Сегодня 26 сентября 2017
18+
Теги → доктор веб
Быстрый переход

Dr.Web Light 11.0.0 для macOS использует новую концепцию

Компания «Доктор Веб» объявила о выпуске антивирусного продукта Dr.Web Light 11.0.0 для macOS, в котором реализовано значительное количество изменений и улучшений.

Сообщается, что решение переведено на полностью новую концепцию. В частности, на смену главному окну пришёл единый агент, гармонично расширяющий функциональность операционной системы, не выходя за пределы меню состояния.

В одиннадцатой версии продукта оптимизирована работа всех подсистем. В результате, повысилась эффективность работы и уменьшилась нагрузка на аппаратную часть устройства.

Решение защищает компьютер от вирусов и вредоносных объектов с помощью наиболее современных технологий Dr.Web. Встроенный сканер поможет проверить систему и обезвредить найденные угрозы. Защиту от ещё неизвестных вирусов обеспечит эвристический анализатор.

В то же время, как отмечается, пакет имеет ограниченные возможности по сравнению с полной версией Dr.Web для macOS. Дело в том, что отсутствуют полноценный файловый монитор и возможность лечения многих видов угроз, поскольку приложение не поддерживает работу с правами суперпользователя.

С выходом Dr.Web Light 11.0.0 для macOS прекращена поддержка устройств под управлением macOS версий 10.7 и 10.8. Для обновления Dr.Web Light для macOS до редакции 11.0.0 необходимо открыть магазин приложений Mac App Store и на вкладке обновлений нажать на кнопку Update рядом с названием продукта. 

Спам от «умных» устройств: новая угроза Интернета вещей

Компания «Доктор Веб» обнаружила новую угрозу, исходящую от устройств Интернета вещей (IoT): мусорные рассылки по электронной почте.

Концепция IoT стремительно набирает популярность. По оценкам, в мире сейчас насчитывается более 6 миллиардов «умных» устройств с сетевым подключением. Само собой, это не могло остаться без внимания со стороны киберпреступников.

Как показало проведённое специалистами «Доктор Веб» исследование, злоумышленники начали использовать инфицированные IoT-устройства для рассылки спама. Для заражения применяется вредоносная программа Linux.ProxyM, нацеленная на платформу Linux. Этот троян запускает на инфицированном устройстве SOCKS-прокси-сервер. Зловред способен детектировать так называемые «ханипоты» — специальные ресурсы, созданные исследователями вредоносных программ в качестве приманки для злоумышленников.

Существуют сборки трояна для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC. Иными словами, зловред работоспособен практически на любом устройстве под управлением Linux. Это могут быть, скажем, IP-камеры, роутеры, телевизионные приставки и пр.

Для рассылки почтового мусора троян получает от управляющего сервера команду, содержащую адрес SMTP-сервера, логин и пароль для доступа к нему, список почтовых адресов и сам шаблон сообщения. В спам-письмах рекламируются различные сайты категории «для взрослых». Анализ показывает, что в среднем в течение суток каждое заражённое зловредом устройство рассылает около 400 сообщений. 

Новый троян-майнер нацелен на платформу Linux

«Доктор Веб» предупреждает о появлении новой вредоносной программы, главной задачей которой является использование вычислительных ресурсов инфицированных компьютеров для добычи криптовалют.

Обнаруженный зловред атакует системы под управлением Linux: майнер получил обозначение Linux.BtcMine.26. Программа предназначена для добычи Monero (XMR) — криптовалюты, созданной в 2014 году.

Схема распространения зловреда сводится к следующему. Злоумышленники соединяются с атакуемым устройством по протоколу Telnet, подобрав логин и пароль, после чего сохраняют на нём программу-загрузчик. Затем киберпреступники запускают эту программу из терминала с помощью консольной команды, и на устройство загружается троян Linux.BtcMine.26.

Любопытно, что в коде загрузчика несколько раз встречается адрес сайта krebsonsecurity.com, принадлежащего известному эксперту по информационной безопасности Брайану Кребсу. С чем это связано, пока не совсем ясно.

В настоящее время известны сборки вредоносной программы для аппаратных архитектур x86-64 и ARM. Характерными признаками присутствия майнера могут служить снижение быстродействия устройства и увеличение тепловыделения в процессе его работы. 

