Компьютерный раздел > Антивирусы, ключи
Новости от Dr.Web
kuki:
Обновление компонентов в продуктах Dr.Web 8.0 для Windows
Компания «Доктор Веб» сообщает об обновлении компонентов SpIDer Agent (8.1.0.201308140) и Dr.Web Anti-rootkit API (8.6.0.201308190) в продуктах Dr.Web Security Space, Антивирус Dr.Web для Windows и Антивирус Dr.Web для файловых серверов Windows версии 8.0. Кроме того, в продуктах Dr.Web Security Space и Антивирус Dr.Web для Windows будет обновлен драйвер перехвата трафика Dr.Web Net Filter for Windows (8.0.0.08150) и модуль установки Dr.Web Security Space, Anti-virus for Windows (8.2.2.08210). Обновления связаны с исправлением выявленных ошибок.
В модуле установки компонента SpIDer Agent была исправлена ошибка, из-за которой в процессе установки продукта Мастер регистрации лицензии демонстрировал пользователям текст на английском языке вне зависимости от текущих языковых настроек операционной системы. В компоненте Dr.Web Anti-rootkit API внесены изменения в систему анализа и модификации файлов «hosts». В драйвере перехвата трафика Dr.Web Net Filter for Windows была исправлена проблема взаимодействия с Microsoft Hyper-V. В модуле установки исправлена характерная лишь для операционной системы Windows XP ошибка проверки версии актуального инсталляционного пакета.
Обновление пройдет для пользователей автоматически, однако потребует перезагрузки компьютеров.
student:
Троянец Hand of Thief обнаружен в Рунете
Специалисты компании «Доктор Веб» предупредили об обнаружении новой вредоносной программы для Linux — Linux.Hanthie. По итогам проведенного исследования удалось выяснить, что этот троянец, также известный как Hand of Thief, обладает не только широким вредоносным функционалом, но и способен скрывать от антивирусов свое присутствие в системе. Напомним, что впервые о Hand of Thief от компании RSA стало известно еще две недели назад.
На сегодняшний день эта вредоносная программа пользуется большой популярностью на подпольных хакерских форумах, где злоумышленники активно продают ее. Linux.Hanthie позиционируется как бот класса FormGrabber и BackDoor для Linux, имеющий механизмы антиобнаружения и скрытую автозагрузку, не требующий привилегий администратора, использующий стойкое шифрование для коммуникации с панелью управления (256 бит). Гибкая настройка бота осуществляется через файл конфигурации.
После запуска троянец блокирует доступ к адресам, с которых осуществляется установка обновлений или загрузка антивирусного ПО. В троянце предусмотрены средства противодействия анализу и запуску в изолированных и виртуальных окружениях.
Спойлер : Текущая версия Linux.Hanthie не обладает какими-либо механизмами самокопирования, поэтому разработчики троянца в своих сообщениях на хакерских форумах рекомендуют распространять его с использованием методов социальной инженерии. Троянец может работать в различных дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает восемь типов десктоп-окружений, например, GNOME и KDE.
После запуска вредоносной программы инсталлятор троянца проверяет собственное наличие в системе, а также определяет, не запущена ли на компьютере виртуальная машина. Затем Linux.Hanthie устанавливается в системе путем создания файла автозапуска и размещения собственной копии в одной из папок на диске. В папке для хранения временных файлов троянец создает исполняемую библиотеку, которую пытается встроить во все запущенные процессы. Если вредоносной программе не удается встроить собственную библиотеку в какой-либо процесс, Linux.Hanthie запускает из временной папки новый исполняемый файл, отвечающий только за взаимодействие с управляющим сервером, а исходную копию удаляет.
Троянец имеет в своем составе несколько функциональных модулей: в одном из них, представленном в виде библиотеки, реализован основной вредоносный функционал. С использованием данного модуля троянец встраивает граббер в популярные браузеры Mozilla Firefox, Google Chrome, Opera, а также действующие только под Linux браузеры Chromium и Ice Weasel. Граббер позволяет перехватывать HTTP и HTTPS-сессии и отправлять злоумышленникам данные из заполняемых пользователям экранных форм. Также данная библиотека реализует функции бэкдора, при этом трафик при обмене данными с управляющим сервером шифруется.
Троянец способен выполнить несколько команд, в частности, по команде socks он запускает на инфицированной машине прокси-сервер, по команде bind запускает скрипт для прослушивания порта, по команде bc подключается к удаленному серверу, по команде update загружает и устанавливает обновленную версию троянца, а по команде rm — самоудаляется. Еще один модуль позволяет троянцу реализовывать ограниченный функционал без выполнения инжектов.
kuki:
Новый бэкдор перехватывает вводимые с клавиатуры данные
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о широком распространении вредоносной программы BackDoor.Saker.1, обходящей механизм контроля учетных записей пользователей. Основная функция BackDoor.Saker.1 — выполнение поступающих от злоумышленников команд, и, главное, перехват нажимаемых пользователем клавиш (кейлоггинг).
