Новости от Dr.Web

[student]

Приложение с опасным функционалом было загружено из Google Play более миллиона раз

Несмотря на предпринимаемые Google попытки обеспечения безопасности каталога Android-приложений Google Play, время от времени в нем все же появляются разнообразные вредоносные и потенциально опасные программы. Так, недавно специалисты компании «Доктор Веб» обнаружили утилиту, способную помимо основного функционала выполнять и нежелательные для пользователей действия, такие как рассылку СМС-сообщений, а также загрузку и установку других приложений. Примечательно, что число скачавших ее пользователей превысило 1 000 000: это можно считать одним из крупнейших подобных инцидентов за последнее время.

Привлекшая внимание специалистов компании «Доктор Веб» программа является представителем распространенного класса так называемых утилит-оптимизаторов, дающих возможность задействовать те или иные функции мобильного устройства и выполнять на нем настройку определенных параметров. В частности, данная утилита позволяет управлять приложениями (осуществлять их установку, удаление и создание резервных копий), выполнять «очистку памяти», а также контролировать интернет-трафик.

Однако помимо этих функций программа способна выполнить и ряд скрытых от пользователя действий – например, неавторизованную загрузку приложений и отправку СМС-сообщений на премиум-номера. Для этих целей утилита использует несколько подозрительных сервисов, которые активизируются после ее запуска. Так, один из них служит для связи с удаленным сервером, на который передается информация об устройстве (IMEI- и IMSI-идентификатор) и с которого поступают управляющие команды, такие как:

    создание списка приложений для загрузки;
    параметры для отправки СМС-сообщений (текст и номер получателя);
    создание списка для перехвата определенных входящих сообщений (содержит номер отправителя и текст СМС).

Другой сервис непосредственно задействован в установке приложений. В соответствии с созданным ранее списком apk-файлов он осуществляет их загрузку и попытку незаметной установки с применением команды pm install, которая доступна для выполнения на устройствах с root-доступом. Если же необходимые системные привилегии отсутствуют, установка будет выполнена в стандартном режиме, требующем подтверждения владельца мобильного устройства.

Несмотря на то, что возможность незаметной инсталляции программ может применяться в легитимных целях, например, при переносе приложений с одного пользовательского мобильного устройства на другое, эта функция также может быть использована и для установки различного ПО без разрешения пользователя. Что же касается автоматической отправки СМС-сообщений, то эта функция задействуется напрямую по команде с управляющего сервера и никак не контролируется пользователем. В связи с наличием подобных опасных возможностей вирусными аналитиками компании «Доктор Веб» было принято решение классифицировать данную утилиту как вредоносную и внести ее в вирусную базу под именем Android.Backdoor.81.origin.

На момент обнаружения этой программы в каталоге Google Play число ее загрузок превысило 1 000 000, при этом многие пользователи уже успели столкнуться с проблемой неавторизованной отправки СМС-сообщений на премиум-номера. По состоянию на 26 мая программа была все еще доступна для загрузки из каталога приложений.

[student]

Компания «Доктор Веб» обновила продукт Dr.Web для Android

Компания «Доктор Веб» обновила продукт Dr.Web для Android до версии 9.01.2. Обновление связано с добавлением новых функциональных возможностей и исправлением выявленных ошибок. Теперь продукт поддерживает ОС Android версии 4.4, а также браузеры Google Chrome Beta и Яндекс.Браузер.

Улучшения коснулись работы с угрозами, обладающими самозащитой. Также был оптимизирован процесс обновления вирусных баз. Вместе с тем обновление позволило уменьшить число ложных срабатываний продукта.

В Dr.Web 9.01.2 для Android добавлена возможность обнаружения уязвимости Heartbleed в OpenSSL. Появился пункт «Справка», при помощи которого можно ознакомиться с документацией на продукт. Теперь при выключении брандмауэра сторонним приложением об этом выводится соответствующее уведомление. Выявленные ошибки, которые в том числе могли приводить к аварийному завершению работы продукта, исправлены.

Для обновления через сайт «Доктор Веб» нужно скачать новый дистрибутив. Если в настройках включена опция «Новая версия приложения», при обновлении вирусных баз пользователь получит уведомление о доступной новой версии, которую можно будет загрузить прямо из этого диалога.

