31 мая 2016 года
Последний весенний месяц 2016 года был отмечен распространением нового бэкдора, предназначенного для слежки за пользователями Microsoft Windows, и прежде всего — для кражи с зараженных компьютеров различных документов. Не снижается активность злоумышленников, создающих вредоносные программы для мобильной платформы Android: в мае вирусные аналитики зафиксировали всплеск распространения мобильных банковских троянцев. Также специалисты «Доктор Веб» исследовали троянца, реализующего на инфицированной машине функции прокси-сервера.
Главные тенденции мая
- Появление опасного троянца-шпиона для Windows
- Появление троянца, превращающего зараженный компьютер в прокси-сервер
- Распространение банковских троянцев для ОС Android
Угроза месяца
Троянцы-шпионы представляют особую опасность, поскольку способны похищать конфиденциальную информацию, представляющую высокую ценность для пользователей. Одной из таких вредоносных программ является троянец BackDoor.Apper.1, исследованный специалистами «Доктор Веб» в начале мая.
Этот бэкдор распространяется с помощью дроппера, представленного в виде документа Microsoft Excel, в который встроен специальный макрос. Макрос собирает по байтам и запускает самораспаковывающийся архив. В архиве, в свою очередь, содержится исполняемый файл, позаимствованный злоумышленниками из комплекта поставки популярного продукта корпорации Symantec. Этот файл имеет действительную цифровую подпись Symantec и в момент своего запуска загружает в память компьютера динамическую библиотеку, где и реализованы основные вредоносные функции троянца.
Основное предназначение BackDoor.Apper.1 — кража с инфицированного компьютера различных документов, но этот троянец может выполнять и другие команды злоумышленников. Более подробные сведения о BackDoor.Apper.1 приведены в опубликованной на сайте компании «Доктор Веб» статье.
По данным статистики лечащей утилиты Dr.Web CureIt!
Trojan.Zadved
Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.Trojan.InstallCore.1903
Представитель семейства установщиков нежелательных и вредоносных приложений.Trojan.MulDrop
Представитель семейства троянцев, предназначенных для установки на инфицированный компьютер других вредоносных программ.Trojan.StartPage
Семейство вредоносных программ, способных подменять стартовую страницу в настройках браузера.
По данным серверов статистики «Доктор Веб»
Trojan.Zadved
Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.Trojan.InstallCore.1903
Представитель семейства установщиков нежелательных и вредоносных приложений.BackDoor.IRC.NgrBot.42
Довольно распространенный троянец, известный специалистам по информационной безопасности еще с 2011 года. Вредоносные программы этого семейства способны выполнять на инфицированном компьютере поступающие от злоумышленников команды, а управление ими киберпреступники осуществляют с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat).Trojan.BPlug
Это надстройки (плагины) для популярных браузеров, демонстрирующие назойливую рекламу при просмотре веб-страниц.Trojan.KillProc.41114
Представитель семейства вредоносных программ, способных останавливать запущенные процессы других приложений, а также выполнять на инфицированном компьютере иные действия.
Статистика вредоносных программ в почтовом трафике
JS.Downloader
Семейство вредоносных сценариев, написанных на языке JavaScript, предназначенных для загрузки и установки на компьютер других вредоносных программ.Trojan.Bayrob.57
Троянец, способный похищать конфиденциальную информацию и выполнять на инфицированном компьютере другие нежелательные для пользователя действия.Win32.HLLM.Graz
Почтовый червь массовой рассылки, отслеживает трафик на определенных портах и разбирает передаваемые данные с целью извлечения паролей; эта информация используется для дальнейшего распространения червя.W97M.DownLoader
Семейство троянцев-загрузчиков, использующих в своей работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
Троянцы-шифровальщики
Наиболее распространенные шифровальщики в мае 2016 года:
Dr.Web Security Space 11.0 для Windows
защищает от троянцев-шифровальщиков
Этого функционала нет в лицензии Антивирус Dr.Web для Windows
| Защита данных от потери | |
|---|---|
 |  |
Опасные сайты
В течение мая 2016 года в базу нерекомендуемых и вредоносных сайтов было добавлено 550 258 интернет-адресов.
| Апрель 2016 | Май 2016 | Динамика |
|---|---|---|
| + 749 173 | + 550 258 | -26.55% |
Другие события
TeamViewer является популярной программой для удаленного администрирования — с ее помощью специалисты по компьютерным технологиям и системные администраторы могут получить доступ к операционной системе по сети и выполнить в ней какие-либо действия – например, изменить настройки или передать нужные файлы. Однако этой утилитой иногда пользуются и злоумышленники — они модифицируют TeamViewer таким образом, чтобы его значок не демонстрировался в панели задач Windows, а затем соединяются с атакуемой машиной без ведома пользователя.
Троянец BackDoor.TeamViewer.49 также использует в своих целях TeamViewer, но по другой причине: с его помощью он загружает в память компьютера библиотеку, в которой реализованы основные вредоносные функции троянца. Этот бэкдор превращает зараженный ПК в прокси-сервер, который перенаправляет трафик от управляющего сервера на заданный удаленный узел. Это позволяет злоумышленникам обеспечить собственную анонимность в Интернете, соединяясь с удаленными компьютерами через зараженную машину как через обычный прокси-сервер. Более подробную информацию о способе распространения BackDoor.TeamViewer.49 и его возможностях можно получить, ознакомившись с опубликованной на сайте «Доктор Веб» информационной статьей.
Вредоносное и нежелательное ПО для мобильных устройств
Банковские троянцы, заражающие мобильные устройства под управлением ОС Android, по-прежнему представляют серьезную опасность для пользователей. В прошедшем мае с помощью таких вредоносных программ злоумышленники вновь пытались украсть деньги у владельцев смартфонов и планшетов. Так, продолжилось распространение банкера Android.SmsSpy.88.origin, способного атаковать клиентов кредитных организаций по всему миру. Кроме того, специалисты компании «Доктор Веб» обнаружили большое число мошеннических сайтов, при помощи которых вирусописатели распространяли троянца Android.BankBot.104.origin, а также других Android-банкеров.
Наиболее заметные события, связанные с «мобильной» безопасностью в мае:
- новые случаи распространения банковского троянца Android.SmsSpy.88.origin, атакующего клиентов десятков банков по всему миру;
- распространение банковских троянцев при помощи мошеннических веб-сайтов, предлагающих загрузить ПО для взлома игр и получения бесконечных игровых ресурсов.
Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.
Узнайте больше с Dr.Web
Вирусная статистика Библиотека описаний Все обзоры о вирусах
