8 октября 2018 года

Китайский интернет-магазин AliExpress популярен не только в России — жители многих стран заказывают в нем различные товары. Этим и пользуются киберпреступники, отправляющие клиентам AliExpress мошеннические письма от имени компании – владельца этого портала.

Эти сообщения оформлены с использованием логотипа и фирменного стиля компании Alibaba Group, которой принадлежит интернет-магазин AliExpress. Письма содержат обращение к получателю по имени – вероятно, отправители считают, что это должно усыпить его бдительность. Аналитики «Доктор Веб» полагают, что информацию о реальных клиентах AliExpress мошенники могли получить, воспользовавшись купленной или украденной базой данных одного из многочисленных кэшбек-сервисов. В письме говорится о том, что адресат ранее являлся активным покупателем на сайте AliExpress, приобретал там товары и оставлял отзывы, в связи с чем ему предоставляется доступ к особому интернет-магазину с многочисленными скидками и подарками.

Ссылка в письме ведет на веб-сайт, оформленный в виде интернет-магазина. На самом же деле при попытке приобрести здесь какой бы то ни было товар пользователь перенаправляется на другие торговые площадки. Многие из них ранее были замечены в мошеннических действиях, таких как отправка клиентам покупок, не соответствующих описанию, или перепродажа по завышенным ценам низкокачественных подделок популярных товаров, в связи с чем адреса этих ресурсов уже присутствуют в соответствующих базах Родительского и Офисного контроля Dr.Web.

Более того, проведенное сотрудниками «Доктор Веб» экспресс-расследование показало, что по указанному на сайте мошеннического «интернет-магазина» московскому адресу расположено здание школы, а компании с таким ИНН не существует в природе. Также на сайте отсутствует какая-либо информация о способах получения или доставки заказа, а в качестве контактного предложен адрес электронной почты, зарегистрированный на бесплатном сервисе mail.ru.

Специалисты компании «Доктор Веб» советуют пользователям перед совершением покупок на незнакомых сайтах выполнить следующие несложные действия:

• проверьте указанный на странице «О компании» адрес с помощью онлайн-карт, сервиса «Панорамы улиц» от Яндекса, или Google Street View — вполне возможно, вместо офисного центра или торгового комплекса там окажется школа, автостоянка или свалка мусора;
• проверьте указанный на сайте ИНН — существует ли такая фирма и совпадает ли ее название с владельцем интернет-магазина. Для российских компаний это можно сделать бесплатно с помощью специального онлайн-сервиса Федеральной налоговой службы;
• убедитесь в том, что на сайте интернет-магазина подробно описаны способы оплаты и получения товара, приведены варианты его доставки и указаны соответствующие тарифы;
• обратите внимание на опубликованную на сайте контактную информацию: вряд ли серьезная компания будет пользоваться адресами электронной почты, зарегистрированными в бесплатных сервисах.

1 октября 2018 года

Компания «Доктор Веб» сообщает об обновлении модулей drweb-openssl (11.0.5-1809031310), drweb-esagent (11.0.8-1809171947) и drweb-configd (11.0.9-1809261319) в продуктах Антивирус Dr.Web 11.0 для почтовых серверов UNIX, Антивирус Dr.Web 11.0 для файловых серверов UNIX, Антивирус Dr.Web 11.0 для интернет-шлюзов UNIX и Антивирус Dr.Web 11.0 для Linux. Также в продуктах Антивирус Dr.Web 11.0 для почтовых серверов UNIX, Антивирус Dr.Web 11.0 для файловых серверов UNIX и Антивирус Dr.Web 11.0 для интернет-шлюзов UNIX был обновлен модуль drweb-httpd-webconsole (11.0.5-1809141724). Обновление связано с добавлением новых функциональных возможностей.

Изменение в drweb-openssl:

• версия модуля обновлена до OpenSSL 1.0.2p.

Изменения в drweb-httpd-webconsole:

• добавлен механизм нотификаций о доступном обновлении;
• реализованы отображение информации о модуле drweb-antispam и раздел его настроек.

Обновление осуществляется через репозиторий Dr.Web.

#обновление #Dr.Web #UNIX #Linux

28 сентября 2018 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за сентябрь 2018 года. В уходящем месяце специалисты компании «Доктор Веб» выявили в Google Play множество троянцев, которые по команде злоумышленников могли загружать любые веб-сайты. Кроме того, в официальном каталоге ПО для ОС Android вновь был найден троянец, подписывающий пользователей на дорогостоящие услуги. Также в сентябре злоумышленники распространяли Android-банкеров и опасного троянца, созданного для кибершпионажа. Среди выявленных в уходящем месяце угроз для Android-смартфонов и планшетов были новые версии популярных коммерческих программ-шпионов.

28 сентября 2018 года

В сентябре 2018 года в официальном каталоге приложений для ОС Android вирусные аналитики выявили большое число троянцев. Помимо этого, в уходящем месяце пользователям мобильных устройств угрожали различные Android-банкеры. Также в сентябре злоумышленники распространяли опасного троянца, который использовался для кибершпионажа. В этом же месяце в вирусную базу Dr.Web были добавлены записи для детектирования новых версий известных коммерческих программ-шпионов.

Мобильная угроза месяца

В сентябре пользователям мобильных Android-устройств угрожал опасный троянец-шпион Android.Spy.460.origin, который известен вирусным аналитикам компании «Доктор Веб» с июня 2018 года. Эта вредоносная программа распространяется с использованием мошеннических веб-сайтов, с которых она загружается под видом системных приложений, например ПО с именем «Google Carrier Service».

Android.Spy.460.origin отслеживает СМС-переписку, местоположение зараженного смартфона или планшета, прослушивает телефонные звонки, записывает окружение при помощи встроенного в мобильное устройство микрофона, крадет данные из телефонной книги и календаря, а также передает киберпреступникам историю посещения из веб-браузера и сохраненные в нем закладки.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Android.Backdoor.1572

Троянские программы, которые выполняют команды злоумышленников и позволяют им контролировать зараженные мобильные устройства.

Android.HiddenAds

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.Mobifun.4

Троянец, загружающий другие вредоносные приложения.

Adware.Zeus.1

Adware.Gexin.2.origin

Adware.Adpush.2514

Adware.SalmonAds.3.origin

Adware.Aesads.1.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Угрозы в Google Play

В уходящем месяце в каталоге Google Play было выявлено большое число вредоносных программ. Специалисты «Доктор Веб» вновь обнаружили в нем троянцев семейства Android.Click, которых киберпреступники распространяли под видом официальных приложений букмекерских контор. Помимо уже известных версий этих троянцев (о них наша компания сообщала в августе), вирусные аналитики зафиксировали 17 их новых модификаций. В общей сложности вредоносные приложения установили не менее 62 000 пользователей.

При запуске эти троянцы по команде управляющего сервера загружают в своем окне веб-сайты букмекерских фирм и демонстрируют их пользователям. Однако сервер в любой момент способен отдать указание на открытие другого интернет-адреса, что может представлять серьезную опасность.

Кроме того, среди троянцев-кликеров, проникших в сентябре в официальный каталог ПО для ОС Android, оказался Android.Click.265.origin, о котором мы также информировали пользователей в прошлом месяце. Android.Click.265.origin загружает сайты с премиум-контентом и подписывает пользователей на дорогостоящие услуги. Для этого он автоматически нажимает на расположенную на открываемых веб-страницах кнопку подтверждения доступа к платному сервису. В сентябре злоумышленники распространяли эту вредоносную программу под видом официальных приложений от известных компаний, таких как «Ситилинк», MODIS и O′STIN.