[student]

«Доктор Веб»: Выявлена вредоносная рассылка от ее имени

Компания «Доктор Веб» сообщила об обнаружении рассылки электронных писем, написанных злоумышленниками от имени антивирусных вендоров, в том числе и самой компании. В этих сообщениях, содержащих якобы инструкции по противодействию вредоносным программам, на самом деле распространяется скрипт, который загружает на компьютер троянца семейства BAT.encoder.


Текст письма от имени «Доктор Веб» выглядит следующим образом:

В антивирусную лабораторию Dr.Web поступает множество жалоб от жертв вирусов-шифровальщиков. Наша аналитическая система установила, что на Ваш электронный адрес не так давно было выслано письмо, содержащее одну из подобных вредоносных программ. Если Вы пострадали от рук злоумышленников-шифровальщиков, изучите простые действия, которые помогут Вам избежать подобного в будущем. Мы подготовили простую инструкцию (во вложении), выполнение которой обезопасит Вас от многих уязвимостей, а также тестовый лицензионный ключ.
С уважением,
Команда Dr.Web.

Компания «Доктор Веб» обращает внимание пользователей на то, что она никогда не рассылала и не планирует рассылать подобные письма, и призывает к бдительности. Если вы получили сомнительное сообщение, ни в коем случае не открывайте его и не запускайте вложенные файлы. Вредоносное письмо рекомендуется немедленно удалить.

[Admin]

"Доктор Веб" обновляет антивирус Dr.Web Security Space и Антивирус Dr.Web до версии 9.1

«Доктор Веб» сообщает об обновлении продуктов Dr.Web Security Space и Антивирус Dr.Web до версии 9.1. Изменения коснулись управляющего сервиса Dr.Web Control Service (9.1.0.07111), компонента SpIDer Agent (9.1.0.201407142), сервиса перехвата трафика Dr.Web Net Filtering Service (9.1.0.06280), брандмауэра (9.1.0.06170), сканирующего сервиса Dr.Web Scanning Engine (9.1.0.201407040), антируткитного модуля Dr.Web Anti-rootkit API (9.1.0.201407081), модуля самозащиты Dr.Web SelfPROtect (09.01.00.04180), файлового монитора SpIDer Guard (09.01.00.05060) и модуля установки (9.1.0.06270).

 Был переработан алгоритм системы Dr.Web Process Heuristic. Ускорена обработка событий и устранены возможные "подвисания" операционной системы. Вместе с этим была улучшена система фонового сканирования на руткиты.

 В Dr.Web SpIDer Agent были полностью переработаны Менеджер регистрации и интерфейс Мастера отчётов. Реализована возможность включения и выключения Родительского контроля нажатием одной кнопки в контекстном меню агента.

 В сервисе перехвата трафика переработан алгоритм взаимодействия с компонентом Dr.Web Control Service, что позволило избежать "зависаний" и чрезмерного потребления ресурсов рабочей станции при перезапуске модуля. Дополнительно исправлена утечка памяти, возникающая при длительной работе компонента.

 Следующие изменения коснулись брандмауэра Dr.Web: были полностью переработаны окна нотификаций о необходимости создания новых правил для приложений, а также исправлена проблема утечки памяти NDIS-драйвера при наличии брандмауэра.

 В обновленном Dr.Web Scanning Engine увеличена скорость сканирования системы на руткиты.

 Реализована 64-битная версия антируткит-модуля, что позволяет повысить эффективность обезвреживания угроз, направленных на 64-битные ОС. Полностью обновлен Dr.Web Shield – теперь он обладает новым API и адаптирован к новой архитектуре антируткитного модуля. Алгоритмы поиска и нейтрализации активных угроз также были переработаны.

 В рамках Dr.Web SelfPROtect реализован интеллектуальный алгоритм защиты низкоуровневой записи на диск, что позволяет устранить большую часть конфликтов с существующим программным обеспечением. Улучшена система отслеживания поведения потенциальных угроз семейства Trojan.Encoder. Устранены утечки памяти при функционировании драйвера самозащиты, а также возможные «падения» процессов Dr.Web при запуске системы.

