Теги → doctor
Быстрый переход

В 2013 году число угроз для Android увеличится в два раза и появятся вирусы для Windows 8

Исходя из анализа угроз, поступивших в вирусную лабораторию компании «Доктор Веб» в течение 2012 года, специалисты компании спрогнозировали основные тенденции, которые с определенной долей вероятности получат развитие в следующие двенадцать месяцев.

Так, отмечается, что в нынешнем году будет расти число угроз для операционной системы Mac OS X. Возможно как распространение троянских программ, использующих для проникновения в систему различные уязвимости (в том числе уязвимости Java), так и бот-сетей, ориентированных исключительно на Apple-совместимые компьютеры. Также значительно увеличится и «ассортимент» вредоносных приложений для мобильной платформы Android. Предполагаемые темпы роста могут составить порядка 50–100% от нынешнего числа известных угроз. Продолжится и рост ботнетов, ориентированных на операционную систему Microsoft Windows. Так, уже в первом квартале 2013 года численность зарегистрированных в бот-сети компьютеров, инфицированных файловым вирусом Win32.Rmnet.12, превысит 10 миллионов (если не будут предприняты масштабные меры, направленные на ликвидацию ботнета).

Вирусные аналитики отмечают, что возможно появление вирусов или троянских программ, эксплуатирующих уязвимости или характерные технологии, применяемые в Microsoft Windows 8. Например, возможно возникновение вредоносных приложений, перехватывающих координаты GPS-модуля планшетных компьютеров, использующих эту платформу.

 

 

Предполагают, что будет расти число и усложняться функции банковских троянцев, ориентированных на перехват конфиденциальных данных и хищение информации, необходимой для работы в системах дистанционного банковского обслуживания. Возможно увеличение количества заранее спланированных таргетированных атак на различные коммерческие структуры. Прогнозируют, что в целях слежения за пользователями вредоносные программы будут все чаще использовать данные, полученные с помощью веб-камер, микрофонов, GPS-приемников. Вырастет и ассортимент троянцев-шпионов.  Также возможно появление угроз, использующих для осуществления атак облачные сервисы и другие распределенные системы, увеличится количество вредоносных программ, применяющих в своих целях P2P-сети, а также сеть TOR.

Материалы по теме:

Источник:

Trojan.SMSSend теперь угрожает и пользователям Mac OS X

Компания «Доктор Веб» сообщила о появлении нового троянца для Mac OS X — Trojan.SMSSend.3666. Схема распространения этой вредоносной программы печально известна многим пользователям Windows, однако на компьютерах и ноутбуках под управлением Mac OS X ранее не применялась: Trojan.SMSSend представляет собой платный архив, который можно скачать с различных интернет-ресурсов под видом полезного ПО.

Вредоносные программы семейства Trojan.SMSSend широко распространены в современном Интернете. Они представляют собой платный архив, который можно загрузить с различных веб-сайтов под видом какой-либо полезной программы. В процессе открытия такого архива на экране компьютера демонстрируется инфтерфейс, имитирующий оформление программы установки того или иного приложения. При этом для продолжения «инсталляции» мошенники просят жертву ввести в соответствующую форму номер мобильного телефона, а затем указать код, пришедший в ответном СМС. Если пользователь выполняет указанные действия, он соглашается с условиями платной подписки, согласно которым со счета его мобильного телефона будет регулярно списываться абонентский платеж. Как правило, внутри архива находится либо совершенно бесполезный «мусор», либо заявленная мошенниками программа, которую можно скачать с официального сайта разработчиков совершенно бесплатно.

Раньше троянцы данного семейства досаждали пользователям операционной системы Microsoft Windows, однако Trojan.SMSSend.3666 ориентирован на владельцев Apple-совместимых компьютеров. При запуске этого платного архива на экране «мака» демонстрируется окно установки программы VKMusic 4 for Mac OS X, предназначенной для прослушивания музыки в социальной сети «ВКонтакте». Однако для доступа к содержимому архива злоумышленники традиционно требуют указать в соответствующих полях номер мобильного телефона и подтверждающий код.

