16 октября 2017 года

Бэкдорами принято называть вредоносные программы, способные выполнять поступающие от злоумышленников команды и предоставлять им возможность несанкционированного управления инфицированным устройством. Аналитики «Доктор Веб» исследовали новый бэкдор, особенность которого заключается в том, что он написан на языке Python.

Эта вредоносная программа была добавлена в вирусные базы Dr.Web под именем Python.BackDoor.33. Внутри файла троянца хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы. Основные функции вредоносной программы реализованы в файле mscore.pyc.

Python.BackDoor.33 сохраняет свою копию в одной из папок на диске, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. Таким образом, основные вредоносные функции бэкдора выполняются после перезагрузки системы.

После перезагрузки троянец пытается заразить все подключенные к устройству накопители с именами от C до Z. Для этого он создает скрытую папку, сохраняет в ней копию своего исполняемого файла (также с атрибутом «скрытый»), после чего в корневой папке диска создает ссылку вида <имя тома>.lnk, которая ведет на вредоносный исполняемый файл. Все файлы, отличные от файла .lnk, VolumeInformation.exe и .vbs, он перемещает в созданную ранее скрытую папку.

Затем троянец пытается определить IP-адрес и доступный порт управляющего сервера, отправляя запрос к нескольким серверам в Интернете, включая pastebin.com, docs.google.com и notes.io. Полученное значение имеет следующий вид:

Если бэкдору удалось получить IP-адрес и порт, он отсылает на управляющий сервер специальный запрос. Если троянец получит на него ответ, он скачает с управляющего сервера и запустит на инфицированном устройстве сценарий на языке Python, добавленный в вирусные базы Dr.Web под именем Python.BackDoor.35. В этом сценарии реализованы функции кражи паролей (стилер), перехвата нажатия клавиш (кейлоггер) и удаленного выполнения команд (бэкдор). Кроме того, этот троянец умеет проверять подключенные к зараженному устройству носители информации и заражать их схожим образом. В частности, Python.BackDoor.35 позволяет злоумышленникам:

• красть информацию из браузеров Chrome, Opera, Yandex, Amigo, Torch, Spark;
• фиксировать нажатия клавиш и делать снимки экрана;
• загружать дополнительные модули на Python и исполнять их;
• скачивать файлы и сохранять их на носителе инфицированного устройства;
• получать содержимое заданной папки;
• перемещаться по папкам;
• запрашивать информацию о системе.

Помимо прочего, в структуре Python.BackDoor.35 предусмотрена функция самообновления, однако в настоящий момент она не задействована. Сигнатуры всех упомянутых выше вредоносных программ добавлены в вирусные базы Dr.Web и не представляют опасности для наших пользователей.

Подробнее о троянце

16 октября 2017 года

Компания «Доктор Веб» напоминает, что в тарифный пакет «Dr.Web Премиум» услуги «Антивирус Dr.Web» входит модуль Родительского контроля, с помощью которого можно защитить детей от нежелательного контента в Сети. О том, как настроить этот компонент, рассказывает наш новый обучающий видеоролик.

Пользуйтесь всеми возможностями Родительского контроля Dr.Web – видео

Родительский контроль довольно прост в использовании, однако обладает возможностями тонкой настройки, поэтому наше видео будет особенно полезно тем, кто хочет обеспечить максимально гибкие правила пользования компьютером и Интернетом для своих домочадцев.

Так, помимо Белого и Черного списков, в Родительском контроле используется функционал ограничения времени работы в Сети (или за ПК в целом) – например, чтобы ребенок не засиживался у монитора по ночам. Также можно ограничить доступ к файлам и папкам на самом компьютере или в локальной сети.

В ролике мы наглядно показываем, на что нужно нажимать, чтобы получить тот или иной результат, а также объясняем, как правильно защитить настройки Родительского контроля от изменения.

Подписывайтесь на тарифный пакет «Dr.Web Премиум», изучайте видео и оставайтесь спокойны за своих детей с Родительским контролем Dr.Web!

#Dr.Web #компоненты #Родительский_контроль #видео

12 октября 2017 года

Компания «Доктор Веб» уже публиковала материал о различных забавных артефактах, продающихся в отечественных интернет-магазинах, вроде чудотворной нити от сглаза или устройства для экономии топлива в автомобиле на основе магнита и черной магии. Мы продолжаем изучать эту увлекательную тему и сегодня расскажем о любопытных новинках из индустрии интернет-торговли сомнительными товарами.

Технологии, как известно, не стоят на месте. Судя по содержанию спам-рекламы, красные нитки от сглаза в последнее время понемногу выходят из моды. Вместо них сетевые жулики теперь предлагают всем желающим приобрести чудесные монеты-амулеты, якобы приносящие богатство и удачу.

В описаниях этого волшебного товара прекрасно решительно все: от придуманной неведомыми копирайтерами истории про молодого русского царя, которому дьякон православного монастыря подарил чудодейственный заговоренный амулет (что есть безусловный признак самого настоящего колдовства, за которое в те времена награждали торжественной посадкой на кол при большом скоплении народа), до описания самого амулета. Передаем микрофон сетевым коммерсантам: «Амулет согласно ритуала изготавливается и привязывается на конкретного человека, на его Имя. Ритуал основан на силе молитвы и предков. Основой, из которой изготавливается талисман, и выполняется ритуал, является царская монета. Мы используем только настоящие монеты царских времён!». Судя по китайским иероглифам на аверсе этих самых «амулетов», настоящие царские монеты в древние времена закупались мелким оптом исключительно на «Али-экспрессе», откуда и поставлялись ко двору. Как уверяют жулики, чудодейственный амулет «притягивает позитивные денежные потоки» (и, вероятно, оттягивает негативные денежные потоки – прямо в карман сетевых мошенников), в результате чего владелец этой безделушки обязательно сможет найти высокооплачиваемую работу, вернуть долги, выиграть в лотерее, построить дом, посадить печень и вырастить чакры на затылке. Мы ничуть не сомневаемся, что покупка монеты-амулета может принести богатство. Причем исключительно тем, кто ее продает по цене в полтора десятка раз выше, чем в интернет-магазинах Поднебесной.

