Компьютерный раздел > Антивирусы, ключи
Новости от Dr.Web
24022022:
Бэкдор-шпион атакует жителей России, Великобритании, Испании и США
Компания «Доктор Веб» обнаружила бэкдора, устанавливающего на атакуемый компьютер в целях шпионажа легальные компоненты TeamViewer. Троян, получивший наименование BackDoor.TeamViewerENT.1, также имеет самоназвание Spy-Agent (так называется административный интерфейс его системы управления). Злоумышленники развивают этих троянов с 2011 г. и регулярно выпускают их новые версии, сообщили CNews в «Доктор Веб».
Как и схожий с ним по архитектуре троян BackDoor.TeamViewer.49, этот бэкдор состоит из нескольких модулей. Однако если предшественник задействовал компоненты программы удаленного администрирования компьютера TeamViewer только для того, чтобы загрузить в память атакуемой машины вредоносную библиотеку, то BackDoor.TeamViewerENT.1 использует их именно для шпионажа.
Основные вредоносные функции трояна сосредоточены в библиотеке avicap32.dll, а параметры его работы хранятся в зашифрованном конфигурационном блоке. Помимо специально созданной злоумышленниками вредоносной библиотеки, троян сохраняет на диск атакуемой машины необходимые для работы программы TeamViewer файлы и папки, а также несколько дополнительных файлов-модулей.
Если приложение в ОС Microsoft Windows требует для своей работы загрузку динамической библиотеки, система сначала пытается найти файл с таким именем в той же папке, откуда была запущена программа, и лишь потом — в системных папках Windows. Этим и воспользовались вирусописатели: приложению TeamViewer действительно необходима стандартная библиотека avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows. Но троян сохраняет вредоносную библиотеку с таким же именем прямо в папку с легитимным исполняемым файлом TeamViewer, в результате чего система загружает в память троянскую библиотеку вместо настоящей.
После запуска BackDoor.TeamViewerENT.1 отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» и «только для чтения» своим собственным файлам и файлам этой программы, а затем перехватывает в памяти процесса TeamViewer вызовы функций этого приложения и ряда системных функций. Если для нормальной работы TeamViewer на атакованном компьютере не хватает каких-либо файлов или компонентов, троян скачивает их со своего управляющего сервера. Помимо этого, если BackDoor.TeamViewerENT.1 обнаруживает попытку запуска программ «Диспетчер задач Windows» и Process Explorer, он завершает работу процесса TeamViewer на зараженной машине.
Подключившись к управляющему серверу, бэкдор может выполнять следующие команды злоумышленников: перезагрузить ПК; выключить ПК; удалить TeamViewer; перезапустить TeamViewer; начать прослушивание звука с микрофона; завершить прослушивание звука с микрофона; определить наличие веб-камеры; начать просмотр через веб-камеру; завершить просмотр через веб-камеру; скачать файл, сохранить его во временную папку и запустить; обновить конфигурационный файл или файл бэкдора; подключиться к указанному удаленному узлу, после чего запустить cmd.exe с перенаправлением ввода-вывода на удаленный хост.
Очевидно, что эти команды открывают перед злоумышленниками широкие возможности для шпионажа за пользователями инфицированных компьютеров, включая похищение конфиденциальной информации. В частности, известно, что с помощью этого трояна киберпреступники устанавливали на инфицированные компьютеры вредоносные программы семейств Trojan.Keylogger и Trojan.PWS.Stealer, указали в «Доктор Веб». Вирусные аналитики компании провели исследование, в ходе которого удалось выяснить, что злоумышленники в разное время атакуют в основном жителей ряда определенных стран и регионов. Так, в июле с использованием BackDoor.TeamViewerENT.1 киберпреступники атаковали жителей Европы, среди которых больше всего насчитывалось резидентов Великобритании и Испании, а в августе переключились на резидентов США. При этом довольно много зараженных компьютеров расположено на территории России.
Специалисты «Доктор Веб» продолжают следить за развитием ситуации, а также призывают пользователей проявлять бдительность и вовремя обновлять вирусные базы. По данным компании, троян BackDoor.TeamViewerENT.1 детектируется и удаляется антивирусом Dr.Web.
24022022:
Самораспространяющийся троян для Linux организует ботнеты
Вирусные аналитики компании «Доктор Веб» исследовали еще одного Linux-трояна, написанного на языке Go.
Он умеет атаковать сайты, работающие под управлением различных CMS, осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети, сообщили в «Доктор Веб».
Новый троян получил наименование Linux.Rex.1. Пользователи форума Kernelmode, одними из первых сообщившие о распространении этого трояна, назвали его «вымогателем для Drupal» (Drupal ransomware), однако вирусные аналитики «Доктор Веб» считают это определение неполным. Linux.Rex.1 действительно атакует сайты, работающие на движке Drupal, но этим его возможности не ограничиваются.
