Компьютерный раздел > Антивирусы, ключи
Новости от Dr.Web
San-Sanich.:
«Доктор Веб» предлагает антивирус в качестве услуги для бизнес-пользователей
Компания «Доктор Веб» и облачный провайдер ActiveCloud представили новую услугу — «Антивирус Dr.Web», которая позволяет корпоративным клиентам пользоваться защитным решением на условиях ежемесячной подписки.
Спойлер : ActiveCloud — IT-компания, предоставляющая хостинг и профессиональные облачные сервисы для клиентов в России и странах СНГ. Среди услуг ActiveCloud значатся построение инфраструктуры в облаках (IaaS), электронная почта, аренда программного обеспечения (SaaS), виртуальные рабочие столы и инструменты обеспечения безопасности.
Сотрудничество ActiveCloud и «Доктора Веба» делает возможным для российских компаний использование защитного ПО на условиях ежемесячной подписки. При таком подходе клиентская часть антивируса Dr.Web устанавливается на персональные компьютеры, ноутбуки и смартфоны компании-заказчика, как и при классическом его использовании, а централизованное управление всеми настройками переносится в облако ActiveCloud.
Такой подход позволяет корпоративным пользователям перейти от капитальных затрат на операционные, исключить расходы на покупку и обслуживание сервера управления защитным ПО, а также упростить администрирование комплекса средств безопасности.
Кроме того, предложенная модель открывает перед компаниями возможность оформить помесячную подписку согласно выбранному тарифному пакету и самостоятельно управлять её параметрами, в частности, быстро менять количество обслуживаемых устройств.
24022022:
«Доктор Веб» обнаружила новый бэкдор для Mac
Специалисты компании «Доктор Веб» обнаружили и исследовали троянца для операционной системы Apple macOS, способного выполнять поступающие от злоумышленников команды.
Троянец-бэкдор был добавлен в вирусные базы Dr.Web под именем Mac.BackDoor.Systemd.1. В момент старта он выводит в консоль сообщение с опечаткой «This file is corrupted and connot be opened» и перезапускает себя в качестве демона с именем systemd. При этом Mac.BackDoor.Systemd.1 пытается скрыть собственный файл, установив для него соответствующие флаги. Затем троянец регистрирует себя в автозагрузке, для чего создает файл с командами sh и файл .plist.
Зашифрованная конфигурационная информация хранится в самом файле троянца. В зависимости от нее Mac.BackDoor.Systemd.1 либо сам устанавливает связь с управляющим сервером, либо ожидает входящего запроса на соединение. После установки связи бэкдор выполняет поступающие команды и периодически отсылает злоумышленникам следующую информацию: наименование и версия операционной системы; имя пользователя; наличие у пользователя привилегии администратора (root); MAC-адреса всех доступных сетевых интерфейсов; IP-адреса всех доступных сетевых интерфейсов; внешний IP-адрес; тип процессора; объем оперативной памяти; данные о версии вредоносной программы и ее конфигурации.
Троянец имеет собственный файловый менеджер, с использованием которого киберпреступники могут выполнять различные действия с файлами и папками на зараженном компьютере. Бэкдор способен выполнять следующие команды: получить список содержимого заданной директории; прочитать файл; записать в файл; получить содержимое файла; удалить файл или папку; переименовать файл или папку, изменить права для файла или папки (команда chmod); изменить владельца файлового объекта (команда chown); создать папку; выполнить команду в оболочке bash; обновить троянца; переустановить троянца; сменить IP-адрес управляющего сервера; установить плагин.
Троянец Mac.BackDoor.Systemd.1 обнаруживается и удаляется продуктами Dr.Web для Mac и потому не представляет опасности для пользователей Dr.Web.
24022022:
«Доктор Веб»: около 9% банковских доменов используют неправильные настройки DNS
Аналитики компании «Доктор Веб» выяснили, что неправильная настройка DNS-серверов в совокупности с другими факторами может стать одной из возможных причин компрометации веб-сайта. Проведенное исследование показало, что подобные проблемы актуальны для многих российских финансовых учреждений и некоторых государственных организаций.
