• 2014-04-02 10:41 Обзор вирусной активности в марте 2014 года
• 2014-04-02 12:38 Брандмауэр – новый компонент Dr.Web 9.0 для Android

Антивирусный "хостинг"

Клуб пользователей антивирусных услуг (Saas, Cloud)

KMM поделился ссылкой

Обзор вирусной активности в марте 2014 года

2 апреля 2014 года

В течение первого весеннего месяца специалисты компании «Доктор Веб» добавили в вирусные базы записи для множества новых угроз. Так, в начале марта был обнаружен троянец, заражающий банкоматы одного из ведущих зарубежных производителей, а в середине месяца компания сообщила о распространении вредоносной программы, взламывающей Wi-Fi-роутеры. Также в марте было выявлено большое количество неизвестных ранее троянцев для мобильной платформы Google Android.

Вирусная обстановка

Согласно данным, собранным в марте 2014 года с использованием лечащей утилиты Dr.Web CureIt!, наиболее частым «гостем» на компьютерах пользователей, как и в предыдущем месяце, стал установщик рекламных и сомнительных приложений Trojan.Packed.24524. На втором и третьем местах расположились рекламные троянцы Trojan.InstallMonster.51 и Trojan.LoadMoney.15, лишь немного им уступает еще одна рекламная вредоносная программа — Trojan.LoadMoney.1. Также среди выявленных угроз присутствует несколько модификаций троянцев семейства Trojan.BPlug — под этим названием скрываются надстройки (плагины) для браузеров, встраивающие в просматриваемые веб-страницы рекламу или «продвигающие» различные мошеннические ресурсы. Двадцатка троянцев, наиболее часто детектируемых в течение марта лечащей утилитой Dr.Web CureIt!, представлена в таблице ниже:

Название	Кол-во	%
Trojan.Packed.24524	68640	6.50
Trojan.InstallMonster.51	21415	2.03
Trojan.LoadMoney.15	18405	1.74
Trojan.LoadMoney.1	16450	1.56
Trojan.Siggen5.64541	16395	1.55
Trojan.InstallMonster.61	15076	1.43
Trojan.Triosir.1	14257	1.35
Trojan.DownLoader11.3101	12510	1.18
Trojan.BPlug.28	11664	1.10
Trojan.Packed.24814	8646	0.82
Trojan.Fraudster.524	8318	0.79
Trojan.BPlug.10	8289	0.79
BackDoor.IRC.NgrBot.42	8036	0.76
BackDoor.Maxplus.24	7912	0.75
Trojan.BPlug.17	7814	0.74
Trojan.InstallMonster.38	7802	0.74
Trojan.Hosts.6815	7248	0.69
Trojan.MulDrop5.10078	6924	0.66
Trojan.StartPage.59964	6889	0.65
Trojan.Triosir.2	6237	0.59

Ботнеты

Продолжается постепенный рост бот-сети, состоящей из работающих под управлением Microsoft Windows персональных компьютеров, инфицированных файловым вирусом Win32.Rmnet.12. В марте средняя численность первой из двух подсетей этого ботнета, мониторинг которых осуществляют специалисты компании «Доктор Веб», составила в среднем 244 430 зараженных рабочих станций. Рост второй подсети в марте несколько замедлился: ее средняя численность за истекший месяц составила 157 343 инфицированных компьютеров. Несколько снизилось и количество машин, на которых антивирусное ПО Dr.Web обнаруживало вредоносный модуль Trojan.Rmnet.19: в конце марта таковых насчитывалось 2 066, что на 457 ПК меньше по сравнению с показателями прошлого месяца.

Узкоспециализированный ботнет BackDoor.Dande, с помощью которого злоумышленники похищают информацию о закупке медикаментов на компьютерах аптек и фармацевтических компаний, в марте сократился еще на 5,5% — к концу месяца его численность составила 968 зараженных машин.

В то же время количество инфицированных троянцем BackDoor.Flashback.39 компьютеров, работающих под управлением операционной системы Mac OS X, продолжает колебаться: в марте средняя численность данного ботнета составила 25 912 «маков», при этом все обращавшиеся к командному серверу в течение минувшего месяца компьютеры уже были инфицированы ранее.

Другие угрозы марта

В начале месяца специалисты компании «Доктор Веб» сообщили об обнаружении вредоносной программы Trojan.Skimer.19, представляющей угрозу для банкоматов одного из зарубежных производителей.

Заразив операционную систему банкомата, Trojan.Skimer.19 перехватывает нажатия клавиш EPP (Encrypted Pin Pad) в ожидании специальной комбинации, с использованием которой троянец активируется и может выполнить введенную злоумышленником на клавиатуре команду. Среди выполняемых команд можно перечислить следующие:

• сохранить лог-файлы на чип карты, расшифровать PIN-коды;
• удалить троянскую библиотеку, файлы журналов, «вылечить» файл-носитель, перезагрузить систему (злоумышленники дважды отдают команду инфицированному банкомату, второй раз – не позднее 10 секунд после первого);
• вывести на дисплей банкомата окно со сводной статистикой: количество выполненных транзакций, уникальных карт, перехваченных ключей и т. д.;

  

• уничтожить все файлы журналов;
• перезагрузить систему;
• обновить файл троянца, считав исполняемый файл с чипа карты.