Как и раньше, за распространением данного вредоносного приложения стоит известная «партнерская программа» ZipMonster, помогающая мошенникам создавать подобные платные архивы, а также оказывающая посреднические услуги по организации выплат распространителям вредоносного ПО. Следует отметить, что Trojan.SMSSend.3666 — это первый троянец данного класса, ориентированный на пользователей операционной системы Mac OS X.

Материалы по теме:

Источник:

Мультилокеры атакуют: отчет компании "Доктор Веб" об информационной безопасности

Ноябрь 2012 года ознаменовался широким распространением троянцев-блокировщиков нового типа, получивших неофициальное название «мультилокеры». Они не содержат в себе графических изображений и текста, демонстрирующегося на экране заблокированного ПК. Помимо этого в ноябре традиционно отмечалось распространение других вредоносных программ как для операционной системы Microsoft Windows, так и для мобильной платформы Android. Об этом говорится в ежемесячном отчете компании "Доктор веб".

Среди лидеров по числу выявленных заражений в прошлом месяце — троянец BackDoor.IRC.NgrBot.42. Троянские программы этого семейства поддерживают связь с удаленным управляющим сервером по протоколу IRC (Internet Relay Chat) и способны выполнять широчайший спектр команд злоумышленников. BackDoor.IRC.NgrBot.42 позволяет уничтожить на инфицированном компьютере загрузочную запись в случае нарушения целостности троянца, также эта вредоносная программа способна блокировать доступ к сайтам антивирусных компаний, перехватывать логины и пароли, используемые для авторизации на различных интернет-ресурсах. BackDoor.IRC.NgrBot.42 инфицирует все подключенные к компьютеру съемные носители, размещая в папке Корзины собственный исполняемый файл. После этого BackDoor.IRC.NgrBot.42 скрывает папки на зараженном устройстве и создает вместо них ярлыки с соответствующими именами, ссылающиеся на исполняемый файл троянской программы. Таким образом, при попытке открытия любой директории на зараженном устройстве пользователь запускает вредоносное приложение. Помимо этого троянец может разместить в корневой папке файл autorun.inf, с использованием которого осуществляется его автоматический запуск при подключении к компьютеру съемного накопителя.

В ноябре вирусные базы Dr.Web пополнились записями, относящимися к очередным представителям коммерческих программ-шпионов, которые стали уже традиционными угрозами для ОС Android. Среди них — Program.Jianspy.1.origin и Program.Spyera.1.origin, выполняющие типичные для такого класса программ функции: получение информации об СМС-переписке пользователя, совершаемых им звонках, определение его местоположения, и ряд других.

Полную версию обзора вирусной активности в ноябре 2012 года можно прочитать здесь.

Материалы по теме:

Источник:

Выпущено обновление однопользовательских продуктов Dr.Web 7.0 для Windows

Компания «Доктор Веб»  выпустила обновления для однопользовательских продуктов Dr.Web 7.0: Антивирус Dr.Web, Dr.Web Security Space, Антивирус Dr.Web для файловых серверов Windows без поддержки централизованного управления. В рамках обновления актуализированы такие компоненты, как брандмауэр, сканер и сканирующий сервис Scanning Engine, Dr.Web SpIDer Agent, драйвер перехвата трафика Dr.Web Net Filter for Windows, библиотека Dr.Web Anti-rootkit API и некоторые другие.

Значительные изменения коснулись брандмауэра Dr.Web: так, был изменён интерфейс окон редактирования и создания правил пакетного фильтра, а также исправлен ряд ошибок, связанных с внешним видом и функциональностью интерфейса брандмауэра. В обновленной версии компонента реализована новая логика работы функций «Разрешить однократно» и «Запретить однократно»: теперь применённое правило распространяется на всю сессию приложения.





В обновленном антивирусном сканере появилась возможность ставить на паузу и останавливать сканирование во время проверки системы на наличие руткитов, а также возможность группового выбора типов объектов в списке найденных угроз. Из интерфейса сканера было исключено действие «Удалить» для инфицированных почтовых файлов (сохранились действия «В карантин» и «Игнорировать»). Также был исправлен ряд выявленных ранее ошибок.

