Subscribe: Новости компании "Доктор Веб" - RSS канал
http://news.drweb.ua/rss/get/?c=3&lng=ru
Added By: Feedage Forager Feedage Grade B rated
Language:
Tags:
Rate this Feed
Rate this feedRate this feedRate this feedRate this feedRate this feed
Rate this feed 1 starRate this feed 2 starRate this feed 3 starRate this feed 4 starRate this feed 5 star

Comments (0)

Feed Details and Statistics Feed Statistics
Preview: Новости компании "Доктор Веб" - RSS канал

Новости компании "Доктор Веб" - RSS канал



Новости компании "Доктор Веб" -



 



Новая глобальная атака шифровальщика: подробности от «Доктор Веб»

Wed, 28 Jun 2017 00:00:00 GMT

28 июня 2017 года Специалисты компании "Доктор Веб" изучают новый троянец-шифровальщик Trojan.Encoder.12544, упоминаемый в СМИ как Petya, Petya.A, ExPetya и WannaCry-2. На основании предварительного анализа вредоносной программы компания "Доктор Веб" представляет рекомендации, как избежать заражения, рассказывает, что делать, если заражение уже произошло, и раскрывает технические подробности атаки. Наделавший много шума червь-шифровальщик Trojan.Encoder.12544 представляет серьезную опасность для персональных компьютеров, работающих под управлением Microsoft Windows. Различные источники называют его модификацией троянца, известного под именем Petya (Trojan.Ransom.369), но Trojan.Encoder.12544 имеет с ним лишь некоторое сходство. Эта вредоносная программа проникла в информационные системы целого ряда госструктур, банков и коммерческих организаций, а также заразила ПК пользователей в нескольких странах. На текущий момент известно, что троянец заражает компьютеры при помощи того же набора уязвимостей, которые ранее использовались злоумышленниками для внедрения на компьютеры жертв троянца WannaCry. Массовое распространение Trojan.Encoder.12544 началось в первой половине дня 27.06.2017. При запуске на атакуемом компьютере троянец несколькими способами ищет доступные в локальной сети ПК, после чего по списку полученных IP-адресов начинает сканировать порты 445 и 139. Обнаружив в сети машины, на которых открыты эти порты, Trojan.Encoder.12544 пытается инфицировать их с использованием широко известной уязвимости в протоколе SMB (MS17-10). В своем теле троянец содержит 4 сжатых ресурса, 2 из которых являются 32- и 64-разрядной версиями утилиты Mimikatz, предназначенной для перехвата паролей открытых сессий в Windows. В зависимости от разрядности ОС он распаковывает соответствующую версию утилиты, сохраняет ее во временную папку, после чего запускает. При помощи утилиты Mimikatz, а также двумя другими способами Trojan.Encoder.12544 получает список локальных и доменных пользователей, авторизованных на зараженном компьютере. Затем он ищет доступные на запись сетевые папки, пытается открыть их с использованием полученных учетных данных и сохранить там свою копию. Чтобы инфицировать компьютеры, к которым ему удалось получить доступ, Trojan.Encoder.12544 использует утилиту для управления удаленным компьютером PsExec (она также храни[...]



Новый троянец для Linux играет с командным сервером в «пинг-понг»

Thu, 20 Nov 2014 12:52:56 GMT

20 ноября 2014 года Специалисты компании «Доктор Веб» исследовали опасного Linux-троянца, обладающего способностью заражать компьютеры и различные устройства, работающие под управлением ОС семейства Linux. Данная вредоносная программа, добавленная в базы под именем Linux.BackDoor.Fgt.1, предназначена для организации массовых DDoS-атак. После своего запуска на инфицированном устройстве троянец Linux.BackDoor.Fgt.1 проверяет наличие подключения к Интернету, обращаясь к одному из серверов Google, и, если соединение удалось установить, определяет IP и MAC-адрес инфицированного устройства. Затем Linux.BackDoor.Fgt.1 пытается связаться с командным сервером, адрес которого «зашит» в теле самого троянца, отправляя ему сведения о версии вредоносной программы. В ответ Linux.BackDoor.Fgt.1 ожидает получения блока данных, содержащих команду для выполнения на инфицированном устройстве. Если от управляющего сервера пришла команда PING, троянец отправляет ответ PONG и продолжает функционировать на инфицированном устройстве. При получении команды DUP Linux.BackDoor.Fgt.1 завершает свою работу. Троянец обладает специальной функцией, с использованием которой он в течение одного цикла осуществляет сканирование 256 удаленных IP-адресов, выбранных случайным образом, при этом цикл запускается по команде злоумышленников. В процессе генерации IP-адресов Linux.BackDoor.Fgt.1 проверяет, не попадают ли они в диапазоны, которые используются для адресации внутри локальных сетей, — такие адреса игнорируются. В случае неудачи при попытке установки соединения Linux.BackDoor.Fgt.1 отправляет информацию об этом на принадлежащий злоумышленникам управляющий сервер. Если же связь установлена, вредоносная программа пытается соединиться с портом удаленного узла, используемым службой Telnet, и получить от атакуемой машины запрос логина. Отправив на удаленный узел логин из заранее сформированного списка, Linux.BackDoor.Fgt.1 выполняет анализ поступающих от него откликов. Если среди них встречается запрос для ввода пароля, троянец пытается выполнить авторизацию методом перебора паролей по списку. В случае успеха Linux.BackDoor.Fgt.1 отсылает на управляющий сервер IP-адрес, логин и пароль устройства, к которому удалось подобрать аутентификационные данные, а на атакуемый узел направляется команда загрузки специа[...]



