Главная \ Новости \ Доктор Вэб

Новости

« Назад

Доктор Вэб 01.09.2016 07:41

В последний летний месяц аналитики компании «Доктор Веб» исследовали множество вредоносных программ. Еще в начале августа был обнаружен троянец, заражающий POS-терминалы. Чуть позже завершилось исследование двух написанных на языке Go Linux-троянцев, один из которых способен организовывать ботнеты. Была выявлена очередная вредоносная программа, использующая популярную утилиту удаленного администрирования TeamViewer, а также троянец, устанавливающий на компьютеры жертв поддельный браузер.

 

Главные тенденции августа

  • Появление троянца для POS-терминалов
  • Распространение новых троянцев для Windows
  • Появление троянцев для Linux, написанных на языке Go

 

Угроза месяца

Вредоносные программы, использующие утилиту TeamViewer, встречаются вирусным аналитикам нередко: об одной из них мы уже рассказывали в мае этого года. Исследованный в августе троянец BackDoor.TeamViewerENT.1 также известен под именем Spy-Agent. В отличие от своих предшественников, BackDoor.TeamViewerENT.1 использует возможности TeamViewer именно для шпионажа за пользователем.

 

1

 

Бэкдор может самостоятельно скачивать со своего управляющего сервера недостающие компоненты TeamViewer и выполнять следующие команды:

  • перезагрузить ПК;
  • выключить ПК;
  • удалить TeamViewer;
  • перезапустить TeamViewer;
  • начать прослушивание звука с микрофона;
  • завершить прослушивание звука с микрофона;
  • определить наличие веб-камеры;
  • начать просмотр через веб-камеру;
  • завершить просмотр через веб-камеру;
  • скачать файл, сохранить его во временную папку и запустить;
  • обновить конфигурационный файл или файл бэкдора;
  • подключиться к указанному удаленному узлу, после чего запустить cmd.exe с перенаправлением ввода-вывода на удаленный хост.

 

Вирусные аналитики компании «Доктор Веб» установили, что с использованием BackDoor.TeamViewerENT.1 злоумышленники в различное время атакуют жителей строго определенных стран и регионов. Подробнее о целях этих атак и принципах работы троянца можно узнать из опубликованной на нашем сайте информационной статьи.

 

По данным статистики лечащей утилиты Dr.Web CureIt!

 

2 

 

  • Trojan.BtcMine.793
    Представитель семейства вредоносных программ, который втайне от пользователя использует вычислительные ресурсы зараженного компьютера для добычи (майнинга) различных криптовалют, например, Bitcoin.
  • Trojan.DownLoader
    Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
  • Trojan.LoadMoney
    Семейство программ-загрузчиков, генерируемых серверами партнёрской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.
  • Trojan.InstallCore.1903
    Представитель семейства установщиков нежелательных и вредоносных приложений.
  • Trojan.BPlug
    Это надстройки (плагины) для популярных браузеров, демонстрирующие назойливую рекламу при просмотре веб-страниц.

 

По данным серверов статистики «Доктор Веб»

 

3 

 

  • JS.Downloader
    Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
  • Trojan.DownLoader
    Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
  • Trojan.BPlug
    Это надстройки (плагины) для популярных браузеров, демонстрирующие назойливую рекламу при просмотре веб-страниц.
  • Trojan.LoadMoney
    Семейство программ-загрузчиков, генерируемых серверами партнёрской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.
  • JS.Redirector
    Семейство вредоносных сценариев, написанных на языке JavaScript. Автоматически перенаправляют пользователей браузеров на другие веб-страницы.

 

Статистика вредоносных программ в почтовом трафике

 

4 

 

  • JS.Downloader
    Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
  • W97M.DownLoader
    Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

 

По данным бота Dr.Web для Telegram

В марте 2016 года начал свою работу бот Dr.Web для Telegram. Бот может «на лету» проверить ссылку или файл и вовремя сообщить об угрозе. Например, предупредить о том, что полученный по почте файл является вирусом, или предостеречь от посещения вредоносного веб-сайта. За прошедшие месяцы этой возможностью воспользовалось несколько десятков тысяч человек. Собранная компанией «Доктор Веб» статистика свидетельствует о том, что пользователи Telegram обнаруживают при помощи бота Dr.Web вредоносные программы не только для Microsoft Windows, но и для мобильной платформы Android. Кроме того, в августе 2016 года 5,9% пользователей проверили работу бота с помощью тестового файла EICAR. Топ-5 вредоносных программ, выявленных в августе ботом Dr.Web для Telegram, представлены на диаграмме ниже.

 

5 

 

  • Trojan.PWS.Spy
    Семейство вредоносных программ, которые крадут у пользователей Windows личные данные, например, пароли.
  • Android.Locker
    Семейство Android-троянцев, предназначенных для вымогательства денег у пользователей. Различные модификации этих вредоносных программ блокируют устройство и показывают сообщение о том, что пользователь якобы нарушил закон. Чтобы снять блокировку, жертве нужно заплатить определенную сумму.
  • Android.Spy
    Семейство многофункциональных троянцев, поражающих мобильные устройства под управлением ОС Android. Могут читать и записывать контакты, принимать и отправлять СМС-сообщения, определять GPS-координаты, читать и записывать закладки браузера, получать сведения об IMEI мобильного устройства и номере мобильного телефона.
  • Android.DownLoader
    Троянские программы, предназначенные для загрузки и установки других вредоносных приложений на мобильные устройства под управлением ОС Android.
  • Android.SmsSend
    Семейство вредоносных программ, работающих на мобильных устройствах под управлением ОС Android. Троянцы этого семейства предназначены для отправки дорогостоящих СМС-сообщений.