В сканирующий сервис Scanning Engine было внесено несколько исправлений, улучшающих его работу, в частности, исправлена ошибка, которая возникала в работе сервиса в версиях ОС Windows для стран Восточной Азии. Также специалисты компании «Доктор Веб» внесли изменения, повышающие надёжность и стабильность работы драйвера самозащиты.

В обновленной версии драйвера перехвата трафика Dr.Web Net Filter for Windows повышена стабильность работы и исправлены ранее выявленные ошибки. Помимо прочего, была полностью переработана библиотека Dr.Web Anti-rootkit API, являющаяся частью универсальной подсистемы для лечения активных и сложных угроз, исправлены ошибки в модулях Dr.Web Control Service и Dr.Web SpIDer Agent, устранена проблема, не позволявшая осуществлять обновление с зеркала, расположенного в сетевом каталоге.

Для пользователей обновление пройдет автоматически, однако потребует перезагрузки компьютера.

Материалы по теме:

Источник:

Численность ботнета Win32.Rmnet.12 приближается к 5 млн

Ботнет, состоящий из рабочих станций, инфицированных файловым вирусом Win32.Rmnet.12, продолжает бить все рекорды. За месяц он вырос еще на 500000 инфицированных узлов, таким образом, общая численность бот-сети скоро превысит 5 млн. Об этом говорится в ежемесячном отчете компании "Доктор веб".

А статистика численности другой бот-сети Backdoor.Flashback.39, состоящей из инфицированных компьютеров под управлением операционной системы Mac OS X, демонстрирует сокращение числа заражений. Так, в течение сентября численность инфицированных «маков» снизилась примерно на 10%, с 127681 до 115179, в то время как прирост ботнета практически остановился: сейчас к нему присоединяется не более одного компьютера в сутки.

Среди популярных троянов в вирусной статистике стоит отметить троянца-бэкдора BackDoor.Butirat.91. Число заражений этой вредоносной программой за месяц также сократилось на 20%. Одно из основных функциональных назначений BackDoor.Butirat.91 — кража и передача злоумышленникам паролей от популярных FTP-клиентов, среди которых — FlashFXP, Total Commander, FileZilla, FAR, WinSCP, FtpCommander, SmartFTP. Также троянец способен загружать с удаленных узлов и запускать на инфицированной машине исполняемые файлы и «накручивать» показатели различных счетчиков посещаемости веб-страниц. Для обычного пользователя заражение троянцем чревато утечкой разного рода конфиденциальных данных в руки злоумышленников, а также вероятностью потери контроля над работой собственного ПК.

Полную версию обзора вирусной активности в сентябре 2012 года можно прочитать здесь.

Материалы по теме:

Источник:

Dr.Web Security Space 8.0: бета-версия доступна для всех желающих

Началось открытое бета-тестирование восьмой версии Dr.Web Security Space. В новую версию включен единый центр управления настройками. Управление каждым компонентом теперь доступно на вкладках в едином окне, что делает настройку защиты более быстрой, понятной и удобной.

Существенно расширены возможности Родительского контроля. Так, были реализованы профили, что позволяет задавать настройки компонента для каждого из пользователей, имеющих доступ к компьютеру. Можно не менять параметры Родительского контроля вручную, если, например, ПК поочередно пользуются дети и взрослые. Кроме того, добавлена возможность блокировки работы различных устройств: от флэш-накопителей до портов COM/LPT, что также помогает избежать нежелательных действий пользователей.

Значительно переработана система уведомлений агента — наиболее важные оповещения в трее теперь не могут остаться незамеченными. Также появилась возможность получать уведомления на электронную почту.

Добавлена функция превентивной защиты, позволяющая гибко контролировать безопасность системы. Пользователь сам может определять, разрешить или запретить доступ к системному объекту, файлу hosts, секторам диска и т.п. Такой контроль позволяет избежать конфликтов при установке стороннего ПО или обновлений ОС, система же при этом остается защищенной.

