализированный программный пакет (SDK-платформу), который расширяет функциональные возможности Android-приложений и используется как производителями мобильных устройств, так и разработчиками ПО. В частности, этот модуль предназначен для дистанционного обновления операционной системы, сбора аналитических данных, показа различных уведомлений (в том числе рекламы) и осуществления мобильных платежей. Однако несмотря на кажущуюся безобидность, Android.Gmobi.1 во многом ведет себя как типичный троянец, поэтому содержащие его программы детектируются антивирусными продуктами Dr.Web для Android как вредоносные. На текущий момент специалисты компании «Доктор Веб» обнаружили этот SDK в предустановленном системном ПО почти 40 популярных мобильных устройств, а также в приложениях TrendMicro Dr.Safety, TrendMicro Dr.Booster и Asus WebStorage, которые доступны для загрузки в каталоге Google Play. Все пострадавшие компании уже оповещены о возникшей проблеме и занимаются ее решением. Так, последние официальные версии программ TrendMicro Dr.Safety и TrendMicro Dr.Booster уже не содержат этого троянца.

    Android.Gmobi.1 #drweb

    Android.Gmobi.1 имеет несколько модификаций, которые объединяет общий функционал – сбор и отправка на удаленный узел конфиденциальной информации. Например, версии троянца, которые встроены в приложения TrendMicro Dr.Safety и TrendMicro Dr.Booster, имеют только указанную шпионскую функцию, в то время как модификация, обнаруживаемая в прошивках мобильных устройств, является наиболее «продвинутой». О ней мы и расскажем более подробно.

    При каждом подключении к Интернету или включении экрана зараженного смартфона или планшета (если перед этим экран был выключен более минуты) Android.Gmobi.1 собирает и отправляет на управляющий сервер целый ряд конфиденциальных данных, таких как:

    • email-адреса пользователя;
    • наличие роуминга;
    • текущие географические координаты на основе данных спутников GPS или информации мобильной сети;
    • подробную техническую информацию об устройстве;
    • страну нахождения пользователя;
    • наличие установленного приложения Google Play.

    В ответ троянец получает от сервера конфигурационный файл в формате JSON (JavaScript Object Notation), который может содержать следующие управляющие команды:

    • сохранить в базу данных информацию о рекламе, которую необходимо показать пользователю;
    • создать рекламный ярлык на рабочем столе;
    • показать уведомление с рекламой;
    • показать уведомление, нажатие на которое приведет к запуску уже установленного на устройстве приложения;
    • загрузить и установить apk-файлы с использованием стандартного системного диалога или скрытно от пользователя, если для этого имеются соответствующие права.

    Далее в соответствии с полученными командами вредоносная программа приступает к непосредственному выполнению своей основной вредоносной функции – показу рекламы, а также других действий, нацеленных на получение прибыли. В частности, троянец может продемонстрировать рекламу следующих типов:

    • реклама в панели уведомлений;
    • реклама в виде диалогового окна;
    • реклама в виде интерактивных диалоговых окон – при нажатии кнопки подтверждения происходит отправка СМС (при этом она выполняется только в том случае, если у приложения, в которое встроен вредоносный SDK, есть на это соответствующие права);
    • рекламный баннер поверх окон других приложений и графического интерфейса ОС;
    • открытие заданной страницы в веб-браузере или в приложении Google Play.

    Кроме того, Android.Gmobi.1 способен автоматически запускать программы, уже установленные на устройстве, а также скачивать приложения по указанным злоумышленниками ссылкам, тем самым «накручивая» их популярность.

    В настоящий момент все известные модификации этого троянца успешно детектируются и обезвреживаются антивирусными продуктами Dr.Web для Android только в тех случаях, если они находятся не в системных каталогах ОС. Если Android.Gmobi.1 был обнаружен в прошивке зараженного мобильного устройства, его удаление обычными средствами не представляется возможным, поскольку для этого антивирусу необходимо наличие root-полномочий. Однако даже если необходимые права в системе имеются, удаление троянца может привести к нарушению работы зараженного смартфона или планшета, поскольку Android.Gmobi.1 может быть встроен в критически важное системное приложение. В этом случае необходимо обратиться к производителю мобильного устройства и запросить у него новую версию прошивки, в которой троянец будет отсутствовать.

    Защитите ваше Android-устройство с помощью Dr.Web

    Купить онлайн Купить через Google Play Бесплатно

  • Компания «Доктор Веб» расшифровывает файлы, поврежденные энкодером для OS X
  • 11 марта 2016 года

    В начале марта многочисленные средства массовой информации, сетевые издания и блоги сообщили о распространении первого в истории троянца-шифровальщика, атакующего компьютеры Apple под управлением операционной системы OS X. Специалисты компании «Доктор Веб» тщательно исследовали эту вредоносную программу, получившую наименование Mac.Trojan.KeRanger.2, и разработали технологию расшифровки поврежденных троянцем файлов.