 

Троянцы-шифровальщики

 

6 

 

В августе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

  • Trojan.Encoder.761 — 17,69% обращений;
  • Trojan.Encoder.858 — 15,40% обращений;
  • Trojan.Encoder.4860 — 12,56% обращений;
  • Trojan.Encoder.567 — 9,49% обращений;
  • Trojan.Encoder.3953 — 6,08% обращений.

 

Dr.Web Security Space 11.0 для Windows защищает от троянцев-шифровальщиков

Этого функционала нет в лицензии Антивирус Dr.Web для Windows

 


7 8

 

Опасные сайты

В течение августа 2016 года в базу нерекомендуемых и вредоносных сайтов было добавлено 245 394 интернет-адреса.

Июль 2016

Август 2016

Динамика

+ 139 803

+ 245 394

+75,5%

Нерекомендуемые сайты

 

Вредоносные программы для Linux

В начале августа вирусные аналитики компании «Доктор Веб» обнаружили троянца для ОС Linux, написанного на языке Go. Эта вредоносная программа получила наименование Linux.Lady.1. Троянец предназначен для загрузки и запуска на зараженном компьютере программы для добычи (майнинга) криптовалют. После запуска Linux.Lady.1 передает на управляющий сервер информацию об установленной на компьютере версии Linux и наименовании семейства ОС, к которой она принадлежит, данные о количестве процессоров, имени, числе запущенных процессов и другие сведения. В ответ троянец получает конфигурационный файл, с использованием которого скачивается и запускается программа-майнер. Полученные деньги перечисляются на электронный кошелек злоумышленников.

 

9 

 

Более подробную информацию о троянце Linux.Lady.1 можно почерпнуть в опубликованной на сайте «Доктор Веб» статье.

 

Другой опасный Linux-троянец, Linux.Rex.1, о распространении которого компания «Доктор Веб» сообщила в середине августа, обладает более широкими функциональными возможностями. Он также написан на языке Go. Эта вредоносная программа может организовывать одноранговые ботнеты, а ее основное предназначение — атака на сайты, работающие под управлением нескольких популярных CMS. Кроме того, троянец умеет рассылать письма с угрозами, организовывать DDoS-атаки, может похищать хранящийся на атакованных узлах список пользователей, закрытые SSH-ключи, логины и пароли. Также Linux.Rex.1 по команде злоумышленников может запускать на атакованном компьютере различные приложения.

 

Другие события

В начале месяца был обнаружен троянец Trojan.Kasidet.1, заражающий POS-терминалы. Помимо функций троянца для POS-терминалов он может похищать пароли от почтовых программ Outlook, Foxmail или Thunderbird и внедряться в процессы браузеров Mozilla Firefox, Google Chrome, Microsoft Internet Explorer и Maxthon для перехвата GET- и POST-запросов. Также эта вредоносная программа по команде с управляющего сервера может скачать и запустить на зараженном ПК другое приложение или вредоносную библиотеку, найти на дисках и передать злоумышленникам заданный файл или сообщить им список работающих на компьютере процессов. Более подробно читайте о Trojan.Kasidet.1 в нашей обзорной статье.

 

В конце августа стал распространяться троянец Trojan.Mutabaha.1, который устанавливает на компьютеры жертв поддельный браузер Chrome.

 

10

 

Этот браузер имеет собственное имя — Outfire, однако создатели Trojan.Mutabaha.1 распространяют 56 аналогичных браузеров с различными названиями. Outfire подменяет собой уже установленный в системе браузер Google Chrome — модифицирует имеющиеся ярлыки (или удаляет их и создает новые), а также копирует в новый браузер существующий профиль пользователя Chrome. Стартовую страницу этого браузера нельзя изменить в настройках. Кроме того, он содержит неотключаемый плагин, подменяющий рекламу на веб-страницах страницах, которые просматривает пользователь. Этой вредоносной программе посвящена опубликованная на нашем сайтеобзорная статья.

 

Вредоносное и нежелательное ПО для мобильных устройств

В августе вирусные аналитики компании «Доктор Веб» обнаружили троянца для ОС Android, который показывал надоедливую рекламу поверх запущенных приложений и интерфейса операционной системы, а также мог самостоятельно покупать и загружать программы из каталога Google Play. Кроме того, в прошедшем месяце в онлайн-магазине Apple iTunes были выявлены поддельные программные продукты Dr.Web для iOS.

 

Наиболее заметные события, связанные с «мобильной» безопасностью в августе:

  • обнаружение Android-троянца, который показывал навязчивую рекламу и мог автоматически покупать и загружать ПО из каталога Google Play;
  • обнаружение в магазине Apple iTunes поддельных приложений Dr.Web для iOS.

Контакты
Вы можете связаться с нами любым удобным для вас способом:
Адрес:
Республика Коми
г. Сыктывкар
ул. Первомайская 70Б
оф. 448
По любым вопросом можете оставить заявку и наши специлисты помогут Вам
;