Новый обучающий курс для администраторов десятой версии Dr.Web Enterprise Security Suite

Fri, 14 Nov 2014 00:00:00 GMT

14 ноября 2014 года

Компания «Доктор Веб» сообщает о выходе обучающего курса по администрированию Dr.Web Enterprise Security Suite новейшей версии 10. Приглашаем инженерно-технических работников и техпресейлов наших партнеров и всех заинтересованных технических специалистов изучить методические материалы и сдать экзамен для получения статуса сертифицированного специалиста по администрированию Dr.Web Enterprise Security Suite версии 10.

Методическое пособие для практических занятий по курсу ВDWCERT-002-ESS10 «Централизованно управляемая защита антивирусной сети в масштабах предприятия на базе решения Dr.Web Enterprise Security Suite» описывает основные возможности продукта и входящих в него компонентов, особое внимание уделяется усовершенствованиям новейшей, десятой версии. После прохождения курса администратор сможет самостоятельно развертывать антивирусную сеть, управлять системой антивирусной защиты локальной сети с помощью Центра управления, организовать антивирусную защиту на стороне пользователя, обновлять антивирусную сеть, настраивать антивирусную защиту для мобильных устройств, а также получит множество других полезных навыков. Пошаговые иллюстрации помогут легко освоить продукт и выполнить все необходимые задачи по его настройке.

Приглашаем всех заинтересованных технических специалистов ознакомиться с новым курсом, сдать экзамен и получить сертификат «Доктор Веб».




Посмотрите на новый функционал Dr.Web, защищающий от троянцев-шифровальщиков!

Thu, 13 Nov 2014 00:00:00 GMT

13 ноября 2014 года

Компания «Доктор Веб» представляет новый обучающий видеоролик, посвященный работе с функционалом защиты от потери данных в продукте Dr.Web Security Space версии 10.0. Эта функция позволяет уберечь ценные файлы от заражения троянцами-шифровальщиками, требующими деньги за расшифровку.

Угроза со стороны шифровальщиков семейства Trojan.Encoder известна давно, однако лишь в последние годы она приобрела поистине катастрофические масштабы. Только за последние 5 лет количество разновидностей этих троянцев увеличилось в разы. Ежесуточно в вирусную лабораторию «Доктор Веб» поступает более 40 заявок на расшифровку, однако гарантию возвращения файлов дать невозможно. Вот почему важно подготовиться к отражению атаки шифровальщиков заранее, благо возможности Dr.Web это позволяют.

В видео подробно показана настройка одной из основных функций десятой версии Dr.Web, которая позволяет эффективно бороться с последствиями заражения Trojan.Encoder. Включив «Защиту от потери данных» (по умолчанию она отключена), вы можете создать резервную копию ценных файлов и папок, назначив их сохранение по нужному вам графику, а также выбрав подходящий временной интервал. Если троянец все-таки зашифрует ваши файлы, вы сможете самостоятельно восстановить их, не прибегая к услугам специалистов техподдержки «Доктор Веб».

Обращаем ваше внимание, что услуги расшифровки данных, зашифрованных «энкодерами», предоставляются бесплатно только если вы являетесь лицензионным пользователем Dr.Web. Впрочем, благодаря функции «Защита от потери данных» и подробной видеоинструкции по ее применению вы сможете избежать неприятной встречи с шифровальщиками-вымогателями!

Смотреть видео

Чтобы троянец не испортил файлы, используйте защиту от потери данных

Только в Dr.Web Security Space версии 9 и 10
Подробнее
о шифровальщиках
(image) Что делать если.. (image) Видео о настройке (image) Бесплатная расшифровка



