21 октября 2019 года

Компания «Доктор Веб» сообщает об обновлении драйвера Dr.Web Firewall for Windows driver (12.05.00.10070), сканирующего сервиса Dr.Web Scanning Engine (12.5.1.201910020), антируткитного модуля Dr.Web Anti-rootkit API (12.5.2.201910080), модуля Dr.Web File System Monitor (12.05.01.09230), модуля самозащиты Dr.Web Protection for Windows (12.05.01.09250), Dr.Web SysInfo (12.5.0.201909270), Dr.Web Thunderstorm Cloud Client SDK (12.0.7.09170) и конфигурационного скрипта Lua-script main (12.5.0.10040) в продуктах Dr.Web Security Space 12.0, Антивирус Dr.Web 12.0 и Антивирус Dr.Web 12.0 для файловых серверов Windows. В составе Dr.Web Security Space 12.0 и Антивируса Dr.Web 12.0 также были обновлены сервис перехвата трафика Dr.Web Net Filtering Service (12.5.0.09270), служба Dr.Web Firewall for Windows (12.05.00.10110), Dr.Web for Outlook Plugin (12.0.7.201910040) и конфигурационный скрипт Lua-script for net-filter (12.0.0.06170). Обновление связано с усовершенствованием функционала, исправлением выявленных ошибок и внесением внутренних изменений.

Изменение в Dr.Web Firewall for Windows driver:

• исправлена ошибка, приводившая к неработоспособности созданных пользователем запрещающих правил для приложений.

Изменение в Dr.Web Scanning Engine:

• исправлена проблема, возникавшая при включенной проверке объектов в сети и приводившая к ошибке восстановления предыдущей версии файла из теневой копии, хранящейся на сервере.

Изменение в Dr.Web Anti-rootkit API:

• улучшены механизмы обнаружения и обезвреживания угроз.

Изменение в Dr.Web Protection for Windows:

• устранена ошибка, приводившая к неработоспособности модулей Dr.Web при совместной работе с ПО Dallas Lock.

Изменения в Dr.Web Net Filtering Service:

• устранена проблема с доступом к веб-интерфейсу роутеров Mikrotik;
• решена проблема с подключением приложения Your Phone к Android-смартфону на ПК под управлением Windows 10;
• ликвидирована проблема с отображением списка станций в локальной сети на ПК под управлением на Windows 10.

Изменения в Dr.Web for Outlook Plugin:

• доработан механизм блокировки отправки вредоносных вложений;
• улучшено поведение при проверке письма с вложением в присутствии включенного файлового монитора SpIDer Guard.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

17 октября 2019 года

Компания «Доктор Веб» сообщает об обновлении продукта Dr.Web Light для macOS до версии 11.1.1. Обновление связано с исправлением выявленной ошибки и внесением внутренних изменений.

В продукте было исправлено отображение графического интерфейса при включенном темном режиме на компьютерах под управлением macOS 10.14 и выше.

Для обновления Dr.Web Light для macOS до версии 11.1.1 необходимо открыть магазин приложений Mac App Store и на вкладке обновлений нажать на кнопку Update рядом с названием продукта. Обновление для пользователей продукта – бесплатно.

Напомним, что функциональные возможности Dr.Web Light для macOS ограничены, для полноценной защиты рекомендуем использовать Dr.Web для macOS.

17 октября 2019 года

Компания «Доктор Веб» обнаружила в официальном каталоге Android-приложений троянца-кликера, который способен автоматически подписывать пользователей на платные сервисы.

Вирусные аналитики выявили несколько модификаций этой вредоносной программы, получившие имена Android.Click.322.origin, Android.Click.323.origin и Android.Click.324.origin. Чтобы скрыть их истинное предназначение, а также снизить вероятность обнаружения троянца, злоумышленники использовали несколько приемов. Во-первых, они встроили кликера в безобидные приложения — фотокамеры и сборники изображений, — которые выполняли заявленные функции. В результате у пользователей и специалистов по информационной безопасности не было явных причин рассматривать их как угрозу.

Во-вторых, все вредоносные программы были защищены коммерческим упаковщиком Jiagu, который усложняет детектирование антивирусами и затрудняет анализ кода. Таким образом у троянца было больше шансов избежать обнаружения встроенной защитой каталога Google Play.

В-третьих, вирусописатели пытались замаскировать троянца под известные рекламно-аналитические библиотеки. После добавления в программы-носители он встраивался в присутствовавшие в них SDK от Facebook и Adjust, скрываясь среди их компонентов.

Кроме того, кликер атаковал пользователей избирательно: он не выполнял никаких вредоносных действий, если потенциальная жертва не являлась жителем одной из интересующих злоумышленников стран.

Ниже приведены примеры приложений с внедренным в них троянцем:

После установки и запуска кликер (здесь и далее в качестве примера будет выступать его модификация Android.Click.322.origin) пытается получить доступ к уведомлениям операционной системы, показывая следующий запрос:

Если пользователь согласится предоставить ему необходимые разрешения, троянец сможет скрывать все уведомления о входящих СМС и перехватывать тексты сообщений.

