В последнем месяце уходящего года специалисты компании «Доктор Веб» выявили Android-троянца, способного заражать системные библиотеки на инфицированном устройстве, а также исследовали вредоносную программу для Windows, предназначенную для установки нежелательных приложений. Во второй половине декабря специалисты «Доктор Веб» обнаружили Android-троянцев в прошивке множества популярных мобильных устройств.
Главные тенденции декабря
- Распространение вредоносной программы, устанавливающей нежелательные приложения
- Обнаружение троянца в прошивке множества мобильных устройств
- Появление Android-троянца, способного заражать системные библиотеки
Угроза месяца
Многие современные троянцы без ведома пользователя загружают и устанавливают различные приложения на зараженный компьютер: злоумышленники пользуются услугами так называемых «партнерских программ», выплачивающих вознаграждение за инсталляцию ПО. Обычно подобные троянцы устроены примитивно, однако Trojan.Ticno.1537 простым назвать нельзя. После запуска он несколькими способами пытается определить наличие виртуального окружения и средств отладки, и запускается только если ему не удалось обнаружить на атакуемом компьютере ничего для себя подозрительного. После запуска Trojan.Ticno.1537 сохраняет на диск файл с именем 1.zip и открывает диалоговое окно, похожее на стандартное окно сохранения файла Microsoft Windows:
В левом нижнем углу этого окна имеется ссылка «Дополнительные параметры», по нажатии на которую Trojan.Ticno.1537 покажет список программ, которые он собирается установить. Среди них — браузер Amigo и приложение HomeSearch@Mail.ru разработки компании Mail.Ru, а также троянцы Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 и Adware.Plugin.1400. Подробнее об устройстве и принципах работы Trojan.Ticno.1537 рассказывается в опубликованной на нашем сайте обзорной статье.
По данным статистики лечащей утилиты Dr.Web CureIt!
- Trojan.InstallCore
Семейство установщиков нежелательных и вредоносных приложений. - Trojan.BtcMine.793
Представитель семейства вредоносных программ, который втайне от пользователя применяет вычислительные ресурсы зараженного компьютера для добычи (майнинга) различных криптовалют – например, Bitcoin. - Trojan.LoadMoney
Семейство программ-загрузчиков, генерируемых серверами партнёрской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО. - Trojan.Triosir.687
Представитель семейства троянцев, реализованных в виде плагина (надстройки) для браузеров. Предназначен для демонстрации назойливой рекламы при просмотре веб-страниц.
По данным серверов статистики «Доктор Веб»
- JS.DownLoader
Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы. - Trojan.InstallCore
Семейство установщиков нежелательных и вредоносных приложений. - JS.Redirector
Семейство вредоносных сценариев, написанных на языке JavaScript. Автоматически перенаправляют пользователей браузеров на другие веб-страницы. - BackDoor.IRC.NgrBot.42
Довольно распространенный троянец, известный специалистам по информационной безопасности еще с 2011 года. Вредоносные программы этого семейства способны выполнять на инфицированном компьютере поступающие от злоумышленников команды, а управление ими киберпреступники осуществляют с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat).
Статистика вредоносных программ в почтовом трафике
- JS.DownLoader
Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы. - W97M.DownLoader
Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
По данным бота Dr.Web для Telegram
- Android.Locker.139.origin
Представитель семейства Android-троянцев, предназначенных для вымогательства денег. Различные модификации этих вредоносных программ могут демонстрировать навязчивое сообщение якобы о нарушении закона и последовавшей в связи с этим блокировкой мобильного устройства, для снятия которой пользователям предлагается заплатить определенную сумму. - Joke.Locker.1.origin
Программа-шутка для ОС Android, блокирующая экран мобильного устройства и выводящая на него изображение «синего экрана смерти» ОС Windows (BSOD, Blue Screen of Death). - BackDoor.Bifrost.29284
Представитель семейства троянцев-бэкдоров, способен выполнять на зараженной машине поступающие от злоумышленников команды. - Trojan.PWS.Spy.11887
Представитель семейства троянцев для ОС Windows, способных похищать конфиденциальную информацию, в том числе пользовательские пароли. - Android.HiddenAds.24
Троянец, предназначенный для показа навязчивой рекламы.
Троянцы-шифровальщики
В декабре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
- Trojan.Encoder.858 — 37,99% обращений;
- Trojan.Encoder.761 — 12,27% обращений;
- Trojan.Encoder.567 — 4,11% обращений;
- Trojan.Encoder.3976 — 3,89% обращений;
- Trojan.Encoder.3953 — 1,70% обращений.
Dr.Web Security Space 11.0 для Windows защищает от троянцев-шифровальщиков
Этого функционала нет в лицензии Антивирус Dr.Web для Windows
Защита данных от потери |
|
|
|
Опасные сайты
В течение декабря 2016 года в базу нерекомендуемых и вредоносных сайтов было добавлено 226 744 интернет-адреса.
Вредоносное и нежелательное ПО для мобильных устройств
В декабре вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.Loki.16.origin, который заражал системные библиотеки Android-устройств, внедрялся в процессы приложений и незаметно загружал и устанавливал программы. Кроме того, были обнаружены троянцы Android.DownLoader.473.origin и Android.Sprovider.7, которых злоумышленники встроили в прошивку десятков моделей мобильных устройств. Эти вредоносные программы также скачивали и пытались установить различное ПО.
Наиболее заметные события, связанные с мобильной безопасностью в декабре:
- обнаружение Android-троянца, который заражает системные библиотеки и внедряется в процессы приложений;
- обнаружение троянцев, предустановленных на множестве мобильных Android-устройств.