Опасный Android-троянец распространяется при помощи СМС-сообщений

Tue, 11 Nov 2014 16:27:20 GMT

11 ноября 2014 года Массовая отправка содержащих ссылку на загрузку вредоносной программы СМС-сообщений становится все более популярным методом распространения современных Android-угроз. Подобный механизм доставки троянцев на мобильные устройства киберпреступники применяют не только при организации спам-рассылок, но и внедряют в создаваемые ими вредоносные приложения, наделяя их функционалом СМС-червей. Одна из таких вредоносных программ, обнаруженная специалистами компании «Доктор Веб» в начале ноября, представляет собой опасного бота, способного по команде злоумышленников отправлять СМС, удалять установленные программы и файлы пользователей, красть конфиденциальную информацию, атаковать веб-сайты и выполнять на зараженном устройстве множество других нежелательных действий. Внесенная в вирусную базу Dr.Web под именем Android.Wormle.1.origin, новая Android-угроза представляет собой многофункционального бота, обладающего широкими возможностями. После установки троянец не создает ярлык на главном экране операционной системы и функционирует на зараженном устройстве в качестве системного сервиса с именем com.driver.system. Android.Wormle.1.origin устанавливает соединение с командным центром, после чего ожидает поступления дальнейших указаний злоумышленников. Примечательно, что управление ботом может выполняться киберпреступниками как напрямую с контролирующего сервера, так и при помощи протокола Google Cloud Messaging – сервиса, позволяющего разработчикам поддерживать связь со своими приложениями при наличии на целевом устройстве активной учетной записи Google. Данный троянец обладает чрезвычайно обширным функционалом. В частности, бот способен выполнить следующие действия: отправить СМС-сообщение с заданным текстом на один или несколько номеров, указанных в команде; разослать СМС-сообщение c заданным текстом по всем номерам из телефонной книги; занести в черный список определенный телефонный номер, чтобы заблокировать поступающие с него СМС-сообщения, а также звонки; выполнить USSD-запрос (номер, с которого планируется получить ответ на произведенный запрос, заносится в черный список в соответствии с отданной командой – это сделано для того, чтобы заблокировать пол[...]



Обновление Dr.Web для Android версии 9.0

Mon, 10 Nov 2014 00:00:00 GMT

10 ноября 2014 года

Компания «Доктор Веб» сообщает об обновлении продукта Dr.Web для Android, доступного для скачивания на сайте, до версии 9.01.7.

Обновление связано с усовершенствованием системы информирования пользователей о выпуске новой версии продукта.

Для обновления через сайт «Доктор Веб» нужно скачать новый дистрибутив. Если в настройках включена опция «Новая версия приложения», при обновлении вирусных баз пользователь получит уведомление о доступной новой версии, которую можно будет загрузить прямо из этого диалога.




Встроенный в Android-прошивку троянец «хозяйничает» на мобильных устройствах

Fri, 07 Nov 2014 00:00:00 GMT

7 ноября 2014 года Специалисты компании «Доктор Веб» обнаружили нового троянца, встроенного непосредственно в образ операционной системы целого ряда мобильных устройств под управлением Android. Вредоносное приложение, получившее имя Android.Becu.1.origin, способно загружать, устанавливать и удалять программы без ведома пользователей, а также может блокировать поступающие с определенных номеров СМС-сообщения. Данная вредоносная программа представляет собой комплексную угрозу, состоящую из нескольких тесно взаимодействующих друг с другом модулей. Основным компонентом Android.Becu.1.origin является apk-файл с именем Cube_CJIA01.apk, который располагается непосредственно в системном каталоге и имеет цифровую подпись самой операционной системы, что дает ему неограниченные полномочия и позволяет выполнять все действия без вмешательства пользователя. Кроме того, расположение этого приложения непосредственно в прошивке мобильного устройства значительно затрудняет его удаление стандартными методами. Троянец начинает свою вредоносную деятельность при каждом включении зараженного устройства, а также при получении его владельцем новых СМС-сообщений. Как только наступает одно из этих событий, Android.Becu.1.origin в соответствии со своим конфигурационным файлом загружает с удаленного сервера блок зашифрованных данных, который после расшифровки сохраняется под именем uac.apk в рабочем каталоге троянца и запускается в оперативной памяти при помощи класса DexClassLoader. Вслед за этим троянец запускает свой второй компонент uac.dex, хранящийся в том же рабочем каталоге. Оба этих модуля отвечают за основной вредоносный функционал данной Android-угрозы, а именно – возможность скрытно загружать, устанавливать и удалять те или иные приложения по команде управляющего сервера. После успешной активации данных компонентов вредоносная программа проверяет наличие в системе своего третьего модуля, находящегося в пакете com.zgs.ga.pack, который в случае отсутствия загружается и устанавливается на устройство. Данный модуль регистрирует зараженный смартфон или планшет на сервере злоумышленников, предоставляя им информацию об активных копиях An[...]



Обновление Dr.Web Control Service в продуктах Dr.Web 9.1 для Windows и Dr.Web Enterprise Security Suite 10.0

Thu, 06 Nov 2014 00:00:00 GMT

6 ноября 2014 года

Компания «Доктор Веб» сообщает об обновлении управляющего сервиса Dr.Web Control Service (9.1.6.10291) в продуктах Dr.Web Security Suite и Антивирус Dr.Web версии 9.1, а также Dr.Web Desktop Security Suite с возможностью централизованного управления (группа продуктов Dr.Web Enterprise Security Suite версии 10.0).