Еще один троянец с аналогичным Android.Click.265.origin функционалом получил имя Android.Click.223.origin. Вирусописатели также распространяли его под видом безобидных программ от имени компаний Gloria Jeans и «ТВОЕ».

В сентябре в каталоге Google Play были вновь обнаружены банковские троянцы. Среди них Android.Banker.2855 и Android.Banker.2856, распространявшиеся под видом сервисных утилит и программ-гороскопов. Эти вредоносные программы извлекают и запускают скрытого внутри них банкера, который похищает логины и пароли для доступа к учетным записям клиентов кредитных организаций.

Еще один Android-банкер, проникший в Google Play в сентябре, получил имя Android.Banker.283.origin. Вирусописатели выдавали его за официальное приложение одной их турецких кредитных организаций.

Программы-шпионы

В сентябре были обнаружены новые версии коммерческих программ-шпионов, таких как Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin и Program.Spymaster.2.origin. Они предназначены для незаметного наблюдения за владельцами мобильных устройств под управлением ОС Android. Например, эти приложения позволяют злоумышленникам перехватывать СМС-переписку, отслеживать телефонные звонки и местоположение смартфонов и планшетов, получать доступ к истории посещений веб-браузера и сохраненным в нем закладкам, копировать контакты из телефонной книги, а также похищать другую конфиденциальную информацию.

Киберпреступники постоянно создают новые троянские и потенциально опасные программы и с их помощью пытаются заразить Android-смартфоны и планшеты пользователей. Многие из таких приложений продолжают появляться в каталоге Google Play. Для защиты мобильных устройств их владельцам следует установить антивирусные продукты Dr.Web для Android.

28 сентября 2018 года

Компания «Доктор Веб» представляет обзор вирусной активности в сентябре 2018 года. В уходящем месяце вирусные аналитики зафиксировали распространение банковского троянца, угрожавшего клиентам бразильских кредитных организаций. Также в течение сентября были выявлены вредоносные программы для мобильной платформы Android. Об этих и других событиях читайте в нашем обзоре.

28 сентября 2018 года

Сентябрь 2018 года был отмечен распространением банковского троянца, угрожавшего клиентам бразильских кредитных организаций. Специалисты «Доктор Веб» выявили более 300 уникальных образцов этой вредоносной программы, а также порядка 120 интернет-площадок, с которых банкер загружал собственные компоненты. Также в уходящем месяце был выявлен ряд новых опасных приложений для мобильной платформы Android.

Угроза месяца

Банковские троянцы, предназначенные для хищения денежных средств клиентов кредитных организаций, чрезвычайно распространены во всем мире. Новый банкер, исследованный в сентябре вирусными аналитиками «Доктор Веб» и получивший наименование Trojan.PWS.Banker1.28321, ориентирован на жителей Бразилии. На сегодняшний день известно 340 уникальных образцов Trojan.PWS.Banker1.28321, а также 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов, с которых троянец загружает содержащие вредоносную библиотеку архивы.

Троянец распространяется под видом приложения для просмотра PDF-документов Adobe Reader. Он заражает компьютеры под управлением Microsoft Windows, в настройках которых в качестве основного установлен португальский язык. Все вредоносные функции Trojan.PWS.Banker1.28321 сосредоточены в зашифрованной и упакованной в архив динамической библиотеке, которую банкер скачивает с принадлежащих злоумышленникам сайтов.

Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, троянец незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля. В некоторых случаях он просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Затем эта информация передается злоумышленникам. Подробнее об этом инциденте мы рассказали в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.Encoder.567

Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

Trojan.SpyBot.699

Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.

Trojan.PWS.Stealer.1932

Представитель семейства троянцев для ОС Windows, способных похищать конфиденциальную информацию, в том числе пользовательские пароли.

Статистика вредоносных программ в почтовом трафике

Trojan.Encoder.567

Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

W97M.DownLoader

Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Шифровальщики

В сентябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.567 — 16,94% обращений;
• Trojan.Encoder.858 — 12,71% обращений;
• Trojan.Encoder.11464 — 10,68% обращений;
• Trojan.Encoder.25574 — 4,79% обращений;
• Trojan.Encoder.24249 — 4,42% обращений;
• Trojan.Encoder.11539 — 1,84% обращений.

Опасные сайты

В течение сентября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 271 605 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце специалисты компании «Доктор Веб» вновь зафиксировали распространение в каталоге Google Play троянцев семейства Android.Click. Многие из них представляли собой программы, которые злоумышленники выдавали за официальные приложения букмекерских контор. Эти троянцы по команде управляющего сервера открывают веб-сайты букмекерских фирм, однако в любой момент могут загрузить любые веб-страницы, в том числе мошеннические. Кроме того, в каталог Google Play в очередной раз проникла вредоносная программа Android.Click.265.origin, которая распространялась под видом официального ПО от известных компаний. Android.Click.265.origin загружает сайты с премиум-услугами и автоматически нажимает на расположенную на них кнопку подтверждения подписки на дорогостоящий сервис.

Также среди выявленных в сентябре вредоносных программ, обнаруженных в официальном каталоге ПО для ОС Android, были банковские троянцы, такие как Android.Banker.2855, Android.Banker.2856 и Android.Banker.283.origin. Они скрывались в безобидных, на первый взгляд, программах.

Помимо этого, в первом осеннем месяце 2018 года киберпреступники распространяли опасного троянца Android.Spy.460.origin, который использовался для кибершпионажа. Среди прочих угроз, выявленных в сентябре, были новые версии коммерческих программ-шпионов, таких как Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin и Program.Spymaster.2.origin. Эти приложения следят за СМС-перепиской, историей телефонных звонков, определяют местоположение мобильных устройств, копируют список контактов из телефонной книги на удаленный сервер, могут красть историю посещения из веб-браузера и похищать другую персональную информацию пользователей.

Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:

• обнаружение в Google Play вредоносных приложений;
• распространение троянца-шпиона;
• выявление новой коммерческой программы, предназначенной для слежки за пользователями мобильных Android-устройств.

Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.

26 сентября 2018 года

Компания «Доктор Веб» сообщает об обновлении управляющего сервиса Dr.Web Control Service (11.5.10.08200), модуля Dr.Web Device Guard for Windows (11.05.02.09140), драйвера Dr.Web Net Filter for Windows driver (11.1.10.09130), модуля защиты от эксплойтов Dr.Web Shellguard anti-exploit module (11.05.01.09120) и модуля Dr.Web Hypervisor (11.1.0.201809130) в продуктах Dr.Web Security Space 11.5, Антивирус Dr.Web 11.5, Антивирус Dr.Web 11.5 для файловых серверов Windows и Dr.Web Enterprise Security Suite 11.0. Dr.Web Net Filter for Windows driver и Dr.Web Shellguard anti-exploit module обновлены также в составе Dr.Web Enterprise Security Suite 10.1 и Dr.Web AV-Desk 10.1. Вместе с тем в Dr.Web Security Space 11.5, Антивирусе Dr.Web 11.5 и Dr.Web Enterprise Security Suite 11.0 был обновлен брандмауэр Dr.Web Firewall for Windows (11.5.4.09131). Также в Dr.Web Enterprise Security Suite 11.0 был обновлены модули ES Service (11.5.8.09181) и Dr.Web Enterprise Agent for Windows setup (11.5.4.09170). Обновление связано с исправлением выявленных ошибок и внесением внутренних изменений.