    Троянец-шифровальщик Mac.Trojan.KeRanger.2 впервые был обнаружен в инфицированном обновлении популярного торрент-клиента для OS X, распространявшегося в виде дистрибутива в формате DMG. Программа была подписана действующим сертификатом разработчика приложений для OS X, благодаря чему могла обойти встроенную систему защиты ОС от Apple.

    После установки на атакуемый компьютер Mac.Trojan.KeRanger.2 выжидает три дня, в течение которых пребывает в «спящем» режиме. После этого энкодер устанавливает соединение со своим управляющим сервером с использованием сети TOR. Затем начинает процесс шифрования пользовательских файлов: в папке пользователя Mac.Trojan.KeRanger.2 шифрует абсолютно все файлы, к которым у него имеются права доступа, при этом троянец может работать как с привилегиями обычного пользователя, так и от имени учетной записи root. После этого вредоносная программа пытается зашифровать содержимое логического раздела /Volumes, то есть файлы, хранящиеся на жестком диске и в смонтированных логических разделах. В этом случае файлы шифруются по имеющемуся списку — всего злоумышленники предусмотрели в этом перечне 313 различных типов файлов, включая текстовые документы и графические изображения. Ключ для шифрования и файл с требованиями злоумышленников троянец получает с управляющего сервера. Характерным признаком работы этого энкодера является добавление к зашифрованным файлам расширения ".encrypted" и появление в папках файла с именем "README_FOR_DECRYPT.txt".

    Специалисты компании «Доктор Веб» разработали технологию, позволяющую расшифровывать файлы, поврежденные в результате вредоносной деятельности этого энкодера.

    Для того чтобы воспользоваться услугой расшифровки файлов, которые стали недоступны в результате проникновения Mac.Trojan.KeRanger.2, выполните следующие действия:

    • обратитесь с соответствующим заявлением в полицию;
    • ни в коем случае не пытайтесь каким-либо образом изменить содержимое папок с зашифрованными файлами;
    • не удаляйте никакие файлы на компьютере;
    • не пытайтесь восстановить зашифрованные файлы самостоятельно;
    • обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
    • к тикету приложите любой зашифрованный троянцем файл;
    • дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.

    Напоминаем, что услуги по расшифровке файлов оказываются бесплатно только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. С полными требованиями для отправки запроса на расшифровку можно ознакомиться по ссылке. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.

    Подробнее о троянце

  • Рекламные троянцы атакуют пользователей OS X
  • 3 марта 2016 года

    Вредоносные программы для компьютеров Apple на сегодняшний день распространены не столь широко, как троянцы для ОС Windows и Android, но вместе с тем злоумышленники не обходят своим вниманием владельцев таких машин. Большинство современных вредоносных программ, способных работать в OS X, предназначены для несанкционированного показа рекламы в окне браузера. Не стали исключением и новые троянцы семейства Mac.Trojan.VSearch, обнаруженные в марте специалистами компании «Доктор Веб».

    Атака троянцев семейства Mac.Trojan.VSearch на компьютер Apple начинается с установщика приложений, детектируемого Антивирусом Dr.Web как Mac.Trojan.VSearch.2. Он распространяется под видом различных утилит и программ – например, проигрывателя Nice Player. Пользователь может сам скачать его с различных веб-сайтов, предлагающих бесплатное ПО для OS X.

    Mac.Trojan.VSearch #drweb

    Сразу после запуска установщика в его окне отображается традиционное приветствие. По нажатии на кнопку Continue Mac.Trojan.VSearch.2 должен показать пользователю список компонентов, устанавливаемых помимо приложения, которое он хотел получить с самого начала. В этом списке пользователю обычно предоставляется возможность выбрать необходимые модули, однако на практике этого не происходит: инсталлятор сразу переходит к окну с предложением указать папку установки, при этом он настроен таким образом, будто пользователь сам отметил флажками все предложенные варианты. Среди компонентов, которые Mac.Trojan.VSearch.2 устанавливает на зараженный компьютер, был замечен троянец Mac.Trojan.VSearch.4, а также множество других опасных и нежелательных программ, в частности MacKeeper (Program.Mac.Unwanted.MacKeeper), ZipCloud (Program.Mac.Unwanted.ZipCloud) и Mac.Trojan.Conduit.

    После установки на атакуемом компьютере Mac.Trojan.VSearch.4 обращается к серверу злоумышленников и выкачивает оттуда специальный скрипт, который подменяет в настройках браузера поисковую систему по умолчанию, устанавливая в качестве таковой сервер Trovi. С помощью этого скрипта троянец может скачать и установить на инфицированный «мак» поисковый плагин для браузеров Safari, Chrome и Firefox, детектируемый Антивирусом Dr.Web как нежелательное приложение Program.Mac.Unwanted.BrowserEnhancer.1. И, наконец, эта вредоносная программа загружает и устанавливает в системе троянца Mac.Trojan.VSearch.7.