 В SpIDer Guard устранена проблема возникновения BSOD при работе с исключениями файлов или процессов. В модуль установки добавлены новые языки интерфейса: чешский, корейский, турецкий, португальский и литовский. В то же время для агента были добавлены языки: чешский, корейский, турецкий и португальский

[student]

Доктор Веб выпустил новое средство восстановления системы Dr.Web LiveDisk

Компания «Доктор Веб» сообщиила о выпуске бесплатного средства аварийного восстановления и лечения ПК под управлением Windows – Dr.Web LiveDisk. В этом решении получили дальнейшее развитие программы Dr.Web LiveCD и Dr.Web LiveUSB. Благодаря использованию единой технологической платформы, которая применяется в продуктах Dr.Web для Windows, Dr.Web LiveDisk способен проверять файл hosts, сканировать файлы с использованием «облачного» сервиса Dr.Web Cloud, а также использовать алгоритмы детектирования руткитов и буткитов.

Dr.Web LiveDisk оснащен редактором реестра Windows, который может изменять параметры всех операционных систем Windows, установленных на рабочей станции. Продукт располагает "Менеджером карантина", что позволяет проводить действия с обезвреженными угрозами. Так, имеется возможность восстановить файлы, попавшие в карантин при ложном срабатывании антивируса.

В Dr.Web LiveDisk включен набор эвристических алгоритмов, с помощью которых осуществляется лечение реестра Windows от заражений различными вредоносными программами. Решение разработано с расчетом поддержки как можно большего числа устройств и избежания конфликтов с оборудованием. Скачать бесплатно утилиту Dr.Web LiveDisk можно на сайте «Доктор Веб».

[AndyR05]

Новая версия Антивируса Dr.Web 10.0 для Windows

Компания «Доктор Веб» сообщает о выпуске новой, десятой версии программного продукта Dr.Web для Windows. Этот продукт входит в состав лицензий Dr.Web Security Space и Антивирус Dr.Web

Версия Dr.Web 10.0 (Dr.Web Security Space и Антивирус Dr.Web) для Windows создавалась с целью достичь полной гармонии между защитой Dr.Web и максимальным удобством ее использования, снабдить мощное и современное средство защиты от разного рода интернет-угроз стильным, современным и интуитивно понятным интерфейсом, с легкостью позволяющим управлять настройками безопасности.

Новая версия Антивируса Dr.Web 10.0 для Windows:

◾Пользовательский интерфейс обновлен радикально.
◾Максимально упрощено использование настроек программы. Cохранение настроек происходит сразу после их изменения пользователем. На виду — только самое необходимое.
◾Управление защитой в соответствии с реальными потребностями пользователя стало совершенно прозрачным и максимально быстрым.

Таким образом, ЭРА Dr.Web, начавшаяся год назад с выпуском версии 9 и прошедшая под девизом «Эффективно. Реально. Актуально», теперь переходит в ЭРУ гармонии защиты Dr.Web 10.0.

Владельцы коммерческих лицензий на Dr.Web Security Space имеют право бесплатного перехода на версию 10.

[student]

Android-троян крадет деньги и конфиденциальные данные пользователей

Вирусные аналитики компании «Доктор Веб» исследовали нового троянца, предназначенного для заражения смартфонов и планшетов под управлением ОС Android. Данная вредоносная программа, внесенная в вирусную базу под именем Android.BankBot.34.origin, способна красть персональную информацию владельцев мобильных устройств, а также похищать денежные средства с банковских счетов и счетов мобильных телефонов своих жертв.


Начать свою вредоносную деятельность Android.BankBot.34.origin может только после установки в систему самим владельцем мобильного устройства. Поэтому с целью увеличения вероятности инсталляции и запуска троянца потенциальными жертвами авторы Android.BankBot.34.origin распространяют его под видом системного обновления и снабжают ярлыком одной из популярных программ. Стоит отметить, что выбор приложения для имитации всецело зависит от фантазии вирусописателей и может быть абсолютно любым. После установки троянец размещает свой ярлык на главном экране, при этом он может соседствовать рядом с ярлыком оригинальной программы, если она уже присутствует в системе. Таким образом, неопытные пользователи могут спутать приложения и случайно запустить троянца вместо настоящего ПО. Если же владелец зараженного мобильного устройства не активирует вредоносное приложение после его установки самостоятельно, запуск троянца все равно произойдет, т. к. в Android.BankBot.34.origin предусмотрена автоматическая загрузка при каждом включении операционной системы.



