Сегодня 26 сентября 2017
18+
Теги → dr.web
Быстрый переход

Dr.Web Light 11.0.0 для macOS использует новую концепцию

Компания «Доктор Веб» объявила о выпуске антивирусного продукта Dr.Web Light 11.0.0 для macOS, в котором реализовано значительное количество изменений и улучшений.

Сообщается, что решение переведено на полностью новую концепцию. В частности, на смену главному окну пришёл единый агент, гармонично расширяющий функциональность операционной системы, не выходя за пределы меню состояния.

В одиннадцатой версии продукта оптимизирована работа всех подсистем. В результате, повысилась эффективность работы и уменьшилась нагрузка на аппаратную часть устройства.

Решение защищает компьютер от вирусов и вредоносных объектов с помощью наиболее современных технологий Dr.Web. Встроенный сканер поможет проверить систему и обезвредить найденные угрозы. Защиту от ещё неизвестных вирусов обеспечит эвристический анализатор.

В то же время, как отмечается, пакет имеет ограниченные возможности по сравнению с полной версией Dr.Web для macOS. Дело в том, что отсутствуют полноценный файловый монитор и возможность лечения многих видов угроз, поскольку приложение не поддерживает работу с правами суперпользователя.

С выходом Dr.Web Light 11.0.0 для macOS прекращена поддержка устройств под управлением macOS версий 10.7 и 10.8. Для обновления Dr.Web Light для macOS до редакции 11.0.0 необходимо открыть магазин приложений Mac App Store и на вкладке обновлений нажать на кнопку Update рядом с названием продукта. 

Спам от «умных» устройств: новая угроза Интернета вещей

Компания «Доктор Веб» обнаружила новую угрозу, исходящую от устройств Интернета вещей (IoT): мусорные рассылки по электронной почте.

Концепция IoT стремительно набирает популярность. По оценкам, в мире сейчас насчитывается более 6 миллиардов «умных» устройств с сетевым подключением. Само собой, это не могло остаться без внимания со стороны киберпреступников.

Как показало проведённое специалистами «Доктор Веб» исследование, злоумышленники начали использовать инфицированные IoT-устройства для рассылки спама. Для заражения применяется вредоносная программа Linux.ProxyM, нацеленная на платформу Linux. Этот троян запускает на инфицированном устройстве SOCKS-прокси-сервер. Зловред способен детектировать так называемые «ханипоты» — специальные ресурсы, созданные исследователями вредоносных программ в качестве приманки для злоумышленников.

Существуют сборки трояна для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC. Иными словами, зловред работоспособен практически на любом устройстве под управлением Linux. Это могут быть, скажем, IP-камеры, роутеры, телевизионные приставки и пр.

Для рассылки почтового мусора троян получает от управляющего сервера команду, содержащую адрес SMTP-сервера, логин и пароль для доступа к нему, список почтовых адресов и сам шаблон сообщения. В спам-письмах рекламируются различные сайты категории «для взрослых». Анализ показывает, что в среднем в течение суток каждое заражённое зловредом устройство рассылает около 400 сообщений. 

Новый троян-майнер нацелен на платформу Linux

«Доктор Веб» предупреждает о появлении новой вредоносной программы, главной задачей которой является использование вычислительных ресурсов инфицированных компьютеров для добычи криптовалют.

Обнаруженный зловред атакует системы под управлением Linux: майнер получил обозначение Linux.BtcMine.26. Программа предназначена для добычи Monero (XMR) — криптовалюты, созданной в 2014 году.

Схема распространения зловреда сводится к следующему. Злоумышленники соединяются с атакуемым устройством по протоколу Telnet, подобрав логин и пароль, после чего сохраняют на нём программу-загрузчик. Затем киберпреступники запускают эту программу из терминала с помощью консольной команды, и на устройство загружается троян Linux.BtcMine.26.

Любопытно, что в коде загрузчика несколько раз встречается адрес сайта krebsonsecurity.com, принадлежащего известному эксперту по информационной безопасности Брайану Кребсу. С чем это связано, пока не совсем ясно.

В настоящее время известны сборки вредоносной программы для аппаратных архитектур x86-64 и ARM. Характерными признаками присутствия майнера могут служить снижение быстродействия устройства и увеличение тепловыделения в процессе его работы. 

В прошивке ряда Android-устройств обнаружен троян, заражающий процессы приложений

«Доктор Веб» предупреждает о том, что в прошивках ряда доступных на рынке мобильных устройств присутствует довольно опасная вредоносная программа, способная инфицировать процессы приложений.