Более подробную информацию о Trojan.Skimer.19 можно почерпнуть из опубликованной на сайте компании «Доктор Веб» обзорной статьи.

Также в марте сотрудниками вирусной лаборатории «Доктор Веб» был проанализирован троянец Trojan.Rbrute, предназначенный для взлома паролей Wi-Fi-роутеров методом перебора (brute force), а также подмены адресов DNS-серверов в настройках этих устройств. Троянец способен выполнять две команды: сканирование сети по заданному диапазону IP-адресов и перебор паролей по словарю, при этом перечисленные команды не взаимосвязаны и могут выполняться троянцем по отдельности.

В настоящее время злоумышленники используют эту троянскую программу для распространения файлового вируса Win32.Sector. Ознакомиться с особенностями работы и распространения данной угрозы можно в опубликованном нами информационном материале.

Мобильные угрозы

Для владельцев Android-устройств первый весенний месяц текущего года оказался весьма неспокойным. Так, в начале марта киберпреступники организовали коммерческое распространение нового троянца-бота, внесенного в вирусную базу компании «Доктор Веб» под именем Android.Dendroid.1.origin. Данная вредоносная программа может быть встроена в любое безобидное Android-приложение и позволяет использующим ее злоумышленникам осуществлять на зараженном мобильном устройстве целый ряд противоправных действий – перехват телефонных звонков и СМС-сообщений, получение информации о текущем местоположении пользователя, записях его телефонной книги и истории веб-браузера, активацию встроенной камеры и микрофона, отправку коротких сообщений и т. д. Android.Dendroid.1.origin продается на закрытых хакерских форумах и фактически является очередным свидетельством того, что рынок незаконных услуг и сервисов для ОС Android продолжает активно развиваться.

Проблема сохранения конфиденциальности пользователей Android-устройств наглядно иллюстрируется и троянцем Android.Backdoor.53.origin, обнаруженным специалистами компании «Доктор Веб» в середине марта. Особенность данной вредоносной программы заключается в том, что она распространялась злоумышленниками в модифицированном ими легитимном приложении Webkey, позволяющем пользователям осуществлять дистанционное управление мобильным устройством. В отличие от оригинала, троянская версия приложения не имеет графического интерфейса и после установки скрывает свое присутствие в системе, удаляя значок с главного экрана. После своего запуска Android.Backdoor.53.origin отправляет на удаленный сервер идентификаторы зараженного устройства, тем самым регистрируя его как успешно инфицированное, вследствие чего злоумышленники могут получить над ним полный контроль, включая доступ ко многим персональным данным пользователей, а также аппаратным функциям.

В конце месяца специалистами компании «Доктор Веб» была обнаружена целая группа троянских приложений-загрузчиков семейства Android.DownLoader, предназначенных преимущественно для китайских пользователей. Попадая на мобильные устройства своих жертв, эти троянцы могут загрузить и выполнить установку других вредоносных программ, а также ряда легитимных приложений с целью извлечения прибыли от их незаконного продвижения. Одной из главных опасностей этих троянцев является то, что при наличии root-доступа установка загружаемых программ осуществляется без участия пользователей, и, кроме того, в результате интенсивного сетевого обмена данными владельцы Android-устройств с тарифными ограничениями по интернет-трафику рискуют столкнуться с незапланированными финансовыми тратами. Подробнее об этом случае рассказано в соответствующей новостной публикации.

Кроме того, в марте вирусные базы компании «Доктор Веб» пополнились несколькими записями для троянцев, осуществляющих скрытую добычу («майнинг») ряда электронных криптовалют. Эти вредоносные программы распространялись злоумышленниками в модифицированных версиях популярных приложений и активизировались в те моменты, когда зараженное мобильное устройство находилось в режиме ожидания. В конечном итоге эти троянцы способны существенным образом повлиять не только на время работы аккумулятора, но также доставить пользователям определенный дискомфорт из-за повышения температуры интенсивно работающих компонентов устройства, что, в свою очередь, может негативно сказаться на сроке их службы. Также в результате действия этих вредоносных программ ряд пользователей может понести и финансовые убытки, так как троянцы активно используют интернет-соединение. Данные угрозы детектируются антивирусом Dr.Web для Android как представители семейства Android.CoinMine.

По сравнению с предыдущим месяцем, в марте число нежелательных СМС-сообщений, с помощью которых осуществлялось распространение вредоносных Android-программ в Южной Корее, увеличилось на 113,3%. В общей сложности специалистами компании «Доктор Веб» было зафиксировано 192 случая подобных спам-рассылок, при этом наибольшая доля пришлась на троянцев Android.Spy.64.origin (86 случаев), Android.SmsSpy.53.origin (26 случаев), Android.SmsSpy.78.origin (18 случаев), Android.Spy.40.origin (13 случаев), а также Android.MulDrop.14.origin (12 случаев) и Android.SmsSpy.65.origin (10 случаев).