Вслед за своей инициализацией Android.BankBot.34.origin запрашивает у жертвы доступ к функциям администратора мобильного устройства, которые в некоторой степени позволяют вредоносному приложению затруднить его деинсталляцию. Кроме того, троянец удаляет созданный им ранее ярлык в случае если запуск Android.BankBot.34.origin производился самим владельцем смартфона или планшета. После этого троянец приступает непосредственно к вредоносной деятельности.

Фактически, Android.BankBot.34.origin способен реализовать на зараженном Android-устройстве два сценария атаки. Первый сценарий напрямую зависит от поведения самого пользователя и задействуется, когда тот пытается запустить одно из интересующих злоумышленников приложений. Если владелец инфицированного троянцем смартфона или планшета запустит подобную программу, Android.BankBot.34.origin отобразит поверх ее интерфейса фишинговое диалоговое окно с полями для ввода конфиденциальной информации – логина и пароля, номера телефона или сведений о кредитной карте. При этом для каждого из этих приложений троянец весьма правдоподобно имитирует соответствующую форму запроса, что говорит о желании вирусописателей вызвать как можно меньше подозрений у своих жертв. Реализация второго сценария атаки, напротив, не зависит от совершаемых пользователем действий и происходит только в соответствии с указаниями злоумышленников, поступающими от удаленного узла.

Благодаря тому, что Android.BankBot.34.origin способен незаметно для владельца зараженного мобильного устройства отправлять и перехватывать SMS-сообщения, киберпреступники могут использовать эту вредоносную программу в качестве банковского троянца для похищения денежных средств со счетов своих жертв при помощи управляющих SMS-команд мобильного банкинга. Аналогичным образом злоумышленники могут похитить деньги с мобильного счета пользователей, воспользовавшись USSD-командами и переведя определенную сумму на свой телефонный номер. При этом список атакуемых мобильных операторов и кредитных организаций практически никак не ограничен и всецело зависит от текущих потребностей создателей вредоносной программы. В частности, наибольшему риску подвержены клиенты тех банков и платежных систем, которые предлагают услугу управления счетом посредством SMS-сообщений, а также абоненты операторов мобильной связи, предоставляющих функцию мобильного перевода со счетов телефонов.

[Tuflya07]

«Доктор Веб» исследовал новый троян-шпион для Mac OS X

Компания «Доктор Веб» представила обзор вирусной активности за февраль 2015 г. В течение последнего месяца зимы специалисты компании исследовали новый троян-шпион, угрожающий пользователям Mac OS X, а также очередную вредоносную программу, нацеленную на ОС Linux, сообщили CNews в «Доктор Веб».
Новая троянская программа для Mac OS X, получившая наименование Mac.BackDoor.OpinionSpy.3, обладает широким набором функциональных возможностей и предназначена, прежде всего, для шпионажа за пользователями. По данным компании, троян распространялся на сайтах, предлагавших загрузку бесплатного ПО вместе с вполне безобидными приложениями, в дистрибутив которых был встроен дополнительный исполняемый файл. Запустившись в процессе инсталляции с правами администратора, данная программа загружала, устанавливала и запускала на компьютере Apple вредоносное приложение. Троян успешно детектируется и удаляется «Антивирусом Dr.Web для Mac OS X», указали в «Доктор Веб».
Другим примечательным событием февраля стало появление трояна для ОС Linux, названного Linux.BackDoor.Xnote.1. Эту вредоносную программу злоумышленники также наделили внушительным ассортиментом вредоносных функций, отметили в компании. Так, троян умеет выполнять следующие команды для работы с файловой системой, поступающие от злоумышленников: перечислить файлы и каталоги внутри указанного каталога; отослать на сервер сведения о размере файла; создать файл, в который можно будет сохранить принимаемые данные; принять файл; отправить файл на управляющий сервер; удалить файл; удалить каталог; отправить управляющему серверу сигнал о готовности принять файл; создать каталог; переименовать файл; запустить файл.
Кроме того, троян может запустить командную оболочку (shell) с заданными переменными окружения и предоставить управляющему серверу доступ к ней, запустить на зараженном компьютере SOCKS proxy или собственную реализацию сервера portmap, а также осуществлять DDoS-атаки.
В то же время, все так же проявляет активность Linux-троян Linux.BackDoor.Gates.5, продолжающий осуществлять DDoS-атаки на различные сайты в интернете. В феврале 2015 г. было выявлено 1129 уникальных IP-адресов, на которые осуществлялись атаки, что на 3880 меньше, чем в прошлом месяце. Как и прежде, большинство из них расположено на территории Китая.
Пользователям ОС Windows по-прежнему угрожают трояны-шифровальщики, вымогающие у своих жертв выкуп за расшифровку файлов. Кроме того, в феврале было выявлено большое число разнообразных вредоносных и потенциально опасных программ для мобильной платформы Google Android, среди них: агрессивные рекламные модули; трояны-вымогатели; SMS-трояны; трояны-банкеры.
В целом в течение февраля 2015 г. в базу нерекомендуемых и вредоносных сайтов Dr.Web было добавлено 22 033 интернет-адреса