Изменения в Dr.Web Device Guard for Windows:

• устранена причина возникновения критической ошибки системы (BSOD) при включении опции предупреждения о BadUSB-уязвимых устройствах;
• исправлена ошибка, которая могла приводить к «зависанию» Проводника при подключении съемных носителей;
• устранена проблема некорректного добавления устройства в белый список с разрешением только на чтение при блокировании отдельного класса на шине.

Изменение в Dr.Web Net Filter for Windows driver:

• устранена причина возникновения критической ошибки системы (BSOD) при наличии на защищаемом компьютере стороннего ПО, осуществляющего фильтрацию сетевого трафика.

Изменение в Dr.Web Shellguard anti-exploit module:

• исправлена ошибка, приводившая к ложному срабатыванию защиты от эксплойтов при просмотре видео на Amazon Prime (Netflix) в браузере Google Chrome.

Изменение в Dr.Web Hypervisor:

• устранена причина возможного возникновения критической ошибки системы (BSOD).

Изменение в Dr.Web Firewall for Windows:

• устранена причина возможного аварийного завершения работы брандмауэра на этапе завершения работы ОС Windows XP.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

25 сентября 2018 года

Современные банковские троянцы применяют различные способы хищения денег с банковских счетов своих жертв – как высокотехнологичные, так и рассчитанные на невнимательность или доверчивость пользователя. Обнаруженный специалистами «Доктор Веб» банкер, о котором мы рассказываем в этой статье, угрожает пользователям бразильских систем дистанционного банковского обслуживания. На сегодняшний день выявлено более 300 уникальных образцов этого банкера, а также более 120 используемых им серверов, и его распространение продолжается.

Троянец, добавленный в вирусные базы Dr.Web под именем Trojan.PWS.Banker1.28321, распространяется под видом приложения Adobe Reader, предназначенного для просмотра документов в формате PDF. При запуске он демонстрирует окно с изображением названия этой программы.

Вредоносная программа пытается определить, не запущена ли она в виртуальной среде, при обнаружении виртуальной машины она завершает свою работу. Также банкер отслеживает локальные языковые настройки Windows — если язык системы отличается от португальского, троянец не выполняет никаких действий.

Модуль загрузчика Trojan.PWS.Banker1.28321 реализован в виде сценария на языке VBscript, в то время как сам троянец написан на .NET. Скрипт-загрузчик запускается на выполнение с помощью стандартного COM-объекта MSScriptControl.ScriptControl. Он соединяется с управляющим сервером и скачивает с него два ZIP-архива, в одном из которых хранится обфусцированная динамическая библиотека, созданная с использованием среды разработки Delphi. В этой библиотеке и сосредоточены основные функции вредоносной программы.

Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, Trojan.PWS.Banker1.28321 незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля, а в некоторых случаях — просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Эту информацию троянец передает злоумышленникам.

Подобную схему с подменой содержимого просматриваемых пользователем веб-страниц систем «банк-клиент» используют многие банковские троянцы. Зачастую они угрожают клиентам кредитных организаций не только в Бразилии, но и по всему миру. За последний месяц специалисты «Доктор Веб» выявили более 340 уникальных образцов Trojan.PWS.Banker1.28321, а также обнаружили 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов, с которых троянец загружает содержащие вредоносную библиотеку архивы. Это свидетельствует о широком распространении банкера. Сведения обо всех известных на сегодняшний день образцах Trojan.PWS.Banker1.28321 добавлены в вирусные базы Dr.Web, а адреса используемых им серверов — в базы веб-антивируса SpIDer Gate, поэтому троянец не представляет угрозы для наших пользователей.

Подробнее о троянце

#банкер #банковский_троянец #троянец

5 сентября 2018 года

Компания «Доктор Веб» сообщает о расширении проекта «Настрой-ка Dr.Web» и в «корпоративную» сферу: приглашаем ознакомиться со сценариями использования антивирусных продуктов Dr.Web Enterprise Security Suite в помощь системным администраторам и техническим специалистам.

Работа системного администратора сети, а также специалиста по ИБ и антивирусной защите, несомненно, требует высокой квалификации и особых профессиональных компетенций. Но и профессионалам бывает нужна помощь, поэтому в рамках проекта «Настрой-ка Dr.Web» мы подготовили сценарии использования Dr.Web Enterprise Security Suite, чтобы облегчить некоторые задачи, связанные с организацией корпоративной антивирусной системы защиты. Сценарии рассматривают особенности защиты на устройствах удаленных сотрудников, порядок развертывания Dr.Web в условиях низкоскоростной сети, переход на новейшую версию антивируса и другие вопросы, с которыми может столкнуться администратор антивирусных продуктов Dr.Web.

Список инструкций и документов в помощь специалистам, работающим с антивирусами Dr.Web для бизнеса, будет пополняться. Приглашаем ИТ-профессионалов, а также всех, кто хочет знать больше о защите компьютерных сетей с помощью технологий Dr.Web, ознакомиться со сценариями и использовать их в работе. А если вы хотели бы увидеть здесь материалы по интересующей вас тематике, напишите о своих пожеланиях в комментариях к этой новости.

#Dr.Web #Настрой-ка_Dr.Web

20 сентября 2018 года

Компания «Доктор Веб» сообщает об обновлении антируткитного модуля Dr.Web Anti-rootkit API (11.5.5.201809130), модуля самозащиты Dr.Web Protection for Windows (11.05.04.09040), сканирующего сервиса Dr.Web Scanning Engine (11.5.4.201808270), драйвера Dr.Web Net Filter for Windows driver (11.1.9.07190), модуля Dr.Web File System Monitor (11.05.00.05160), управляющего сервиса Dr.Web Control Service (11.0.38.09050), модуля обновления Dr.Web Updater (11.0.30.09030), модуля Dr.Web SysInfo (11.5.1.201808010) и ряда конфигурационных скриптов в с составе продуктов Dr.Web Enterprise Security Suite 10.1 и Dr.Web AV-Desk 10.1. Также в Dr.Web Enterprise Security Suite 10.1 был обновлен модуль Dr.Web Enterprise Agent for Windows setup (11.0.14.09130), а в Dr.Web AV-Desk 10.1 – Dr.Web AV-Desk Agent for Windows setup (11.0.14.09070), Dr.Web Thunderstorm Cloud Client SDK (11.5.1.06070) и Lua-script for cloud-client (11.5.0.12120).

Обновление связано с обеспечением совместимости продуктов с планируемой к выпуску ОС Windows 10 Redstone 5. Вместе с тем Dr.Web Enterprise Security Suite и Dr.Web AV-Desk 10.1 теперь обладают новейшими технологиями обнаружения и нейтрализации угроз, которыми уже располагают продукты Dr.Web 11.5 для Windows.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

20 сентября 2018 года

Компания «Доктор Веб» в качестве партнера Итальянской ассоциации информационной безопасности рада сообщить о своем участии в ежегодной серии мероприятий «Европейский месяц кибербезопасности» (ЕМКБ), которые будут проходить в октябре 2018 года.

Мероприятия «Европейского месяца кибербезопасности» направлены на повышение осведомленности об информационных угрозах, а также на популяризацию средств защиты от кибератак.

В рамках ЕМКБ представитель «Доктор Веб» проведет онлайн-семинар на тему «Использование прикладных инструментов в виртуальной песочнице для анализа вредоносных или потенциально подозрительных объектов на примере Dr.Web vxCube», на котором расскажет о возможностях и сферах применения нашего интерактивного анализатора. О дате и времени проведения вебинара будет сообщено дополнительно. Также на сайте Ассоциации будет доступна ссылка на его трансляцию.