Далее кликер передает на управляющий сервер технические данные о зараженном устройстве и проверяет серийный номер SIM-карты жертвы. Если та соответствует одной из целевых стран, Android.Click.322.origin отправляет на сервер информацию о привязанном к ней номере телефона. При этом пользователям из определенных государств кликер показывает фишинговое окно, где предлагает самостоятельно ввести номер или авторизоваться в учетной записи Google:

Если же SIM-карта жертвы не относится к интересующей злоумышленников стране, троянец не предпринимает никаких действий и прекращает вредоносную деятельность. Исследованные модификации кликера атакуют жителей следующих государств:

• Австрия
• Италия
• Франция
• Таиланд
• Малайзия
• Германия
• Катар
• Польша
• Греция
• Ирландия

После передачи информации о номере Android.Click.322.origin ожидает команды от управляющего сервера. Тот отправляет троянцу задания, в которых содержатся адреса веб-сайтов для загрузки и код в формате JavaScript. Этот код используется для управления кликером через интерфейс JavascriptInterface, показа всплывающих сообщений на устройстве, выполнения нажатий на веб-страницах и других действий.

Получив адрес сайта, Android.Click.322.origin открывает его в невидимом WebView, куда также загружается принятый ранее JavaScript с параметрами для кликов. После открытия сайта с сервисом премиум-услуг троянец автоматически нажимает на необходимые ссылки и кнопки. Далее он получает проверочные коды из СМС и самостоятельно подтверждает подписку.

Несмотря на то, что у кликера нет функции работы с СМС и доступа к сообщениям, он обходит это ограничение. Это происходит следующим образом. Троянский сервис следит за уведомлениями от приложения, которое по умолчанию назначено на работу с СМС. При поступлении сообщения сервис скрывает соответствующее системное уведомление. Затем он извлекает из него информацию о полученном СМС и передает ее троянскому широковещательному приемнику. В результате пользователь не видит никаких уведомлений о входящих СМС и не знает о происходящем. О подписке на услугу он узнает только тогда, когда с его счета начнут пропадать деньги, либо когда он зайдет в меню сообщений и увидит СМС, связанные с премиум-сервисом.

После обращения специалистов «Доктор Веб» в корпорацию Google обнаруженные вредоносные приложения были удалены из Google Play. Все известные модификации этого кликера успешно детектируются и удаляются антивирусными продуктами Dr.Web для Android и потому не представляют угрозу для наших пользователей.

Подробнее об Android.Click.322.origin

#Android, #Google_Play, #кликер, #платная_подписка

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

16 октября 2019 года

Компания «Доктор Веб» примет участие в международной конференции по кибербезопасности Avar 2019, которая будет проходить в Осаке, Япония, с 6 по 9 ноября 2019 года. Специалисты компании расскажут о нашумевшем ботнете Trojan.Belonard, с которым столкнулись игроки Counter-Strike. Напомним, что все модули троянца Belonard успешно определяются антивирусом Dr.Web.

Обычно, когда речь идет об угрозах в видеоиграх, подразумевается в первую очередь «увод» аккаунта. Но есть и другая опасность, которую специалисты часто упускают из виду, – целая индустрия подпольных сервисов действует для продвижения игровых серверов. При этом нередко используются нелегальные методы, в том числе заражение игровых клиентов. Ботнет Trojan.Belonard был разработан для продвижения серверов в Counter-Strike 1.6.

8 ноября в рамках конференции главный вирусный аналитик «Доктор Веб» Игорь Здобнов и его коллега Иван Королев подробно расскажут об угрозе Trojan.Belonard. Об этом троянце наши специалисты создали обширное исследование, которое мы опубликовали в марте этого года. С использованием уязвимости клиента популярнейшей игры Counter-Strike создатели троянца зарабатывали на раскрутке игровых серверов, массово заражая компьютеры геймеров. Благодаря работе наших вирусных аналитиков Dr.Web научился определять все модули троянца, и тот перестал представлять угрозу для пользователей нашего антивируса.

#игры #конференции #ботнет

10 октября 2019 года

Обновление связано с актуализацией компонентов, а также внесены изменения, направленные на улучшение обезвреживания угроз.

В составе утилиты были обновлены антируткитный модуль Dr.Web Anti-rootkit API (12.5.2.201910080), сканирующий сервис Dr.Web Scanning Engine (12.5.1.201910020) и модуль самозащиты Dr.Web Protection for Windows (12.05.01.09250).

Вместе с тем было исправлено ложное обнаружение REG:SUSPICIOUS.UserinitCorrupted при сканировании реестра в процессе проверки на руткиты, исправлена проблема с обезвреживанием угроз, обнаруженных в планировщике задач Windows.

Обновлена как бесплатная, так и платная версия утилиты.

Скачать Dr.Web CureIt!

10 октября 2019 года

Компания «Доктор Веб» сообщает об обновлении модулей drweb-maild (11.1.4-1910081539), drweb-antispam (11.1.4-1909241809), drweb-ctl (11.1.3-1909181025), drweb-update (11.1.2-1907241204), drweb-smbspider (11.1.2-1909131526, 11.1.2-1909131619), drweb-statd (11.1.2-1909261115), drweb-icapd (11.1.2-1908052330), drweb-common (11.1.2-1908131611), drweb-esagent (11.1.3-1909121441), drweb-configd (11.1.4-1909121647), drweb-gated (11.1.1-1909042330) в составе продуктов Dr.Web 11.1 для UNIX. Необходимость обновления модулей связана с добавлением новых функциональных возможностей, исправлением выявленных ошибок и внесением внутренних изменений.