[student]

Опасный Android-троян прячется от антивирусов

Специалисты «Доктор Веб» исследовали нового троянца, предназначенного для Android-устройств. По команде злоумышленников это вредоносное приложение способно красть различные конфиденциальные данные, отправлять SMS, совершать телефонные звонки, а также выполнять другие опасные действия.


Android.Titan.1 предназначен для атаки на южнокорейских пользователей и распространяется с применением рассылки SMS. В SMS говорится о задерживающейся доставке некоего почтового отправления, а также указывается ссылка, переход по которой предполагает получение подробных сведений о возникшей «проблеме», но на самом деле по ней автоматически загружается apk вредоносного приложения. Однако для того, чтобы троян заразил операционную систему, пользователи должны самостоятельно выполнить его установку.

После инсталляции Android.Titan.1 помещает на главный экран свой ярлык и ждет, когда владелец зараженного устройства запустит его. При первом успешном старте этот ярлык удаляется, а вредонос продолжает свою работу в скрытом режиме. Android.Titan.1 способен отслеживать все входящие SMS и скрывать те из них, которые удовлетворяют заданным критериям. При этом на управляющий сервер передаются подробные сведения обо всех принятых SMS, включая информацию об отправителе, дате и времени отправки, а также их содержимом.

Кроме этого, Android.Titan.1 каждую минуту он проверяет, не совершается ли пользователем телефонный звонок, и, если это так, начинает скрытую запись разговора в amr-файл, сохраняя полученный результат в своем рабочем каталоге. В дальнейшем данный файл вместе с информацией о звонках загружается на удаленный сервер. Также троянец может блокировать входящие или исходящие звонки с определенных номеров, отвечать на вызовы и удалять информацию о них из системного журнала.

Особенность троянца заключается в том, что его основной функционал реализован в виде отдельной Unix-библиотеки (детектируется как Android.Titan.2), в то время как у большинства известных вредоносных программ для Android он находится в стандартном исполняемом dex-файле. Подобный прием при создании вредоносных Android-приложений встречается достаточно редко, и благодаря нему многие антивирусные программы зачастую просто не в состоянии обнаружить опасное приложение.

Источник: Доктор Веб

[student]

Троянец-шифровальщик распространяется в почтовой рассылке

Компания «Доктор Веб» предупредила пользователей о распространении опасного троянца-шифровальщика Trojan.Encoder.514, которого злоумышленники массово рассылают по каналам электронной почты. Как отмечают эксперты, в настоящий момент расшифровка файлов, пострадавших от действия троянца Trojan.Encoder.514, не представляется возможной.

На протяжении последних нескольких месяцев злоумышленники организовали множество спам-кампаний по распространению различных версий троянцев-шифровальщиков. Так, на текущей неделе участились случаи массовых рассылок по электронной почте посланий якобы от имени службы по передаче факсов через Интернет, имеющих заголовок «Incoming Fax Report». В приложении к письму под видом факсимильного сообщения содержится ZIP-архив, внутри которого располагается вредоносный SCR-файл, являющийся исполняемым в операционных системах семейства Microsoft Windows. Данные SCR-файлы детектируются антивирусным ПО Dr.Web как Trojan.DownLoader11.32458.