Dr.Web Control Service обновлен в связи с изменениями, внесенными в протокол взаимодействия компонента с сервером Dr.Web Enterprise Security Suite 10.0.

Обновление пройдет для пользователей автоматически, однако потребует перезагрузки компьютеров.




Обновление компонентов в Dr.Web Enterprise Security Suite 10.0

Wed, 05 Nov 2014 00:00:00 GMT

5 ноября 2014 года

Компания «Доктор Веб» сообщает об обновлении компонентов Dr.Web Updater (9.1.3.10171) и Dr.Web Enterprise Agent for Windows setup (10.0.4.10311) в Dr.Web Enterprise Security Suite версии 10.0. Обновление связано с исправлением выявленной ошибки.

В компоненты внесены изменения, устраняющие возникшую проблему установки агентов антивирусной сети.

Обновление пройдет для пользователей автоматически, однако потребует перезагрузки компьютеров.




Мобильные угрозы в октябре 2014 года

Wed, 05 Nov 2014 00:00:00 GMT

5 ноября 2014 года Разнообразие совершенных в течение октября атак на мобильные Android-устройства в очередной раз наглядно демонстрирует, что угроза со стороны вредоносных программ остается крайне актуальной для пользователей. На протяжении всего месяца специалисты компании «Доктор Веб» фиксировали появление различных вредоносных приложений, среди которых были программы-вымогатели, банковские троянцы и другие угрозы, помогающие киберпреступникам заработать за счет ничего не подозревающих жертв. Одной из обнаруженных в октябре Android-угроз, созданных для заработка злоумышленников, стал троянец Android.Selfmite.1.origin, который распространялся в модифицированном вирусописателями официальном приложении-клиенте социальной сети Google+. Эта вредоносная программа имела в своем арсенале сразу несколько механизмов для монетизации. Во-первых, после установки на Android-смартфон или планшет она помещала на главном экране операционной системы несколько ярлыков, которые, в зависимости от географического расположения пользователя, вели на различные веб-сайты, продвигаемые при помощи партнерских программ и разнообразных рекламных систем. В результате каждое нажатие на данные ярлыки приносило авторам Android.Selfmite.1.origin определенный доход. Во-вторых, троянец мог «рекламировать» размещенные в каталоге Google Play приложения, демонстрируя на экране мобильного устройства соответствующие разделы онлайн-магазина. В-третьих, вредоносная программа была способна рассылать СМС-сообщения, в которых, в зависимости от полученных с управляющего сервера параметров, могли содержаться ссылки на те или иные веб-сайты, а также на загрузку других программ, включая копию самого троянца. Главная опасность Android.Selfmite.1.origin заключалась в том, что рассылка таких сообщений производилась по всем контактам из телефонной книги пользователя, причем количество отправляемых СМС никак не ограничивалось, поэтому потенциальные жертвы троянца могли понести существенные финансовые потери, а также невольно помочь злоумышленникам в распространении этого вредоносного приложения. Еще одна обнаруженная в октябре вредоносная Andr[...]



«Настрой-ка Dr.Web!»: десять месяцев использования Dr.Web Security Space в подарок за десять ответов на вопросы теста

Wed, 05 Nov 2014 00:00:00 GMT

5 ноября 2014 года

Компания «Доктор Веб» сообщает о запуске нового проекта для пользователей. С 5 по 28 ноября посетители проекта «Настрой-ка Dr.Web!», ответившие правильно на десять вопросов теста о важных настройках Dr.Web Security Space новой версии 10, получат возможность приобрести годовую лицензию на Dr.Web Security Space для 1, 2 или 3 компьютеров с бесплатным бонусным сроком действия антивируса, увеличенным на 10 месяцев, а также дополнительно — 100 Dr.Web-ок в подарок!

Чтобы получить возможность бесплатно добавить к сроку действия антивируса 10 месяцев, необходимо зайти на страницу проекта «Настрой-ка Dr.Web!» и правильно ответить на десять вопросов. После успешного прохождения теста можно купить годовую лицензию Dr.Web Security Space для защиты 1, 2 или 3 ПК/Mac под управлением ОС Windows, Mac OS X или Linux. Антивирус для мобильных устройств (по числу защищаемых компьютеров) на Android, Symbian OS или Windows Mobile традиционно предоставляется в подарок.

Участие в проекте «Настрой-ка Dr.Web!» наверняка будет очень полезным. Дело в том, что многие функции в Dr.Web Security Space новой версии 10 по умолчанию не включены. Начинающие пользователи смогут узнать о полезных настройках системы защиты Dr.Web, выяснить, в каких случаях необходимо их включать и каким образом настраивать, а опытные владельцы коммерческого ПО Dr.Web узнают, какие изменения внесены в десятую версию Dr.Web Security Space для удобства пользователей.