Как говорил один из персонажей популярного фантастического сериала, зима близко. А в холода, как известно, согревает борода. Поэтому второе место в нашем сегодняшнем рейтинге нелепых интернет-товаров по праву занимает не что-нибудь, а самая настоящая «сыворотка для роста бороды».

Продавцы этого чудодейственного эликсира утверждают, что красивая борода — это реально, приводя в качестве обезоруживающего доказательства этого утверждения слегка отфотошопленную стоковую фотографию мужика, напоминающего гибрид Деда Мороза с моджахедом. Полностью согласна с этим выводом и «Ольга Алексеева, парикмахер высшей категории», чей восторженный отзыв красуется на сайте сетевых коммерсантов, — видимо, она уже отрастила себе длинную и шелковистую бороду с помощью волшебного «эликсира» и сейчас успешно выступает в цирке. К сожалению, специалисты «Доктор Веб» пока еще не имели шанса оценить эффективность волшебной «сыворотки для роста бороды», но при первой же возможности обязательно испытают ее на специально подготовленном для этой цели сотруднике.

Народная молва гласит, что реклама обычно врет. Нам известен как минимум один пример правдивой рекламы — слоган «У вас все склеится!», используемый продавцами моментального клея. Суперклей и вправду склеивает абсолютно все: пальцы, волосы, одежду – но только не то, что планировалось изначально. Однако интернет-коммерсанты предлагают уникальный и современный способ решения этой проблемы: чудесный суперклей по цене сварочного аппарата!

Волшебный моментальный клей, изготовленный, судя по стоимости, из смеси золота и платины, обладает удивительными свойствами: он затвердевает за 5 секунд, а также работает с различными материалами вроде пластика, дерева и стекла. То есть умеет все то же самое, что и обычный клей за 20 рублей, но в 100 раз дороже. Трудно сказать, пользуется ли это уникальное предложение спросом, но повеселило оно нас от души.

Среди прочих забавных предметов, активно рекламируемых в последнее время спамерами, нельзя не отметить замечательное изделие с таинственным названием «мультирезка». Нет, это не помесь мультиварки со стеклорезкой, а удивительное многофункциональное устройство, имеющее ручку от бритвы, лезвие от терки и цену от самолета.

«За доступную цену вы получаете приспособление для нарезания продуктов», — сообщают интернет-торговцы всем, кто ни разу в жизни не держал в руках кухонного ножа. Действительно, нарезание продуктов — это высокотехнологичный процесс, с которым может справиться только специалист с высшим кулинарным образованием и исключительно при помощи особого сертифицированного «приспособления». Но самое главное — «мультирезка» настолько универсальна, что ее можно мыть даже — даже! — в посудомоечной машине. Подумать только! Представляете? Правда, инструкции к современным посудомоечным машинам гласят, что в них можно мыть любые кухонные и столовые приборы. Один наш сотрудник как-то раз даже случайно вымыл в посудомойке свой айфон, и для машины это вовсе не закончилось чем-то ужасным. В отличие от айфона. Так что «мультирезку» мы пока заказывать не планируем — подождем, когда технологии достигнут такого уровня, что ее можно будет мыть мочалкой под обычным водопроводным краном.

Ну а в завершение этой статьи нам хотелось бы еще раз напомнить читателям, что к публикуемым на всевозможных торговых площадках сомнительным предложениям следует относиться с определенной долей скепсиса и здорового юмора. А мы, в свою очередь, продолжим добавлять ссылки на сайты сетевых «торговцев чудесами» в списки нежелательных для посещения ресурсов.

5 октября 2017 года

Российские школьники часто пользуются компьютерами взрослых, причем на многих из этих ПК отсутствует родительский контроль. У некоторых подростков установлен антивирус на «айфоне», а о том, защищены ли школьные компьютеры, большинство вообще не знает. Компания «Доктор Веб» делится парадоксальными результатами исследования, проведенного среди учеников 1-11 классов и их родителей.

Настольный компьютер имеется у подавляющего большинства опрошенных, при этом на ПК 51% респондентов установлен и антивирус, и родительский контроль. Только антивирусную программу используют 42%, а один лишь родительский контроль — 4%. Порядка 1% школьников не имеют собственного домашнего компьютера, еще столько же не уверены в том, защищен ли их ПК антивирусной программой.

Собственным ноутбуком, как оказалось, располагают почти 64% принявших участие в исследовании школьников. При этом у всех, кто ответил на этот вопрос утвердительно, на данном устройстве работает либо антивирус, либо родительский контроль:

Весьма распространены среди детей и подростков планшетные компьютеры — они имеются у 64% учащихся, однако 14% из них не считают необходимым защищать свой планшет с помощью антивируса. У чуть меньшего числа респондентов — 13% — на планшетном ПК установлены и антивирус, и родительский контроль.

Результаты опроса подтверждают высокую популярность смартфонов под управлением мобильной платформы Android — такое устройство имеется более чем у 82% школьников, при этом у подавляющего большинства ответивших (63%) на телефоне установлен антивирус, а в 23% случаев — в сочетании с родительским контролем. Более 16% Android-смартфонов не располагают антивирусной защитой.

В отличие от Android-устройств техника производства компании Apple не имеет широкого распространения среди российских подростков — «яблочными» смартфонами владеют только 8% опрошенных. При этом 5 человек из числа респондентов уверены, что на их iPhone установлен антивирус, которых для операционной системы iOS, как известно, не существует. По всей видимости, эти пятеро являются счастливыми обладателями китайского «айфона» с двумя сим-картами и модной выдвижной телевизионной антенной.

Доступ к родительскому компьютеру имеют 76% школьников, при этом ровно в половине случаев такие ПК имеют антивирусную защиту, а на оставшейся половине используется и антивирус, и родительский контроль. А вот к мобильным устройствам старшего поколения большинство учащихся доступа не имеет — именно так на этот вопрос ответили 55% опрошенных. При этом антивирусом защищено только 28% родительских смартфонов и планшетов.