Зловред получил обозначение Android.Triada.231. Трояны этого семейства внедряются в системный процесс компонента Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря этому зловреды проникают в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое.

Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Причём, как отмечает «Доктор Веб», внедрение произведено на уровне исходного кода. Иными словами, к заражению причастны инсайдеры или недобросовестные партнёры, которые участвовали в создании прошивок заражённых мобильных устройств.

Зловред получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Главной задачей трояна является незаметная загрузка и запуск других вредоносных модулей. Это могут быть, скажем, плагины для кражи конфиденциальной информации из банковских приложений, модули для кибершпионажа и перехвата переписки из клиентов социальных сетей и интернет-мессенджеров и т. п.

Ситуация усугубляется тем, что удалить вредоносную программу стандартными методами невозможно, поскольку она интегрирована в одну из библиотек операционной системы и расположена в системном разделе. Поэтому требуется установка заведомо безопасной прошивки.

Подробнее о проблеме можно узнать здесь

«Доктор Веб»: портал госуслуг РФ содержит вредоносный код

«Доктор Веб» сообщает о том, что на портале государственных услуг Российской Федерации (gosuslugi.ru) зафиксировано наличие потенциально вредоносного программного кода.

Сообщается, что дату и время взлома ресурса пока определить не удаётся. Более того, администрация сайта на запросы компании «Доктор Веб» не реагирует.

Иными словами, посетители портала госуслуг РФ рискуют стать жертвами сетевых мошенников.  Вредоносный код заставляет браузер любого пользователя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.

«В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя», — пишет «Доктор Веб».

Любой пользователь может проверить наличие кода самостоятельно, использовав поисковый сервис и задав запрос о поиске следующей формулировки: «site:gosuslugi.ru "A1996667054"».

Важно отметить, что на момент написания этого материала портал госуслуг РФ, по данным «Доктора Веба», не предпринял мер по устранению проблемы. Администрации сайта и компетентным органам рекомендуется осуществить проверку безопасности ресурса. Более подробно о проблеме можно узнать здесь

Игру с трояном загрузили из магазина Google Play более 1 млн пользователей

«Доктор Веб» обнаружил в магазине Google Play игру со встроенным трояном-загрузчиком: программа способна скачивать на мобильное устройство, устанавливать и запускать те или иные модули.

Вредоносное приложение — Android.DownLoader.558.origin — интегрировано в популярную игру BlazBlue RR - Real Action Game. Её загрузили уже более 1 млн владельцев смартфонов и планшетов под управлением операционных систем Android.

Троян является частью специализированного SDK-комплекта под названием Excelliance, предназначенного для автоматизации и упрощения обновления Android-программ. Этот инструмент позволяет загружать необходимые компоненты по отдельности без переустановки всего программного пакета.

Однако, отмечает «Доктор Веб», платформа Excelliance работает как троян-загрузчик, поскольку может скачивать и запускать непроверенные компоненты приложений. Такой способ обновления нарушает правила каталога Google Play.

Зловред начинает работу при первом старте игры, в которую он встроен. После этого он самостоятельно загружается при каждом подключении мобильного устройства к Интернету, даже если пользователь больше не запускает заражённое приложение.

Троянский модуль отслеживает сетевую активность и пытается соединиться с управляющим сервером. В зависимости от настроек программа может загружать различные компоненты: это apk-, dex- и elf-файлы. При этом их запуск в некоторых случаях может выполняться без ведома пользователя. При наличии root-доступа возможна скрытная установка apk-файлов. Таким образом, злоумышленники имеют возможность распространять рекламные модули, сторонние программы и другие троянские компоненты. 

Новый троян-майнер атакует пользователей Windows-компьютеров

«Доктор Веб» сообщает о распространении новой вредоносной программы, предназначенной для добычи криптовалюты — майнинга.

Зловред получил обозначение Trojan.BtcMine.1259. Он атакует компьютеры под управлением операционных систем Windows.

Основное предназначение трояна — использование вычислительных ресурсов инфицированного устройства для добычи криптовалюты Monero (XMR). Кроме того, вредоносная программа устанавливает в систему компонент Gh0st RAT с функциональностью бэкдора.