Спойлер : «Современные ботнеты условно делятся на два типа. Первый получает команды с управляющих серверов, второй работает без них, напрямую передавая информацию от одного зараженного узла к другому. Linux.Rex.1 организует бот-сети второго типа. Они называются одноранговыми, пиринговыми или P2P-сетями (от англ. peer-to-peer, “равный к равному”), — рассказали в «Доктор Веб». В архитектуре Linux.Rex.1 имеется собственная реализация протокола, позволяющего обмениваться информацией с другими зараженными узлами и создавать, таким образом, децентрализованный P2P-ботнет.
Сам зараженный компьютер при запуске трояна работает как один из узлов этой сети».Троян принимает от других инфицированных компьютеров управляющие директивы по протоколу HTTPS и при необходимости передает их другим узлам ботнета. По команде Linux.Rex.1 начинает или останавливает DDoS-атаку на узел с заданным IP-адресом. С помощью специального модуля троян сканирует сеть в поисках веб-сайтов, на которых установлены системы управления контентом Drupal, Wordpress, Magento, JetSpeed и другие. Также он ищет сетевое оборудование под управлением операционной системы AirOS. Linux.Rex.1 использует известные уязвимости в этих программных продуктах, чтобы получить список пользователей, закрытые SSH-ключи, логины и пароли, хранящиеся на удаленных узлах.
Хотя сделать это возможно далеко не всегда.Еще одна функция Linux.Rex.1 — рассылка сообщений по электронной почте. В этих письмах злоумышленники угрожают владельцам веб-сайтов организовать на них DDoS-атаку. Если письмо попало не по адресу, киберпреступники просят получателя переслать его ответственному сотруднику компании, которой принадлежит сайт. Чтобы избежать атаки, потенциальной жертве предлагается заплатить выкуп в криптовалюте биткойн.
Для взлома сайтов, работающих под управлением Drupal, используется известная уязвимость этой CMS. С помощью SQL-инъекции троян авторизуется в системе. Если взлом удался, Linux.Rex.1 загружает на скомпрометированный сайт собственную копию и запускает ее. Таким образом в Linux.Rex.1 реализована саморепликация — возможность автоматического распространения без участия пользователей, отметили в «Доктор Веб».
По мнению экспертов компании, Linux.Rex.1 представляет серьезную опасность для владельцев веб-сайтов, а также пользователей устройств под управлением Linux. Сигнатура Linux.Rex.1 добавлена в базы «Антивируса Dr.Web для Linux», этот троян детектируется и удаляется антивирусными продуктами «Доктор Веб».
San-Sanich.:
Вышло обновление Dr.Web KATANA Business Edition 1.0
Спустя всего несколько дней после релиза антивирусного решения Dr.Web KATANA Business Edition 1.0, компания «Доктор Веб» объявила о выпуске первого пакета обновлений для обеспечивающего защиту рабочих станций в корпоративной среде продукта.
Спойлер : В представленном апдейте разработчики устранили недоработки в модуле управления Dr.Web KATANA Buisiness Edition, приводившие к некорректной передачи режима защиты Dr.Web ShellGuard на станцию, и исправили ошибку, препятствовавшую сбросу настроек антивирусного агента через модуль управления (соответствующее изменение было внесено и в управляющий сервис Dr.Web Control Service). Также были устранены другие обнаруженные ошибки в программных компонентах защитного решения.
Dr.Web KATANA Business Edition 1.0 предназначен для развёртывания на компьютерах под управлением Windows. Антивирус защищает рабочие станции от цифровых угроз с помощью несигнатурных методов: анализирует поведение процессов, использует облачные технологии поиска угроз и предустановленные правила. Используя продукт, организации могут регулировать уровень безопасности компьютеров в корпоративной сети и контролировать их состояние.
Новый программный продукт компании «Доктор Веб» имеет возможности централизованной установки на защищаемые станции, тем самым позволяя администратору осуществлять настройку защиты IT-инфраструктуры предприятия со своего рабочего места. Статистика работы антивируса также централизована.
24022022:
«Доктор Веб» обеспечит информационную безопасность Универсиады-2017 в Алматы
«Доктор Веб» объявил о планах обеспечить безопасность работы персональных компьютеров, мобильных устройств и серверов, задействованных в проведении Универсиады 2017 г.
