Компьютерный раздел > Антивирусы, ключи
Новости от Dr.Web
student:
«Доктор Веб» обновляет свои Android-антивирусы
Компания «Доктор Веб» обновила продукты Dr.Web для Android версии 8.00.7 и Dr.Web для Android Light 7.00.9. Изменения связаны с усовершенствованием механизмов обнаружения и анализа угроз: реализовано выявление вредоносных программ, применяющих обфускацию кода, а также добавлено обнаружение угроз, устанавливающих признак шифрования на apk-файл.
Обновленные версии продуктов доступны на Google play (Антивирус Dr.Web, Антивирус Dr.Web Life license, Dr.Web Антивирус Light) и на сайте «Доктор Веб» (Dr.Web для Android, Dr.Web для Android Light).
Для пользователей Dr.Web для Android и Dr.Web для Android Light, установивших приложение с Google play, обновление пройдет автоматически. Если же автоматические обновления на устройстве отключены, необходимо зайти на Google play, выбрать в списке приложений Антивирус Dr.Web, Антивирус Dr.Web Life license или Dr.Web Антивирус Light и нажать кнопку «Обновить».
Для обновления через сайт «Доктор Веб» нужно скачать новый дистрибутив. Если в настройках включена опция «Новая версия приложения», при обновлении вирусных баз пользователь получит уведомление о доступной новой версии, которую можно будет загрузить прямо из этого диалога.
student:
Доктор Веб: Обнаружен троян, угрожающий пользователям SAP
Компания «Доктор Веб» предупредила о распространении вредоносной программы, угрожающей пользователям SAP — комплекса программных решений для бизнеса. Данное вредоносное приложение является представителем широко распространенного семейства банковских троянцев Trojan.PWS.Ibank, способных похищать вводимые пользователем пароли и другую конфиденциальную информацию.
Тоже троян
Специалисты компании «Доктор Веб» провели комплексное исследование этой угрозы. По сравнению с другими вредоносными программами семейства Trojan.PWS.Ibank, данный образец отличается видоизмененной архитектурой бота, также были внесены изменения в механизмы межпроцессорного взаимодействия (IPC), упразднена подсистема SOCKS5. Вместе с тем, практически неизменным остался используемый троянцем внутренний алгоритм шифрования, реализация полезной нагрузки в виде отдельной динамической библиотеки, а также протокол общения с командным центром злоумышленников.
Модуль установки троянца обладает функциональностью, позволяющей определить попытку запуска вредоносной программы в отладочной среде или виртуальной машине, чтобы затруднить ее исследование специалистами. Также выполняется проверка на выполнение в изолированной среде «песочницы» Sandboxie — утилиты для контроля за работой различных программ. При этом троянец способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в операционную систему. Основной модуль троянца, способен выполнять две новые команды (по сравнению с предыдущими версиями Trojan.PWS.Ibank) — одна из них активирует/дезактивирует блокировку банковских клиентов, другая — позволяет получить от управляющего сервера конфигурационный файл.
Еще одной важной отличительной особенностью троянца Trojan.PWS.Ibank является его способность встраиваться в различные работающие процессы, а обновленная версия получила дополнительную функциональность, позволяющую проверять имена запущенных программ, в том числе клиента SAP — комплекса бизнес-приложений, предназначенных для управления предприятием. Данный программный комплекс включает множество модулей, в том числе, компоненты управления налогообложением, сбытом, товарооборотом, и потому оперирует конфиденциальной информацией, весьма чувствительной для коммерческих предприятий. Первая версия троянца, проверявшего наличие SAP в инфицированной системе, получила распространение еще в июне: она была добавлена в базы Dr.Web под именем Trojan.PWS.Ibank.690, текущая же имеет обозначение Trojan.PWS.Ibank.752.
На сегодняшний день троянцы семейства Trojan.PWS.Ibank не предпринимают никаких деструктивных действий в отношении программного комплекса SAP, но проверяют факт его наличия в инфицированной системе и пытаются встроиться в соответствующий процесс, если он запущен в Windows. Вполне возможно, что таким образом вирусописатели создают для себя некий «задел на будущее».
student:
Доктор Веб: всплеск активности трояна для любителей онлайн-музыки и видео
Компания «Доктор Веб» сообщил об активно распространяющемся трояне Trojan.Lyrics, который в последнее время часто прилагается в качестве "довеска" к контенту на веб-ресурсах, предлагающих бесплатное прослушивание музыки, просмотр фильмов или игры в режиме онлайн, а также позволяющих скачивать медиафайлы и программное обеспечение. Эта вредоносная программа создает массу проблем: в частности, демонстрирует назойливую рекламу и без ведома пользователя открывает в окне браузера веб-сайты сомнительного содержания.
Действие Trojan.Lyrics
В качестве потенциальных жертв авторы Trojan.Lyrics (оригинальное приложение может иметь различные наименования, например, AddLyrics, LyricsFinder, TheTubeSing, Lyricspal, Lyricstab, и т. д.) выбрали в первую очередь любителей музыки. С помощью этой программы меломаны якобы получат возможность воспроизвести любую композицию, размещенную на YouTube, с одновременным просмотром ее текста в виде титров, т. е. превратить просмотр видеоклипов в своеобразное караоке.