О ЕМКБ

ЕМКБ представляет собой информационно-пропагандистскую кампанию, нацеленную на повышение осведомленности граждан и организаций в области компьютерной безопасности. Организаторами кампании являются Еврокомиссия и Европейское агентство по сетевой и информационной безопасности (European Network and Information Security Agency, ENISA) совместно с партнерами.

cybersecuritymonth.eu

19 сентября 2018 года

Компания «Доктор Веб» сообщает об обновлении Мобильного центра управления Dr.Web для iOS до версии 11.0. Обновление связано с обеспечением совместимости с продуктами комплекса Dr.Web Enterprise Security Suite версии 11.0 и с исправлением выявленных ошибок.

Помимо добавления возможности работы в составе Dr.Web Enterprise Security Suite 11.0 в приложении устранена причина аварийного завершения его работы при попытке подключения к нестандартному порту, а также исправлена ошибка, из-за которой при выборе станции в интерфейсе приложения не отображался карантин.

Обновленный Мобильный центр управления Dr.Web доступен для бесплатного скачивания в магазине приложений App Store.

19 сентября 2018 года

Компания «Доктор Веб» сообщает об обновлении модуля drwbase (201809100), антируткитного модуля Dr.Web Anti-rootkit API (11.5.5.201809130), модуля самозащиты Dr.Web Protection for Windows (11.05.04.09040), управляющего сервиса Dr.Web Control Service (11.5.0.201807170), модуля обновления Dr.Web Updater (11.5.6.07190), модуля Dr.Web Thunderstorm Cloud Client SDK (11.5.1.06070), сканирующего сервиса Dr.Web Scanning Engine (11.5.4.201808270), модуля Dr.Web SysInfo (11.5.1.201808010) и модуля защиты от эксплойтов Dr.Web ShellGuard (11.05.01.09120) в составе Dr.Web KATANA 1.0. Обновление связано с исправлением выявленных ошибок и внесением внутренних изменений.

Изменения в drwbase:

• обновлена база сертификатов и доверенных приложений;
• устранена причина ложного срабатывания Превентивной защиты на компьютерах с работающей системой защиты информации «Аура 1.2.4»;
• устранена причина возможных ложных срабатываний Превентивной защиты на компьютерах с работающим ПО Check Point Endpoint Security.

Изменения в антируткитном модуле и модуле самозащиты:

• решена проблема совместимости с ПО Quest Change Auditor Agent, приводившая к сбоям в работе последнего;
• устранена причина ложного срабатывания при запуске почтового клиента Windows Live Mail.

Изменение в управляющем сервисе:

• обеспечена совместимость сервиса с обновленными компонентами.

Изменение в модуле защиты от эксплойтов:

• устранена причина ложного срабатывания защиты от эксплойтов при просмотре видео на Amazon Prime (Netflix) в браузере Google Chrome.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

#обновление #Windows

14 сентября 2018 года

Компания «Доктор Веб» сообщает об обновлении антируткитного модуля Dr.Web Anti-rootkit API версии 11.5.5.201809130 в продуктах Dr.Web Security Space 11.5, Антивирус Dr.Web 11.5, Антивирус Dr.Web 11.5 для файловых серверов Windows, Dr.Web Enterprise Security Suite 11.0, Dr.Web 11.5 для Microsoft Exchange Server и Dr.Web 11.5 для IBM Lotus Domino, а также версии 11.1.22.201809130 в Dr.Web Enterprise Security Suite 10.0 и 10.1 и Dr.Web AV-Desk 10.0 и 10.1 в связи с усовершенствованием функциональных возможностей.

В модуле была усовершенствована подсистема проверки подписей. Это позволяет уменьшить зависимость работы от своевременного обновления списка корневых сертификатов Windows - из-за сбоя со стороны Microsoft возникла ошибка проверки подписей, которая была исправлена. Для уменьшения числа возможных ложных срабатываний также были улучшены алгоритмы детектирования на основе машинного обучения.

Обновление пройдет автоматически.

11 сентября 2018 года

Компания «Доктор Веб», российский производитель антивирусных средств защиты информации, сообщает о внедрении интернет-сервиса Dr.Web AV-Desk ведущим казахстанским телекоммуникационным оператором и провайдерам ИТ-услуг – компанией KazTransCom. Теперь бизнес-клиенты компании, использующие виртуальные ресурсы и облачные решения, могут подписаться на услугу «Антивирус Dr.Web», что позволяет обеспечить надежную информационную защиту компьютерных сетей любого масштаба.

Компания KazTransCom исходит из того, что связь — это не только оборудование и технологии, но прежде всего – люди, идеи, сотрудничество, готовность решать любые задачи и содействовать успеху клиентов. В рамках сотрудничества с «Доктор Веб» KazTransCom будет предоставлять услугу «Антивирус Dr.Web» на территории Казахстана.

Выбирая интернет-сервис Dr.Web AV-Desk для предоставления антивирусной защиты по подписке, специалисты KazTransCom учитывали такие выгоды для подписчиков как отсутствие затрат на покупку долгосрочных лицензий (вместо этого – просто ежемесячная плата), экономия и совместимость Dr.Web с широким спектром операционных систем, в том числе мобильных, а также с сетевыми протоколами.

В числе других преимуществ в KazTransCom оценили возможность предложить услугу «Антивирус Dr.Web» в формате Pay As You Go, без излишних формальностей, централизованное управление защитой, конкурентоспособную цену и наличие Web API для интеграции с собственными платформами.

«Целевой аудиторией услуги «Антивирус Dr.Web» являются бизнес-клиенты KazTransCom, использующие виртуальные ресурсы и облачные решения Cloud, которым важна возможность управления рисками, в том числе связанными с ИТ-безопасностью и хранением данных. Несмотря на широкую доступность бесплатных антивирусных продуктов, те не всегда могут предложить бизнес-клиентам необходимую функциональность и высокое качество обслуживания. Именно поэтому KazTransCom предлагает управляемую услугу, которая будет обеспечивать необходимую безопасность ИТ-инфраструктуры и высокий уровень технической поддержки», - отмечает Турабаев Заурбек, директор Департамента исследований и разработок (R&D) KazTransCom.

О компании KazTransCom

АО KazTransCom – ведущий казахстанский оператор связи, предоставляющий широкий спектр услуг в области телекоммуникаций и информационных технологий. KazTransCom предлагает не только фиксированный набор продуктов, но и создание современных ИКТ решений под индивидуальные нужды заказчика. Разработанная стратегия ICT360 включает полный цикл услуг, начиная от системной интеграции, выполнения любых телекоммуникационных проектов «под ключ», обеспечения всеми видами связи и техническое обслуживание. При этом компания оказывает техническую поддержку не только на базовом уровне, но и осуществляет помощь, направленную на предотвращение внештатных ситуаций. Это позволяет заранее отслеживать возникновение «узких мест», предупреждать заказчика о возможных проблемах, связанных с несвоевременной модернизацией оборудования, предлагая возможности их решения.

www.kaztranscom.kz

Об интернет-сервисе Dr.Web AV-Desk

Интернет-сервис Dr.Web AV-Desk создан специалистами компании «Доктор Веб» в 2007 году. На сегодняшний день установку Dr.Web AV-Desk осуществили более 350 провайдеров и компаний, предоставляющих ИТ-услуги в различных регионах России, а также во Франции, Нидерландах, Испании, Украине, Эстонии, Литве, Казахстане и ряде других стран.

www.av-desk.com

11 сентября 2018 года

Компания «Доктор Веб» сообщает об обновлении Dr.Web для macOS до версии 11.1.1. Обновление связано с обеспечением совместимости продукта с macOS 10.14 и исправлением выявленных ошибок.