Как рассказали в компании, для этих целей «Доктор Веб» предоставит новейшие продукты для защиты информации. Ведущие специалисты «Доктор Веб» будут следить за IT-инфраструктурой мероприятия с целью обеспечения её бесперебойной работы. Соответствующий договор о сотрудничестве между компанией «Доктор Веб – Центральная Азия» и Дирекцией по подготовке и проведению Универсиады-2017 г. в г. Алматы был подписан 7 октября 2016 г.
Спойлер : «Информационная безопасность, защита данных – это важнейшая часть общей системы безопасности Универсиады в Алматы. Мы надеемся, что благодаря сотрудничеству с «Доктор Веб» вся IT-инфраструктура предстоящих игр в городе Алматы будет надежно защищена», - подчеркнул в ходе пресс-конференции руководитель Дирекции Универсиады-2017 Наиль Нуров.
Компания «Доктор Веб» предоставит лицензии Dr.Web для защиты ПК, серверов и мобильных телефонов, а также программно-аппаратный комплекс Dr.Web Office Shield для защиты IT-инфраструктуры на период проведения игр. Во время подготовки и проведения Универсиады будут использоваться последние разработки компании для комплексной защиты рабочих станций, серверов и мобильных устройств от вирусных атак.
«Для компании «Доктор Веб» быть официальным партнером 28-й Всемирной зимней Универсиады 2017 года – огромная честь. Мы осознаем свою ответственность и понимаем, что любые мероприятия такого уровня – это скопление информационных технологий. Практически все, что связано с соревнованиями и их освещением в СМИ, обеспечивается компьютерной техникой. Мы надеемся, что с помощью наших технологий и опыта в организации систем информационной безопасности удастся поставить надежный заслон против любых интернет-угроз», - сказал заместитель генерального директора «Доктор Веб – Центральная Азия» Виталий Бугаев.
«Доктор Веб» имеет успешный опыт защиты информационных ресурсов в ходе проведения крупных спортивных мероприятий. В 2011 г. компания обеспечивала информационную безопасность персональных компьютеров и мобильных устройств, задействованных в проведении 7-х зимних Азиатских игр в Казахстане.
24022022:
«Доктор Веб» исследовал установщик нежелательного ПО и «неудаляемой» рекламы
«Доктор Веб» представил отчет об исследовании троянца-установщика Trojan.Ticno.1537, предназначенного для несанкционированной установки других приложений. Как рассказали CNews в компании, в интернете действует множество так называемых «партнерских программ», выплачивающих вознаграждение за установку ПО, чем и пользуются вирусописатели.
Trojan.Ticno.1537 скачивается на атакуемый компьютер другой вредоносной программой. После запуска троянец пытается определить наличие виртуального окружения и средств отладки, проверяя имена запущенных процессов и соответствующие ветви системного реестра Windows.
Спойлер : Trojan.Ticno.1537 также проверяет идентификатор продукта Windows (Product ID), имя пользователя и компьютера, количество вложенных папок в директории Program Files, наименование производителя BIOS и присутствие в системе работающих процессов perl.exe или python.exe. Если проверка завершилась успешно, вредоносная программа запускает Проводник и завершает свою работу.
Если троянец не обнаружил ничего подозрительного, он сохраняет на диск файл с именем 1.zip. В открывающемся нестандартном диалоговом окне сохранения файла Microsoft Windows в левом нижнем углу располагается ссылка «Дополнительные параметры», при нажатии на которую Trojan.Ticno.1537 покажет список программ, которые он собирается установить на компьютере:
При нажатии кнопки Save Trojan.Ticno.1537 начинает загрузку и установку этих программ.
Среди приложений, которые Trojan.Ticno.1537 устанавливает на компьютер жертвы — браузер Amigo и программа HomeSearch@Mail.ru разработки компании Mail.Ru, а также троянцы Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 и Adware.Plugin.1400.
Упомянутый выше Trojan.ChromePatch.1 — это рекламный троянец, который проникает в систему вместе с приложением TrayCalendar, созданным в 2002 году. Сама программа и троянец упакованы в единый установочный пакет.
Одновременно с копированием на диск TrayCalendar инсталлятор сохраняет и устанавливает расширение для Google Chrome. Наиболее интересная особенность Trojan.ChromePatch.1 заключается в том, что он умеет заражать файл ресурсов браузера Chrome, — resources.pak. Злоумышленники используют этот прием как минимум с весны 2015 г., чтобы в Chrome реклама отображалась даже после того, как троянец будет удален с компьютера. При заражении размер этого файла не меняется, поскольку Trojan.ChromePatch.1 ищет в нем строки с комментариями и заменяет их собственным кодом. Назначение Trojan.ChromePatch.1 — показ в окне браузера Chrome нежелательной рекламы.
Все упомянутые в статье троянцы обнаруживается и удаляются «Антивирусом Dr.Web».
Навигация
Перейти к полной версии