В прошивке ряда Android-устройств обнаружен троян, заражающий процессы приложений

«Доктор Веб» предупреждает о том, что в прошивках ряда доступных на рынке мобильных устройств присутствует довольно опасная вредоносная программа, способная инфицировать процессы приложений.

Зловред получил обозначение Android.Triada.231. Трояны этого семейства внедряются в системный процесс компонента Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря этому зловреды проникают в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое.

Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Причём, как отмечает «Доктор Веб», внедрение произведено на уровне исходного кода. Иными словами, к заражению причастны инсайдеры или недобросовестные партнёры, которые участвовали в создании прошивок заражённых мобильных устройств.

Зловред получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Главной задачей трояна является незаметная загрузка и запуск других вредоносных модулей. Это могут быть, скажем, плагины для кражи конфиденциальной информации из банковских приложений, модули для кибершпионажа и перехвата переписки из клиентов социальных сетей и интернет-мессенджеров и т. п.

Ситуация усугубляется тем, что удалить вредоносную программу стандартными методами невозможно, поскольку она интегрирована в одну из библиотек операционной системы и расположена в системном разделе. Поэтому требуется установка заведомо безопасной прошивки.

Подробнее о проблеме можно узнать здесь

Опасный банковский троян получает контроль над Android-устройствами

«Доктор Веб» предупреждает о появлении опасной вредоносной программы, атакующей владельцев мобильных устройств на базе операционных систем семейства Android.

Зловред Android.BankBot.211.origin — это банковский троян, угрожающий пользователям десятков стран по всему миру. Программа распространяется под видом безобидных приложений, например, проигрывателя Adobe Flash Player. После проникновения на устройство жертвы зловред пытается получить доступ к специальным возможностям (Accessibility Service). Для этого троян показывает окно с запросом, которое при каждом его закрытии появляется вновь и не даёт работать с устройством.

Режим специальных возможностей упрощает работу со смартфонами и планшетами на базе Android. Он применяется в том числе для помощи пользователям с ограниченными возможностями: этот режим позволяет программам самостоятельно нажимать на различные элементы интерфейса, такие как кнопки в диалоговых окнах и системных меню.

В случае Android.BankBot.211.origin режим специальных возможностей эксплуатируется для выполнения вредоносных действий. Так, троян добавляет себя в список администраторов устройства, устанавливает менеджером сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана.

Зловред крадёт конфиденциальную информацию клиентов кредитно-финансовых организаций. Так, троян способен показывать поддельные формы ввода логина и пароля поверх запускаемых банковских программ, а также отображать фишинговое окно настроек платёжного сервиса с запросом ввода информации. Свои действия вредоносная программа согласует с управляющим сервером. 

«Доктор Веб»: портал госуслуг РФ содержит вредоносный код

«Доктор Веб» сообщает о том, что на портале государственных услуг Российской Федерации (gosuslugi.ru) зафиксировано наличие потенциально вредоносного программного кода.

Сообщается, что дату и время взлома ресурса пока определить не удаётся. Более того, администрация сайта на запросы компании «Доктор Веб» не реагирует.

Иными словами, посетители портала госуслуг РФ рискуют стать жертвами сетевых мошенников.  Вредоносный код заставляет браузер любого пользователя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.

«В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя», — пишет «Доктор Веб».

Любой пользователь может проверить наличие кода самостоятельно, использовав поисковый сервис и задав запрос о поиске следующей формулировки: «site:gosuslugi.ru "A1996667054"».

Важно отметить, что на момент написания этого материала портал госуслуг РФ, по данным «Доктора Веба», не предпринял мер по устранению проблемы. Администрации сайта и компетентным органам рекомендуется осуществить проверку безопасности ресурса. Более подробно о проблеме можно узнать здесь

Игру с трояном загрузили из магазина Google Play более 1 млн пользователей

«Доктор Веб» обнаружил в магазине Google Play игру со встроенным трояном-загрузчиком: программа способна скачивать на мобильное устройство, устанавливать и запускать те или иные модули.

Вредоносное приложение — Android.DownLoader.558.origin — интегрировано в популярную игру BlazBlue RR - Real Action Game. Её загрузили уже более 1 млн владельцев смартфонов и планшетов под управлением операционных систем Android.

Троян является частью специализированного SDK-комплекта под названием Excelliance, предназначенного для автоматизации и упрощения обновления Android-программ. Этот инструмент позволяет загружать необходимые компоненты по отдельности без переустановки всего программного пакета.