Помимо возможности работы на компьютерах под управлением новейшей версии macOS в продукт были внесены следующие изменения:

• исправлена ошибка с добавлением исключений в белые и черные списки веб-антивируса SpIDer Gate;
• устранена проблема загрузки веб-страниц при активной проверке зашифрованного трафика;
• скорректирована работа блокировки по категориям при наличии приложений, исключенных из проверки SpIDer Gate;
• поправлена локализация и работа личного кабинета «Мой Dr.Web» для различных языков;
• исправлена испанская локализация для раздела в настройках Dr.Web Cloud.

Для обновления до версии 11.1.1 пользователям необходимо скачать новый дистрибутив.

6 сентября 2018 года

Компания «Доктор Веб» сообщает об обновлении модуля самозащиты Dr.Web Protection for Windows (11.05.04.09040) и антируткитного модуля Dr.Web Anti-rootkit API (11.5.4.201809050) в продуктах Dr.Web Security Space 11.5, Антивирус Dr.Web 11.5, Антивирус Dr.Web 11.5 для файловых серверов Windows и Dr.Web Enterprise Security Suite 11.0 в связи с исправлением выявленной ошибки. Антируткитный модуль обновлен также в составе в Dr.Web 11.5 для Microsoft Exchange Server и Dr.Web 11.5 для IBM Lotus Domino.

В рамках обновления была устранена проблема совместимости продуктов Dr.Web 11.5 для Windows и Dr.Web Enterprise Security Suite 11.0 с ПО Quest Change Auditor Agent, приводившая к сбоям в работе последнего.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

31 августа 2018 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за август 2018 года. В уходящем месяце вирусные аналитики «Доктор Веб» обнаружили троянца-клиппера, подменяющего номера электронных кошельков в буфере обмена Android-устройств. Кроме того, в каталоге Google Play было зафиксировано распространение множества вредоносных приложений. Также специалисты по информационной безопасности выявили нового троянца-шпиона.

31 августа 2018 года

В августе 2018 года специалисты компании «Доктор Веб» обнаружили троянца для ОС Android, способного подменять номера электронных кошельков в буфере обмера. Кроме того, вирусные аналитики выявили в каталоге Google Play множество троянцев, которых злоумышленники использовали в различных мошеннических схемах незаконного заработка. Также в течение месяца в официальном каталоге программ для ОС Android было зафиксировано несколько новых Android-банкеров и троянцев-загрузчиков, скачивавших на мобильные устройства другое вредоносное ПО. Помимо этого, в августе специалисты по информационной безопасности обнаружили опасного троянца-шпиона, которого вирусописатели могли встраивать в безобидные программы и распространять таким образом под видом оригинальных приложений.

Мобильная угроза месяца

В начале уходящего месяца вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.Clipper.1.origin, который отслеживает буфер обмена и подменяет копируемые в него номера электронных кошельков популярных платежных систем и криптовалют. Вредоносную программу «интересуют» номера кошельков Qiwi, Webmoney, «Яндекс.Деньги», Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin и Litecoin. Когда пользователь копирует один из них в буфер обмена, троянец перехватывает его и передает на управляющий сервер. В ответ Android.Clipper.1.origin получает информацию о номере кошелька злоумышленников, на который заменяет номер жертвы. В результате владелец зараженного устройства рискует перевести деньги на счет вирусописателей. Подробнее об этом троянце рассказано в новостной публикации, размещенной на нашем сайте.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Троянская программа, которая выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства

Android.HiddenAds

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Zeus.1

Adware.Adpush.2514

Adware.SalmonAds.3.origin

Adware.Jiubang.2

Adware.Patacore.1.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянцы в Google Play

В августе в каталоге Google Play было выявлено множество вредоносных программ. На протяжении всего месяца вирусные аналитики компании «Доктор Веб» отслеживали распространение в нем троянцев семейства Android.Click. Наши специалисты обнаружили 127 таких вредоносных приложений, которые злоумышленники выдавали за официальные программы букмекерских контор.

При запуске эти троянцы показывают пользователю заданный управляющим сервером веб-сайт. На момент обнаружения все выявленные представители семейства Android.Click открывали интернет-порталы букмекерских фирм. Однако в любой момент они способны получить команду на загрузку произвольного сайта, который может распространять другое вредоносное ПО или использоваться в фишинг-атаках.

Еще одним троянцем-кликером, обнаруженным в августе в Google Play, стал Android.Click.265.origin. Злоумышленники использовали его для подписки пользователей на дорогостоящие мобильные услуги. Вирусописатели распространяли эту вредоносную программу под видом официального приложения для работы с интернет-магазином «Эльдорадо».

Троянец Android.Click.248.origin, известный вирусным аналитикам «Доктор Веб» с апреля, в августе вновь появился в каталоге Google Play. Как и ранее, он распространялся под видом известного ПО. Android.Click.248.origin загружает мошеннические сайты, на которых предлагается скачать различные программы или сообщается о некоем выигрыше. Для получения приза или скачивания приложения у потенциальной жертвы запрашивается номер мобильного телефона, на который приходит код подтверждения. После ввода этого кода владелец мобильного устройства подписывается на дорогостоящую услугу. При этом, если Android-смартфон или планшет подключен к Интернету через мобильное соединение, подписка на платный сервис выполняется автоматически сразу после того, как киберпреступники получают номер.

Более подробную информацию об этих троянцах-кликерах можно получить, прочитав соответствующую новостную публикацию на нашем сайте.

В конце августа вирусные аналитики «Доктор Веб» обнаружили в Google Play троянца Android.FakeApp.110, которого сетевые жулики использовали для незаконного заработка. Эта вредоносная программа загружала мошеннический сайт, на котором потенциальной жертве предлагалось за вознаграждение пройти опрос. После ответа на все вопросы требовалось выполнить некий идентификационный платеж в размере 100-200 рублей. Однако после перевода денег мошенникам никакой оплаты пользователь не получал.

Среди вредоносных программ, обнаруженных в каталоге Google Play в августе, оказались очередные Android-банкеры. Один из них получил имя Android.Banker.2843. Он распространялся под видом официального приложения одной из турецких кредитных организаций. Android.Banker.2843 крал логины и пароли для доступа к банковской учетной записи пользователя и передавал их злоумышленникам.

Другой банковский троянец, добавленный в вирусную базу Dr.Web как Android.Banker.2855, вирусописатели распространяли под видом различных сервисных утилит. Эта вредоносная программа извлекала из своих файловых ресурсов и запускала троянца Android.Banker.279.origin, который похищал банковские аутентификационные данные пользователей.

Некоторые модификации Android.Banker.2855 пытались скрыть свое присутствие на мобильном устройстве, показывая после запуска поддельное сообщение об ошибке и удаляя свой значок из списка приложений на главном экране.

Другой Android-банкер, получивший имя Android.BankBot.325.origin, скачивался на зараженные смартфоны и планшеты троянцем Android.DownLoader.772.origin. Злоумышленники распространяли эту вредоносную программу-загрузчик через каталог Google Play под видом полезных приложений – например, оптимизатора работы аккумулятора.