Пройти тестирование можно только после авторизации на сайте www.drweb.com. Если у вас еще нет аккаунта, нужно его создать. В случае успешного прохождения теста (необходимо правильно ответить на все десять вопросов) участнику будут начислены 100 призовых Dr.Web-ок. C ними можно попытать счастья в аукционах образовательного некоммерческого проекта ВебIQметр и побороться за призы от компании «Доктор Веб».

Пора настроить свой Dr.Web! Читайте подробности на странице проекта.

Участвовать



Обзор вирусной активности: «опасные игры» и другие события октября 2014 года

Fri, 31 Oct 2014 00:00:00 GMT

31 октября 2014 года Осень 2014 года наверняка запомнится поклонникам многопользовательских компьютерных игр появлением значительного количества угроз, специально созданных злоумышленниками для похищения и последующей перепродажи различных игровых предметов, артефактов и инвентаря. «Под ударом» оказались пользователи таких игр, как Dota 2, Counter-Strike: Global Offensive и Team Fortress 2. Заметно активизировались и мошенники, промышляющие обманом сетевых игроков с использованием традиционных методов. Также в октябре специалисты компании «Доктор Веб» обнаружили значительное количество новых угроз как для ОС Microsoft Windows, так и для мобильной платформы Google Android. Вирусная обстановка Ситуация с вредоносными программами, детектируемыми на компьютерах пользователей с использованием лечащей утилиты Dr.Web CureIt!, по сравнению с предыдущими месяцами практически никак не изменилась: лидирующие позиции среди выявленных вредоносных программ по-прежнему занимают рекламные плагины для браузеров семейства Trojan.BPlug, а также установщик рекламных приложений Trojan.Packed.24524. В целом, как и прежде, рекламные троянцы оккупируют первые строки рейтинга среди прочих вредоносных программ, обнаруженных Dr.Web CureIt! в октябре. Несколько иную картину демонстрируют серверы статистики Dr.Web: среди вредоносных программ в октябре, как и ранее, лидирует установщик рекламных приложений Trojan.Packed.24524 — количество обнаруженных экземпляров в текущем месяце снизилось по сравнению с предыдущим на 0,15%. Кроме того, в лидеры неожиданно пробился бэкдор BackDoor.Andromeda.404, количество обнаружений которого составляет 0.34% от общего числа выявленных в октябре вредоносных программ. Этот троянец способен выполнять поступающие на инфицированный компьютер команды и загружать с принадлежащих злоумышленникам серверов другие опасные приложения. Среди «популярных» троянцев октября также оказался Trojan.LoadMoney.336 — приложение-загрузчик, способное устанавливать на компьютер пользователя другие программы, в том числе различные нежелательные рекламные утилиты. А вот число обнаружений бэкдора BackDoor.IRC.NgrBot.42 осталось практически [...]



СМС-спам и Android-троянцы в Южной Корее: обзор за 3-й квартал 2014 года от компании «Доктор Веб»

Thu, 30 Oct 2014 00:00:00 GMT

30 октября 2014 года На протяжении последних 3 месяцев специалисты компании «Доктор Веб» продолжали фиксировать новые атаки злоумышленников, направленные на южнокорейских пользователей мобильных Android-устройств. Как и прежде, для заражения их смартфонов и планшетов киберпреступники широко применяли рассылку нежелательных СМС-сообщений, в которых содержалась ссылка на загрузку вредоносного приложения, при этом главная цель вирусописателей – доступ к банковским счетам жертв – осталась неизменной. Полученная в 3-м квартале 2014 года статистика свидетельствует о том, что южнокорейские пользователи ОС Android все еще остаются желанной целью для киберпреступников: с июля по сентябрь специалисты компании «Доктор Веб» зафиксировали 338 различных спам-кампаний, организованных с целью заражения мобильных Android-устройств жителей Южной Кореи. Зафиксированные в 3 квартале 2014 годаслучаи атак на южнокорейских пользователей Android с использованием СМС-спама По сравнению со 2-м кварталом текущего года за последние 3 месяца количество подобных атак снизилось почти на 40%, однако это едва ли может стать радостной новостью для пользователей, т. к. большая часть обнаруженных вредоносных приложений, как и раньше, принадлежала к различным семействам банковских троянцев и троянцев-шпионов. Так, на долю вредоносных программ семейства Android.Banker пришлось 26,11%, Android.SmsBot – 21,07%, Android.BankBot – 18,69%, Android.SmsSpy – 8,61% и Android.Spy – 3,26% от всех зафиксированных угроз. Кроме того, существенный объем – 22,26% – составили троянцы-дропперы семейства Android.MulDrop, используемые киберпреступниками в качестве носителей для других вредоносных программ, которые в большинстве отмеченных случаев представляли собой все тех же банковских троянцев. Это свидетельствует о том, что основное внимание злоумышленников, которые при помощи СМС-спама распространяют Android-троянцев в Южной Корее, по-прежнему сфокусировано на краже конфиденциальной информации владельцев Android-устройств, получении доступа к их банковским счетам и проведении незаконных операций с денежными средствами. Семейства Android-[...]