При попытке открытия вложения вредоносная программа Trojan.DownLoader11.32458 распаковывает и запускает на атакуемом компьютере троянца-энкодера Trojan.Encoder.514, шифрующего хранящиеся на диске пользовательские файлы и требующего выкуп за их расшифровку. Пострадавшие от действия Trojan.Encoder.514 файлы не получают отдельного расширения, но в начало их имени дописывается строка "!crypted!". Шифрование происходит с созданием промежуточных файлов, имеющих расширение *.cry, которые впоследствии удаляются.

Источник: Доктор Веб

[San-Sanich.]

Вышло обновление Dr.Web Enterprise Security Suite 10.0

Спойлер   :

Компания «Доктор Веб» сообщила об обновлении серверной части комплекса Dr.Web Enterprise Security Suite версии 10.0, включающего единый центр управления информационной безопасностью, а также компоненты защиты различных узлов и сервисов корпоративной сети.

Представленный отечественным разработчиком апдейт связан с исправлением выявленных ошибок в коде защитного решения. В частности, специалистами компании «Доктор Веб» были устранены неполадки в центре управления безопасностью Dr.Web Enterprise Security Suite 10.0, исправлены неточности, возникавшие при отображении дерева станций антивирусной сети и списка управляемых групп на странице настройки прав. Дополнительно программистами были обновлены языковые ресурсы пользовательского интерфейса центра управления безопасностью Dr.Web и ликвидированы прочие недочеты, с полным списком которых можно ознакомиться здесь.



Во избежание проблем с информационной безопасностью узлов корпоративной сети, рекомендуется произвести установку выпущенных компанией «Доктор Веб» апдейтов.

Обновленный продукт доступен через веб-интерфейс центра управления Dr.Web. Более подробная информация о Dr.Web Enterprise Security Suite версии 10.0, включая данные о системных требованиях и установке, содержится на сайте Dr.Web Enterprise Security Suite

[student]

«Доктор Веб» запатентовала очки для защиты от опасных шпионских программ


Компания «Доктор Веб» запатентовала технологию, которая призвана обезопасить пользователей от нового поколения вредоносных программ, способных похищать конфиденциальную информацию с инфицированных устройств при помощи встроенной веб-камеры. Один из образцов такого ПО был добавлен в вирусную базу Dr.Web под именем BackDoor.EyeSpy.1.

Специалистами была обнаружена вредоносная программа, способная с помощью веб-камеры распознавать отражение экранного изображения на сетчатке глаза пользователя и похищать таким образом вводимую им информацию. Для защиты от подобных атак компания «Доктор Веб» разработала и запатентовала специальное оптическое поляризационное покрытие, получившее название IR-Glasses, которое, в частности, могут использовать производители очков.

Троянец BackDoor.EyeSpy.1 распространяется на файлообменных сайтах и торрентах под видом различных «полезных» приложений, в частности компьютерных игр. Среди прочего, BackDoor.EyeSpy.1 может выполнять следующие функции: фиксирование нажатий пользователем клавиш (кейлоггинг); создание и передача злоумышленникам снимков экрана; передача на управляющий сервер списка установленных и запущенных в системе приложений; запуск от имени Администратора устройства командного интерпретатора и выполнение в нем различных команд.

Однако наиболее интересной и необычной функцией BackDoor.EyeSpy.1 является возможность подключения к веб-камере инфицированного устройства с целью похищения вводимой пользователем информации. С помощью веб-камеры троянец анализирует отражение демонстрируемого на экране устройства изображения на сетчатке глаза пользователя и способен распознавать данные, вводимые им в различные экранные формы. Таким образом троянец может похищать у своих жертв различную конфиденциальную информацию — номера банковских карт, логины, а также пароли, если они не защищены при наборе специальными маскирующими символами. Проведенные специалистами «Доктор Веб» исследования показали, что вредоносная программа успешно распознает до 48% вводимых пользователем символов, если разрешение матрицы веб-камеры составляет менее 1 мегапиксела, и порядка 76% при более высоком разрешении. Если же пользователь носит очки, успешность реализуемого BackDoor.EyeSpy.1 алгоритма распознавания вводимых символов может достигать 98%, поскольку поверхность стекла прекрасно отражает изображение, демонстрируемое на мониторе компьютера.