Проникнув на инфицируемый компьютер, троянец запускает на исполнение файл temp.exe, предназначенный для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC). Этот файл извлекает из ресурсов библиотеку для обхода UAC и встраивается в процесс explorer.exe. После этого данная библиотека сохраняется в одной из системных папок. Далее, при запуске системной утилиты Sysprep, эта библиотека запускает вредоносное приложение ps.exe, детектируемое антивирусным ПО Dr.Web как Trojan.MulDrop4.61259. В свою очередь, данный файл сохраняет в другую папку еще одну библиотеку, которую регистрирует в реестре Windows в качестве службы с именем «Net Security Service» и следующим описанием: «keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device». Именно в этой библиотеке и сосредоточен основной вредоносный функционал бэкдора.
После успешного запуска BackDoor.Saker.1 собирает и передаёт злоумышленникам сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объём физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска. Затем троянец создает в одной из системных папок файл, в который записываются нажатия пользователем клавиш на клавиатуре компьютера. После этого бэкдор ожидает ответ от удаленного сервера, в котором могут содержаться следующие команды: перезагрузка, выключение компьютера, самоудаление, запуск отдельного потока для выполнения команды через командный интерпретатор, или для запуска собственного файлового менеджера, который имеет возможность выгружать файлы с машины пользователя, загружать файлы по сети, создавать папки, удалять, перемещать файлы, а также запускать их.
Сигнатура данной вредоносной программы добавлена в вирусные базы, и потому BackDoor.Saker.1 не представляет опасности для пользователей антивирусного ПО Dr.Web.
student:
«Доктор Веб» рассказал об опасных российских знакомствах в Интернете
Среди различных способов сетевого мошенничества в Интернете особняком стоит так называемый dating scam — под этим термином понимается технология обмана пользователей многочисленных сайтов знакомств, к которым злоумышленники втираются в доверие с целью обогащения. Специалисты компании «Доктор Веб» изучили методы работы сетевых жуликов и выявили ряд тенденций, наиболее популярных сегодня в данной сфере рынка киберпреступлений.
Письмо
Спойлер : В последние годы традиционные способы мошенничества «на доверии», когда сетевые жулики под видом одинокой барышни знакомились на форумах с иностранцами, расписывали ужасы жизни в каком-нибудь провинциальном городке и слезно просили «выслать немного денег в голодную Россию», перестали приносить прибыль, да и зарубежные граждане научились относиться к «русским красавицам» с определенной долей осторожности. Теперь индустрия обмана иностранцев в Интернете использует более продвинутые технологии, а сам процесс поставлен на конвейер.
На подпольных хакерских форумах значительной популярностью пользуются комплекты нестудийных фотографий, на которых изображена не слишком примелькавшаяся в Сети симпатичная девушка. Стоимость набора из полутора сотен фото и нескольких видеороликов может составлять от $400 до $1000, в зависимости от качества «товара» и выдвигаемых заказчиком требований. Нередко жуликам требуются услуги «девушки с поддержкой» — в этом случае модель должна время от времени передавать мошенникам фотографии, отснятые в заранее оговоренном антураже или видеоролики, в которых юная особа произносит заранее оговоренные фразы.
Не менее высоким спросом пользуются услуги профессиональных переводчиков и копирайтеров, способных составлять от имени девушки грамотные и нешаблонные письма. Обычно мошенники до мелочей придумывают для своего персонажа подробнейшую биографию, включая имя девушки, место ее рождения и проживания, ее историю, увлечения, вкусы и предпочтения. Как правило, копирайтерам заказывают 20-30 шаблонов писем постепенно увеличивающегося объема, со сквозным сюжетом и строгими требованиями к стилистике. В качестве оплаты жулики предлагают вознаграждение в размере от 150 до 1000 рублей за письмо, хотя, связываясь с мошенниками, исполнитель рискует и вовсе не получить ничего.
Для девушки мошенники создают веб-сайт или страницу в социальной сети Facebook, где размещают несколько заранее подготовленных фотографий. Согласно сценарию, девушка обычно проживает в небольшом провинциальном российском городе и имеет творческую профессию — художника, фотографа или дизайнера. В письмах мошенники рассказывают о каких-то забавных случаях или ситуациях, связанных с её работой и жизнью в небольшом российском городке. Ради придания переписке романтического ореола (и с целью избежать обвинений в легкомысленности) жулики обычно упоминают о том, что девушка ранее переписывалась с иностранным мужчиной, но он обманул ее ожидания, оказавшись женатым пенсионером с кучей детей — по этой же причине она избегает телефонных звонков и видеосвязи, надеясь сначала узнать своего избранника получше. На определенном этапе жулики выясняют почтовый адрес мужчины и высылают ему небольшой трогательный подарок — например, фотографию девушки с нарисованным помадой сердечком. Когда жертва окончательно растает от потоков романтики и знаков внимания, на работе у «девушки» внезапно происходит какая-либо катастрофа: разбивается дорогой зеркальный фотоаппарат или любимый дизайнерский планшет. Далее события могут развиваться по двум сценариям: доверчивую жертву «раскручивают» на приобретение дорогостоящего устройства, которое затем успешно продается, либо заманивают на сайт поддельного интернет-магазина, где можно приобрести недорогую, но «уникальную» вещь — в этом случае влюбленный мужчина рискует и вовсе расстаться со всеми средствами на счете своей банковской карты, добровольно передав мошенникам ее реквизиты. С учетом того, что одни и те же шаблоны сообщений могут использоваться в процессе переписки сразу с несколькими десятками адресатов, злоумышленники могут получить весьма внушительный нелегальный доход.