Очередной троянец обкрадывает пользователей Steam

Tue, 28 Oct 2014 00:00:00 GMT

28 октября 2014 года Осень 2014 года оказалась весьма богатой на вредоносные программы, угрожающие поклонникам компьютерных игр: в сентябре компания «Доктор Веб» уже сообщала о появлении троянца Trojan.SteamBurglar.1, воровавшего ценные игровые предметы у пользователей Dota 2. По всей видимости, злоумышленники решили не останавливаться на достигнутом — вирусные аналитики «Доктор Веб» исследовали образец новой вредоносной программы с очень похожими функциональными возможностями, получившей наименование Trojan.SteamLogger.1. Эта программа может нанести серьезный ущерб поклонникам сразу нескольких популярных многопользовательских игр. Данный троянец предназначен для похищения ценных артефактов у пользователей игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2. Также он обладает функциями кейлоггера, то есть способен фиксировать и передавать злоумышленникам нажатия клавиш на инфицированном компьютере. Можно предположить, что, как и его предшественник, Trojan.SteamLogger.1 распространяется на специализированных форумах или в чате Steam под видом предложения о продаже или обмене игровых предметов. Вредоносная программа состоит из трех функциональных модулей: первый из них — дроппер — расшифровывает хранящиеся внутри него основной и сервисный модули, при этом сервисный модуль он сохраняет во временную папку под именем Update.exe и запускает его на исполнение, а основной загружает в память зараженного компьютера с использованием одного из системных методов. Затем сервисный модуль скачивает с сайта злоумышленников и сохраняет во временную папку картинку, которую сразу же выводит на экран инфицированного ПК: Сервисный модуль проверяет наличие подпапки Common Files\Steam\ в директории, используемой по умолчанию для установки программ в Windows, и создает таковую при ее отсутствии. Затем этот модуль копирует себя в данную папку под именем SteamService.exe, устанавливает для собственного приложения атрибуты «системный» и «скрытый», после чего прописывает путь к указанному файлу в ветви системного реестра, отвечающей за автозагрузку программ, и запускает его на исполнен[...]



Троянец-дозвонщик для Android не позволяет себя удалить

Mon, 27 Oct 2014 00:00:00 GMT

27 октября 2014 года Специалисты компании «Доктор Веб» обнаружили троянца-дозвонщика, который заражает мобильные устройства под управлением ОС Android и обладает серьезным механизмом самозащиты. Вредоносные программы, совершающие дорогостоящие звонки без согласия пользователя, известны давно: подобные угрозы были широко распространены в эпоху медленного интернет-соединения по технологии dial-up, когда связь осуществлялась с использованием модемов, а позднее нередко атаковали и мобильные устройства. Основная задача таких вредоносных программ – установить соединение с определенным телефонным номером (в большинстве случаев принадлежащим развлекательному сервису категории «для взрослых»), за что с абонентского счета жертвы списывается внушительная сумма, поступающая в карман злоумышленников. В настоящее время подобные программы встречаются не так часто, однако все еще используются мошенниками для получения незаконного заработка. Новый Android-троянец, добавленный специалистами компании «Доктор Веб» в вирусную базу под именем Android.Dialer.7.origin, представляет собой классическую вредоносную программу-дозвонщик, совершающую звонки на премиум-номера. Троянец распространяется злоумышленниками под видом эротического приложения и после установки помещает на главный экран мобильного устройства свой ярлык, который не имеет подписи и значка, в результате чего у некоторых пользователей может сложиться ложное впечатление о том, что установка программы не удалась. В ряде случаев после запуска Android.Dialer.7.origin может продемонстрировать сообщение об ошибке доступа к запрошенной услуге, после чего окончательно скрывает следы своего пребывания в зараженной системе, удаляя созданный ранее ярлык и функционируя в дальнейшем в качестве системного сервиса. Помимо ручного запуска через ярлык, троянец активирует данный сервис автоматически, например, после очередного включения зараженного устройства, поэтому фактически для начала вредоносной деятельности не требуется никакого вмешательство пользователя. За[...]



Осторожно — игровые мошенничества!