Школьные компьютеры, как правило, находятся под контролем учителей информатики. Опрос подтвердил, что большинство учащихся не осведомлено о том, имеется ли на школьных ПК какая-либо антивирусная защита. Однако те, кто интересовался этим предметом, уверены, что учебные компьютеры защищены антивирусным ПО:

На вопрос, связанный с физическим ограничением доступа к USB-портам в компьютерных классах, респонденты ответили следующим образом:

Наконец, согласно результатам исследования, многие учащиеся не знают, фильтруется ли на школьных компьютерах доступ в Интернет. В том, что трафик в их учебных заведениях не подвергается никакой фильтрации, уверены лишь 4% респондентов.

По результатам опроса можно сделать вывод, что компьютеры или планшеты имеются практически в каждой российской семье, при этом с помощью антивируса или родительского контроля защищены в основном настольные ПК и ноутбуки. Порядка 15% мобильных устройств не имеют вообще никакой антивирусной защиты, и лишь на 14% смартфонов и планшетов, которыми пользуются дети, действует функция родительского контроля. Порядка 76% школьников работают за принадлежащими родителям компьютерами, но лишь около половины этих машин позволяют взрослым ограничить доступ своих детей к нежелательному контенту в Интернете.

3 октября 2017 года

Компания «Доктор Веб» сообщает об обновлении Windows-версии плагина Dr.Web для IBM Lotus Domino до версии 11.0.3. Обновление связано с исправлением выявленной ошибки и актуализацией документации администратора.

В Dr.Web для IBM Lotus Domino обновленной версии был изменен механизм декодирования MIME-заголовков, ранее приводивший к «зависанию» плагина.

Для установки обновленной версии Dr.Web для IBM Lotus Domino необходимо деинсталлировать предыдущую. Для сохранения имеющихся настроек рекомендуется воспользоваться функцией их экспорта/импорта.

Более подробная информация – в «Примечаниях к выпуску».

2 октября 2017 года

Компания «Доктор Веб» представляет брошюру «Как выбрать антивирус. Методика выбора средств антивирусной защиты». Брошюра адресована владельцам бизнеса и ИТ-профессионалам, выбирающим надежную антивирусную защиту для своей компании, а также всем, кто интересуется современными требованиями к корпоративным антивирусным решениям.

С развитием технического прогресса экономика все больше погружается в цифровую среду, и без компьютеров ведение конкурентоспособного бизнеса становится невозможным. В этих условиях надежная антивирусная защита, способная противостоять актуальным угрозам, становится критически важной для нормального функционирования компаний и их соответствия современным политикам информационной безопасности.

В настоящее время на рынке достаточно предложений антивирусного программного обеспечения, и владельцам бизнеса важно найти решение, которое подходит для конкретной компании. Более того, важно не просто выбрать подходящее решение – необходимо настроить его таким образом, чтобы все возможности антивируса, заложенные производителем, были реализованы на благо корпоративного пользователя максимально полно и эффективно.

Новая брошюра «Как выбрать антивирус. Методика выбора средств антивирусной защиты» компании «Доктор Веб» описывает основные причины заражения корпоративных сетей и меры противодействия им, рассказывает о требованиях к средствам антивирусной защиты для организаций и предприятий, предлагает методику выбора мер защиты и представляет продукты Dr.Web Enterprise Security Suite. Приглашаем владельцев бизнеса, руководителей ИТ-департаментов предприятий и организаций, а также специалистов, в чьи обязанности входит создание антивирусной системы защиты, ознакомиться с новой брошюрой компании «Доктор Веб» и использовать ее, выбирая корпоративное антивирусное решение.

29 сентября 2017 года

Компания «Доктор Веб» подводит итоги сентябрьского аукциона – две недели ставок пролетели незаметно и уже известно, какие лоты кому достались. Итак, внимание на победителей.

Завершен сентябрьский аукцион для участников сообщества Dr.Web

Обладателем МР3-плеера становится Дмитрий (г. Москва), а веб-камеры с микрофоном – sherhan75 (Воронежская область). Подставка для мобильного телефона и настенные часы на этот раз остались неразыгранными.

Сентябрьскую новинку – фирменный рюкзак Dr.Web – получает Сергей (г. Курган). Ставка – 6000 Dr.Web-ок!

Незаменимая вещь в ИТ-хозяйстве – пылесос для клавиатуры – отправляется к участнику сообщества Dr.Web под псевдонимом sgolden (г. Тюмень), а карточная игра «Мафия» порадует Дмитрия (г. Курган), remran (Латвия, г. Рига), Родриго (г. Удомля) и, конечно же, их друзей.

«Кот в мешке» на этот раз оказался энергичным – это универсальное зарядное устройство, и оно будет направлено пользователю по имени Владимир (г. Кемерово).

Полный перечень тех, кто уходит с аукциона не с пустыми руками, по традиции представлен ниже. Ура победителям, моральная поддержка проигравшим – и до скорой октябрьской встречи!

29 сентября 2017 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за сентябрь 2017 года. В прошедшем месяце стало известно о выявленных уязвимостях в реализации протокола Bluetooth, которые позволяют злоумышленниками получить полный контроль над атакуемыми устройствами и выполнять на них множество вредоносных действий. Кроме того, в каталоге Google Play был обнаружен очередной банковский троянец.

29 сентября 2017 года

В сентябре широкую известность получила группа уязвимостей BlueBorne в стеке протокола Bluetooth, которую выявили специалисты по информационной безопасности. Эти уязвимости позволяют злоумышленникам получить полный контроль над Bluetooth-совместимыми устройствами, распространять среди них вредоносные программы и незаметно красть конфиденциальную информацию. Кроме того, в прошедшем месяце в каталоге Google Play был найден очередной банковский троянец.