Вредоносные файлы, обнаруженные в почтовом трафике в марте

01.03.2014 00:00 - 31.03.2014 23:00
1	Trojan.DownLoad3.28161	0.75%
2	Trojan.PWS.Panda.2401	0.65%
3	Trojan.PWS.Panda.4795	0.61%
4	BackDoor.Andromeda.267	0.60%
5	Trojan.DownLoader9.40182	0.57%
6	Trojan.Fraudster.778	0.56%
7	Trojan.PWS.Panda.5676	0.52%
8	Trojan.Oficla.zip	0.46%
9	Trojan.DownLoader9.39262	0.44%
10	Trojan.Siggen6.11194	0.41%
11	Trojan.PWS.Panda.547	0.41%
12	Trojan.Inject1.38258	0.38%
13	Trojan.PWS.Stealer.4118	0.35%
14	Trojan.Fraudster.517	0.35%
15	BackDoor.Kuluoz.4	0.34%
16	Trojan.DownLoader9.39539	0.34%
17	Exploit.Rtf.36	0.33%
18	Win32.HLLM.MyDoom.33808	0.33%
19	Win32.HLLM.Graz	0.31%
20	Trojan.DownLoader9.44784	0.29%

Вредоносные файлы, обнаруженные в марте на компьютерах пользователей

01.03.2014 00:00 - 31.03.2014 23:00
1	SCRIPT.Virus	1.29%
2	Trojan.Packed.24524	0.62%
3	Trojan.InstallMonster.51	0.61%
4	Trojan.Fraudster.524	0.54%
5	Tool.Skymonk.14	0.43%
6	Trojan.LoadMoney.15	0.43%
7	Adware.NextLive.2	0.39%
8	JS.IFrame.566	0.38%
9	Adware.OpenCandy.3	0.35%
10	BackDoor.IRC.NgrBot.42	0.35%
11	Adware.Downware.179	0.35%
12	Adware.OpenCandy.4	0.34%
13	Tool.Unwanted.JS.SMSFraud.26	0.34%
14	Adware.Toolbar.240	0.33%
15	Adware.Webalta.13	0.33%
16	Adware.Downware.2232	0.33%
17	Tool.Skymonk.17	0.33%
18	Adware.Conduit.33	0.31%
19	JS.Redirector.209	0.30%
20	Trojan.MulDrop5.10078	0.30%

KMM поделился ссылкой

Брандмауэр – новый компонент Dr.Web 9.0 для Android

2 апреля 2014 года

Компания «Доктор Веб» сообщает о выпуске Dr.Web версии 9.01.0 для Android. В продукт включен новый компонент – брандмауэр: уровень защиты мобильных устройств повышается за счет возможности блокировки нежелательного сетевого трафика. Разработанный с учетом возможностей гибкой настройки, новый компонент при этом прост в использовании и не требует наличия специальных знаний. Брандмауэр функционирует на устройствах под управлением Android версии 4.0 и выше.

Задача брандмауэра – контроль сетевой активности приложений. В Dr.Web для Android этот модуль обеспечивает фильтрацию внешнего сетевого трафика приложений – как установленных, так и системных. Пользователь может включить или отключить блокировку Wi-Fi или сотовых сетей (3G, 4G, GPRS), в том числе и в роуминге. Также возможна фильтрация по настраиваемым правилам – по IP-адресам и/или портам, целым сетям, областям адресов. Для каждого приложения это производится отдельно.

Для сотовых сетей предусмотрена возможность блокировки трафика по достижении его определенного размера – это позволит сэкономить при использовании ограниченных по трафику тарифных планов операторов.

Брандмауэр отслеживает как текущий трафик, так и уже переданный, предоставляя информацию об адресах/портах, к которым подключаются приложения, и о размере входящего и исходящего трафика. Предусмотрены подробные журналы сетевой активности на устройстве с сортировкой по широкому спектру параметров.

Обращаем внимание: использовать брандмауэр в составе Dr.Web для Android могут владельцы устройств под управлением ОС Android версии 4.0 и выше.

Напомним, что с 2008 года всем пользователям домашних продуктов Dr.Web защита для мобильных устройств предоставляется бесплатно. О том, что такая защита по-настоящему востребована (в особенности для Android) говорит тот факт, что на сегодняшний день Dr.Web для Android установлен на 55 000 000 устройств в самых разных странах мира.

Dr.Web 9.01.0 для Android доступен на Google play (Dr.Web для Android. Комплексная защита, Dr.Web для Android. Life License) и на сайте «Доктор Веб».

Для пользователей Dr.Web для Android обновление пройдет автоматически. Если же автоматические обновления на устройстве отключены, необходимо зайти на Google Play, выбрать в списке приложений Антивирус Dr.Web или Антивирус Dr.Web Life license и нажать на кнопку «Обновить».

Для обновления через сайт «Доктор Веб» нужно скачать новый дистрибутив. Если в настройках включена опция «Новая версия приложения», при обновлении вирусных баз пользователь получит уведомление о доступной новой версии, которую можно будет загрузить прямо из этого диалога.

Защитите ваше Android-устройство с помощью Dr.Web