Проверка ссылок веб-монитором SpIDer Gate и Родительским контролем теперь может осуществляться через облачный сервис, который определяет, является ли сайт безопасным и не относится ли он к категории ресурсов, не рекомендуемых для посещения.

Существенные изменения коснулись модуля Dr.Web Anti-rootkit Service — подсистемы для лечения активных и сложных угроз. Реализована подсистема фонового сканирования и нейтрализации активных угроз, использующая этот модуль. Находясь резидентно в памяти, данная подсистема осуществляет сканирование объектов автозагрузки, запущенных процессов и модулей, системного BIOS компьютера и пр.

 Установочный файл Dr.Web Security Space был переработан полностью. Реализовано противодействие активным угрозам, целенаправленно препятствующим установке антивируса. Вместе с тем сканирование при установке больше не производится и перезагрузка по завершении инсталляции не требуется (в случае если не была выбрана установка брандмауэра).

Участие в бета-тестировании Dr.Web Security Space 8.0 могут принять все желающие.

Материалы по теме:

Источник:

Новая версия опасного бэкдора скрывается за "Невинностью мусульман"

Обнаружена новая модификация бэкдора BackDoor.BlackEnergy, участвующего в создании бот-сети из зараженных компьютеров. Троянец рассылается вместе с письмами, в теме которых указано название скандального фильма «Невинность мусульман». При этом направлены эти письма в украинские госструктуры. Инфицированные BackDoor.BlackEnergy компьютеры могут использоваться злоумышленниками для осуществления массовых спам-рассылок, организации DDoS-атак и других противоправных действий.

Многокомпонентный бэкдор BlackEnergy до недавнего времени использовался для создания одного из самых крупных спам-ботнетов: в пик активности на его долю приходилось до 18 миллиардов сообщений в день. Благодаря усилиям ряда компаний и специалистов по информационной безопасности в июле 2012 года было произведено отключение нескольких управляющих серверов ботнета, контролировавших значительное число инфицированных машин. Это привело к заметному снижению общемирового объема спам-трафика. Однако полностью вредоносная деятельность BlackEnergy не была прекращена, поскольку активными оставались менее крупные командные центры бот-сети. Судя по всему, создатели сети зомби-компьютеров не оставляют попыток восстановить былую мощность ботнета, о чем свидетельствует появление новой версии троянца.

Новая модификация бэкдора, добавленная в антивирусные базы Dr.Web под именем BackDoor.BlackEnergy.18, распространяется при помощи сообщений электронной почты с вложенным документом Microsoft Word. Интересной особенностью обнаруженных писем является то, что они адресованы лицам из украинских государственных ведомств, таких как Министерство иностранных дел Украины и посольство Украины в Соединенных Штатах Америки.

Вложенный в сообщение документ, детектируемый антивирусным ПО Dr.Web как Exploit.CVE2012-0158.14, содержит код, который эксплуатирует уязвимость одного из компонентов ActiveX. Этот компонент применяется приложением Word и некоторыми другими продуктами Microsoft для Windows. При попытке открытия документа во временный каталог пользователя сохраняются два файла, имеющие имена « WinWord.exe» и «Невинность мусульман.doc». Первый файл является дроппером троянца BackDoor.BlackEnergy.18 и служит для установки его драйвера в системный каталог.

После запуска дроппера выполняется открытие второго сохраненного файла, представляющего собой обычный документ Microsoft Word. Именно он содержит исходную информацию, которую жертва и ожидала получить. Таким образом, снижается риск возникновения каких-либо подозрений со стороны пользователя.

Материалы по теме:

Источник:

Новая модификация Trojan.Mayachok еще лучше маскируется от пользователя

Появилась новая опасная модификация вредоносной программы Trojan.Mayachok. В новой версии троянца, получившей наименование Trojan.Mayachok.17727, был значительно видоизменен код, а главное, используются решения, направленные на обеспечение еще большей незаметности троянца для пользователя. Так, дроппер Trojan.Mayachok.17727 не перезагружает компьютер в процессе заражения, а сам момент установки остается абсолютно незаметным для жертвы.