Кроме того, вирусные аналитики «Доктор Веб» выявили в Google Play загрузчика Android.DownLoader.768.origin, распространявшегося под видом приложения от корпорации Shell. Android.DownLoader.768.origin скачивал на мобильные устройства различных банковских троянцев.

Также в августе в Google Play был найден троянец-загрузчик, добавленный в вирусную базу Dr.Web как Android.DownLoader.784.origin. Он был встроен в приложение под названием Zee Player, позволявшее скрывать хранящиеся в памяти мобильных устройств фотографии и видео.

Android.DownLoader.784.origin загружал троянца Android.Spy.409.origin, которого злоумышленники могли использовать для кибершпионажа.

Android-шпион

В августе вирусная база Dr.Web пополнилась записью для детектирования троянца Android.Spy.490.origin, предназначенного для кибершпионажа. Злоумышленники могут встраивать его в любые безобидные приложения и распространять их модифицированные копии под видом оригинального ПО, не вызывая подозрений у пользователей. Android.Spy.490.origin способен отслеживать СМС-переписку и местоположение зараженного смартфона или планшета, перехватывать и записывать телефонные разговоры, передавать на удаленный сервер информацию обо всех совершенных звонках, а также снятые владельцем мобильного устройства фотографии и видео.

Каталог приложений Google Play является самым безопасным источником программ для устройств под управлением ОС Android. Однако злоумышленникам по-прежнему удается распространять через него различные вредоносные программы. Для защиты Android-смартфонов и планшетов пользователям следует установить антивирусные продукты Dr.Web для Android.

31 августа 2018 года

Компания «Доктор Веб» подытоживает августовский розыгрыш лотов – в последний день лета мы рады сообщить о победителях последнего летнего аукциона, завершившегося вчера, 30 августа.

Коврики для мыши «Русский стиль» отправятся к DrBew (г. Челябинск) и F...A (г. Братск), набор инструментов – в собственности Natalya_2017 (г. Чебоксары), а USB-лампа будет светить для Lenba (Воронежская область).

С нашим специальным набором для путешествий поездки и перелеты станут комфортнее для viktorjez (Казахстан, г. Жезказган), универсальное зарядное устройство поможет всегда оставаться на связи участнику сообщества под псевдонимом razgen (г. Курчатов), а электронные прыгалки выигрывает berebeshka (г. Иркутск).

Поздравляем победителей и – отдельно – участника аукциона TeXNiK (г. Омск), выигравшего пляжное полотенце Dr.Web при помощи ставки на «кота в мешке».

Просим победителей проверить, корректно ли указан почтовый адрес в ваших учетных записях. Тем, кто выиграл лицензии Dr.Web, рекомендуем заглянуть в сервис «Мои артефакты». Обращаем ваше внимание, что срок действия лицензий начинается с момента их активации, который всегда остается на усмотрение пользователя.

#сообщество #аукцион

31 августа 2018 года

Компания «Доктор Веб» приглашает пользователей принять участие в бета-тестировании Антивируса Dr.Web для файловых серверов UNIX 11.1. Новая версия Антивируса стала более быстрой и надежной, его функциональные возможности расширились, повысилось удобство администрирования. Все желающие первыми опробовать преимущества Антивируса для файловых серверов UNIX версии 11.1 получат ссылку для загрузки дистрибутива.

В новую версию продукта внесены следующие важные изменения:

• ОС Solaris больше не поддерживается решениями Dr.Web;
• реализовано сканирующее ядро для платформы amd64;
• убрана зависимость пакетов для архитектуры amd64 от 32-разрядной библиотеки libc;
• в дистрибутив добавлена специальная утилита drweb-configure для настройки продуктов Dr.Web, удален сценарий интеграции с сервером Samba;
• из комплекта поставки исключены модули VFS SMB для Samba с версиями ниже 3.6.0;
• антивирусное ядро выделено в отдельный пакет drweb-engine;
• компоненты Dr.Web ConfigD и Dr.Web Ctl поставляются в отдельных пакетах;
• с новой версией Антивируса поставляется полный комплект документации по всем продуктам Dr.Web для UNIX.

Обновлены используемые библиотеки:

• OpenSSL (до версии 1.0.2h);
• libzypp, zypper, boost (до версии 1.68), protobuf (до версии 3.4.0);

Улучшена работа программы установки:

• добавлена поддержка утилиты md5 для проверки целостности установочного пакета (только для операционной системы FreeBSD);
• улучшен механизм определения ранее установленных в системе продуктов Dr.Web для их автоматического удаления в ходе установки новой версии;
• добавлена отправка сообщений об установке продукта на почту root@localhost;
• изменен каталог размещения справочных страниц man (только для операционной системы FreeBSD);
• переименован сценарий запуска drweb-configd (только для операционной системы FreeBSD);
• реализовано подписывание исполняемых ELF-файлов для ОС Astra Linux;

Улучшена работа с угрозами и карантином:

• информация об обнаруженных угрозах сохраняется при перезапуске программного комплекса;
• в реестре угроз сохраняется информации о PID компонента, обнаружившего угрозу;
• улучшено кэширование информации о проверке файлов;
• исправлена обработка переименования файла при лечении угрозы;
• статистика обнаруженных угроз теперь отправляется в облако Dr.Web Cloud;
• для проверки файлов используется облако Dr.Web Cloud;
• реализована поддержка компонентом Dr.Web ClamD команды ALLMATCHSCAN протокола ClamAV;
• ограничено максимальное количество попыток лечения одного файла антивирусным ядром;
• реализована поддержка режима блокировки доступа к файлу, пока он не проверен SpIDer Guard;
• реализована поддержка масок в исключениях файлов и каталогов из проверки SpIDer Guard;
• реализована поддержка SpIDer Guard именованных областей проверки файлов («сайтов») в файловой системе.

Улучшена работа с томами NSS:

• реестр угроз и карантин NSS объединены с основным реестром угроз и карантином;
• реализован учет настроек зависимости имен файлов от регистра на томах NSS;
• реализована поддержка масок в исключениях файлов и каталогов из проверки SpIDer Guard для NSS;
• реализована поддержка работы с карантином томов NSS без наличия действующей лицензии.

Улучшена работа интерфейса командной строки drweb-ctl:

• реализована поддержка настройки форматирования вывода списка угроз для команд quarantine и threats;
• для команд scan и remotescan добавлена опция exclude, позволяющая указать список файлов, исключаемых из проверки;
• для команды threats добавлена опция directory, позволяющая фильтровать угрозы в списке по каталогу местонахождения инфицированного файла;
• для команды remotescan реализована поддержка протокола Telnet;
• добавлена возможность указания относительного пути для восстановления файлов из карантина;
• добавлена возможность сериализованного вывода результатов команды scan (в формате JSON);
• добавлена возможность сканирования входящего потока stdin командой netscan;
• добавлена команда log для просмотра последних записей из журнала программного комплекса;
• добавлена возможность получения списка установленных вирусных баз командой baseinfo;
• более не поддерживаются команды proxyscan, nss_threats, nss_quarantine.

Улучшена работа с получением обновлений:

• изменены параметры конфигурации, хранящие пути к файлам списков серверов обновлений (DRL);
• компонент Dr.Web Updater теперь работает в режиме демона;
• реализована поддержка новой процедуры обновления вирусных баз с серверов обновлений.