Mon, 06 Oct 2014 16:29:04 GMT

6 октября 2014 года В конце сентября компания «Доктор Веб» сообщала о распространении троянской программы Trojan.SteamBurglar.1, воровавшей игровые предметы у пользователей Steam, в частности, у многочисленных поклонников игры Dota 2. К настоящему моменту специалистам «Доктор Веб» известно уже несколько десятков модификаций этого вредоносного приложения, однако арсенал злоумышленников, стремящихся нажиться на любителях массовых многопользовательских ролевых игр (MMORPG), не ограничивается только лишь распространением троянцев. В этой заметке мы расскажем о способах мошенничества, применяемых злоумышленниками против поклонников различных игровых платформ. Известно, что современные многопользовательские игры — это целые виртуальные миры со своими традициями, историей, культурой и даже своеобразной экономической моделью, позволяющей покупать и продавать как отдельные виртуальные предметы, так и целых персонажей, «прокачанных» игроком до определенного уровня. Одной из наиболее распространенных игр данной категории является знаменитая ролевая стратегия World Of Warсraft, разработку и поддержку которой осуществляет компания Blizzard Entertainment. Нужно отметить, что купля-продажа персонажей прямо запрещена правилами большинства многопользовательских игр, администрация которых активно борется с данным явлением. Так, после выхода одного из обновлений World Of Warсraft ее создатели попытались положить конец торговле учетными записями, анонсировав услугу платной «прокачки» персонажей до 90-го уровня, однако эта мера не принесла должного результата. Приобретая аккаунт на игровом сервере, покупатель стремится получить не просто персонажа с максимальным количеством различных «навыков» и баллов опыта, но также игровую амуницию, доспехи, ездовых животных (иногда довольно редких), набор умений и профессий, доступных для данного героя, иные игровые артефакты и возможности. Чем их больше, тем выше стоимость аккаунта, которая в некоторых случаях может превышать 20 000 рублей. Основным фактором риска для покупателя пер[...]



Android-троянец шпионит за протестующими в Гонконге

Fri, 03 Oct 2014 00:00:00 GMT

3 октября 2014 года Многие современные вредоносные программы, работающие на мобильных устройствах, предназначены для незаконного сбора информации и шпионажа за пользователями. Обнаруженный недавно очередной Android-троянец создан именно с этой целью, однако выделяется на фоне большинства подобных угроз не только заложенными в него функциями, но и тем, что атака с его использованием рассчитана на конкретную группу лиц, интересующую злоумышленников. Специалисты компании «Доктор Веб» исследовали эту вредоносную программу, получившую по нашей классификации наименование Android.SpyHK.1.origin. Новая Android-угроза распространялась среди протестующих жителей Гонконга, выступающих за более демократичную избирательную систему. Троянец устанавливался на мобильные устройства активистов под видом приложения для координации их действий, поэтому не должен был вызвать особых подозрений у большинства своих жертв. После своего запуска Android.SpyHK.1.origin устанавливает соединение с управляющим сервером, куда загружает большой объем общей информации о зараженном устройстве (например, версию операционной системы, номер телефона, IMEI-идентификатор, аппаратные характеристики и т. п.), после чего ожидает дальнейших указаний злоумышленников. Троянец оснащен обширным функционалом и, в зависимости от поступившей команды, может выполнить следующие действия: получить содержимое заданной директории (имена, размеры, даты последних изменений файлов и папок); получить GPS-координаты устройства; сделать запись в лог-файле; отобразить на экране сообщение с заданным текстом; выполнить звонок на заданный номер; получить информацию об устройстве; исполнить заданный shell-скрипт; получить расширенный список контактов (включая имя, номер, а также email-адрес); получить доступ к СМС-переписке; получить историю звонков; добавить определенные номера телефонов в список прослушиваемых; получить текущий список прослушиваемых номеров; загрузить файл с заданного веб-адреса; удалить заданный файл с устройства; загрузить[...]



Мобильные угрозы в сентябре 2014 года

Thu, 02 Oct 2014 00:00:00 GMT

2 октября 2014 года Как и в предыдущие месяцы, в сентябре специалисты компании «Доктор Веб» зафиксировали многочисленные атаки на мобильные устройства пользователей. В частности, вирусная база Dr.Web пополнилась множеством новых записей для распространяемых злоумышленниками Android-угроз, среди которых были банковские троянцы, троянцы-вымогатели, вредоносные программы-шпионы и даже опасный троянец-вандал. Также в вирусную базу была внесена очередная запись для вредоносного приложения, работающего на «взломанных» мобильных устройствах производства компании Apple. Количество и скорость появления новых вредоносных приложений, заражающих мобильные устройства под управлением ОС Android, не перестает удивлять специалистов по информационной безопасности. Во многом интерес со стороны злоумышленников к таким устройствам обусловлен их чрезвычайно широким распространением, а также ресурсами, которые они могут предоставить киберпреступникам. В частности, все больший интерес для сетевых мошенников представляет развивающийся сегмент мобильного онлайн-банкинга, который является для них лакомым куском. В сентябре специалисты компании «Доктор Веб» зафиксировали появление новых представителей банковских троянцев, предназначенных для получения незаконного доступа к счетам пользователей. Многие из обнаруженных «банковских» угроз предназначались для владельцев Android-смартфонов и планшетов, принадлежащих жителям Южной Кореи. Традиционно большинство банковских Android-троянцев, циркулирующих в этой стране, распространяется злоумышленниками при помощи нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносного приложения. В сентябре специалисты компании «Доктор Веб» зафиксировали более 100 подобных спам-кампаний, при этом среди наиболее распространенных угроз оказались троянцы Android.Banker.28.origin (22,64%), Android.BankBot.27.origin (21,70%), Android.SmsSpy.78.origin (14,15%), Android.SmsBot.121.origin (11,32%), Android.MulDrop.21.origin (9,43%) и Android.Banker.32.origin (7,55%). Не остаются в стороне от атак злоумышленников и польз[...]