Доменная система имен (DNS, Domain Name System) позволяет получать информацию о доменах и обеспечивает адресацию в интернете. С помощью DNS клиентское программное обеспечение, в частности браузер, определяет IP-адрес интернет-ресурса по введенному URL. Администрированием DNS-серверов занимаются, как правило, сами владельцы доменов.
Спойлер : Многие интернет-ресурсы помимо основного домена второго уровня используют несколько дополнительных доменов третьего или даже четвертого уровней. Например, домен drweb.com использует поддомены vms.drweb.ru, на котором размещается сайт, позволяющий проверить ссылку, файл или найти описание вируса, free.drweb.ru — домен для веб-страницы утилиты Dr.Web CureIt!, updates.drweb.com — страница системы обновлений Dr.Web и т д. С использованием таких доменов обычно реализованы различные технические и вспомогательные службы — системы администрирования и управления сайтом, системы онлайн-банкинга, веб-интерфейсы почтовых серверов и всевозможные внутренние сайты для сотрудников компании. Также поддомены могут быть задействованы, например, для организации систем контроля версий, баг-трекеров, различных служб мониторинга, вики-ресурсов и прочих нужд.
При осуществлении целевых атак на веб-сайты с целью их компрометации злоумышленники в первую очередь собирают информацию о целевом интернет-ресурсе. В частности, они пытаются определить тип и версию веб-сервера, который обслуживает сайт, версию системы управления контентом, язык программирования, на котором написан «движок», и прочую техническую информацию, среди которой — список поддоменов основного домена атакуемого веб-сайта. С использованием такого списка злоумышленники могут попытаться проникнуть в инфраструктуру интернет-ресурса через «черный ход», подобрав учетные данные и успешно авторизовавшись на одном из внутренних непубличных сервисов.
Многие системные администраторы не уделяют должного внимания безопасности таких ресурсов. Между тем такие «внутренние» сайты могут использовать устаревшее программное обеспечение с известными уязвимостями, содержать отладочную информацию или допускать открытую регистрацию. Все это может значительно упростить задачу злоумышленникам.
Если обслуживающие веб-сайт DNS-серверы настроены правильно, взломщики не смогут получить по своему запросу информацию о доменной зоне. Однако в случае неправильной настройки DNS-серверов специальный AXFR-запрос позволяет киберпреступникам получить полные данные о зарегистрированных в доменной зоне поддоменах. Неправильная настройка DNS-серверов сама по себе не является уязвимостью, однако может стать косвенной причиной компрометации интернет-ресурса.
Аналитики «Доктор Веб» провели исследование настройки DNS-серверов ряда российских банков и государственных организаций. Было установлено, что из примерно 1000 проверенных доменов российских банков 89 отдают доменную зону в ответ на внешний AXFR-запрос. Информация об этом была передана в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) Банка России. Кроме того, некорректные настройки были выявлены на сайтах нескольких государственных организаций. Компания «Доктор Веб» напоминает администраторам сайтов о том, что корректная настройка DNS является одним из факторов, способных обеспечить безопасность интернет-ресурсов.
24022022:
Dr.Web обнаружил загрузчик троянца для «умных» Linux-устройств на базе MIPS и MIPSEL
Собранная специалистами «Доктор Веб» статистика показывает, что на первом месте среди стран, к которым относятся IP-адреса зараженных Linux.Hajime устройств, находится Мексика. Также в тройку входят Турция и Бразилия.
Ассортимент современных вредоносных программ для устройств под управлением Linux чрезвычайно широк. Одним из широко распространенных троянцев для этой ОС является Linux.Hajime, несколько загрузчиков детектировал только Антивирус Dr.Web.
Троянцы семейства Linux.Hajime известны вирусным аналитикам с конца 2016 г. Это сетевые черви для Linux, распространяющиеся с использованием протокола Telnet. После успешной авторизации путем подбора пароля плагин-инфектор сохраняет на устройство хранящийся в нем загрузчик, написанный на ассемблере. С компьютера, с которого осуществлялась атака, тот загружает основной модуль троянца. В свою очередь вредоносная программа включает инфицированное устройство в децентрализованный P2P-ботнет. Linux.Hajime способен заражать объекты с аппаратной архитектурой ARM, MIPS и MIPSEL.