Мобильная угроза месяца

В сентябре стало известно об обнаружении целого ряда уязвимостей в стеке протокола Bluetooth, получивших название BlueBorne. Они позволяют злоумышленникам полностью контролировать широкий спектр атакуемых устройств, выполнять на них произвольный код и красть конфиденциальную информацию. Опасности подвержены в том числе смартфоны и планшеты под управлением Android, на которых не установлены закрывающие эти уязвимости «заплатки» ОС.

Специалисты компании «Доктор Веб» готовят обновление антивируса Dr.Web Security Space для Android, которое позволит наряду с уже известными уязвимостями обнаруживать на защищаемых устройствах и указанные программные ошибки.

По данным антивирусных продуктов Dr.Web для Android

Android.Click.171.origin

Представитель семейства троянцев, предназначенных для накрутки количества посещений заданных злоумышленниками веб-сайтов.

Android.DownLoader.337.origin

Троянская программа, предназначенная для загрузки других приложений.

Android.CallPay.1.origin

Вредоносная программа, которая предоставляет владельцам Android-устройств доступ к эротическим материалам, но в качестве оплаты этой «услуги» незаметно совершает звонки на премиум-номера.

Android.HiddenAds.109.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.Triada.152

Представитель семейства многофункциональных троянцев, выполняющих разнообразные вредоносные действия.

Adware.Jiubang.2

Adware.SalmonAds.1.origin

Adware.Fly2tech.2

Adware.Avazu.8.origin

Adware.Jiubang.1

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянец в Google Play

В сентябре в каталоге Google Play был выявлен банковский троянец Android.BankBot.234.origin, который скрывался в безобидной игре под названием Jewels Star Classic. Через некоторое время после запуска он запрашивает доступ к функциям специальных возможностей Android. С их помощью вредоносная программа скрытно устанавливает и запускает спрятанный в ее ресурсах троянец Android.BankBot.233.origin. В свою очередь, Android.BankBot.233.origin отслеживает запуск приложения «Play Маркет» и показывает поверх его окна фишинговую форму настройки платежного сервиса, в которой запрашивает информацию о банковской карте. Введенные пользователем сведения передаются вирусописателям, после чего те могут незаметно украсть деньги со счета жертвы, т. к. троянец перехватывает все СМС-сообщения с проверочными кодами.

Особенности Android.BankBot.234.origin:

• встроен в безобидную игру;
• чтобы не вызывать подозрений, начинает вредоносную деятельность спустя некоторое время после установки и запуска;
• пытается получить доступ к Специальным возможностям (Accessibility Service) устройства, с использованием которых может самостоятельно нажимать на кнопки в диалоговых окнах, включать необходимые системные параметры и устанавливать приложения;
• содержит в своих ресурсах троянца Android.BankBot.233.origin, который устанавливается незаметно для владельца зараженного смартфона или планшета и используется для кражи сведений о банковской карте.

Для владельцев Android-устройств опасность представляют не только вредоносные приложения, которые распространяются в Интернете и встречаются даже в официальном каталоге Android-программ Google Play, но и различные уязвимости операционной системы и ее компонентов. Для защиты от этих угроз необходимо своевременно устанавливать все доступные обновления, а также использовать антивирусные продукты Dr.Web для Android.

29 сентября 2017 года

Компания «Доктор Веб» представляет обзор вирусной активности в сентябре 2017 года. В течение первого осеннего месяца специалисты по информационной безопасности выявили сразу несколько сайтов, использующих сценарии на языке JavaScript для майнинга криптовалют. Кроме того, вирусные аналитики «Доктор Веб» установили, что с использованием «Интернета вещей» киберпреступники рассылают спам. Также в сентябре был обнаружен целый ряд опасных уязвимостей в стеке протоколов Bluetooth, угрожающих, в частности, пользователям мобильной платформы Android.

29 сентября 2017 года

В сентябре несколько средств массовой информации сообщили о том, что киберпреступники стали активно использовать браузеры пользователей для несанкционированного майнинга (добычи) криптовалют. Наибольшей популярностью у злоумышленников пользуется криптовалюта Monero (XMR).

Майнер, добавленный в сентябре в вирусные базы Dr.Web под именем Tool.BtcMine.1046, был написан на языке JavaScript. При заходе на некоторые сайты внедренный в код разметки веб-страниц сценарий JavaScript начинал майнить криптовалюту. По сообщениям пользователей, в этот момент нагрузка на процессор компьютера достигала 100%, и возвращалась к нормальным значениям только после закрытия окна браузера. Трудно сказать, является ли этот инцидент следствием взлома сайтов или добровольного внедрения майнера в код их владельцами. В настоящий момент при попытке перехода на веб-страницы, содержащие подобный сценарий, Антивирус Dr.Web предупреждает пользователей об обнаружении потенциально опасного содержимого.

Вскоре в вирусные базы был добавлен еще один похожий инструмент, получивший наименование Tool.BtcMine.1048. Этот майнер также был написан на JavaScript. Возможно, он был задуман как альтернатива заработку за счет размещения рекламы, однако использовался без явного согласия посетителей сайтов. Иными словами, указанная технология может применяться как легально, так и в целях криминального заработка. Подобные сценарии могут встраиваться в код сайта не только его владельцами, но и внедряться туда с помощью недобросовестных рекламодателей или в результате взлома. Кроме того, функция добычи криптовалюты может быть реализована и в плагинах, которые пользователи самостоятельно устанавливают в своих браузерах.

Также в сентябре специалисты по информационной безопасности обнаружили уязвимости в стеке протоколов Bluetooth, а аналитики «Доктор Веб» выяснили, что киберпреступники используют «Интернет вещей» для массовой рассылки спама.

