Компьютерный раздел > Антивирусы, ключи
Новости от Dr.Web
San-Sanich.:
Вышло обновление Dr.Web Enterprise Security Suite 10.0
Спойлер : Компания «Доктор Веб» сообщила об обновлении серверной части комплекса Dr.Web Enterprise Security Suite версии 10.0, включающего единый центр управления информационной безопасностью, а также компоненты защиты различных узлов и сервисов корпоративной сети.
Представленный отечественным разработчиком апдейт связан с исправлением выявленных ошибок в коде защитного решения. В частности, специалистами компании «Доктор Веб» были устранены неполадки в центре управления безопасностью Dr.Web Enterprise Security Suite 10.0, исправлены неточности, возникавшие при отображении дерева станций антивирусной сети и списка управляемых групп на странице настройки прав. Дополнительно программистами были обновлены языковые ресурсы пользовательского интерфейса центра управления безопасностью Dr.Web и ликвидированы прочие недочеты, с полным списком которых можно ознакомиться здесь.
Во избежание проблем с информационной безопасностью узлов корпоративной сети, рекомендуется произвести установку выпущенных компанией «Доктор Веб» апдейтов.
Обновленный продукт доступен через веб-интерфейс центра управления Dr.Web. Более подробная информация о Dr.Web Enterprise Security Suite версии 10.0, включая данные о системных требованиях и установке, содержится на сайте Dr.Web Enterprise Security Suite
24022022:
«Доктор Веб» запатентовала очки для защиты от опасных шпионских программ
Компания «Доктор Веб» запатентовала технологию, которая призвана обезопасить пользователей от нового поколения вредоносных программ, способных похищать конфиденциальную информацию с инфицированных устройств при помощи встроенной веб-камеры. Один из образцов такого ПО был добавлен в вирусную базу Dr.Web под именем BackDoor.EyeSpy.1.
Специалистами была обнаружена вредоносная программа, способная с помощью веб-камеры распознавать отражение экранного изображения на сетчатке глаза пользователя и похищать таким образом вводимую им информацию. Для защиты от подобных атак компания «Доктор Веб» разработала и запатентовала специальное оптическое поляризационное покрытие, получившее название IR-Glasses, которое, в частности, могут использовать производители очков.
Троянец BackDoor.EyeSpy.1 распространяется на файлообменных сайтах и торрентах под видом различных «полезных» приложений, в частности компьютерных игр. Среди прочего, BackDoor.EyeSpy.1 может выполнять следующие функции: фиксирование нажатий пользователем клавиш (кейлоггинг); создание и передача злоумышленникам снимков экрана; передача на управляющий сервер списка установленных и запущенных в системе приложений; запуск от имени Администратора устройства командного интерпретатора и выполнение в нем различных команд.
Однако наиболее интересной и необычной функцией BackDoor.EyeSpy.1 является возможность подключения к веб-камере инфицированного устройства с целью похищения вводимой пользователем информации. С помощью веб-камеры троянец анализирует отражение демонстрируемого на экране устройства изображения на сетчатке глаза пользователя и способен распознавать данные, вводимые им в различные экранные формы. Таким образом троянец может похищать у своих жертв различную конфиденциальную информацию — номера банковских карт, логины, а также пароли, если они не защищены при наборе специальными маскирующими символами. Проведенные специалистами «Доктор Веб» исследования показали, что вредоносная программа успешно распознает до 48% вводимых пользователем символов, если разрешение матрицы веб-камеры составляет менее 1 мегапиксела, и порядка 76% при более высоком разрешении. Если же пользователь носит очки, успешность реализуемого BackDoor.EyeSpy.1 алгоритма распознавания вводимых символов может достигать 98%, поскольку поверхность стекла прекрасно отражает изображение, демонстрируемое на мониторе компьютера.