Улучшено взаимодействие с сервером централизованной защиты:

• реализована поддержка обмена с сервером централизованной защиты универсальными настройками компонентов в формате INI;
• для подключения к серверу вместо публичного ключа используется сертификат X.509.

Иные изменения:

• улучшено определение дистрибутива ОС, в которой установлен продукт;
• реализована отправка информации об используемой ОС в облако Dr.Web Cloud.

Пользователи, желающие присоединиться к программе бета-тестирования, могут загрузить дистрибутив Антивируса для файловых серверов UNIX 11.1 со специального раздела нашего сайта.

Обращаем ваше внимание, что бета-версия Антивируса для файловых серверов UNIX 11.1 предназначена исключительно для тестирования, не может использоваться в качестве средства антивирусной защиты на постоянной основе и должна быть деинсталлирована после того, как пользователь завершит тестирование. Компания «Доктор Веб» не несет ответственности за возможные проблемы на устройствах тестеров, связанные с работой бета-версии.

#тестирование #отзывы_о_Dr.Web #новая_версия #Dr.Web #UNIX #Linux

31 августа 2018 года

Компания «Доктор Веб» представляет обзор вирусной активности в августе 2018 года. В течение последнего летнего месяца было зафиксировано распространение троянцев-майнеров не только для ОС Windows, но и для устройств, работающих под управлением Linux. Участились случаи рассылок мошеннических писем по электронной почте. Об этих и других событиях читайте в нашем августовском обзоре.

31 августа 2018 года

В августе специалисты «Доктор Веб» зафиксировали распространение троянцев-майнеров, предназначенных для добычи криптовалют без ведома пользователей. Подобные программы были предназначены как для устройств под управлением Windows, так и для Linux-устройств. В течение последнего летнего месяца киберпреступники рассылали мошеннические письма администраторам освобождающихся доменов в надежде обманным путем завладеть их деньгами. Кроме того, в августе вирусные базы Dr.Web пополнились новыми записями для Android-троянцев.

Угроза месяца

Вредоносную программу, добавленную в вирусные базы под именем Linux.BtcMine.82, злоумышленники начали использовать еще в июне. Этот троянец написан на языке Go и представляет собой дроппер, в теле которого хранится упакованный майнер. Дроппер сохраняет его на диск и запускает, после чего майнер приступает к добыче криптовалюты Monero (XMR). На принадлежащем злоумышленникам сервере аналитики «Доктор Веб» обнаружили еще несколько майнеров для ОС Windows.

Все выявленные аналитиками вредоносные программы были добавлены в вирусные базы Dr.Web. Более подробную информацию об этом инциденте можно получить из новостного материала, опубликованного на нашем сайте.

По данным серверов статистики «Доктор Веб»

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.Encoder.11432

Червь-шифровальщик, также известный под именем WannaCry.

Trojan.BtcMine

Семейство вредоносных программ, которые втайне от пользователя применяют вычислительные ресурсы зараженного компьютера для добычи (майнинга) различных криптовалют, например Bitcoin.

Win32.HLLW.Shadow

Червь, использующий для своего распространения съемные носители и сетевые диски. Кроме того, может распространяться по сети с использованием стандартного протокола SMB. Способен загружать с управляющего сервера и запускать исполняемые файлы.

Статистика вредоносных программ в почтовом трафике

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Trojan.Encoder.567, Trojan.Encoder.25843

Энкодеры, шифрующие файлы на компьютере и требующие у жертвы выкуп за расшифровку.

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.Inject

Семейство троянцев, встраивающих вредоносный код в процессы других программ.

Шифровальщики

В августе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 20,00% обращений;
• Trojan.Encoder.11464 — 14,23% обращений;
• Trojan.Encoder.25574 — 9,24% обращений;
• Trojan.Encoder.567 — 3,46% обращений;
• Trojan.Encoder.24249 — 3,45% обращений;
• Trojan.Encoder.10700 — 2,50% обращений.

Опасные сайты

В августе активизировались кибермошенники, целью которых на этот раз стали администраторы освобождающихся доменов, ранее пользовавшиеся услугами регистратора «Региональный Сетевой Информационный Центр» (RU-CENTER). В середине месяца они стали получать по электронной почте сообщения якобы от имени этой компании. В письмах содержалось напоминание об окончании оплаченного периода регистрации доменного имени. Злоумышленники утверждали, что администратор должен оплатить услугу продления домена в течение одного рабочего дня с момента получения письма, иначе этот домен будет исключен из реестра.

Ссылка в письме вела на взломанный веб-сайт, адрес которого был добавлен в базы нерекомендуемых интернет-ресурсов Офисного и Родительского контроля. Установленный там сценарий перенаправлял получателя письма на страницу платежной системы Яндекс.Деньги, позволяющую перевести денежные средства на электронный кошелек мошенников. Подробнее об этой рассылке мы рассказали в опубликованной на нашем сайте статье.

Также в августе многие пользователи Интернета получали электронные письма, в которых сетевые жулики сообщали получателю его пароль, ранее использованный при регистрации на одном из сайтов, либо комбинацию логина и пароля. Авторы сообщения утверждали, что они якобы разместили вирус на одном из порносайтов, и при его посещении включили камеру устройства, с помощью которой записали видеоролик с участием получателя письма. Чтобы избежать рассылки этого ролика по списку адресов, будто бы скопированному из адресной книги потенциальной жертвы, ей предлагалось заплатить выкуп в биткойнах, эквивалентный нескольким тысячам долларов США.

Разумеется, подобные сообщения являются пустой угрозой: по всей видимости, в руки злоумышленников попала база данных зарегистрированных пользователей, похищенная с одного или нескольких интернет-ресурсов. Чтобы не попадаться в руки мошенников, специалисты «Доктор Веб» рекомендуют чаще менять пароли и не использовать одинаковые учетные данные для регистрации на разных сайтах.

В течение августа 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 538 480 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В августе 2018 года вирусные аналитики компании «Доктор Веб» обнаружили троянца-клиппера Android.Clipper.1.origin, подменяющего номера электронных кошельков в буфере обмена зараженных Android-устройств. Помимо этого, в каталоге Google Play было выявлено множество различных вредоносных программ. Среди них – банковские троянцы Android.Banker.2843 и Android.Banker.2855, распространявшиеся под видом безобидных приложений. Кроме того, киберпреступники пытались заразить мобильные устройства пользователей при помощи троянцев-загрузчиков Android.DownLoader.768.origin, Android.DownLoader.772.origin и Android.DownLoader.784.origin, которые скачивали на смартфоны и планшеты различные вредоносные приложения. Также в течение уходящего месяца специалисты компании «Доктор Веб» обнаружили в Google Play большое число троянцев семейства Android.Click. Злоумышленники использовали их в мошеннических целях и зарабатывали с их помощью деньги. Еще один троянец, созданный для мошенничества, получил имя Android.FakeApp.110. Он также распространялся через каталог Google Play. Среди выявленных в августе вредоносных программ оказался опасный троянец-шпион Android.Spy.490.origin, которого вирусописатели могли встраивать в любые приложения и распространять их под видом оригиналов.

Наиболее заметные события, связанные с «мобильной» безопасностью в августе:

• обнаружение троянца-клиппера, способного подменять номера электронных кошельков в буфере обмена Android-устройств;
• обнаружение множества вредоносных программ в каталоге Google Play;
• распространение банковских троянцев;
• выявление опасного троянца-шпиона.

Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре.