Сразу после старта троян проверяет, не запущена ли на инфицированном компьютере его копия. Затем он определяет количество ядер процессора, и, если оно больше или равно указанному в конфигурации числу потоков, расшифровывает и загружает в память хранящуюся в его теле библиотеку. Эта библиотека представляет собой модифицированную версию системы удалённого администрирования с открытым исходным кодом, известной под наименованием Gh0st RAT.

Основной модуль, предназначенный для добычи криптовалюты Monero, также реализован в виде библиотеки. Причём вредоносная программа может задействовать как 32-разрядную, так и 64-разрядную версию модуля для добычи криптовалюты.

Зловред способен использовать определённое количество ядер и вычислительных ресурсов. При этом троян отслеживает работающие на заражённом компьютере процессы и при попытке запустить диспетчер задач завершает свою работу. 

Анатомия WannaCry: анализ опасного шифровальщика

«Доктор Веб» обнародовал предварительные результаты анализа вредоносной программы WannaCry, поразившей компьютеры под управлением Windows по всему миру.

Напомним, что в пятницу, 12 мая, была зафиксирована масштабная атака вымогателя. Зловред кодирует файлы распространённых форматов и требует выкуп в размере до 600 долларов США в биткоинах. Причём WannaCry использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

Как сообщает «Доктор Веб», WannaCry — это сетевой червь, способный заражать Windows-компьютеры без участия пользователя. Зловред атакует все системы в локальной сети, а также удалённые интернет-узлы со случайными IP-адресами, пытаясь установить соединение с портом 445.

Вредоносная программа состоит из нескольких компонентов. После запуска троян регистрирует себя в качестве системной службы с именем mssecsvc2.0. Далее червь начинает опрашивать узлы, доступные в локальной сети заражённого ПК, а также компьютеры в Интернете. В случае успешного соединения зловред предпринимает попытку заразить эти компьютеры с использованием уязвимости в протоколе SMB.

В состав WannaCry входит дроппер — компонент, предназначенный для установки в операционную систему вредоносного исполняемого файла. В случае WannaCry дроппер содержит большой защищённый паролем ZIP-архив, в котором хранится зашифрованный файл с трояном-энкодером, обои рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов и именем кошелька для приёма биткойнов, а также архив с программами для работы в сети Tor. Основная задача дроппера — сохранить на диск содержимое архива, а также расшифровать и запустить шифровальщик.

Собственно энкодер WannaCry шифрует файлы со случайным ключом. Троян содержит в себе авторский декодер, который удаляет на заражённом компьютере теневые копии и отключает функцию восстановления системы. Декодер позволяет расшифровать несколько тестовых файлов — приватный ключ, необходимый для их расшифровки, хранится в одном из компонентов вредоносной программы. «Однако расшифровка тестовых и всех остальных файлов выполняется с использованием разных ключей. Следовательно, никаких гарантий успешного восстановления повреждённых шифровальщиком данных даже в случае оплаты выкупа не существует», — говорит «Доктор Веб».

Более подробно с результатами исследования можно ознакомиться здесь

Вышел антивирус Dr.Web Light 10.0 для Android

«Доктор Веб» сообщил о доступности решения Dr.Web Light 10.0 для Android, которое обеспечивает базовую защиту мобильных устройств от угроз в киберпространстве.

Бесплатный антивирус Dr.Web Light обеспечивает возможность быстрого или полного сканирования файловой системы, а также проверку сканером отдельных файлов и папок по запросу пользователя. Благодаря технологии Origins Tracing обеспечивается детектирование новых неизвестных вредоносных программ.

Десятая версия Dr.Web Light для Android подверглась существенным усовершенствованиям с точки зрения как интерфейса, так и функциональных возможностей. В частности, теперь программа обладает единым окном событий, где собраны все уведомления о возникающих угрозах.

Решение получило новый антивирусный «движок»; улучшено детектирование вредоносных объектов. Для локализации возникающих проблем добавлена система сбора и записи дополнительной информации.

Немаловажным изменением является добавление поддержки операционной системы Android версии 7.1.

Для пользователей Dr.Web Light для Android обновление до версии 10.0 пройдёт автоматически. Загрузить бесплатный антивирус можно из онлайнового магазина Google Play

Новый бэкдор атакует системы под управлением macOS

«Доктор Веб» информирует о появлении новой вредоносной программы, нацеленной на персональные компьютеры Apple: зловред получил обозначение Mac.BackDoor.Systemd.1.