Угроза месяца

Компания «Доктор Веб» уже рассказывала о вредоносной программе Linux.ProxyM, которая запускает на инфицированном Linux-устройстве SOCKS-прокси-сервер. Существуют сборки этого троянца для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC, то есть он может работать на многих «умных» устройствах, таких как роутеры, телевизионные приставки и т. д. Вирусные аналитики установили, что киберпреступники рассылают с помощью зараженных этим троянцем устройств спам, рекламирующий ресурсы для взрослых. Ежесуточно каждое зараженное Linux.ProxyM устройство рассылает порядка 400 писем. Активность этого ботнета показана на следующем графике:

Больше всего зараженных Linux.ProxyM устройств, с которых выполняются атаки, расположено в Бразилии. На втором месте по этому показателю – США, на третьем – Россия.

Более подробная информация о Linux.ProxyM изложена в статье, опубликованной на нашем сайте.

По данным статистики Антивируса Dr.Web

Trojan.Inject

Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.

Trojan.InstallCore

Семейство установщиков нежелательных и вредоносных приложений.

Trojan.BitCoinMiner.4

Представитель семейства вредоносных программ, предназначенных для скрытой добычи (майнинга) криптовалюты BitCoin.

Win32.Virut.5

Полиморфный вирус, заражающий исполняемые файлы. Содержит функции управления инфицированными компьютерами с использованием IRC-канала.

Trojan.BtcMine

Семейство вредоносных программ, которые втайне от пользователя применяют вычислительные ресурсы зараженного компьютера для добычи (майнинга) различных криптовалют – например, Bitcoin.

По данным серверов статистики «Доктор Веб»

Trojan.Inject

Семейство вредоносных программ, встраивающих вредоносный код в процессы других приложений.

JS.Inject.3

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.CCleaner.2

Вредоносная программа, обнаруженная в приложении CCleaner для оптимизации операционных систем Microsoft Windows.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Win32.HLLW.Shadow

Червь, использующий для своего распространения съемные носители и сетевые диски. Кроме того, может распространяться по сети с использованием стандартного протокола SMB. Способен загружать с управляющего сервера исполняемые файлы и запускать их.

Статистика вредоносных программ в почтовом трафике

Trojan.Inject

Семейство троянцев, встраивающих вредоносный код в процессы других программ.

VBS.DownLoader

Семейство вредоносных сценариев, написанных на языке VBScript. Загружают и устанавливают на компьютер другие вредоносные программы.

JS.Inject.3

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

По данным бота Dr.Web для Telegram

Android.Locker

Семейство Android-троянцев, предназначенных для вымогательства. Они показывают навязчивое сообщение якобы о нарушении закона и о последовавшей в связи с этим блокировке мобильного устройства, для снятия которой пользователю предлагается заплатить определенную сумму.

Android.Spy.337.origin

Представитель семейства троянцев для ОС Android, способных похищать конфиденциальную информацию, в том числе пользовательские пароли.

Joke.Locker.1.origin

Программа-шутка для ОС Android, блокирующая экран мобильного устройства и выводящая на него изображение «синего экрана смерти» ОС Windows (BSOD, Blue Screen of Death).

Android.Hidden

Семейство Android-троянцев, способных скрывать свой значок в списке приложений инфицированного устройства.

Шифровальщики

В сентябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 23,49% обращений;
• Trojan.Encoder.13671 — 5,33% обращений;
• Trojan.Encoder.11464 — 3,89% обращений;
• Trojan.Encoder.761 — 2,74% обращений;
• Trojan.Encoder.5342 — 2,02% обращений;
• Trojan.Encoder.567 — 2,00% обращений.

Опасные сайты

В течение сентября 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 298 324 интернет-адреса.

Вредоносное и нежелательное ПО для мобильных устройств

В сентябре появилась информация о выявленной группе опасных уязвимостей BlueBorne в реализации протокола Bluetooth. Им подвержены различные устройства, включая Android-смартфоны и планшеты. Эти уязвимости позволяют получить полный контроль над атакуемыми устройствами, выполнять на них произвольный код и похищать конфиденциальную информацию. Помимо этого в прошедшем месяце в каталоге Google Play был обнаружен троянец Android.BankBot.234.origin, предназначенный для кражи сведений о банковских картах.

Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:

• появление подробностей об обнаруженных ранее уязвимостях в стеке протокола Bluetooth;
• выявление в каталоге Google Play банковского троянца.

Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.

28 сентября 2017 года

Компания «Доктор Веб» сообщает об обновлении компонента Dr.Web File System Monitor (11.01.05.09130), драйвера Dr.Web Net Filter for Windows driver (11.1.5.09140), управляющего сервиса Dr.Web Control Service (11.0.24.09210 и 11.0.23.09210), сервиса перехвата трафика Dr.Web Net filtering Service (11.1.13.09140) и антируткитного модуля Dr.Web Anti-rootkit API (11.1.13.201709250) в ряде продуктов Dr.Web. В составе лечащей утилиты Dr.Web CureNet! 11.0 был также обновлен сканирующий сервис Dr.Web Scanning Engine (11.1.12.201709200). Обновление связано с обеспечением совместимости с Windows 10 RS3, чей выпуск компания Microsoft планирует в октябре этого года.

Изменения в Dr.Web Control Service (11.0.24.09210) для Dr.Web Security Space 11.0, Антивируса Dr.Web 11.0 для Windows, Антивируса Dr.Web 11.0 для файловых серверов Windows и Dr.Web Enterprise Security Suite 10.1, а также в Dr.Web Control Service (11.0.23.09210) для Dr.Web Enterprise Security Suite 10.0 и Dr.Web AV-Desk 10.0:

• доработан механизм регистрации продуктов в Windows Action Center (Windows Security Center);
• реализована совместимость с подсистемой Windows Defender Security Center на компьютерах под управлением Windows 10 RS3;
• устранена проблема, при которой после удаления антивируса и перезагрузки мог не запускаться Windows Defender.

Изменение в Dr.Web Control Service (11.0.24.09210) для Dr.Web Security Space 11.0, Антивируса Dr.Web 11.0 для Windows и Антивируса Dr.Web 11.0 для файловых серверов Windows:

• устранено возможное повторное появление уведомления о скором окончании лицензии Dr.Web на компьютерах под управлением Windows 10.