Помимо вредоносного загрузчика для ARM-устройств в «дикой природе» уже более полугода распространяются аналогичные по своим функциям модули для устройств с архитектурой MIPS и MIPSEL. Первый из них получил наименование Linux.DownLoader.506, второй — Linux.DownLoader.356. На момент подготовки этой статьи они оба детектировались только продуктами Dr.Web. Кроме того, вирусные аналитики «Доктор Веб» установили, что помимо использования троянцев-загрузчиков злоумышленники осуществляют заражение и при помощи стандартных утилит, например, скачивают Linux.Hajime посредством wget. А начиная с 11 июля 2017 года киберпреступники стали загружать троянца на атакуемое устройство с помощью утилиты tftp.
Компания «Доктор Веб» напоминает: одним из наиболее надежных способов предотвращения атак на Linux-устройства является своевременная смена установленных по умолчанию логина и пароля. Кроме того, рекомендуется ограничивать возможность подключения к устройству извне по протоколам Telnet и SSH и своевременно обновлять прошивку. Антивирус Dr.Web для Linux определяет и удаляет все упомянутые версии загрузчиков Linux.Hajime, а также позволяет выполнить дистанционное сканирование устройств.
24022022:
«Доктор Веб» исследовал нового банковского троянца Trojan.Gozi
Вирусные аналитики компании «Доктор Веб» исследовали новую версию вредоносной программы, относящейся к широко известному семейству Trojan.Gozi.
Новый банковский троянец, получивший наименование Trojan.Gozi.64, основывается на исходном коде предшествующих версий Trojan.Gozi, который уже долгое время находится в свободном доступе. Как и другие представители этого семейства, Trojan.Gozi.64 может заражать компьютеры под управлением 32- и 64-разрядных версий Windows.
Троянец имеет модульную архитектуру, но, в отличие от предыдущих модификаций, он полностью состоит из отдельных загружаемых плагинов. Также Trojan.Gozi.64 не имеет алгоритмов для генерации имен управляющих серверов — их адреса «зашиты» в его конфигурации, в то время как одна из первых версий Gozi использовала в качестве словаря текстовый файл, загружаемый с сервера NASA.
Спойлер : Создатели троянца заложили в него ограничение, благодаря которому он способен работать с операционными системами Microsoft Windows 7 и выше, в более ранних версиях Windows вредоносная программа не запускается. Дополнительные модули скачиваются с управляющего сервера специальной библиотекой-лоадером, при этом протокол обмена данными использует шифрование.
Лоадер Trojan.Gozi.64 может выполнять на зараженной машине следующие вредоносные функции: проверка обновлений троянца; загрузка с удаленного сервера плагинов для браузеров, с помощью которых выполняются веб-инжекты; загрузка с удаленного сервера конфигурации веб-инжектов; получение персональных заданий, в том числе для загрузки дополнительных плагинов; удаленное управление компьютером.
Для осуществления веб-инжектов в каждом браузере Trojan.Gozi.64 использует собственный настраиваемый плагин. В настоящий момент вирусным аналитикам известны плагины для Microsoft Internet Explorer, Microsoft Edge, Google Chrome и Mozilla Firefox. Установив соответствующий модуль, троянец получает с управляющего сервера ZIP-архив с конфигурацией для выполнения веб-инжектов. В результате Trojan.Gozi.64 может встраивать в просматриваемые пользователем веб-страницы произвольное содержимое – например, поддельные формы авторизации на банковских сайтах и в системах банк-клиент. При этом, поскольку модификация веб-страниц происходит непосредственно на зараженном компьютере, URL такого сайта в адресной строке браузера остается корректным, что может ввести пользователя в заблуждение и усыпить его бдительность. Введенные в поддельную форму данные передаются злоумышленникам, в результате чего учетная запись жертвы троянца может быть скомпрометирована.
Помимо этого на зараженный компьютер могут быть загружены и установлены дополнительные модули – в частности, плагин, фиксирующий нажатие пользователем клавиш (кейлоггер), модуль для удаленного доступа к инфицированной машине (VNC), компонент SOCKS-proxy-сервера, плагин для хищения учетных данных из почтовых клиентов и некоторые другие.
Банковский троянец Trojan.Gozi.64 не представляет опасности для пользователей антивирусных продуктов Dr.Web, поскольку сигнатуры вредоносной программы и ее модулей добавлены в вирусные базы.
Навигация
Перейти к полной версии