Бэкдор атакует системы под управлением macOS. При запуске он выводит в консоль сообщение с опечаткой «This file is corrupted and connot be opened» и перезапускает себя в качестве демона с именем systemd. При этом зловред пытается скрыть собственный файл, установив для него соответствующие флаги. Затем троян регистрирует себя в автозагрузке.

Конфигурационная информация хранится в зашифрованном виде в самой вредоносной программе. В зависимости от настроек, зловред либо сам устанавливает связь с управляющим сервером, либо ожидает входящего запроса на соединение.

Бэкдор способен отправлять своим «владельцам» разнообразные сведения об инфицированном ПК. Это, в частности, версия операционной системы, имя пользователя и наличие у него root-привилегий, MAC-адреса и IP-адреса всех доступных сетевых интерфейсов, внешний IP-адрес, а также данные о технических характеристиках компьютера.

Зловред имеет собственный файловый менеджер: это позволяет злоумышленникам выполнять различные действия с файлами и папками. Киберпреступники, к примеру, могут получить список содержимого заданной директории, прочитать файл, переименовать/удалить файл или папку, получить содержимое файла, сменить IP-адрес управляющего сервера, установить плагин и пр. 

Раскрыта новая мошенническая схема «договорных матчей»

«Доктор Веб» раскрыл новую схему такого популярного вида мошенничества в Интернете, как «договорные матчи».

Традиционная методика киберпреступников, промышляющих «договорными матчами», довольно проста: они создают специальный сайт, на котором предлагают приобрести «достоверные и проверенные сведения об исходе спортивных состязаний». Впоследствии с помощью этой информации можно делать якобы гарантированно выигрышные ставки в букмекерских конторах. Создатели таких сайтов представляются отставными тренерами или спортивными аналитиками.

На самом же деле, часть клиентов подобных сервисов получают один спортивный прогноз, другая часть — прямо противоположный. Если кто-то из пострадавших и возмутится, жулики предложат ему получить следующий прогноз бесплатно в качестве компенсации за проигрыш.

Однако недавно была раскрыта новая схема «договорных матчей». Как и раньше, злоумышленники создают специальные сайты и страницы в социальных сетях. Но теперь в качестве подтверждения качества своих услуг мошенники предлагают скачать защищённый паролем самораспаковывающийся RAR-архив, якобы содержащий текстовый файл с результатами того или иного матча. Пароль для архива жулики высылают после завершения состязания. Предполагается, что таким образом пользователь сможет сравнить предсказанный результат с реальным.

На деле же вместо обычного архива пользователи получают особую программу, которая содержит шаблон текстового файла. В него с помощью специального алгоритма подставляются нужные результаты матча в зависимости от того, какой пароль введёт пользователь. Таким образом, после окончания спортивного соревнования жуликам достаточно отправить своей жертве соответствующий пароль, и из «архива» будет «извлечён» текстовый файл с правильным результатом (на самом деле он будет сгенерирован на основе шаблона).

Более подробно о программе, используемой киберпреступниками, можно узнать здесь

Новый банковский троян атакует пользователей Windows

«Доктор Веб» предупреждает о появлении новой вредоносной программы, разработанной с целью хищения средств со счетов в различных финансовых организациях.

Зловред , атакующий пользователей операционных систем Windows, получил название Trojan.PWS.Sphinx.2. Он создан на основе исходных кодов другого опасного банковского трояна — Zeus (Trojan.PWS.Panda).

Основное предназначение банкера заключается в выполнении веб-инжектов. Троян встраивает в просматриваемые пользователем веб-страницы постороннее содержимое — например, поддельные формы для ввода логина и пароля, информация из которых передаётся злоумышленникам. Потенциальная жертва обычно не замечает подмены: URL интернет-ресурса в адресной строке браузера и оформление сайта остаются прежними, поддельная форма или текст добавляются на веб-страницу непосредственно на заражённом компьютере.

Зловред имеет модульную архитектуру. Троян скачивает с сервера киберпреступников дополнительные плагины. Два из используемых банкером модулей предназначены для выполнения веб-инжектов в 32- и 64-разрядных версиях Windows, ещё два — для запуска на заражённом компьютере VNC-сервера, с помощью которого киберпреступники могут подключаться к системе жертвы.

Кроме того, в составе вредоносной программы имеется так называемый граббер — функциональный модуль, перехватывающий и передающий на удалённый сервер информацию, которую пользователь вводит в формы на различных сайтах.