Троянская программа состоит из двух компонентов: дроппера и динамической библиотеки, в которой реализована основная вредоносная функциональность троянца. Дроппер создает в директории %MYDOCUMENTS% папку с именем IntMayak, в которую временно сохраняет троянскую библиотеку, и REG-файл, предназначенный для регистрации библиотеки в системе. Затем дроппер ищет в памяти ПК запущенный процесс explorer.exe и внедряет в него вредоносный код. С использованием данного кода, уже от имени процесса explorer.exe, троянец сохраняет в системную директорию %SYSTEM32% копию вредоносной библиотеки. С помощью редактора реестра Trojan.Mayachok.17727 импортирует REG-файл, модифицируя ветвь реестра, отвечающую за загрузку вредоносной библиотеки во все процессы. Затем дроппер удаляет временные файлы и саму папку IntMayak, а также с целью сокрытия способа своего проникновения в систему уничтожает файлы cookies и очищает кеш браузера Microsoft Internet Explorer.

Вредоносная библиотека работает с браузерами Microsoft Internet Explorer, Opera, Mozilla Firefox, Google Chrome. В процессе работы Trojan.Mayachok.17727 записывает на диск зашифрованный конфигурационный файл, в котором хранит список управляющих серверов, внедряемый в просматриваемые пользователем веб-страницы скрипт и другие параметры.

По сравнению с Trojan.Mayachok.1, в код троянца были внесены существенные изменения: исчезла проверка на наличие в инфицируемой системе средств виртуализации, изменено число поддерживаемых процессов, а также механизм сравнения их имен, отсутствует функция проверки конфигурационного файла на целостность. Стоит напомнить, что Trojan.Mayachok стал одним из первых троянцев, использующих технику заражения VBR (Volume Boot Record): эта техника, как оказалось впоследствии, не была разработана создателями данной угрозы, а приобреталась ими у других вирусописателей. Например, аналогичный код был обнаружен в банковском троянце Trojan.Carberp.

Материалы по теме:

Источник:

Троянец угрожает российским пользователям интернет-банкинга

Компания «Доктор Веб» сообщила о распространении нового троянца, представляющего опасность для пользователей систем дистанционного банковского обслуживания (интернет-банкинга) в России.

Вредоносная программа Trojan.Proxy.23968, образцы которой также добавлялись в вирусные базы Dr.Web под именем Trojan.Carberp.450 в конце августа 2012 года, создана злоумышленниками для установки в инфицированной системе прокси-сервера с целью перехвата конфиденциальной информации при работе с системами дистанционного банковского обслуживания нескольких российских банков.

Запустившись на компьютере жертвы, троянец изменяет параметры сетевого соединения, прописывая в них ссылку на сценарий автоматической настройки. По этой ссылке на инфицированный компьютер загружается файл, с использованием которого соединение зараженного ПК с Интернетом осуществляется через принадлежащий злоумышленникам прокси-сервер. Прокси-сервер, в свою очередь, перенаправляет жертву на поддельную страницу системы «Банк-Клиент», содержащую форму для ввода логина и пароля.

Система «Банк-Клиент» российского банка, который первым подвергся атаке, использует при соединении с пользователем защищенный протокол HTTPS. В целях маскировки сеанса связи с поддельным банковским сервером новый троянец устанавливает в систему самоподписанный цифровой сертификат. Таким образом, страница системы «Банк-Клиент», которую открывает в своем браузере жертва троянца, имеет похожий на оригинальный URL, идентичное с ним оформление, а само соединение осуществляется по зашифрованному протоколу HTTPS. В последнее время специалистами компании «Доктор Веб» были зафиксированы факты установки троянцем новых цифровых сертификатов, а в качестве целей для атак выявлено еще несколько банковских систем.

Примечательным фактом является то, что даже после полного удаления Trojan.Proxy.23968 из системы в настройках браузеров остаются внесенные троянцем изменения, поэтому пользователь может стать жертвой злоумышленников даже в том случае, если сам троянец был уничтожен антивирусным ПО.