Изменения компонентов в составе Антивируса Dr.Web 11.1 для почтовых серверов UNIX, Антивируса Dr.Web 11.1 для файловых серверов UNIX, Антивируса Dr.Web 11.1 для интернет-шлюзов UNIX и Антивируса Dr.Web 11.1 для Linux.

drweb-maild, drweb-antispam:

• исправлена ошибка при подключении по неизвестному типу сокета в протоколе Milter;
• оптимизирована работа с памятью при обработке писем.

drweb-smbspider (linux amd64 – drweb-smbspider):

• пересобран модуль Samba 4.10 для корректной работы на FreeBSD.

drweb-icapd

• реализована возможность задавать правила с помощью Lua.

Изменение drweb-ctl и drweb-update в составе Антивируса Dr.Web для Linux и Антивируса Dr.Web 11.1 для почтовых серверов UNIX:

• реализовано офлайн-обновление.

Изменение drweb-statd в составе Антивируса Dr.Web 11.1 для файловых серверов UNIX:

• реализована ротация базы с событиями.

Обновление осуществляется через репозиторий Dr.Web. В случае возникновения проблем при обновлении необходимо подключить дополнительный репозиторий в соответствии с инструкцией из новости от 4 июля.

9 октября 2019 года

Компания «Доктор Веб» сообщает об обновлении антируткитного модуля Dr.Web Anti-rootkit API (12.5.1.201910040) в продуктах Dr.Web Security Space версии 12.0, Антивирус Dr.Web версии 12.0 и Антивирус Dr.Web 12.0 для файловых серверов Windows. Обновление связано с исправлением выявленных ошибок и внесением внутренних изменений.

В антируткитном модуле исправлена проблема с обезвреживанием угроз, обнаруженных в планировщике задач Windows.

Обновление пройдет для пользователей автоматически.

9 октября 2019 года

Компания «Доктор Веб» представляет обзор вирусной активности за сентябрь 2019 года. В прошедшем месяце пользователи чаще всего сталкивались с рекламными программами. В почтовом трафике преобладали угрозы, эксплуатирующие уязвимости документов Microsoft Word. Увеличилось число запросов в техническую поддержку на расшифровку файлов, а также количество выявленных опасных и нерекомендуемых сайтов. Об этих и других событиях читайте в нашем обзоре.

Читать обзор полностью

9 октября 2019 года

По сравнению с прошлым месяцем в сентябре статистика серверов Dr.Web зафиксировала увеличение общего числа угроз на 19.96%. В то же время доля уникальных угроз снизилась на 50.45%. Чаще всего пользователей атаковали программы для показа рекламы, а также загрузчики и установщики ПО. В почтовом трафике вновь преобладали угрозы, которые для заражения устройств используют уязвимости документов Microsoft Office.

Выросло число обращений пользователей на расшифровку файлов, пострадавших от троянцев-шифровальщиков. При этом самым активным энкодером стал Trojan.Encoder.858 — на его долю пришлось 16.60% всех инцидентов. Кроме того, в базу нерекомендуемых и вредоносных сайтов было внесено почти вдвое больше интернет-адресов, чем в августе.

По данным серверов статистики «Доктор Веб»

Наиболее распространенные угрозы сентября:

Adware.SweetLabs.1

Adware.SweetLabs.2

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Adware.Elemental.14

Детектирование рекламных программ, которые путем подмены ссылок загружаются с файлообменных сервисов при попытке скачать с них те или иные файлы. Вместо ожидаемых файлов жертвы получают эти приложения, которые показывают рекламу, а также инсталлируют ненужное ПО.

Adware.Softobase.15

Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.

Adware.Ubar.13

Торрент-клиент, устанавливающий нежелательное ПО на устройство.

Статистика вредоносных программ в почтовом трафике

Exploit.Rtf.CVE2012-0158

Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.

Trojan.SpyBot.699

Троянец-шпион, способный перехватывать вводимые на клавиатуре символы (кейлоггер).

W97M.DownLoader.2938

Семейство троянцев-загрузчиков, использующих в работе уязвимости документов Microsoft Office. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

PDF.DownLoader.57 (новая угроза)

Представитель семейства троянцев-загрузчиков, которые распространяются в специально сформированных документах формата PDF.

Exploit.ShellCode.69

Вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.

Шифровальщики

По сравнению с августом в сентябре в службу технической поддержки компании «Доктор Веб» поступило на 14.59% больше запросов на расшифровку файлов от пользователей, пострадавших от троянцев-шифровальщиков.

Чаще всего обращения были связаны со следующими энкодерами:

• Trojan.Encoder.858 — 16.60%
• Trojan.Encoder.11464 — 6.93%
• Trojan.Encoder.11539 — 5.04%
• Trojan.Encoder.25574 — 2.94%
• Trojan.Encoder.10700 — 2.52%
• Trojan.Encoder.567 — 1.89%
• Trojan.Encoder.24383 — 1.47%

Опасные сайты

В течение сентября 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 238 637 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В течение сентября в каталоге Google Play было выявлено множество вредоносных программ. В начале месяца вирусные аналитики «Доктор Веб» обнаружили банковского троянца Android.Banker.347.origin, который атаковал пользователей из Бразилии. Он перехватывал СМС-сообщения с одноразовыми кодами и мог загружать мошеннические веб-сайты по команде злоумышленников. Другой банкер, найденный в конце месяца, получил имя Android.Banker.352.origin. Он крал данные авторизации пользователей криптовалютной биржи YoBit.