Однако, отмечает «Доктор Веб», платформа Excelliance работает как троян-загрузчик, поскольку может скачивать и запускать непроверенные компоненты приложений. Такой способ обновления нарушает правила каталога Google Play.

Зловред начинает работу при первом старте игры, в которую он встроен. После этого он самостоятельно загружается при каждом подключении мобильного устройства к Интернету, даже если пользователь больше не запускает заражённое приложение.

Троянский модуль отслеживает сетевую активность и пытается соединиться с управляющим сервером. В зависимости от настроек программа может загружать различные компоненты: это apk-, dex- и elf-файлы. При этом их запуск в некоторых случаях может выполняться без ведома пользователя. При наличии root-доступа возможна скрытная установка apk-файлов. Таким образом, злоумышленники имеют возможность распространять рекламные модули, сторонние программы и другие троянские компоненты. 

Новый троян-майнер атакует пользователей Windows-компьютеров

«Доктор Веб» сообщает о распространении новой вредоносной программы, предназначенной для добычи криптовалюты — майнинга.

Зловред получил обозначение Trojan.BtcMine.1259. Он атакует компьютеры под управлением операционных систем Windows.

Основное предназначение трояна — использование вычислительных ресурсов инфицированного устройства для добычи криптовалюты Monero (XMR). Кроме того, вредоносная программа устанавливает в систему компонент Gh0st RAT с функциональностью бэкдора.

Сразу после старта троян проверяет, не запущена ли на инфицированном компьютере его копия. Затем он определяет количество ядер процессора, и, если оно больше или равно указанному в конфигурации числу потоков, расшифровывает и загружает в память хранящуюся в его теле библиотеку. Эта библиотека представляет собой модифицированную версию системы удалённого администрирования с открытым исходным кодом, известной под наименованием Gh0st RAT.

Основной модуль, предназначенный для добычи криптовалюты Monero, также реализован в виде библиотеки. Причём вредоносная программа может задействовать как 32-разрядную, так и 64-разрядную версию модуля для добычи криптовалюты.

Зловред способен использовать определённое количество ядер и вычислительных ресурсов. При этом троян отслеживает работающие на заражённом компьютере процессы и при попытке запустить диспетчер задач завершает свою работу. 

Анатомия WannaCry: анализ опасного шифровальщика

«Доктор Веб» обнародовал предварительные результаты анализа вредоносной программы WannaCry, поразившей компьютеры под управлением Windows по всему миру.

Напомним, что в пятницу, 12 мая, была зафиксирована масштабная атака вымогателя. Зловред кодирует файлы распространённых форматов и требует выкуп в размере до 600 долларов США в биткоинах. Причём WannaCry использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

Как сообщает «Доктор Веб», WannaCry — это сетевой червь, способный заражать Windows-компьютеры без участия пользователя. Зловред атакует все системы в локальной сети, а также удалённые интернет-узлы со случайными IP-адресами, пытаясь установить соединение с портом 445.

Вредоносная программа состоит из нескольких компонентов. После запуска троян регистрирует себя в качестве системной службы с именем mssecsvc2.0. Далее червь начинает опрашивать узлы, доступные в локальной сети заражённого ПК, а также компьютеры в Интернете. В случае успешного соединения зловред предпринимает попытку заразить эти компьютеры с использованием уязвимости в протоколе SMB.

В состав WannaCry входит дроппер — компонент, предназначенный для установки в операционную систему вредоносного исполняемого файла. В случае WannaCry дроппер содержит большой защищённый паролем ZIP-архив, в котором хранится зашифрованный файл с трояном-энкодером, обои рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов и именем кошелька для приёма биткойнов, а также архив с программами для работы в сети Tor. Основная задача дроппера — сохранить на диск содержимое архива, а также расшифровать и запустить шифровальщик.

Собственно энкодер WannaCry шифрует файлы со случайным ключом. Троян содержит в себе авторский декодер, который удаляет на заражённом компьютере теневые копии и отключает функцию восстановления системы. Декодер позволяет расшифровать несколько тестовых файлов — приватный ключ, необходимый для их расшифровки, хранится в одном из компонентов вредоносной программы. «Однако расшифровка тестовых и всех остальных файлов выполняется с использованием разных ключей. Следовательно, никаких гарантий успешного восстановления повреждённых шифровальщиком данных даже в случае оплаты выкупа не существует», — говорит «Доктор Веб».