Изменение в Dr.Web Control Service (11.0.24.09210) для Dr.Web Enterprise Security Suite 10.1 и в Dr.Web Control Service (11.0.23.09210) для Dr.Web Enterprise Security Suite 10.0 и Dr.Web AV-Desk 10.0:

• устранена проблема, из-за которой после обновления Windows 10 RS2 до Insider Preview осуществлялся переход защищаемых станций в группу Newbies («Новички»).

Изменения в Dr.Web Net filtering Service для Dr.Web Security Space 11.0, Dr.Web Enterprise Security Suite 10.0 и 10.1 и Dr.Web AV-Desk 10.0:

• исправлена работа исключений веб-антивируса SpIDer Gate, заданных регулярными выражениями со спецсимволами;
• устранена причина возможных «зависаний» приложений и ряда сервисов (таких как удаленный рабочий стол, Skype, браузеры) на компьютерах под управлением Windows 10.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

27 сентября 2017 года

Компания «Доктор Веб» вносит изменения в порядок выдачи виртуальных наград за комментирование новостей и выпусков проекта «Антивирусная правДА!»: отныне за малосодержательные и односложные комментарии Dr.Web-ки начисляться не будут.

Сообщество Dr.Web растет с каждым днем, и компания «Доктор Веб» уделяет большое внимание работе с обратной связью от пользователей, которая поступает в том числе через комментирование новостей на сайте антивирус.рф и выпусков проекта «Антивирусная правДА!». Мы считаем несправедливым, что к людям, которые делают развернутые комментарии, вносят пожелания и предложения по улучшению работы сайта или развитию наших проектов, инициируют интересные обсуждения и регулярно демонстрируют свое неравнодушное отношение к вопросам информационной безопасности, и к авторам комментариев «спасибо», «супер», «ок», «+» и пр. применяется одинаковая система наград. Поэтому отныне за малосодержательные и односложные комментарии Dr.Web-ки не начисляются. Также обращаем внимание, что система комментирования усовершенствована: сообщения из нескольких букв или символов публиковаться не будут.

Для полноценных содержательных комментариев система поощрения остается прежней.

27 сентября 2017 года

Компания «Доктор Веб» сообщает об очередном улучшении на сайте антивирус.рф: добавлена возможность поиска новостей по ключевым словам.

Теперь новости компании «Доктор Веб» снабжаются хэштегами — ключевыми словами, по которым можно быстро найти в новостном потоке определенную информацию или конкретную новость, которую вы хотите перечитать. Например, в результате поиска по хэштегу #шифровальщик пользователь увидит список новостей о троянцах-вымогателях и сможет больше узнать об этой актуальной угрозе.

В результатах поиска также будут выводиться выпуски проекта «Антивирусная правДА!» и тесты ВебIQметра, тематически связанные с хэштегом.

Приглашаем всех посетителей сайта антивирус.рф пользоваться новой удобной возможностью поиска по хэштегам.

25 сентября 2017 года

Компания «Доктор Веб» сообщает об обновлении сканирующего сервиса Dr.Web Scanning Engine (11.1.12.201709200) в продуктах Dr.Web Security Space 11.0, Антивирус Dr.Web 11.0, Dr.Web Enterprise Security Suite 10.0 и 10.1, Dr.Web 11.0 для MS Exchange, Dr.Web 11.0 для Microsoft ISA Server и Forefront TMG, Dr.Web 11.0 для IBM Lotus Domino и Dr.Web AV-Desk 10.0. Обновление связано с усовершенствованием и внесением внутренних изменений.

В сканирующем сервисе было улучшено взаимодействие с Dr.Web Cloud и изменена периодичность записей журнала файлового монитора SpIDer Guard.

Обновление пройдет автоматически, но потребует перезагрузки компьютеров.

19 сентября 2017 года

Компания «Доктор Веб» сообщает о выпуске Dr.Web Light 11.0.0 для macOS. Продукт был серьезно переработан и улучшен.

В рамках одиннадцатой версии концепция Dr.Web Light для macOS была полностью изменена: на смену главному окну пришел единый агент, гармонично расширяющий функциональность ОС, не выходя за пределы меню состояния.

Все подсистемы приложения были оптимизированы, что позволило в частности уменьшить потребление ресурсов защищаемого устройства.

Вместе с тем прекращена поддержка устройств под управлением Mac OS X 10.7 и OS X 10.8.

Для обновления Dr.Web Light для macOS до версии 11.0.0 необходимо открыть магазин приложений Mac App Store и на вкладке обновлений нажать на кнопку Update рядом с названием продукта. Обновление для пользователей продукта – бесплатно.

Напомним, что функциональные возможности Dr.Web Light для macOS ограничены, для полноценной защиты рекомендуем использовать Dr.Web для macOS.

15 сентября 2017 года

Компания «Доктор Веб» открывает для участников сообщества Dr.Web ставки сентябрьского аукциона. Розыгрыш лотов состоится 28 сентября, а выбрать желанный артефакт и попытаться закрепить его за собой можно уже сегодня.

Выиграйте рюкзак или другие лоты на аукционе «Доктор Веб»

По случаю начала учебного года мы добавили новый приз – фирменный рюкзак Dr.Web. Помимо него в группе обычных лотов разыгрываются пылесос для клавиатуры, карточная игра «Мафия», брелок-фонарик и ряд других виртуальных и реальных ценностей.

Спецлоты представлены предметами одежды и рядом гаджетов, а также годовой лицензией на Dr.Web Security Space.

Приглашаем выбирать артефакты по душе – и делать ставки!

13 сентября 2017 года

Компания «Доктор Веб» сообщает об обновлении сканера Dr.Web Scanner SE (11.0.10.09010) в продуктах Dr.Web Security Space 11.0, Антивирус Dr.Web 11.0, Антивирус Dr.Web 11.0 для файловых серверов Windows, Dr.Web Enterprise Security Suite 10.0 и 10.1 и в составе интернет-сервиса Dr.Web AV-Desk 10.0. Обновление связано с исправлением выявленных ошибок.