Источник: Доктор Веб
24022022:
Доктор Веб: предотвращена атака опасного троянца на российские оборонные предприятия
Специалисты компании «Доктор Веб» исследовали образец новой вредоносной программы, способной выполнять поступающие от злоумышленников команды и похищать различную информацию на инфицированных устройствах. Троян-бэкдор BackDoor.Hser.1,распространялся с помощью целевой почтовой рассылки на личные и служебные электронные адреса сотрудников более десяти предприятий, входящих в состав известного российского концерна, причем все эти предприятия имеют оборонный профиль или обслуживают интересы военно-промышленного комплекса.
Письмо было отправлено якобы от имени сотрудника головной организации холдинга. В тексте сообщения получателю предлагалось ознакомиться с номенклатурой некоего оборудования, а во вложении злоумышленники разместили файл Microsoft Excel с именем Копия оборудование 2015.xls.
Вложенный в сообщение файл содержит эксплойт, использующий уязвимость CVE2012-0158 в некоторых версиях табличного редактора Microsoft Excel. При попытке открытия данного файла на атакуемом компьютере запускается процесс excel.exe, в который встраивается дроппер троянца. Дроппер распаковывает из своего тела бэкдор BackDoor.Hser.1 и сохраняет его на диск под именем npkim.dll в папку C:\Windows\Tasks\, регистрирует данную библиотеку в параметрах автозагрузки Windows и запускает командный интерпретатор cmd.exe для удаления файла процесса, в который он был встроен.
Троянец отправляет в принадлежащий злоумышленникам командный центр информацию об атакованном ПК (IP-адрес компьютера, его имя, версию операционной системы, наличие в сети прокси-сервера), после чего ожидает поступления команд от злоумышленников. Среди прочего, вредоносная программа способна по команде передавать на удаленный сервер список активных процессов на зараженном ПК, загрузить и запустить другое вредоносное приложение, а также открыть командную консоль и выполнить перенаправление ввода-вывода на принадлежащий киберпреступникам сервер, благодаря чему злоумышленники получают возможность дистанционного управления инфицированным компьютером.
Источник: Доктор Веб
24022022:
Доктор Веб: сетевые автомобильные мошенники активизировались
Весной в российском сегменте Интернета активизировались сетевые жулики, зарабатывающие деньги путем обмана пользователей различными изощренными методами. В последнее время специалисты компании «Доктор Веб» стали обнаруживать все больше веб-сайтов, оформленных как интернет-ресурсы различных автосалонов, основное назначение которых, тем не менее, заключается в выманивании денег у доверчивых пользователей.
Данный вид мошенничества, известный на протяжении вот уже нескольких лет, в последнее время получил чрезвычайно широкое распространение. Этот метод эксплуатирует любовь некоторых людей к получению дорогих подарков, а также их доверчивость и склонность к азарту. Для привлечения потенциальных жертв жулики используют массовые SMS, в сообщениях которых говорится, что получатель якобы выиграл автомобиль в рамках той или иной рекламной акции.
Помимо прочего, подобные сайты содержат отдельную страницу с описанием условий «акции», согласно которым «выигравший» автомобиль участник должен в течение короткого времени, как правило, нескольких часов, внести через платежный терминал «налог» в размере 1% от стоимости «приза» или аналогичным способом приобрести страховой полис ОСАГО.
Примечательно, что большинство организаторов подобных «лотерей» просит у участников переслать им помимо денег отсканированные копии документов — паспорта, свидетельства о постановке на учет в налоговых органах с номером ИНН, а также любого третьего документа — например, водительского удостоверения или заграничного паспорта, которые нужны якобы для надлежащего оформления «выигранного» автомобиля. Разумеется, внеся некую сумму за «полис ОСАГО» через платежный терминал, жертва мошенников не увидит ни вожделенного приза, ни своих денег, а переданные злоумышленникам отсканированные копии документов могут быть впоследствии использованы при реализации различных мошеннических схем.
24022022:
Опасный банковский троянец угрожает пользователям Android
Специалисты компании «Доктор Веб» обнаружили нового троянца, предназначенного для кражи денег с банковских счетов пользователей мобильных Android-устройств.