Среди распространявшихся через Google Play угроз были троянцы-загрузчики Android.DownLoader.920.origin и Android.DownLoader.921.origin, которые скачивали другие вредоносные приложения. Кроме того, вирусные аналитики зафиксировали рекламных троянцев Android.HiddenAds. Помимо них, наши специалисты обнаружили несколько модификаций троянцев семейства Android.Joker. Они подписывали пользователей на дорогостоящие услуги, могли перехватывать СМС и передавали злоумышленникам данные из телефонной книги зараженных устройств. Также эти троянцы скачивали, а потом запускали вспомогательные модули и были способны исполнять произвольный код.

Кроме того, вирусные аналитики выявили новые версии потенциально опасных программ, предназначенных для кибершпионажа.

Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:

• распространение вредоносных программ через каталог Google Play;
• обнаружение новых версий ПО для кибершпионажа.

Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.

9 октября 2019 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за сентябрь 2019 года. За последний месяц в Google Play было выявлено множество троянцев, которые злоумышленники выдавали за безобидные игры и программы. Кроме того, пользователям угрожали троянцы и опасное ПО, распространявшееся вне официального каталога Android-приложений.

Читать обзор полностью

9 октября 2019 года

В сентябре пользователям Android-устройств угрожали различные вредоносные программы, многие их которых злоумышленники распространяли через каталог Google Play. Это были загрузчики Android.DownLoader, банковские и рекламные троянцы Android.Banker и Android.HiddenAds, а также другие угрозы. Кроме того, специалисты «Доктор Веб» обнаружили несколько новых версий потенциально опасных приложений, предназначенных для слежки за пользователями. Среди них — Program.Panspy.1.origin, Program.RealtimeSpy.1.origin и Program.MonitorMinor.

Мобильная угроза месяца

Одной из выявленных в прошлом месяце вредоносных программ был банковский троянец Android.Banker.352.origin, который распространялся под видом официального приложения криптобиржи YoBit.

При запуске Android.Banker.352.origin показывал поддельное окно авторизации и похищал вводимые логины и пароли клиентов биржи. После этого он демонстрировал сообщение о временной недоступности сервиса.

Троянец перехватывал коды двухфакторной аутентификации из СМС, а также коды доступа из email-сообщений. Кроме того, он перехватывал и блокировал уведомления от различных мессенджеров и программ-клиентов электронной почты. Все украденные данные Android.Banker.352.origin сохранял в базу Firebase Database.

По данным антивирусных продуктов Dr.Web для Android

Android.RemoteCode.6122

Android.RemoteCode.5564

Вредоносные приложения для загрузки и выполнения произвольного кода.

Android.HiddenAds.455.origin

Android.HiddenAds.472.origin (новая угроза)

Троянцы для показа навязчивой рекламы.

Android.Backdoor.682.origin

Троянец, который выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах:

• Adware.Patacore.253
• Adware.Gexin.3.origin
• Adware.Zeus.1
• Adware.Altamob.1.origin

Потенциально опасная программа для незаметного запуска приложений без вмешательства пользователя:

• Tool.SilentInstaller.6.origin

Угрозы в Google Play

Помимо банковского троянца Android.Banker.352.origin в сентябре специалисты «Доктор Веб» обнаружили в Google Play вредоносную программу Android.Banker.347.origin, нацеленную на бразильских клиентов кредитных организаций. Она является модификацией банкеров Android.BankBot.495.origin, Android.Banker.346.origin и других, о которых наша компания сообщала в более ранних публикациях.

Злоумышленники распространяли Android.Banker.347.origin через Google Play под видом программы для обнаружения местоположения членов семьи.

Банкер использовал специальные возможности ОС Android (Accessibility Service) для кражи информации из СМС-сообщений — например, одноразовых кодов и других секретных данных. Кроме того, как и предыдущие модификации, он мог по команде киберпреступников открывать фишинговые страницы.

В течение месяца вирусные аналитики выявили в Google Play несколько новых рекламных троянцев семейства Android.HiddenAds — например, Android.HiddenAds.444.origin. Эта вредоносная программа скрывалась в безобидных программах и играх. После запуска она скрывала значок приложения и начинала показывать надоедливые рекламные баннеры. Кроме того, по команде управляющего сервера она загружала и пыталась установить APK-файлы.

Среди обнаруженных вредоносных программ были и троянцы-загрузчики, такие как Android.DownLoader.920.origin и Android.DownLoader.921.origin. Они распространялись под видом игр. Троянцы по команде сервера скачивали и пытались установить различное ПО, а также другие вредоносные программы.

В течение сентября в Google Play было найдено несколько модификаций троянцев семейства Android.Joker. Эти вредоносные приложения скрывались в безобидных, на первый взгляд, программах — плагинах для фотокамер, фоторедакторах, сборниках изображений, различных системных утилитах и другом ПО.

Троянцы способны загружать и запускать вспомогательные dex-файлы, а также выполнять произвольный код. Помимо этого, они автоматически подписывают пользователей на дорогостоящие услуги, для чего загружают веб-сайты с премиум-контентом и самостоятельно переходят по необходимым ссылкам. А чтобы подтвердить подписку, они перехватывают проверочные коды из СМС. Кроме того, вредоносные программы Android.Joker передают на управляющий сервер данные из телефонных книг своих жертв.