Более подробную информацию о банковском зловреде Trojan.PWS.Sphinx.2 можно найти здесь

Windows-троян заражает Linux-компьютеры

«Доктор Веб» предупреждает о появлении новой вредоносной программы с довольно необычным набором функций.

Зловред получил название Trojan.Mirai.1. Он инфицирует компьютеры под управлением операционных систем Windows, способствуя при этом распространению трояна Linux.Mirai для программных платформ на основе ядра Linux.

При запуске троян соединяется со своим управляющим сервером, скачивает оттуда конфигурационный файл и извлекает из него список IP-адресов. Затем зловред запускает сканер, который обращается к сетевым узлам по адресам из конфигурационного файла и пытается авторизоваться на них с заданным в том же файле сочетанием логина и пароля.

Если трояну удаётся соединиться с атакуемым узлом по любому из доступных протоколов, он выполняет указанную в конфигурации последовательность команд.

Помимо этого, при подключении по протоколу Telnet к устройству под управлением Linux он загружает на скомпрометированное устройство бинарный файл, который в свою очередь скачивает и запускает вредоносную программу Linux.Mirai.

Вредоносная программа может выполнять на удалённом компьютере команды, использующие технологию межпроцессного взаимодействия (inter-process communication, IPC). Троян также умеет запускать новые процессы и создавать различные файлы.

Более подробную информацию о зловреде можно получить здесь

DDoS-атака сделала сайт «Доктора Веба» недоступным

«Доктор Веб» сообщил о проведении DDoS-атаки на свой корпоративный сайт, в связи с чем некоторые онлайновые сервисы стали недоступны.

DDoS-атаки, или распределённые атаки типа «отказ в обслуживании», обычно проводятся с заражённых вредоносным программным обеспечением компьютеров и устройств. В случае успешного нападения добросовестные пользователи системы не могут получить доступ к предоставляемым ресурсам, либо этот доступ серьёзно затруднён.

Именно такой результат наблюдался в случае атаки на серверы «Доктора Веба». В минувший четверг, 26 января, корреспондентам 3DNews получить доступ к основному сайту компании не удавалось.

Впрочем, сейчас работоспособность ресурса восстановлена. По состоянию на 27 января каких-либо проблем с работой онлайновых служб «Доктора Веба» не наблюдалось. Однако сама компания говорит о возможных затруднениях с доступом к отдельным сервисам.

«Обращаем ваше внимание на то, что DDoS-атака не несёт опасности для личных данных пользователей или каких-либо ресурсов компании, так как представляет собой большое количество автоматически сгенерированных запросов к сетевому ресурсу с целью затруднить к нему доступ. Внутренние ресурсы компании также не испытывают перебоев в работе, так что вирусные базы составляются и обновляются оперативно, защите наших пользователей от вредоносного программного обеспечения ничто не угрожает», — говорится в сообщении компании. 

Количество банковских Android-троянов может резко возрасти

«Доктор Веб» сообщает о том, что сетевые злоумышленники выложили в открытый доступ исходный код и инструкции по использованию одной из банковских вредоносных программ, нацеленных на платформу Android. Это может привести к резкому росту количества зловредов, атакующих пользователей названной операционной системы.

Вирусописатели опубликовали исходный код нового вредоносного приложения лишь месяц назад, однако уже начали появляться трояны на его основе. Один из них —  Android.BankBot.149.origin. Этот зловред распространяется под видом безобидных приложений. После запуска банкер запрашивает доступ к функциям администратора мобильного устройства, чтобы усложнить своё удаление. Затем он прячется от пользователя, убирая свой значок с главного экрана.

BankBot может выполнять широкий спектр различных операций. Зловред, в частности, способен отправлять и перехватывать SMS, выполнять USSD-запросы, отслеживать местоположение устройства посредством GPS, показывать фишинговые окна, получать список контактов и пр.

Вредоносная программа крадёт у пользователей конфиденциальную информацию, отслеживая запуск приложений «банк-клиент» и ПО для работы с платёжными системами. Как только BankBot обнаруживает, что одно из таких приложений начало работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина и пароля для доступа к учётной записи банка и показывает её поверх атакуемого приложения.

Кроме того, троян пытается похитить информацию о банковской карте владельца заражённого гаджета. Для этого зловред отслеживает запуск популярных приложений, таких как Facebook, Viber, Youtube, Messenger, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter и Play Маркет, и показывает поверх них фишинговое окно настроек платёжного сервиса каталога Google Play. Результатом присутствия BankBot в системе может стать потеря серьёзных сумм денег.