    Попав на инфицированный компьютер, Mac.Trojan.VSearch.7 в первую очередь создает в операционной системе нового пользователя (который не отображается в окне приветствия OS X) и запускает специальный прокси-сервер, с помощью которого встраивает во все открываемые в окне браузера веб-страницы сценарий на языке JavaScript, показывающий рекламные баннеры. Помимо этого, вредоносный сценарий собирает пользовательские запросы к нескольким популярным поисковым системам.

    Mac.Trojan.VSearch #drweb

    Специалистам компании «Доктор Веб» удалось установить, что в общей сложности на принадлежащие киберпреступникам серверы за время их существования поступило 1 735 730 запросов на загрузку вредоносных программ, при этом было зафиксировано 478 099 уникальных IP-адресов обращавшихся к этим серверам компьютеров. Указанная цифра позволяет сделать определенные предположения о масштабах распространения угрозы. Все представители семейства Mac.Trojan.VSearch успешно детектируются Антивирусом Dr.Web для OS X и потому не представляют опасности для наших пользователей.

    Подробнее о троянцах

  • Бот Dr.Web для Telegram
  • 20 февраля 2016 года

    Летом прошлого года мессенджер Telegram представил открытую платформу для создания «ботов» — аккаунтов, которые взаимодействуют с внешними сервисами и отвечают на команды пользователей. Компания «Доктор Веб» представляет своё исследование этого необычного формата — первого в мире антивирусного бота.

    Благодаря боту, пользователи могут проверить ссылку или файл и вовремя узнать об угрозе — например, о том, что полученный ими файл оказался троянской программой, которая способна украсть данные из банковского приложения или заблокировать телефон, чтобы требовать выкуп. Обращаем внимание пользователей на то, что бот не является заменой антивирусу: он не сможет просканировать телефон или компьютер, помешать загрузить вредоносную программу или вылечить уже зараженное устройство. Для полноценной защиты необходимо установить антивирусный продукт Dr.Web для соответствующей операционной системы или мобильной платформы.

    Чтобы испытать бота, достаточно найти аккаунт @DrWebBot в мессенджере (или перейти по адресу telegram.me/drwebbot) и отправить файл или ссылку — бот «на лету» проверит их по базам компании «Доктор Веб» и сообщит о результатах. Благодаря этому, антивирусным ботом можно пользоваться на любом устройстве, на котором работает Telegram, от мобильных устройств до настольных компьютеров — и даже через веб-версию в браузере. Бот отвечает прямо через мессенджер и не оказывает никакой нагрузки на работоспособность системы.

    Проверять ссылки и файлы можно как в приватном диалоге (напрямую отправлять боту подозрительный контент или пересылать ему сообщения, полученные от других пользователей), так и в групповой беседе — если добавить в нее бота, то он будет срабатывать на все файлы и ссылки в этой беседе.

    Познакомиться со всеми возможностями бота поможет команда /help. Бот позволяет выбрать один из двух режимов: «тихий» и обычный. По умолчанию используется обычный режим: бот реагирует на каждый файл или ссылку и отвечает, безопасны ли они. В групповой беседе поток сообщений от бота может мешать обычному общению, поэтому удобнее использовать «тихий режим»: в этом режиме бот только предостерегает пользователей, когда файл или ссылка в чате содержат угрозу. Выбрать режим можно с помощью команды /mode.

    На сегодняшний день бот умеет общаться с пользователем на русском, английском или немецком языке. Выбрать язык можно с помощью команды /lang.

    В первую очередь бот Dr.Web — исследовательский проект, который позволит компании испытать взаимодействие с пользователями в новом формате, получить обратную связь и оценить нагрузку. И, конечно, поможет вовремя предупреждать пользователей о том, что ссылка или файл небезопасны.

  • Опасный троянец, который не работает в России, Украине, Белоруссии и Казахстане
  • 18 февраля 2016 года

    На сегодняшний день известно множество вредоносных программ, предназначенных для загрузки на инфицированный компьютер других опасных приложений, а также для выполнения поступающих от злоумышленников команд. Очередной такой бэкдор, обнаруженный вирусными аналитиками компании «Доктор Веб» в феврале, обладает целым рядом интересных особенностей, которые выделяют его среди аналогичных троянцев.

    Эта вредоносная программа, получившая наименование BackDoor.Andromeda.1407, распространяется с помощью другого троянца-загрузчика — Trojan.Sathurbot.1, также известного под именем «Hydra». Основное предназначение BackDoor.Andromeda.1407 заключается в выполнении поступающих от злоумышленников команд, в том числе скачивания и установки иного вредоносного ПО.