Другие троянцы, которые подписывали пользователей на дорогостоящие услуги, получили имена Android.Click.781 и Android.Click.325.origin. Они также загружали сайты, где автоматически подключали жертвам премиум-сервисы. Кроме того, по команде сервера они могли перехватывать уведомления, поступающие от операционной системы и других программ. Злоумышленники распространяли этих троянцев под видом приложений-фотокамер.

Шпионское ПО

В сентябре специалисты «Доктор Веб» обнаружили несколько новых версий потенциально опасных программ, предназначенных для слежки за владельцами Android-устройств. Среди них были приложения Program.Panspy.1.origin, Program.RealtimeSpy.1.origin и Program.MonitorMinor. Это шпионское ПО позволяет контролировать СМС-переписку и телефонные звонки, общение в популярных мессенджерах, отслеживать местоположение устройств, а также получать другую конфиденциальную информацию.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

7 октября 2019 года

Компания «Доктор Веб» сообщает об обновлении антируткитного модуля Dr.Web Anti-rootkit API (11.1.23.201901160) в продуктах Dr.Web Enterprise Security Suite 10.1, Dr.Web Desktop Security Suite 11.0 и Dr.Web Server Security Suite 11.0, имеющих сертификаты соответствия ФСБ России от 16 июля 2018 года.

В антируткитный модуль были внесены изменения, устраняющие чрезмерную нагрузку на ресурсы системы.

Обновление пройдет автоматически.

4 октября 2019 года

Специалисты вирусной лаборатории «Доктор Веб» обнаружили вредоносную копию сайта Федеральной службы судебных приставов (ФССП) России. Хакеры используют сайт-подделку для заражения пользователей троянцем Trojan.DownLoader28.58809.

Копия сайта ФССП России была обнаружена нашими специалистами по адресу 199.247.***.***. Внешне подделка почти не отличается от оригинала, но, в отличие от официального сайта, на ней некорректно отображаются некоторые элементы.

При попытке перейти по некоторым ссылкам на сайте, пользователь будет перенаправлен на страницу с предупреждением о необходимости обновить Adobe Flash Player. Одновременно с этим на устройство пользователя загрузится .exe файл, при запуске которого будет установлен Trojan.DownLoader28.58809.

Этот троянец устанавливается в автозагрузку в системе пользователя, соединяется с управляющим сервером и скачивает другой вредоносный модуль – Trojan.Siggen8.50183. Кроме этого, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После чего Trojan.Siggen8.50183 собирает информацию о системе пользователя и отправляет ее на управляющий сервер. После установки троянец будет всегда запущен на устройстве пользователя и сможет выполнять различные действия по команде от управляющего сервера.

Запустившись на устройстве жертвы, троянец может:

• получить информацию о дисках;
• получить информацию о файле;
• получить информацию о папке (узнать количество файлов, вложенных папок и их размер);
• получить список файлов в папке;
• удалить файлы;
• создать папку;
• переместить файл;
• запустить процесс;
• остановить процесс;
• получить список процессов.

Согласно нашим данным, хакеры еще не запускали масштабные вирусные кампании с использованием сайта-подделки, но он мог использоваться в атаках на отдельных пользователей или организации.

Все версии этого троянца успешно детектируются и удаляются антивирусом Dr.Web и не представляют опасности для наших пользователей.

Индикаторы компрометации

4 октября 2019 года

Компания «Доктор Веб» представляет облачный интеллектуальный интерактивный анализатор Dr.Web vxCube версии 1.4.0. В сервис были добавлены дополнительные возможности для интеграции его с другими сервисами, улучшен анализатор поведения, повышена эффективность обнаружения угроз, улучшены возможности по анализу банковских троянцев, расширена функциональность анализатора мобильных угроз, а интерфейс стал более удобным. Выявленные ошибки были исправлены.

Новые возможности для интеграции

Теперь нашим пользователям доступна открытая библиотека для работы с vxCube API, ее можно установить командой:

Код интерфейса взаимодействия с Dr.Web vxCube, а также список команд и примеры использования доступны на нашем аккаунте на Github.

Кроме того, теперь результаты анализа можно сохранять в машиночитаемых форматах: MAEC и STIX, совместимых со сторонними продуктами. Это позволит легко интегрировать Dr.Web vxCube в распространённые SIEM-решения.

Улучшенные отчеты

У пользователей Dr.Web vxCube появилась возможность сохранять отчет об анализе в формате PDF. При его создании можно выбрать отдельные разделы, которые необходимо включить в отчет.

Дополнительные сетевые настройки

При анализе угроз теперь можно выбрать специальные настройки для подключения к сети, что позволит перенаправить TCP/UDP-трафик на прокси-сервер незаметно для исследуемого образца:

• VPN
• TOR
• SOCKS4
• SOCKS5
• SHADOWSOCKS

Поддержка OS Android 7.1

Для анализа APK-файлов теперь можно использовать OS Android 7.1. Мы также улучшили защиту от обнаружения для всех версий анализатора APK-файлов, добавили возможность сканирования системных приложений и повысили общую производительность.