Источник: Доктор Веб

[student]

Доктор Веб: предотвращена атака опасного троянца на российские оборонные предприятия

Специалисты компании «Доктор Веб» исследовали образец новой вредоносной программы, способной выполнять поступающие от злоумышленников команды и похищать различную информацию на инфицированных устройствах. Троян-бэкдор BackDoor.Hser.1,распространялся с помощью целевой почтовой рассылки на личные и служебные электронные адреса сотрудников более десяти предприятий, входящих в состав известного российского концерна, причем все эти предприятия имеют оборонный профиль или обслуживают интересы военно-промышленного комплекса.

Письмо было отправлено якобы от имени сотрудника головной организации холдинга. В тексте сообщения получателю предлагалось ознакомиться с номенклатурой некоего оборудования, а во вложении злоумышленники разместили файл Microsoft Excel с именем Копия оборудование 2015.xls.

Вложенный в сообщение файл содержит эксплойт, использующий уязвимость CVE2012-0158 в некоторых версиях табличного редактора Microsoft Excel. При попытке открытия данного файла на атакуемом компьютере запускается процесс excel.exe, в который встраивается дроппер троянца. Дроппер распаковывает из своего тела бэкдор BackDoor.Hser.1 и сохраняет его на диск под именем npkim.dll в папку C:\Windows\Tasks\, регистрирует данную библиотеку в параметрах автозагрузки Windows и запускает командный интерпретатор cmd.exe для удаления файла процесса, в который он был встроен.

Троянец отправляет в принадлежащий злоумышленникам командный центр информацию об атакованном ПК (IP-адрес компьютера, его имя, версию операционной системы, наличие в сети прокси-сервера), после чего ожидает поступления команд от злоумышленников. Среди прочего, вредоносная программа способна по команде передавать на удаленный сервер список активных процессов на зараженном ПК, загрузить и запустить другое вредоносное приложение, а также открыть командную консоль и выполнить перенаправление ввода-вывода на принадлежащий киберпреступникам сервер, благодаря чему злоумышленники получают возможность дистанционного управления инфицированным компьютером.

Источник: Доктор Веб

[student]

Доктор Веб: сетевые автомобильные мошенники активизировались


Весной в российском сегменте Интернета активизировались сетевые жулики, зарабатывающие деньги путем обмана пользователей различными изощренными методами. В последнее время специалисты компании «Доктор Веб» стали обнаруживать все больше веб-сайтов, оформленных как интернет-ресурсы различных автосалонов, основное назначение которых, тем не менее, заключается в выманивании денег у доверчивых пользователей.



Данный вид мошенничества, известный на протяжении вот уже нескольких лет, в последнее время получил чрезвычайно широкое распространение. Этот метод эксплуатирует любовь некоторых людей к получению дорогих подарков, а также их доверчивость и склонность к азарту. Для привлечения потенциальных жертв жулики используют массовые SMS, в сообщениях которых говорится, что получатель якобы выиграл автомобиль в рамках той или иной рекламной акции.

Помимо прочего, подобные сайты содержат отдельную страницу с описанием условий «акции», согласно которым «выигравший» автомобиль участник должен в течение короткого времени, как правило, нескольких часов, внести через платежный терминал «налог» в размере 1% от стоимости «приза» или аналогичным способом приобрести страховой полис ОСАГО.

Примечательно, что большинство организаторов подобных «лотерей» просит у участников переслать им помимо денег отсканированные копии документов — паспорта, свидетельства о постановке на учет в налоговых органах с номером ИНН, а также любого третьего документа — например, водительского удостоверения или заграничного паспорта, которые нужны якобы для надлежащего оформления «выигранного» автомобиля. Разумеется, внеся некую сумму за «полис ОСАГО» через платежный терминал, жертва мошенников не увидит ни вожделенного приза, ни своих денег, а переданные злоумышленникам отсканированные копии документов могут быть впоследствии использованы при реализации различных мошеннических схем.