30 августа 2018 года

Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play десятки вредоносных приложений, которые сетевые жулики используют для незаконного заработка. Авторы этих программ выдают их за известное или полезное ПО и применяют в различных мошеннических схемах. Кроме того, многие из них потенциально могут использоваться для распространения других троянцев.

Одну из обнаруженных вредоносных программ, получившую имя Android.Click.265.origin, злоумышленники используют для подписки пользователей на дорогостоящие мобильные услуги. Это хорошо известный вид сетевого мошенничества, который предприимчивые киберпреступники практикуют уже много лет. Android.Click.265.origin замаскирован под официальное приложение для работы с онлайн-магазином торговой сети «Эльдорадо». Вирусные аналитики «Доктор Веб» обнаружили два случая проникновения троянца в Google Play, и на момент выхода этой новости обе его модификации были удалены из каталога программ для ОС Android.

Android.Click.265.origin действительно выполнял заявленные его создателями функции: он загружал в своем окне мобильную версию веб-магазина «Эльдорадо» и позволял полноценно с ним работать. Однако, помимо этого, он выполнял и менее желательные действия. Троянец показывал надоедливую рекламу, а также открывал страницы сервисов дорогостоящих мобильных услуг и автоматически нажимал на расположенную там кнопку подтверждения подписки. После этого с мобильного счета жертвы каждый день списывалась определенная сумма.

Android.Click.248.origin — еще один троянец, которого злоумышленники используют в мошеннической схеме с подпиской владельцев Android-смартфонов и планшетов на премиум-услуги. Эта вредоносная программа, известная специалистам «Доктор Веб» с апреля текущего года, в уходящем месяце вновь распространялась через Google Play. Как и ранее, вирусописатели выдавали Android.Click.248.origin за известное ПО, например за клиентское приложение интернет-доски объявлений «Юла» и онлайн-магазина AliExpress, а также за голосовой помощник Алиса от компании «Яндекс».

Этот троянец открывает один из фишинговых сайтов, на котором пользователю предлагается скачать ту или иную известную программу либо сообщается о выигрыше ценного приза. У потенциальной жертвы мошенничества запрашивается номер мобильного телефона, якобы необходимый для получения проверочного кода. Однако на самом деле этот код нужен для подтверждения подписки на платную услугу, за использование которой каждый день будет взиматься плата. Если же зараженное устройство подключено к Интернету через мобильное соединение, то после ввода номера телефона на таком сайте владелец Android-смартфона или планшета подписывается на премиум-услугу автоматически. Примеры мошеннических веб-страниц, которые загружает Android.Click.248.origin, показаны на изображении ниже:

Кроме того, среди выявленных в августе вредоносных программ, которые распространялись через каталог Google Play, стоит отметить множество других модификаций троянцев семейства Android.Click. Исследованные нашими вирусными аналитиками представители этого семейства выдавались за официальные программы различных букмекерских контор, таких как «Олимп», «Мостбет», «Фонбет», «Лига ставок», 1xBet, Winline и других. В общей сложности специалисты «Доктор Веб» выявили 127 таких вредоносных программ, которые распространяли 44 разработчика. Компания Google оперативно удаляет эти приложения из Google Play, однако предприимчивые мошенники продолжают добавлять их в каталог почти каждый день.

После запуска эти троянцы соединяются с управляющим сервером и получают от него команду на загрузку того или иного сайта, который демонстрируется пользователю. В настоящее время указанные вредоносные программы открывают официальные страницы букмекерских фирм, при этом название троянского приложения никак не влияет на загружаемый сайт. Кроме того, в любой момент управляющий сервер способен отдать троянцам команду на загрузку произвольного веб-ресурса, в том числе мошеннического или вредоносного онлайн-портала, с которого на Android-устройство могут загружаться другие вредоносные программы. Именно поэтому эти троянцы представляют серьезную опасность.

Наконец, другой троянец-мошенник, обнаруженный в уходящем месяце, скрывался в приложении с именем «Опрос». Он был добавлен в вирусную базу как Android.FakeApp.110. Его авторы обещали пользователям денежное вознаграждение за участие в простых опросах, прохождение которых не займет больше нескольких минут.

При запуске Android.FakeApp.110 загружал принадлежащий злоумышленникам мошеннический сайт, на котором потенциальным жертвам предлагалось ответить на несколько незамысловатых вопросов якобы от спонсоров, готовых щедро заплатить за участие в маркетинговом исследовании. Например, у пользователя могли поинтересоваться, какой парфюм он предпочитает и на автомобиле какого автоконцерна ездит.

После ответа на несколько таких вопросов владельцу мобильного устройства обещали вознаграждение в размере десятков или даже сотен тысяч рублей. При этом тут же его предупреждали, что якобы из-за лимита платежных систем перевод этих средств будет выполнен несколькими частями в течение определенного промежутка времени. Однако для того, чтобы моментально получить честно заработанное, жертве необходимо всего лишь выполнить некий идентификационный платеж в размере 100–200 рублей, который якобы подтвердит личность «счастливчика». В этом и заключается смысл описанного мошенничества: жертва обмана добровольно отдает свои деньги интернет-жуликам, ожидая получить обещанное вознаграждение, однако никаких баснословных выплат она, конечно же, никогда не увидит. Специалисты компании «Доктор Веб» оповестили корпорацию Google об этом вредоносном приложении, и в настоящее время оно недоступно для загрузки.

Для отъема денег у владельцев мобильных устройств и получения иной выгоды злоумышленники применяют всевозможные уловки, а также изобретают всё новые мошеннические схемы. Компания «Доктор Веб» напоминает, что устанавливать приложения даже из каталога Google Play необходимо с осторожностью. Стоит обращать внимание на имя разработчика, дату публикации интересующей программы, а также отзывы других пользователей. Эти простые действия помогут снизить риск заражения смартфонов и планшетов. Кроме того, для защиты Android-устройств пользователям следует установить антивирусные продукты Dr.Web для Android, которые успешно детектируют и удаляют все известные вредоносные и нежелательные программы.

Подробнее об Android.Click.265.origin

Подробнее об Android.Click.248.origin

Подробнее об Android.FakeApp.110

#Android, #мошенничество, #Google_Play, #троянец

30 августа 2018 года

Компания «Доктор Веб» сообщает об обновлении модулей drweb-netcheck (11.0.4-1808141741), drweb-gui (11.0.7-1808052330) и drweb-cloudd (11.0.8-1808272330) в продуктах Антивирус Dr.Web 11.0 для почтовых серверов UNIX, Антивирус Dr.Web 11.0 для файловых серверов UNIX, Антивирус Dr.Web 11.0 для интернет-шлюзов UNIX, Антивирус Dr.Web 11.0 для Linux. Обновление связано с добавлением новых функциональных возможностей, внесением внутренних изменений и исправлением выявленных ошибок.

Изменения в модуле drweb-netcheck (11.0.4-1808141741):

• реализован API, позволяющий проверять данные для использования в сторонних программных решениях;
• в комплекте пакета модуля поставляются примеры использования нового API и сопутствующая документация;
• реализована поддержка кластерного режима для осуществления распределенного сканирования.

Изменения в модуле drweb-gui (11.0.7-1808052330):

• добавлена локализация нотификаций о доступном обновлении для компонента gui-agent.

Изменения в модуле drweb-cloudd (11.0.8-1808272330):

• исправлена ошибка, не позволявшая пользователям посещать некоторые сайты при включенном компоненте SpIDer Gate.

Обновление будет осуществляться через репозиторий Dr.Web.

#обновление #Dr.Web #UNIX #Linux