Улучшения интерфейса

При анализе файла с использованием VNC теперь отображается индикатор выполнения, показывающий время, за которое будет проанализирован файл, текущий процесс и процент завершения анализа.

Вредоносные модули теперь выделяются на графе процессов специальным значком, что позволяет обратить внимание на загрузку скомпрометированного кода в доверенные процессы.

Улучшение анализатора поведения

Теперь при выборе анализа с подключением к VNC есть возможность отключить упрощение анализа и видеть поведение всех запущенных в системе процессов.

Новая версия анализатора уже доступна для всех, кто приобрел лицензию на Dr.Web vxCube. Если у вас еще нет лицензии, приобрести ее можно в интернет-магазине «Доктор Веб». Также перед покупкой лицензии вы можете попробовать демоверсию анализатора.

Попробовать Dr.Web vxCube 1.4.0

3 октября 2019 года

Компания «Доктор Веб» сообщает об обновлении модуля самозащиты Dr.Web Protection for Windows (11.05.09.09250), модуля Dr.Web Enterprise Agent for Windows setup (11.5.10.09260) и сканирующего сервиса Dr.Web Scanning Engine (11.5.8.201910020) в составе агентской части Dr.Web Enterprise Security Suite версии 11.0. Обновление связано с исправлением выявленных ошибок и внесением внутренних изменений.

В модуле самозащиты устранена ошибка, приводившая к неработоспособности модулей Dr.Web при совместной работе с ПО Dallas Lock.

В сканирующем сервисе исправлена проблема, возникавшая при включенной проверке объектов в сети и приводившая к ошибке восстановления предыдущей версии файла из теневой копии, хранящейся на сервере.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

1 октября 2019 года

Компания «Доктор Веб» сообщает об обновлении модулей SpIDer Agent for Windows (12.0.7.09111), Dr.Web Updater (12.0.14.08220), Dr.Web Firewall for Windows (12.00.01.01170), Dr.Web Firewall for Windows driver (12.00.04.08120), Dr.Web Anti-rootkit API (12.5.0.201908280), Dr.Web Scanning Engine (12.5.0.201908140), Dr.Web Protection for Windows (12.05.00.08270), Dr.Web File System Monitor (12.05.00.06270), Dr.Web Control Service (12.5.0.09130), Dr.Web SysInfo (12.5.0.201909090), Dr.Web Security Space, Anti-virus for Windows, Anti-virus for Windows servers setup (12.5.0.08151), Thunderstorm Cloud Client SDK (12.0.7.09061) и конфигурационных скриптов Lua-script for av-service, main (12.5.0.06170), Lua-script for dwl (12.5.0.09060) в продуктах Dr.Web Security Space 12.0, Антивирус Dr.Web 12.0 и Антивирус Dr.Web 12.0 для файловых серверов Windows. Вместе с тем в первых двух продуктах был обновлен Outlook Plugin (12.0.6.201909100) и Lua-script for antispam (12.0.0.08131). Обновление связано в первую очередь с возвращением поддержки ОС Windows XP, а также с улучшениями, исправлением выявленных ошибок и внесением внутренних изменений.

Изменение в Dr.Web Firewall for Windows driver:

• исправлена ошибка, приводившая к возможным проблемам входа в личный кабинет «Ростелеком».

Изменения в Dr.Web Anti-rootkit API:

• исправлено ложное срабатывание Защиты от эксплойтов при работе Cisco VPN;
• внесены изменения для улучшения механизмов обнаружения и обезвреживания угроз.

Изменения в Dr.Web Scanning Engine:

• исправлена проблема с отображением в Менеджере карантина угроз, обезвреженных на диске с файловой системой FAT32;
• устранена проблема распознавания защищенных паролем RAR-архивов во время сканирования;
• улучшен механизм обезвреживания угроз, обнаруженных в памяти в момент запуска файлового монитора SpIDer Guard.

Изменение в Dr.Web Protection for Windows:

• внесены внутренние изменения для устранения возможных проблем совместимости с ПО ViPNet.

Изменение в Dr.Web File System Monitor:

• улучшен механизм обезвреживания угроз, обнаруженных в памяти в момент запуска файлового монитора SpIDer Guard.

Изменения в Dr.Web Security Space, Anti-virus for Windows, Anti-virus for Windows servers setup:

• возобновлена возможность установки продуктов на компьютеры под управлением OS Windows XP / Windows Server 2003;
• доработан механизм обнаружения несовместимых сторонних продуктов Avast на старте установки Dr.Web.

Изменение в Lua-script for antispam:

• устранена причина возможного «зависания» процесса установки продукта на этапе обновления.

Документация к продуктам была актуализирована с учетом возобновления поддержки Windows XP и Windows Server 2003.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

24 сентября 2019 года

Компания «Доктор Веб» сообщает об обновлении модулей лечащей утилиты Dr.Web CureIt! до версии 12.5. Помимо актуализации модулей, в утилите была исправлена выявленная ошибка.

В составе утилиты были обновлены антируткитный модуль Dr.Web Anti-rootkit API (12.5.0.201908280), сканирующий сервис Dr.Web Scanning Engine (12.5.0.201908140) и модуль самозащиты Dr.Web Protection for Windows (12.05.00.08270).

Вместе с тем было исправлено ложное обнаружение REG:SUSPICIOUS.UserinitCorrupted при сканировании реестра в процессе проверки на руткиты.