Согласно сообщениям, регулярно публикуемым на различных форумах, в российском сегменте Сети в последнее время процветает еще один вид преступлений, связанных с общением в Интернете. Злоумышленники находят на сайтах знакомств одинокую женщину или мужчину, пытающихся наладить личную жизнь, завязывают романтическую переписку, и, выяснив, что жертва проживает в своей квартире одна, предлагают ей приехать в другой город для личной встречи. Зачастую мошенники даже приобретают для нее билеты на поезд или самолет (как правило, воспользовавшись для этого крадеными платежными реквизитами). И пока жертва в предвкушении счастливой встречи с избранником мчится на другой конец России, квартирные воры, никуда не торопясь, выносят из ее жилища все ценные вещи и деньги.
student:
Dr.Web для Android выявил более 11 миллионов угроз за месяц
За сентябрь 2013 года антивирусное приложение Dr.Web для Android зафиксировал более 11 миллионов случаев срабатывания антивирусного монитора при выявлении вредоносного или сомнительного ПО и более 4 миллионов случаев обнаружения вредоносных программ при сканировании мобильных устройств по требованию пользователей.
[COLOR="Blue"]Географическое распределение случаев заражения[/COLOR]
Анализ собранной с использованием Антивируса Dr.Web для Android статистики показал: в сентябре 2013 года пользователи запускали сканирование около 17 000 000 раз, при этом наличие вредоносного или сомнительного ПО было зафиксировано более 4 000 000 раз. А поскольку в случае выявления на мобильном устройстве сразу нескольких угроз они отображаются в программном продукте списком в одном окне, реальное количество обнаруженных вредоносных программ несколько выше указанной цифры.
Если сканер запускается по требованию пользователя, то монитор работает постоянно, защищая устройство в непрерывном режиме. В отличие от сканера, в период с 1 по 30 сентября 2013 года резидентный монитор Антивируса Dr.Web для Android при обнаружении вредоносных или нежелательных программ, а также при попытках скопировать или установить их на защищаемое устройство сработал около 11 500 000 раз. При этом ежесуточно фиксировалось порядка 450 000 случаев срабатывания монитора. Пик выявления угроз для мобильной платформы Android пришелся на 21 сентября 2013 года — в этот день произошло 489 357 срабатываний антивирусного монитора.
Весьма примечательно географическое распределение пользователей, на устройствах которых фиксировалось срабатывание монитора Антивируса Dr.Web для Android. Подавляющее их большинство (более 3 500 000 случаев) проживает на территории России, на втором месте с показателем 1 800 000 неожиданно оказалась Саудовская Аравия, третью позицию со значением 1 700 000 занимает Ирак. Украина с показателем 670 000 срабатываний — лишь на четвертом месте.
Статистика распределения пользователей по странам и регионам, связанная с обнаружением угроз при помощи антивирусного сканера Dr.Web для Android, показывает в целом схожую картину, с незначительными отличиями: зафиксировано 145 564 случаев обнаружения вредоносного ПО у пакистанских пользователей, 113 281 — у пользователей из Малайзии и 103 192 у жителей Вьетнама. Интересный факт: несмотря на то, что жители Японии составляют весьма существенную долю от общего количества пользователей Dr.Web для Android (9,45%), случаи обнаружения вредоносных программ на их устройствах достаточно редки: всего за истекший месяц было выявлено лишь 54 767 срабатываний антивирусного монитора и 4 324 случая обнаружения вредоносного ПО антивирусным сканером. По общему числу заражений Япония находится на 54-м месте среди других стран: косвенно это может свидетельствовать о высокой степени осведомленности японских пользователей в отношении ситуации в сфере информационной безопасности, а также о высокой культуре использования ими приложений для мобильной ОС Android.
Наиболее распространенной угрозой для операционной системы Android, как и прежде, остаются троянцы семейства Android.SmsSend. На втором месте по количеству известных модификаций находятся троянцы семейства Android.SmsSpy, на третьем — программы-шпионы семейства Android.Spy. Кроме того, весьма распространены троянские программы Android.DownLoader, Android.Backdoor, Android.Gingersploit, Android.Basebridge и Android.Fakealert, а также всевозможные рекламные инструменты, например, not a virus Tool.SMSSend, not a virus Tool.Rooter и not a virus Adware.Airpush.
Навигация
Перейти к полной версии