Предложение скачать данную программу злоумышленники размещают на различных торрент-трекерах, музыкальных сайтах, или на страницах социальных сетей. Trojan.Lyrics можно скачать и с нескольких официальных сайтов разработчиков троянца, но чаще эта программа скрытно устанавливается на компьютер вместе со свободным программным обеспечением, загруженным из Интернета. Создатели бесплатных приложений добавляют Trojan.Lyrics в дистрибутивы своих продуктов с целью получения дополнительной выгоды от демонстрации пользователю навязчивой рекламы.
В процессе инсталляции загруженной из Интернета программы пользователю якобы предоставляется возможность отключить установку рекламного компонента, однако на самом деле отключение невозможно. После того, как вредонос запустился на компьютере жертвы, при открытии в окне браузера веб-сайтов на экране начинают появляться назойливые всплывающие окна, а также всевозможные рекламные сообщения, демонстрируемые в совершенно неожиданных местах веб-страниц. Кроме того, при нажатии на различные ссылки троянец способен перенаправлять пользователя на сомнительные и мошеннические сайты. Некоторые из подобных веб-ресурсов замечены в распространении другого вредоносного ПО, в частности, поддельных антивирусов, детектируемых Dr.Web как представители семейства Trojan.Fakealert.
В последние месяцы зафиксировано резкое увеличение случаев заражения вредоносной программой Trojan.Lyrics — согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, этот троянец занимает одно из лидирующих мест в перечне обнаруженных угроз.
student:
Новый троянец занимается майнингом биткоинов
В антивирусной компании «Доктор Веб» сообщили о появлении вредоносной программы Trojan.BtcMine.218, предназначенной для майнинга (добычи) электронной криптовалюты Bitcoin, и распространяющейся с помощью широко известной вредоносной партнерской программы installmonster.ru. Это уже второй троянец для несанкционированного использования вычислительных ресурсов компьютеров, обнаруженный в декабре 2013 года.
Мониторинг партнерской программы по монетизации файлового трафика Installmonster.ru в очередной раз подтвердил её вредоносный характер. В начале декабря в раздаче этой партнерской программы был замечен файл SmallWeatherSetup.exe, якобы представляющий собой «погодный тулбар». Известно и одноименное вполне безобидное приложение, действительно способное демонстрировать актуальную информацию о погоде, однако вариант, предлагаемый партнерской программой Installmonster.ru, содержит совсем небезопасное «дополнение».
В данном случае мы имеем дело с классическим троянцем-дроппером, написанным на макроязыке AutoIt. Код скрипта достаточно прост и понятен, при этом он содержит две характерные строки:
FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")
FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")
Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который, используя конфигурационный файл в формате XML, скачиваемый с сайта злоумышленников http://bitchat.org, устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты. В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, — tonycraft.
В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe. Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"
По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули троянца. Об этом говорит символьная информация, оставленная в модулях троянца, например: "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb". С помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org»:
Кроме того, без труда отыскиваются страницы, где тот же пользователь рекламирует своего троянца под видом приложения SmallWeatherSetup.exe. В настоящее время вирусописатель "Кошевой Дмитрий" неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с "Погодного Информера" на распространение приложения "Интернет Радио" в виде файла с именем ScreamerRadio.exe.
К слову, на днях в партнерской программе InstallMonster появился новый "рекламодатель", устанавливающий пользователям программу RadioOnline.exe, которая, как нетрудно догадаться, представляет собой всё тот же Trojan.BtcMine.218.
Admin:
Состоялся релиз новой версии антивируса Dr.Web для Linux
Компания «Доктор Веб» объявила о выпуске обновленного антивирусного решения Dr.Web версии 9.0 для платформы Linux.
Представленный отечественным разработчиком продукт обеспечивает защиту от вирусов, троянских программ и других видов вредоносных объектов с использованием технологии несигнатурного поиска Origins Tracing и эвристического анализатора. Программа выполняет проверку файлов «на лету», переносит зараженные объекты в карантин с возможностью их восстановления, собирает подробную статистику о работе антивируса и допускает централизованное управление настройками всех компонентов. Предусмотрена возможность управления работой приложения из командной строки.
В обновленной сборке антивируса Dr.Web для Linux были полностью переработаны элементы графического интерфейса продукта, реализована поддержка многопоточного сканирования, позволяющая повысить скорость работы на многоядерных процессорах, и добавлена возможность сканирования запущенных процессов для обезвреживания активных угроз. Все компоненты программы были оптимизированы с целью сокращения нагрузки на процессор и уменьшения потребления памяти. Значительные изменения в файловом мониторе SpIDer Guard позволили разработчикам «Доктор Веб» увеличить надежность и скорость его работы.
Навигация
Перейти к полной версии