    При запуске бэкдор проверяет командную строку на наличие ключа "/test" и в случае его обнаружения выводит в консоль сообщение "\n Test - OK", а затем завершается. Вероятно, эта функция была предусмотрена вирусописателями для тестирования работы различных программных упаковщиков. После этого троянец пытается определить, не запущены ли на компьютере виртуальные машины, приложения для мониторинга процессов или отслеживания обращений к системному реестру, а также некоторые другие программы-отладчики. Обнаружив любую опасную для себя программу, бэкдор переходит в бесконечный режим сна.

    На следующем этапе BackDoor.Andromeda.1407 получает серийный номер системного тома жесткого диска, который активно использует при генерации значений различных именованных объектов, в частности, переменных окружения или в отсылаемых на управляющий сервер сообщениях. Сразу после своего запуска бэкдор пытается путем инжекта перебраться в новый процесс, а исходный — завершить. Если вредоносной программе удалось встроиться в выбранный процесс, она получает ряд сведений об инфицированной машине, в том числе определяет разрядность ОС, ее версию, права текущего пользователя и, наконец, настроенные на атакованном компьютере раскладки клавиатуры. Если бэкдору удается обнаружить наличие в Windows русской, украинской, белорусской или казахской национальной раскладки, он завершается и автоматически удаляется из системы.

    Затем BackDoor.Andromeda.1407 пытается определить точное время путем отправки запросов на серверы europe.pool.ntp.org, north-america.pool.ntp.org, south-america.pool.ntp.org, asia.pool.ntp.org, oceania.pool.ntp.org, africa.pool.ntp.org, pool.ntp.org, либо запрашивает системное время, если получить ответ от перечисленных ресурсов не удалось. Значение времени активно используется плагинами троянца в процессе работы. Затем бэкдор отключает в настройках Windows демонстрацию системных уведомлений, а также останавливает и отключает некоторые системные службы в зависимости от версии ОС.

    Если на зараженном компьютере установлена операционная система Microsoft Windows 8 или выше, троянец продолжает работу с текущими привилегиями пользователя, в Windows 7 он пытается повысить собственные права с использованием одного из широко известных способов. Кроме того, в ОС Windows 7 BackDoor.Andromeda.1407 отключает механизм контроля учетных записей пользователей (User Accounts Control, UAC).

    На этом процесс установки троянца в систему не заканчивается: он отключает отображение скрытых файлов в Проводнике, а затем обращается по очереди к нескольким системным папкам и папкам профиля текущего пользователя, пытаясь определить, какая из них открыта на запись. При обнаружении такой папки в нее копируется дроппер троянца со случайным именем, а затем этому исполняемому файлу присваиваются атрибуты «системный» и «скрытый», чтобы спрятать его от пользователя, и меняется время его создания. Наконец, BackDoor.Andromeda.1407 модифицирует ветви системного реестра Windows, обеспечивая автоматический запуск основного модуля вредоносной программы.

    Взаимодействие с управляющим сервером бэкдор осуществляет с помощью специального зашифрованного ключа, при этом адреса командных узлов также хранятся в теле троянца зашифрованными. Чтобы узнать IP-адрес инфицированного компьютера, BackDoor.Andromeda.1407 обращается к серверам microsoft.com, update.microsoft.com, bing.com, google.com и yahoo.com, а передача информации реализована с использованием формата обмена данными JSON (JavaScript Object Notation) в зашифрованном виде. Именно так бэкдор может получать от злоумышленников различные управляющие директивы, среди которых — команды на загрузку дополнительных плагинов, загрузку и запуск исполняемых файлов, самообновление троянца, удаление всех плагинов из зараженной системы или деинсталляцию самой вредоносной программы.

    В настоящий момент вирусным аналитикам компании «Доктор Веб» известно о том, что BackDoor.Andromeda.1407 загружает и запускает на инфицированных компьютерах такие вредоносные приложения как троянец-шифровальщик Trojan.Encoder.3905, банковский троянец Trojan.PWS.Panda.2401, троянцы Trojan.Click3.15886, BackDoor.Siggen.60436, Trojan.DownLoader19.26835 и многие другие. BackDoor.Andromeda.1407 обнаруживается и успешно удаляется антивирусным ПО Dr.Web.

    Подробнее о троянце

       Решения






    «Доктор Веб» © 2007 Компания "Доктор Веб" - производитель и поставщик антивирусных решений семейства Dr.WEB.
    Среди потребителей продуктов компании домашние пользователи из всех регионов мира и крупные российские предприятия, небольшие организации и системообразующие корпорации, которым коллектив "Доктор Веб" благодарен за поддержку и преданность продукту в течение многих лет. Государственные сертификаты и награды, полученные антивирусом Dr.WEB, а также география его пользователей свидетельствуют о степени исключительного доверия к продукту, созданному талантливыми программистами России.