Обновлена как бесплатная, так и платная версия утилиты.

Скачать Dr.Web CureIt!

23 сентября 2019 года

Компания «Доктор Веб» сообщает об обновлении модуля ES Service (11.5.19.09110) в составе агентской части Dr.Web Enterprise Security Suite 11.0. Обновление связано с исправлением выявленной ошибки.

В модуле была устранена ошибка, из-за которой при срабатывании превентивной защиты на Сервер не отправлялся путь к защищаемому объекту.

Обновление пройдет автоматически.

17 сентября 2019 года

Компания «Доктор Веб» сообщает об обновлении модулей drweb-esagent (11.1.2-1909031741), drweb-mimetic (11.1.2-1907301551), drweb-maild (11.1.3-1908220946), drweb-netcheck (11.1.1-1908271619), drweb-rpm (11.1.2-1907191359), drweb-libzypp (11.1.2-1907191422), drweb-uninst (11.1.1-1908092037), drweb-httpd (11.1.2-1908211705) и drweb-gui (11.1.4-1908211700) в составе продуктов Dr.Web 11.1 для UNIX. Обновление связано с исправлением выявленных ошибок и внесением внутренних изменений.

Изменения в drweb-esagent в составе Антивируса Dr.Web 11.1 для почтовых серверов UNIX, Антивируса Dr.Web 11.1 для файловых серверов UNIX, Антивируса Dr.Web 11.1 для интернет-шлюзов UNIX и Антивируса Dr.Web 11.1 для Linux:

• исправлена ошибка, не позволявшая изменять настройки некоторых компонентов в случае отсутствия связи с ES-сервером;
• исправлена ошибка в реализации обработки задания на еженедельное сканирование;
• исправлена ошибка при обработке флага «Запускать задание по UTC» (планировщик заданий);
• исправлена ошибка в настройке, препятствовавшая запрету отправки статистики на ES-сервере.

Изменение в drweb-mimetic и drweb-maild в составе Антивируса Dr.Web 11.1 для почтовых серверов UNIX:

• в таблицу Url добавлена новая функция проверки по категориям.

Обновление осуществляется через репозиторий Dr.Web. В случае возникновения проблем при обновлении необходимо подключить дополнительный репозиторий в соответствии с инструкцией из новости от 4 июля.

12 сентября 2019 года

Компания «Доктор Веб» сообщает о выпуске продукта Dr.Web для Microsoft Exchange Server версии 12.0.5. Обновление связано с исправлением выявленной ошибки.

В рамках обновления была устранена причина аварийного завершения работы сканирующего модуля при работе с большим потоком писем.

Подробно о процессе обновления, а также о системных требованиях Dr.Web 12.0.5 для Microsoft Exchange Server рассказано в документации к продукту.

12 сентября 2019 года

Компания «Доктор Веб» сообщает о выпуске нового дистрибутива Dr.Web для macOS версии 11.1.4. Выпуск дистрибутива связан с исправлением выявленной ошибки.

В рамках выпуска была устранена проблема аварийного завершения работы графического интерфейса Dr.Web на компьютерах под управлением macOS 10.14.5 и выше.

Обращаем внимание пользователей, что эта и более новые версии дистрибутива на macOS 10.7 работать не будут – для данной ОС будет распространяться отдельный дистрибутив.

Дистрибутивы доступны для скачивания на нашем сайте (https://download.drweb.kz/).

9 сентября 2019 года

В последнем летнем месяце вирусные аналитики «Доктор Веб» обнаружили в Google Play троянца-кликера Android.Click.312.origin, встроенного в безобидные приложения. Там же были выявлены и другие вредоносные программы. Среди них — троянец-загрузчик Android.DownLoader.915.origin, рекламные троянцы семейства Android.HiddenAds, которые распространялись под видом полезного ПО, а также банкер Android.Banker.346.origin.

Мобильная угроза месяца

В начале августа компания «Доктор Веб» сообщила о троянце Android.Click.312.origin, обнаруженном в 34 приложениях из Google Play. Он представлял собой вредоносный модуль, который разработчики встраивали в свои программы. В общей сложности ПО с этим троянцем загрузили свыше 101 700 000 пользователей.

Android.Click.312.origin по команде управляющего сервера открывал ссылки в невидимых WebView, мог загружать сайты в браузере и рекламировать приложения в Google Play. Особенности троянца:

• начинал работу через 8 часов после запуска;
• часть функций реализована с использованием рефлексии;
• мог подписывать пользователей на мобильные премиум-услуги через технологию WAP-Click.

Подробнее об Android.Click.312.origin рассказано в новости на нашем сайте.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.455.origin

Троянец, предназначенный для показа навязчивой рекламы.

Android.Backdoor.682.origin

Троянец, который выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства.

Android.Triada.467.origin

Многофункциональный троянец, выполняющий разнообразные вредоносные действия.

Android.RemoteCode.197.origin

Android.RemoteCode.5564

Вредоносные приложения, предназначенные для загрузки и выполнения произвольного кода.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах:

• Adware.Gexin.3.origin
• Adware.Patacore.253
• Adware.Zeus.1
• Adware.Altamob.1.origin
• Adware.Myteam.2.origin (новая угроза)

Угрозы в Google Play

Наряду с кликером Android.Click.312.origin cреди обнаруженных в Google Play вредоносных программ был троянец-загрузчик Android.DownLoader.915.origin, который распространялся под видом клиента для подключения к VPN-сетям. Он скачивал и пытался установить приложения, а также загружал заданные злоумышленниками веб-страницы Instagram, Telegram и Google Play и других сервисов.