[student]

Опасный банковский троянец угрожает пользователям Android

Специалисты компании «Доктор Веб» обнаружили нового троянца, предназначенного для кражи денег с банковских счетов пользователей мобильных Android-устройств.

Основная особенность этой вредоносной программы, получившей имя Android.BankBot.65.origin, заключается в том, что злоумышленники встроили ее в одно из официальных приложений-клиентов для доступа к онлайн-банкингу и распространяют в Интернете под видом оригинального ПО.

Внедрение троянского функционала в легитимные приложения с последующим размещением их на различных сайтах – сборниках ПО и файлообменных сервисах – весьма популярный среди вирусописателей и давно известный специалистам по информационной безопасности способ доставки вредоносных программ на мобильные Android-устройства. Подобный механизм распространения троянцев значительно увеличивает шансы на то, что потенциальные жертвы успешно установят и будут использовать скомпрометированное приложение на своих смартфонах или планшетах – ведь они скачивают внешне безобидное ПО, которое обладает всеми функциональными возможностями оригинала. В действительности же вместе с искомой программой пользователи получают «подарок» в виде троянца, который работает незаметно для них и выполняет выгодные для вирусописателей действия.

Одним из последних таких случаев, зафиксированных компанией «Доктор Веб», стало распространение киберпреступниками банковского троянца Android.BankBot.65.origin, внедренного в официальное приложение для доступа к мобильному банкингу от Сбербанка России. Предприимчивые вирусописатели модифицировали эту программу, добавив к ней вредоносную надстройку, после чего разместили на одном из популярных веб-порталов, посвященных мобильным устройствам. Главная опасность данной ситуации заключается в том, что скомпрометированная версия банковского клиентского ПО сохраняет все свои оригинальные функции, в результате чего у беспечных пользователей нет причины ожидать подвоха. На момент публикации этой новости более 70 владельцев Android-устройств уже успели загрузить модифицированную злоумышленниками версию приложения.

Сразу после установки скомпрометированной версии программы и ее запуска неосторожным пользователемAndroid.BankBot.65.origin создает специальный конфигурационный файл, в котором заданы основные параметры работы троянца. В соответствии с данными настройками вредоносное приложение соединяется с управляющим сервером, куда при помощи POST-запроса отправляет следующую информацию:

IMEI-идентификатор устройства;
наименование мобильного оператора;
MAC-адрес встроенного Bluetooth-адаптера;
установлено ли приложение платежной системы QIWI;
версия API операционной системы;
версия троянского приложения;
название пакета троянского приложения;
текущая выполняемая команда.

Если в ответ от удаленного узла Android.BankBot.65.origin успешно получает команду «hokkei», то сразу после этого он отправляет на сервер зашифрованный список контактов пользователя, а также по команде злоумышленников обновляет конфигурационной файл.

По своему основному вредоносному функционалу данный троянец мало чем отличается от большинства аналогичных банкеров. В частности, Android.BankBot.65.origin способен выполнять типичные для троянцев данного семейства действия, а именно – по команде с управляющего сервера перехватывать входящие СМС и отправлять различные сообщения на заданные злоумышленниками телефонные номера. Кроме того,Android.BankBot.65.origin «умеет» внедрять специально сформированные СМС в список входящих сообщений мобильного устройства. Все эти действия могут использоваться киберпреступниками как в процессе хищения денег с банковских счетов пользователей (отправка СМС-команд для банковского перевода в пользу вирусописателей и перехват проверочных сообщений с кодами подтверждения), так и для реализации различных мошеннических схем. Так, злоумышленники могут разместить специально сформированные СМС среди сообщений жертв, например, о блокировке банковской карты с требованием позвонить в «банк» по указанному номеру, с просьбой пополнить баланс «попавшего в беду родственника» и т. п.

Специалисты компании «Доктор Веб» настоятельно рекомендуют владельцам Android-устройств загружать приложения для онлайн-банкинга только из надежных источников, таких как каталог Google play или веб-сайты соответствующих кредитных организаций, а также использовать для защиты Антивирус Dr.Web для Android Light или Антивирус Dr.Web для Android. Запись для детектирования троянца Android.BankBot.65.origin добавлена в вирусную базу Dr.Web, поэтому для наших пользователей он не представляет опасности.