Более подробно с результатами исследования можно ознакомиться здесь

Вышел антивирус Dr.Web Light 10.0 для Android

«Доктор Веб» сообщил о доступности решения Dr.Web Light 10.0 для Android, которое обеспечивает базовую защиту мобильных устройств от угроз в киберпространстве.

Бесплатный антивирус Dr.Web Light обеспечивает возможность быстрого или полного сканирования файловой системы, а также проверку сканером отдельных файлов и папок по запросу пользователя. Благодаря технологии Origins Tracing обеспечивается детектирование новых неизвестных вредоносных программ.

Десятая версия Dr.Web Light для Android подверглась существенным усовершенствованиям с точки зрения как интерфейса, так и функциональных возможностей. В частности, теперь программа обладает единым окном событий, где собраны все уведомления о возникающих угрозах.

Решение получило новый антивирусный «движок»; улучшено детектирование вредоносных объектов. Для локализации возникающих проблем добавлена система сбора и записи дополнительной информации.

Немаловажным изменением является добавление поддержки операционной системы Android версии 7.1.

Для пользователей Dr.Web Light для Android обновление до версии 10.0 пройдёт автоматически. Загрузить бесплатный антивирус можно из онлайнового магазина Google Play

Новый бэкдор атакует системы под управлением macOS

«Доктор Веб» информирует о появлении новой вредоносной программы, нацеленной на персональные компьютеры Apple: зловред получил обозначение Mac.BackDoor.Systemd.1.

Бэкдор атакует системы под управлением macOS. При запуске он выводит в консоль сообщение с опечаткой «This file is corrupted and connot be opened» и перезапускает себя в качестве демона с именем systemd. При этом зловред пытается скрыть собственный файл, установив для него соответствующие флаги. Затем троян регистрирует себя в автозагрузке.

Конфигурационная информация хранится в зашифрованном виде в самой вредоносной программе. В зависимости от настроек, зловред либо сам устанавливает связь с управляющим сервером, либо ожидает входящего запроса на соединение.

Бэкдор способен отправлять своим «владельцам» разнообразные сведения об инфицированном ПК. Это, в частности, версия операционной системы, имя пользователя и наличие у него root-привилегий, MAC-адреса и IP-адреса всех доступных сетевых интерфейсов, внешний IP-адрес, а также данные о технических характеристиках компьютера.

Зловред имеет собственный файловый менеджер: это позволяет злоумышленникам выполнять различные действия с файлами и папками. Киберпреступники, к примеру, могут получить список содержимого заданной директории, прочитать файл, переименовать/удалить файл или папку, получить содержимое файла, сменить IP-адрес управляющего сервера, установить плагин и пр. 

Новый троян крадёт логины и пароли у пользователей Windows-систем

«Доктор Веб» раскрыл схему работы новой вредоносной программы, способной похищать логины и пароли из популярных браузеров и скачивать опасные файлы.

Зловред получил обозначение Trojan.DownLoader23.60762. Он атакует пользователей систем под управлением Windows. Троян отличается от сородичей довольно богатой функциональностью.

Запустившись на атакуемом компьютере, вредоносная программа распаковывает собственное тело и ищет в памяти своего процесса фрагменты кода для выполнения. Копию исполняемого файла троян сохраняет во временной папке на накопителе инфицированного компьютера, а затем записывает путь к этому файлу в ключ системного реестра, отвечающий за автоматический запуск приложений. В результате зловред получает возможность запускаться вместе с операционной системой.

Для кражи конфиденциальной информации троян встраивается в процесс «Проводника Windows», а также в процессы браузеров Microsoft Internet Explorer, Mozilla Firefox и Google Chrome. Программа способна перехватывать функции, отвечающие за работу с компьютерной сетью.

Среди основных возможностей зловреда можно выделить загрузку и запуск различных файлов, удаление файлов cookies, перезагрузку и выключение компьютера, а также возможность перехватывать информацию, которую пользователь вводит на страницах веб-сайтов. 

Раскрыта новая мошенническая схема «договорных матчей»

«Доктор Веб» раскрыл новую схему такого популярного вида мошенничества в Интернете, как «договорные матчи».