Были устранены причины возможного аварийного завершения работы сканера на защищаемых компьютерах.

Обновление пройдет автоматически.

12 сентября 2017 года

Количество вредоносных программ, способных заражать «умные» устройства под управлением ОС Linux, непрерывно растет. Значительная их часть предназначена для DDoS-атак и обеспечения анонимности в сети. Как показало проведенное специалистами «Доктор Веб» исследование, киберпреступники используют таких Linux-троянцев для массовых почтовых рассылок.

Речь идет о вредоносной программе Linux.ProxyM, о которой мы уже рассказывали в июне. Напомним, что этот троянец запускает на инфицированном устройстве SOCKS-прокси-сервер и способен детектировать ханипоты (от англ. honeypot — «горшочек с медом») — специальные ресурсы, созданные исследователями вредоносных программ в качестве приманки для злоумышленников. Соединившись со своим управляющим сервером и получив от него подтверждение, Linux.ProxyM загружает с этого сервера адреса двух интернет-узлов: с первого он получает список логинов и паролей, а второй необходим для работы SOCKS-прокси-сервера. Существуют сборки этого троянца для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC. Иными словами, Linux.ProxyM может работать практически на любом устройстве под управлением Linux, включая роутеры, телевизионные приставки и другое оборудование.

Вирусные аналитики «Доктор Веб» выяснили, что с использованием Linux.ProxyM злоумышленники рассылают спам. С управляющего сервера на зараженное устройство поступает команда, содержащая адрес SMTP-сервера, логин и пароль для доступа к нему, список почтовых адресов и сам шаблон сообщения. В письмах рекламируются различные сайты категории «для взрослых». Типичное сообщение электронной почты, отправляемое с использованием зараженных Linux.ProxyM устройств, имеет следующее содержание:

Subject: Kendra asked if you like hipster girls

A new girl is waiting to meet you.
And she is a hottie!
Go here to see if you want to date this hottie
(Copy and paste the link to your browser)
http://whi*******today.com/
check out sexy dating profiles
There are a LOT of hotties waiting to meet you if we are being honest!

Согласно статистике, имеющейся в распоряжении компании «Доктор Веб», в среднем в течение суток каждое зараженное Linux.ProxyM устройство рассылает порядка 400 писем. График зафиксированного нашими специалистами количества атак троянца Linux.ProxyM представлен ниже.

Количество уникальных IP-адресов зараженных устройств показано на следующей диаграмме. Следует отметить, что иллюстрация показывает только число наблюдаемых аналитиками «Доктор Веб» ботов, реальное же количество инфицированных устройств может быть больше.

Распределение источников атак с использованием Linux.ProxyM по географическому признаку за минувшие 30 дней показано на следующей иллюстрации:

Можно предположить, что ассортимент реализуемых Linux-троянцами функций будет расширяться и в дальнейшем. «Интернет вещей» уже давно находится в фокусе интересов вирусописателей, о чем свидетельствует широкое распространение вредоносных программ для Linux, способных заражать устройства с различной аппаратной архитектурой.

6 сентября 2017 года

Компания «Доктор Веб» сообщает об обновлении веб-антивируса SpIDer Gate в продуктах Антивирус Dr.Web 11.0.3 для Linux, Антивирус Dr.Web 11.0.3 для файловых серверов UNIX и Антивирус Dr.Web 11.0.3 для интернет-шлюзов UNIX. Обновление связано с исправлением выявленной ошибки.

Была устранена ошибка обработки почтовых протоколов, препятствовавшая получению входящих писем с некоторых почтовых серверов.

Обновление доступно для продуктов, установленных через репозиторий Dr.Web.

5 сентября 2017 года

Компания «Доктор Веб» сообщает об обновлении агента SpIDer Agent for Windows (11.0.20.08290), модуля Dr.Web Updater (11.0.28.08160), управляющего сервиса Dr.Web Control Service (11.0.20.08310 и 11.0.19.08310) и конфигурационных скриптов Lua-script for dws-parental-control (11.0.6.08220) в ряде продуктов Dr.Web. Обновление связано с исправлением выявленных ошибок.

Изменение в агенте для Dr.Web Security Space и Антивируса Dr.Web:

• устранена проблема, из-за которой при добавлении нового ключевого файла после истечения срока действия текущей лицензии в меню агента компоненты и сканер отображались выключенными.

Изменение в модуле обновления:

• устранена проблема, из-за которой при отсутствии доступа к папке ProgramData обновление завершалось ошибкой.

Изменение в Dr.Web Control Service (11.0.20.08310) для Dr.Web Security Space, Антивируса Dr.Web и Антивируса Dr.Web для файловых серверов Windows и в Dr.Web Control Service (11.0.19.08310) для Dr.Web AV-Desk:

• устранена причина возможного появления «дедлока» при завершении работы сервиса.

Изменение в Dr.Web Control Service (11.0.20.08310) для Dr.Web Enterprise Security Suite 10.1 и в Dr.Web Control Service (11.0.19.08310) для Dr.Web Enterprise Security Suite 10.0:

• исправлена проблема, при которой блокировка доступа к сменным носителям после удаления Родительского/Офисного контроля не прекращалась.

Обновление пройдет автоматически.

1 сентября 2017 года

Компания «Доктор Веб» поздравляет всех школьников и их родителей с Днем знаний и предлагает ответить на несколько вопросов, за ответы на которые «двойку» никто не поставит: мы подготовили небольшой опрос на тему «Учеба и кибербезопаность». А за прохождение опроса полагается 10 Dr.Web-ок!

С каждым годом не только компьютеры, но и различные гаджеты играют все большую роль как в развлечениях, так и в учебе. Попробуем разобраться, как сегодня обстоят дела с информационной защитой личных «девайсов» школьников, а также школьных компьютерных классов.

На каждый вопрос можно дать только один ответ. Отвечать могут как сами учащиеся, так и их родители. Заранее благодарим за участие в опросе!