Материалы по теме:

Источник:

Доступно обновление однопользовательских продуктов Dr.Web 7.0 для Windows

Компания «Доктор Веб» выпустила обновление для однопользовательских продуктов Антивирус Dr.Web для Windows, Dr.Web Security Space и Антивирус Dr.Web для файловых серверов Windows версий 6.0 и 7.0, улучшающее работу модуля самозащиты Dr.Web SelfPROtect.


Обновление повышает устойчивость Dr.Web к воздействию руткитов способных перехватывать процедуры управления работой приложений и завершать процесс антивируса. Также решена проблема, из-за которой при включенной блокировке низкоуровневой записи данных на жесткий диск модуль не позволял утилите «chkdsk» проводить отложенную проверку и исправлять ошибки в файловой системе.

 Для пользователей обновление пройдет автоматически, однако потребует перезагрузки компьютера.

Материалы по теме:

Источник:

Новая модификация Trojan.Mayachok перехватывает сетевые функции браузеров

Компания «Доктор Веб» сообщила о распространении новой модификации троянской программы семейства Trojan.Mayachok, добавленной в вирусные базы Dr.Web под именем Trojan.Mayachok.17516. Несмотря на то, что эта угроза имеет определенное сходство с широко распространенным троянцем Trojan.Mayachok.1, в ее архитектуре выявлен и ряд существенных отличий.

Trojan.Mayachok.17516 представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем flash_player_update_1_12.exe и запускается на исполнение.


В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

Вредоносная библиотека пытается встроиться в другие процессы с использованием регистрации в параметре реестра AppInit_DLLs, при этом, в отличие от Trojan.Mayachok.1, Trojan.Mayachok.17516 «умеет» работать не только в контексте процессов браузеров, но также в процессах svchost.exe и explorer.exe (Проводник Windows). Примечательно, что в 64-разрядных системах вредоносная программа работает только в этих двух процессах. Троянец использует для своей работы зашифрованный конфигурационный файл, который он сохраняет либо во временную папку, либо в служебную папку %appdata%.

Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. С использованием процесса explorer.exe Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д.

Материалы по теме:

Источник:

Стартовало открытое бета-тестирование Dr.Web LiveCD

Компания «Доктор Веб» начала открытое бета-тестирование новой версии решения для восстановления работоспособности системы Dr.Web LiveCD, включающей обновленные компоненты и ряд улучшений.

В Dr.Web LiveCD 6.0.2 появилась возможность редактировать системный реестр Windows и удалять из него записи, сделанные вредоносными программами, блокирующими работу с Windows. Также пользователи могут лечить заражение основных загрузочных областей (MBR). Благодаря применению технологии многопоточного сканирования увеличилась скорость антивирусной проверки в многоядерных системах. Были устранены выявленные недочеты в работе решения.

Тестовую версию Dr.Web LiveCD можно скачать с официального сайта компании «Доктор Веб».

Материалы по теме:

Источник:

Распространители платных архивов ZIPPRO используют собственного троянца для загрузки вредоносного ПО

Несколько дней назад мы писали о распространении вместе с платными архивами ZIPPO вредоносного ПО. Дальнейшие исследования компании "Доктор веб" показали, что злоумышленники не просто включают в состав своих архивов вредоносные программы, для их загрузки они используют собственного троянца, который, инфицировав компьютер пользователя, позволяет скачивать с удаленных серверов другие опасные приложения.

Мониторинг серверов партнерской программы ZIPPRO показал, что, помимо уже упомянутого ранее Trojan.Mayachok.1, пользователи, скачивающие платные архивы, получают в качестве «бесплатного дополнения» и другие вредоносные приложения. Среди них — существующее с 2011 года семейство троянцев, известное под общим именем Trojan.Zipro, авторами которых являются организаторы партнерской программы ZIPPRO.

При открытии архива Trojan.SMSSend, созданного с использованием программного обеспечения ZIPPRO, происходит загрузка зашифрованного и сжатого исполняемого файла, который запускается в момент прекращения работы основного модуля Trojan.SMSSend.