Традиционная методика киберпреступников, промышляющих «договорными матчами», довольно проста: они создают специальный сайт, на котором предлагают приобрести «достоверные и проверенные сведения об исходе спортивных состязаний». Впоследствии с помощью этой информации можно делать якобы гарантированно выигрышные ставки в букмекерских конторах. Создатели таких сайтов представляются отставными тренерами или спортивными аналитиками.

На самом же деле, часть клиентов подобных сервисов получают один спортивный прогноз, другая часть — прямо противоположный. Если кто-то из пострадавших и возмутится, жулики предложат ему получить следующий прогноз бесплатно в качестве компенсации за проигрыш.

Однако недавно была раскрыта новая схема «договорных матчей». Как и раньше, злоумышленники создают специальные сайты и страницы в социальных сетях. Но теперь в качестве подтверждения качества своих услуг мошенники предлагают скачать защищённый паролем самораспаковывающийся RAR-архив, якобы содержащий текстовый файл с результатами того или иного матча. Пароль для архива жулики высылают после завершения состязания. Предполагается, что таким образом пользователь сможет сравнить предсказанный результат с реальным.

На деле же вместо обычного архива пользователи получают особую программу, которая содержит шаблон текстового файла. В него с помощью специального алгоритма подставляются нужные результаты матча в зависимости от того, какой пароль введёт пользователь. Таким образом, после окончания спортивного соревнования жуликам достаточно отправить своей жертве соответствующий пароль, и из «архива» будет «извлечён» текстовый файл с правильным результатом (на самом деле он будет сгенерирован на основе шаблона).

Более подробно о программе, используемой киберпреступниками, можно узнать здесь

«Доктор Веб» поможет вернуть файлы, закодированные шифровальщиком Encoder.10465

«Доктор Веб» сообщает о том, что специалистам компании удалось найти способ восстановить доступ к файлам, закодированным опасным шифровальщиком Trojan.Encoder.10465.

Названный зловред атакует пользователей персональных компьютеров под управлением операционных систем Windows. Троян написан на языке Delphi. Он распространяется в том числе посредством электронной почты в письмах с вложением.

Для шифрования файлов на заражённом компьютере вредоносная программа используется библиотека DCPCrypt, при этом применяется алгоритм AES в режиме CBC с длиной ключа 256 бит. Зашифрованным файлам энкодер присваивает расширение .crptxxx, а также сохраняет на диске текстовый файл с именем HOW_TO_DECRYPT.txt следующего содержания:

Инструкции по расшифровке закодированных файлов можно получить здесь.

Нужно отметить, что только в прошлом году от программ-шифровальщиков пострадали как минимум полтора миллиона пользователей. Как показывают исследования, многие такие программы разработаны русскоязычными хакерами.

В 2016-м появился опасный класс вымогателей, шифрующих не отдельные типы файлов, а весь накопитель в целом. Такие зловреды могут, например, кодировать главную файловую таблицу (Master File Table, MFT) диска и делать невозможной нормальную перезагрузку компьютера. 

Новый вид сетевого мошенничества нацелен на владельцев веб-сайтов

«Доктор Веб» раскрыл новую мошенническую схему в Интернете: на этот раз киберпреступники атакуют владельцев веб-сайтов.

Потенциальные жертвы получают электронные письма, отправленные якобы от имени компании «Яндекс». Эксперты полагают, что при организации рассылки злоумышленники воспользовались базой контактов администраторов интернет-ресурсов.

Почтовый ящик, с которого отправлено письмо, зарегистрирован на бесплатном сервисе Yandex Mail и потому включает в себя домен yandex.ru. Это может вводить в заблуждение получателей.

В письмах злоумышленники предлагают владельцам сайтов повысить позиции ресурса в поисковой выдаче. Предложение якобы является персональным и ориентировано только на качественные интернет-ресурсы, содержащие уникальный контент, а также размещённые на домене, который был зарегистрирован до 1 августа 2012 года.

Послания содержат ссылку на страницу, на которой получателю предлагают на выбор способы оплаты этой услуги. Разумеется, после внесения платежа жертва не получает обещанного — деньги выводятся мошенниками с использованием ресурсов одного из популярных платёжных агрегаторов.

В рамках мошеннической кампании преступники арендовали несколько IP-адресов, к каждому из которых было привязано больше сотни URL веб-страниц для оплаты этой мнимой услуги. О количестве жертв злоумышленников ничего не сообщается.