Обзор вирусной активности: угрозы для Mac OS X и другие события сентября 2014 года

Thu, 02 Oct 2014 00:00:00 GMT

2 октября 2014 года В сентябре 2014 года специалисты компании «Доктор Веб» обнаружили и исследовали несколько новых угроз для операционной системы Apple Mac OS X. Среди них — сложный бэкдор Mac.BackDoor.iWorm, а также троянец Mac.BackDoor.Ventir.1 и шпион Mac.BackDoor.XSLCmd. Неожиданной атаке подверглись поклонники компьютерных игр: специалисты по информационной безопасности зафиксировали распространение троянских программ семейства Trojan.SteamBurglar, кравших виртуальные игровые предметы у пользователей Steam с целью последующей перепродажи. Традиционно велико количество добавленных в вирусные базы записей для вредоносных программ, ориентированных на операционную систему Microsoft Windows, не снижается интерес вирусописателей и к мобильной платформе Google Android. Вирусная обстановка Согласно статистическим данным, собранным в сентябре с использованием лечащей утилиты Dr.Web CureIt!, наиболее часто на компьютерах пользователей обнаруживались надстройки для популярных браузеров, демонстрирующие назойливую рекламу при просмотре веб-страниц, — Trojan.BPlug.123 и Trojan.BPlug.100. Также сканирование дисков при помощи лечащей утилиты нередко выявляло наличие в операционной системе установщика рекламных приложений Trojan.Packed.24524. Эти данные в целом соответствуют показателям за прошлые месяцы. По данным сервера статистики Dr.Web в сентябре, как и в августе, среди обнаруженных на компьютерах пользователей вредоносных приложений лидирует установщик рекламных программ Trojan.Packed.24524 — он выявляется на инфицированных ПК в 0,66% случаев, при этом данный показатель продолжает расти: в июле отношение числа обнаружений Trojan.Packed.24524 к общему количеству детектированных угроз составляло 0,56%, а в августе — 0,59%. На втором месте в общей статистике расположился бэкдор BackDoor.IRC.NgrBot.42, первые образцы которого были добавлены в вирусные базы Dr.Web еще в 2011 году. Также в сентябрьской статистике высокие показатели по числу обнаружений демонстрируют различные рекламные троянцы, в частности, Trojan.InstallMonster.953, Trojan.Zadved.4 и им подобные. Что же каса[...]



Троянец-вандал для Android форматирует карту памяти и препятствует общению пользователей

Tue, 30 Sep 2014 00:00:00 GMT

30 сентября 2014 года На заре становления массового рынка персональных компьютеров большинство вредоносных программ создавалось с целью развлечения или бахвальства, а не для получения материальной выгоды. Однако постепенно интерес вирусописателей все больше смещался в сторону незаконного заработка, и в настоящее время среди огромного числа распространяемых информационных угроз сложно встретить троянца, который создавался бы с иной целью. Тем интереснее для вирусных аналитиков компании «Доктор Веб» было получить в свое распоряжение такую редкую и необычную угрозу, которая, ко всему прочему, предназначена для работы не на компьютерах, а на смартфонах и планшетах под управлением ОС Android. Вместе с тем, несмотря на всю свою академическую ценность, новая вредоносная программа представляет для пользователей весьма серьезную опасность, т. к. она удаляет все имеющиеся на карте памяти данные, не позволяет прочитать входящие СМС-сообщения, а также мешает нормальному общению в популярных программах-мессенждерах, блокируя их окна. Новый Android-троянец, внесенный в вирусную базу компании «Доктор Веб» под именем Android.Elite.1.origin, является представителем весьма редкого типа вредоносных программ, относящихся к классу программ-вандалов. Такие вредоносные приложения обычно создаются вирусописателями не для получения каких-либо материальных выгод, а для доказательства своих навыков программирования, выражения своей точки зрения на те или иные события, либо с целью развлечения или хулиганства. Очень часто подобные угрозы демонстрируют различные сообщения, портят пользовательские файлы и мешают нормальной работе зараженного оборудования. Именно так и действует новый Android-троянец, который распространяется под видом популярных приложений, таких, например, как игры. При запуске Android.Elite.1.origin обманным путем пытается получить доступ к функциям администратора мобильного устройства, которые якобы необходимы для завершения корректной уст[...]