Запущенное в инфицированной системе приложение пытается загрузить в память компьютера динамическую библиотеку, содержащую Trojan.Zipro. Затем уже загруженный в память модуль начитает установку троянца в операционной системе: модифицирует системный реестр, создавая ветвь HKCU\SOFTWARE\Win32ServiceApp и сохраняя туда ряд конфигурационных параметров, записывает на диск файл троянской программы, регистрирует путь к нему в ветви реестра, отвечающей за автоматическую загрузку приложений, и запускает троянца на исполнение. При этом вредоносная программа не устанавливается в операционной системе, если в ней уже установлен конструктор платных архивов ZIPPRO.

Запустившись в операционной системе, Trojan.Zipro читает из реестра собственные конфигурационные данные, устанавливает соединение с принадлежащим злоумышленникам удаленным сервером и скачивает оттуда вредоносное приложение — среди таковых был замечен не только упомянутый ранее Trojan.Mayachok.1. На тех же серверах, с которых осуществляется загрузка этого вредоносного приложения, был обнаружен опасный банковский троянец семейства Trojan.Carberp. После окончания загрузки Trojan.Zipro запускает скачанную вредоносную программу. Если попытка загрузить вредоносное приложение с удаленного сайта не удалась, троянец удаляет себя из системы.

Материалы по теме:

Источник:

Троянец BackDoor.Wirenet.1 похищает пароли на Linux и Mac OS X

Компания «Доктор Веб» уведомила о появлении первого кросс-платформенного бэкдора, способного работать в операционных системах Linux и Mac OS X. Эта вредоносная программа предназначена для кражи паролей от ряда популярных интернет-приложений. BackDoor.Wirenet.1 — первый в своем роде троянец, способный одновременно работать в этих операционных системах.


Механизм распространения этого троянца, добавленного в вирусные базы Dr.Web под именем BackDoor.Wirenet.1, еще выясняется.
В момент запуска BackDoor.Wirenet.1 создает свою копию в домашней папке пользователя. Для взаимодействия с командным сервером, расположенным по адресу 212.7.208.65, вредоносная программа использует специальный алгоритм шифрования Advanced Encryption Standard (AES).

BackDoor.Wirenet.1 является кейлоггером. Кроме того, он крадет пароли, вводимые пользователем в браузерах Opera, Firefox, Chrome, Chromium, а также пароли от таких приложений, как Thunderbird, SeaMonkey, Pidgin.

Материалы по теме:

Источник:

Троянец BackDoor.IRC.Codex.1 крадет пароли FTP-клиентов и участвует в DDoS-атаках

Компания «Доктор Веб» сообщила о распространении вредоносной программы BackDoor.IRC.Codex.1, способной запускать на инфицированной машине загруженные из Интернета файлы, участвовать в DDoS–атаках и красть пароли от популярных FTP-клиентов и данные веб-форм. Троянец функционально похож на другую популярную вредоносную программу, BackDoor.IRC.Aryan.1, заразившую большое число компьютеров по всему миру.

Как и его предшественники, BackDoor.IRC.Codex.1 использует для координации своих действий технологию IRC (Internet Relay Chat). Запустившись на компьютере жертвы, троянец ищет в памяти и удаляет процесс командного интерпретатора Windows (cmd.exe), после чего сохраняет свою копию в одной из папок и модифицирует реестр Windows, прописывая путь к месту расположения исполняемого файла в ветвь, отвечающую за автоматическую загрузку приложений. При этом BackDoor.IRC.Codex.1 постоянно следит за состоянием этой ветви реестра и восстанавливает необходимые значения в случае их удаления.

После запуска BackDoor.IRC.Codex.1 выполняет ряд манипуляций, направленных на противодействие анализу этой вредоносной программы: троянец ищет в памяти инфицированного компьютера процессы некоторых отладчиков, а также определяет, не запущен ли он в виртуальной машине. Также троянец проверяет наличие себя в операционной системе, сравнивая папку, из которой он был запущен, с директорией, в которую он сохраняет собственную копию. Затем BackDoor.IRC.Codex.1 встраивает собственную процедуру во все активные процессы, а также запускает ее в виде отдельного потока в собственном процессе.

Материалы по теме:

Источник:

window-new
Soft
Hard
Тренды 🔥