Кроме того, вирусные аналитики выявили новых рекламных троянцев семейства Android.HiddenAds – например, Android.HiddenAds.1598 и Android.HiddenAds.467.origin. Как и другие представители этого семейства, они скрывали значки программ, в которые были встроены, и показывали надоедливую рекламу.

В конце августа специалисты «Доктор Веб» обнаружили очередного банковского троянца, атакующего бразильских владельцев Android-устройств. Эта вредоносная программа получила имя Android.Banker.346.origin. Как и другие аналогичные троянцы, о которых наша компания рассказывала ранее (например, в конце 2018 года), Android.Banker.346.origin использует специальные возможности ОС Android (Accessibility Service). С их помощью он крадет информацию из СМС-сообщений, в которых могут быть одноразовые коды и другие конфиденциальные данные. Кроме того, по команде злоумышленников банкер открывает фишинговые страницы.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

9 сентября 2019 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за август 2019 года. В прошедшем месяце пользователям вновь угрожали вредоносные программы, которые проникли в каталог Google Play. Среди них — троянец-кликер, рекламные троянцы и прочие угрозы. Подробнее об этом читайте в нашем обзоре.

Читать обзор полностью

9 сентября 2019 года

В августе статистика серверов Dr.Web зафиксировала снижение роста общего числа обнаруженных угроз на 21.28% по сравнению с июлем. При этом количество уникальных угроз уменьшилось незначительно – на 2.82%. В почтовом трафике на первых позициях находится вредоносное ПО, использующее уязвимости документов Microsoft Office, а также троянцы-загрузчики. Продолжает тенденцию прошлого месяца и статистика по вредоносному и нежелательному ПО: большинство обнаруженных угроз приходится на долю рекламных программ.

Угроза месяца

В августе специалисты вирусной лаборатории «Доктор Веб» обнаружили, что хакеры используют копии сайтов популярных сервисов для распространения опасного банковского троянца. Один из таких ресурсов копирует известный VPN-сервис, а другие замаскированы под сайты корпоративных офисных программ.

Подробнее об угрозе

По данным серверов статистики «Доктор Веб»

Угрозы этого месяца:

Adware.Softobase.15

Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.

Adware.Ubar.13

Торрент-клиент, устанавливающий нежелательное ПО на устройство.

Trojan.Winlock.14244

Блокирует или ограничивает доступ пользователя к операционной системе и её основным функциям. Для разблокировки системы требует перечислить деньги на счет разработчиков троянца.

Trojan.InstallCore.3553

Еще один известный установщик рекламного ПО. Показывает рекламу и устанавливает дополнительные программы без согласия пользователя.

Статистика вредоносных программ в почтовом трафике

Exploit.Rtf.CVE2012-0158

Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.

W97M.DownLoader.2938

Семейство троянцев-загрузчиков, использующих в работе уязвимости документов Microsoft Office. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Exploit.ShellCode.69

Вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.

Trojan.PWS.Stealer.19347

Семейство троянцев, предназначенных для хищения с инфицированного компьютера паролей и другой конфиденциальной информации.

Шифровальщики

В августе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:

• Trojan.Encoder.858 — 17.73%
• Trojan.Encoder.11464 — 7.09%
• Trojan.Encoder.18000 — 4.96%
• Trojan.Encoder.28004 — 4.26%
• Trojan.Encoder.11539 — 2.60%
• Trojan.Encoder.25574 — 1.18%
• Trojan.Encoder.567 — 1.65%

Опасные сайты

В течение августа 2019 года в базу нерекомендуемых и вредоносных сайтов был добавлен 204 551 интернет-адрес.

Вредоносное и нежелательное ПО для мобильных устройств

В августе специалисты «Доктор Веб» обнаружили в Google Play сразу несколько новых вредоносных программ. В начале месяца в вирусную базу Dr.Web была добавлена запись для детектирования троянца Android.Click.312.origin, который по команде сервера переходил по ссылкам и загружал различные веб-сайты. Кроме того, вирусные аналитики выявили новых рекламных троянцев Android.HiddenAds, а также загрузчика Android.DownLoader.915.origin — он мог скачивать другие вредоносные приложения.

В конце месяца специалисты «Доктор Веб» обнаружили очередного банковского троянца, который атаковал пользователей из Бразилии. Вредоносная программа, получившая имя Android.Banker.346.origin, использовала специальные возможности (Accessibility Service) ОС Android и могла перехватывать СМС-сообщения.

Наиболее заметные события, связанные с «мобильной» безопасностью в августе:

• распространение вредоносных программ через каталог Google Play;
• появление новых нежелательных рекламных модулей.

Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре

9 сентября 2019 года

Компания «Доктор Веб» представляет обзор вирусной активности за август 2019 года. Повысилось количество запросов в службу технической поддержки на расшифровку файлов. Снизилась активность вредоносного ПО, а число опасных и нерекомендуемых сайтов возросло. Об этих и других событиях читайте в нашем обзоре.

Читать обзор полностью