Основная особенность этой вредоносной программы, получившей имя Android.BankBot.65.origin, заключается в том, что злоумышленники встроили ее в одно из официальных приложений-клиентов для доступа к онлайн-банкингу и распространяют в Интернете под видом оригинального ПО.
Внедрение троянского функционала в легитимные приложения с последующим размещением их на различных сайтах – сборниках ПО и файлообменных сервисах – весьма популярный среди вирусописателей и давно известный специалистам по информационной безопасности способ доставки вредоносных программ на мобильные Android-устройства. Подобный механизм распространения троянцев значительно увеличивает шансы на то, что потенциальные жертвы успешно установят и будут использовать скомпрометированное приложение на своих смартфонах или планшетах – ведь они скачивают внешне безобидное ПО, которое обладает всеми функциональными возможностями оригинала. В действительности же вместе с искомой программой пользователи получают «подарок» в виде троянца, который работает незаметно для них и выполняет выгодные для вирусописателей действия.
Одним из последних таких случаев, зафиксированных компанией «Доктор Веб», стало распространение киберпреступниками банковского троянца Android.BankBot.65.origin, внедренного в официальное приложение для доступа к мобильному банкингу от Сбербанка России. Предприимчивые вирусописатели модифицировали эту программу, добавив к ней вредоносную надстройку, после чего разместили на одном из популярных веб-порталов, посвященных мобильным устройствам. Главная опасность данной ситуации заключается в том, что скомпрометированная версия банковского клиентского ПО сохраняет все свои оригинальные функции, в результате чего у беспечных пользователей нет причины ожидать подвоха. На момент публикации этой новости более 70 владельцев Android-устройств уже успели загрузить модифицированную злоумышленниками версию приложения.
Сразу после установки скомпрометированной версии программы и ее запуска неосторожным пользователемAndroid.BankBot.65.origin создает специальный конфигурационный файл, в котором заданы основные параметры работы троянца. В соответствии с данными настройками вредоносное приложение соединяется с управляющим сервером, куда при помощи POST-запроса отправляет следующую информацию:
IMEI-идентификатор устройства;
наименование мобильного оператора;
MAC-адрес встроенного Bluetooth-адаптера;
установлено ли приложение платежной системы QIWI;
версия API операционной системы;
версия троянского приложения;
название пакета троянского приложения;
текущая выполняемая команда.
Если в ответ от удаленного узла Android.BankBot.65.origin успешно получает команду «hokkei», то сразу после этого он отправляет на сервер зашифрованный список контактов пользователя, а также по команде злоумышленников обновляет конфигурационной файл.
По своему основному вредоносному функционалу данный троянец мало чем отличается от большинства аналогичных банкеров. В частности, Android.BankBot.65.origin способен выполнять типичные для троянцев данного семейства действия, а именно – по команде с управляющего сервера перехватывать входящие СМС и отправлять различные сообщения на заданные злоумышленниками телефонные номера. Кроме того,Android.BankBot.65.origin «умеет» внедрять специально сформированные СМС в список входящих сообщений мобильного устройства. Все эти действия могут использоваться киберпреступниками как в процессе хищения денег с банковских счетов пользователей (отправка СМС-команд для банковского перевода в пользу вирусописателей и перехват проверочных сообщений с кодами подтверждения), так и для реализации различных мошеннических схем. Так, злоумышленники могут разместить специально сформированные СМС среди сообщений жертв, например, о блокировке банковской карты с требованием позвонить в «банк» по указанному номеру, с просьбой пополнить баланс «попавшего в беду родственника» и т. п.
Специалисты компании «Доктор Веб» настоятельно рекомендуют владельцам Android-устройств загружать приложения для онлайн-банкинга только из надежных источников, таких как каталог Google play или веб-сайты соответствующих кредитных организаций, а также использовать для защиты Антивирус Dr.Web для Android Light или Антивирус Dr.Web для Android. Запись для детектирования троянца Android.BankBot.65.origin добавлена в вирусную базу Dr.Web, поэтому для наших пользователей он не представляет опасности.
Навигация
Перейти к полной версии