31 августа 2017 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за август 2017 года. В прошедшем месяце в каталоге Google Play были обнаружены троянцы, выполнявшие DDoS-атаки на веб-сайты. Кроме того, были выявлены вредоносные программы, которые незаметно загружали веб-страницы и автоматически нажимали на размещенные на них рекламные баннеры. Также в августе вирусная база Dr.Web пополнилась записью для опасного Android-банкера, крадущего конфиденциальную информацию. Помимо этого, в Google Play проник троянец-дроппер, предназначенный для установки других вредоносных приложений.

31 августа 2017 года

В августе в каталоге Google Play было обнаружено большое число вредоносных Android-приложений, в том числе троянцы, которые выполняли DDoS-атаки. Другие вредоносные программы незаметно загружали указанные злоумышленниками веб-сайты и самостоятельно нажимали на размещенные на них баннеры, за что вирусописатели получали вознаграждение. Еще один Android-троянец, выявленный в Google Play в августе, показывал поддельные формы ввода поверх запускаемых программ и похищал логины, пароли и другую конфиденциальную информацию. Кроме того, в последнем летнем месяце в Google Play был найден троянец-дроппер, предназначенный для установки прочих вредоносных приложений.

Мобильная угроза месяца

В августе в каталоге Google Play было обнаружено несколько троянцев семейства Android.Click. Два из них получили имена Android.Click.268 и Android.Click.274 соответственно. После запуска они незаметно для владельцев мобильных устройств выполняли DDoS-атаки («Отказ в обслуживании») на указанные вирусописателями веб-сайты, открывая несколько их копий, а также могли по команде отправлять множество сетевых пакетов на целевые серверы. В результате пользователи зараженных Android-смартфонов и планшетов, которые загрузили эти программы, невольно становились соучастниками киберпреступлений.

Другой троянец, добавленный в вирусную базу Dr.Web как Android.Click.269, незаметно открывал заданные в командах злоумышленников веб-сайты и нажимал на размещенные на них баннеры. За это авторы вредоносного приложения получали вознаграждение. Помимо этого, Android.Click.269 показывал рекламу при разблокировке экрана зараженных Android-устройств.

Все указанные троянцы были встроены в ПО для просмотра видео с сервиса YouTube.

Особенности Android.Click.268 и Android.Click.274:

• осуществляют DDoS-атаки на сайты, незаметно для пользователя загружая 20 копий заданного злоумышленниками веб-ресурса;
• могут выполнять DDoS-атаки на удаленные хосты по протоколу UDP, отправляя 10 000 000 пакетов на указанный в команде порт сервера.

Особенности Android.Click.269:

• незаметно открывает указанные в команде вирусописателей веб-сайты и автоматически нажимает на рекламные баннеры, принося авторам троянца прибыль;
• показывает рекламу при разблокировке экрана зараженного мобильного устройства.

По данным антивирусных продуктов Dr.Web для Android

Android.DownLoader.337.origin

Android.DownLoader.526.origin

Троянские программы, предназначенные для загрузки других приложений.

Android.CallPay.1.origin

Вредоносная программа, которая предоставляет владельцам Android-устройств доступ к эротическим материалам, но в качестве оплаты этой «услуги» незаметно совершает звонки на премиум-номера.

Android.HiddenAds.85.origin

Android.HiddenAds.83.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Jiubang.2

Adware.Fly2tech.2

Adware.SalmonAds.1.origin

Adware.Jiubang.1

Adware.Batmobi.4

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянец в Google Play

В последнем летнем месяце в вирусную базу Dr.Web был добавлен банковский троянец Android.BankBot.225.origin, который распространялся через каталог Google Play. Он был скрыт внутри приложения под названием «Earn Real Money Gift Cards», предназначенного для получения подарочных денежных сертификатов за установку рекламируемых программ.

Android.BankBot.225.origin отслеживает запуск банковских и других приложений и показывает поверх их окон поддельные формы ввода конфиденциальной информации. Кроме того, по команде вирусописателей он может скачивать на зараженные устройства прочие программы, которые затем пытается установить.

Еще один троянец, обнаруженный в Google Play в августе, был внесен в вирусную базу Dr.Web как Android.MulDrop.1067. Он скрывался в игре под названием «Bubble Shooter Wild Life». При каждом старте эта вредоносная программа запрашивает разрешение на отображение элементов интерфейса поверх других приложений.

Через некоторое время после запуска она пытается получить доступ к специальным возможностям (Accessibility Service), показывая соответстующее уведомление. Если владелец устройства соглашается предоставить троянцу нужные полномочия, Android.MulDrop.1067 может самостоятельно устанавливать другие Android-приложения, автоматически нажимая на кнопки в диалоговых окнах и подтверждая все действия. Троянец проверяет наличие на карте памяти apk-файла, который он должен установить, однако текущая версия Android.MulDrop.1067 не содержит никаких скрытых файлов и не имеет функции загрузки их из Интернета. Это может говорить о том, что троянец все еще находится на стадии разработки.

Вирусописатели всеми способами пытаются распространять Android-троянцев через каталог приложений Google Play. Чтобы увеличить вероятность заражения мобильных устройств, они встраивают вредоносные программы в полнофункциональные приложения и используют различные механизмы обхода проверки безопасности, чтобы троянцы как можно дольше оставались незамеченными. Для защиты смартфонов и планшетов под управлением ОС Android пользователям необходимо установить антивирусные продукты Dr.Web, которые способны бороться с современными Android-угрозами.

31 августа 2017 года

Компания «Доктор Веб» представляет обзор вирусной активности в августе 2017 года. В начале последнего летнего месяца были зафиксированы рассылки, с помощью которых злоумышленники пытались скомпрометировать веб-сайты, обманув их администраторов. Также в августе был обнаружен троянец-майнер для Linux, в коде загрузчика которого упоминается адрес сайта Брайана Кребса, а в вирусные базы Dr.Web были добавлены версии загрузчиков троянца Linux.Hajime для устройств с архитектурой MIPS и MIPSEL.