В июле зафиксированы новые «винлоки» и очередные угрозы для ОС Android

ПредыдущаяСледующая
Doctor Web Logo

Нынешний июль оказался отнюдь не самым скучным по сравнению с предыдущими месяцами: вновь активизировались создатели «винлоков» и разработчики вредоносного ПО для мобильной платформы Android. Кроме того, специалистами компании «Доктор Веб» было обнаружено и обезврежено множество других опасных угроз.

Российские пользователи персональных компьютеров пережили две крупные волны заражений вредоносными программами, блокирующими работу Windows: первая из них имела место в конце 2009 — начале 2010 года, вторая прокатилась по российскому сегменту Интернета летом 2010 года. С тех пор число заражений уверенно шло на спад: практически все производители антивирусного ПО научились бороться с подобными угрозами, да и сами пользователи, кажется, усвоили элементарные правила безопасности. Однако примерно с мая 2011 года фиксируются случаи появления программ-вымогателей, ориентированных на западную аудиторию. Одной из них стала программа Trojan.Winlock.3794, собирающая у пользователей данные банковских карт.

Среди реквизитов, которые троянец передает злоумышленникам, — имя, фамилия, дата рождения и адрес держателя карты, его телефонный номер, дата окончания срока действия карты, ее номер, код CVV2 и даже пинкод. Располагая подобными сведениями, вирусописателям не составит ни малейшего труда незаконно списать со счета жертвы все доступные средства. Следует особенно отметить, что это — первый случай появления троянца-блокировщика, собирающего данные о банковских картах. Напомним, что ранее подобные программы-вымогатели обычно требовали от пользователя отправить платное СМС-сообщение на указанный сервисный номер или пополнить счет одного из российских сотовых операторов.

А вот по странам, размещающим на своих серверах раздающие вредоносное ПО сайты, картина складывается несколько иная. На лидирующей позиции с большим отрывом, что естественно, находится Россия с показателем 58,8%. Ее догоняют США, но с серверов этого государства пользователями загружается всего лишь 15,6% троянцев. На третьем месте Украина (7,1%), ненамного опережающая Республику Молдова (6,8%), которая, в свою очередь, вырвалась вперед относительно Канады (3,1%). Затем следуют Румыния (2,3%), Япония (2,3%), Германия (1,7%), и замыкают список Израиль, Корея и Бразилия (1,3% и по 0,5% соответственно).

Из всего сказанного выше можно сделать вывод, что наиболее популярным способом распространения троянских программ семейства Trojan.Winlock по-прежнему являются порносайты, с которых пользователи загружают троянцев под видом программы-проигрывателя либо видеоролика.

Dr.Web July Report

За истекший месяц специалистами компании «Доктор Веб» было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к банковским системам. Среди них нельзя не отметить троянца, описание которого было добавлено в вирусные базы под именем Trojan.Carberp.1.

Как и некоторые другие троянские программы такого типа, Trojan.Carberp.1 обладает встроенными средствами защиты от анализа с помощью отладчика. Характерной особенностью данной троянской программы является то, что она работает частями внутри инфицированных системных процессов, а также активно использует хеширование различных данных. Загрузившись на инфицированном компьютере, троянец проверяет, запущен ли в системе процесс op_mon.exe программы Outpost Firewall, и если да, завершает его. Затем он запускает explorer.exe, встраивается в него и пытается поместить вредоносный объект в экземпляры процесса explorer.exe, владеющие Панелью задач и Рабочим столом Windows. Если сделать этого не удается, Trojan.Carberp.1 пытается встроиться в процесс svchost.exe, а в случае, если и эта попытка заканчивается неудачей, — троянец пытается инфицировать любой браузер, позволяющий открывать файлы с расширением .html. Затем вредоносная программа копирует себя в автозагрузку, завершает процесс-дроппер и запускает несколько инфицированных процессов svchost.exe. В одном из инфицированных процессов на компьютер пользователя скачивается программа miniav, выискивающая и уничтожающая конкурирующие троянские программы (BarracudaAndBlackEnergy, Zeus, Limbo, Adrenalin, Generetic, MyLoader), другой процесс устанавливает на зараженном компьютере троянца Trojan.PWS.Stealer.338, предназначенного для хищения паролей от различных клиентский приложений.

Trojan.Carberp.1 ищет и передает злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана и т. д. Кроме того, троянец имеет встроенный модуль, позволяющий обрабатывать поступающие от удаленного командного центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять злоумышленникам возможность анонимного посещения различных сайтов, превратив компьютер жертвы в прокси-сервер, загружать и запускать различные файлы, отправлять на удаленный узел снимки экрана и даже уничтожить операционную систему.

Создатели вредоносных программ для мобильной ОС Android продолжают «радовать» пользователей очередными новинками, не давая скучать и аналитикам компаний — разработчиков антивирусного ПО. В июле специалистами компании «Доктор Веб» в вирусные базы были добавлены описания 29 новых угроз для этой платформы, среди которых следует отметить две новых модификации троянца Android.Gongfu и программу Android.Ggtrack.1-2, предназначенную для кражи денег со счетов владельцев мобильных телефонов путем подписки их на различные платные сервисы.

Кроме того, в июле была обнаружена и добавлена в базы программа-шпион Android.GoldDream.1. Эта вредоносная программа для ОС Android, как и ее предшественницы, встроена в предназначенные для мобильных устройств легитимные приложения, такие как игры Drag Racing и Draw Slasher, и распространяется через альтернативные сайты-сборники ПО. Будучи запущенным в операционной системе, троянец регистрируется в качестве фонового сервиса, собирает информацию об инфицированном устройстве, включая телефонный номер абонента и номер IMEI, после чего передает ее злоумышленникам на удаленный сервер. Вслед за этим Android.GoldDream.1 начинает отслеживать все входящие СМС-сообщения, а также входящие и исходящие телефонные звонки, и записывать сведения об этих событиях (в том числе телефонный номер, с которого или на который выполнялся звонок или отправлялось сообщение, а также само содержимое СМС) в хранящийся локально файл. Впоследствии этот файл может быть извлечен и передан авторам программы-шпиона. Кроме того, Android.GoldDream.1 в состоянии выполнять поступающие от удаленного центра команды для осуществления несанкционированной рассылки СМС, телефонных звонков, а также установки различных программ.

В последних числах июля 2011 г. был зафиксирован всплеск заражений троянской программой Trojan.Mayachok.1: многие пользователи неожиданно столкнулись с невозможностью выйти в Интернет. При попытке открыть в окне браузера какой-либо сайт, троянец перенаправлял пользователя на заранее определенный URL, демонстрируя веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение. Если пользователь следовал указаниям злоумышленников, с его счета незамедлительно списывались средства.

Один из способов распространения троянца - сообщения социальной сети "В контакте": пользователям предлагается скачать документ в формате .rtf, якобы рассказывающий о специальной программе для просмотра посещающих страницу пользователя гостей. Этот документ содержит ссылку, по которой и загружается вредоносная программа. Вот далеко не полный список сайтов, доступ к которым может блокировать Trojan.Mayachok.1: youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru.

Dr.Web July Report

Наиболее вероятной причиной столь широкого распространения данной угрозы послужила, скорее всего, популярность социальной сети «В контакте», с помощью которой распространялся троянец, а также доверчивость самих пользователей, бездумно открывающих ссылки в получаемых ими рекламных сообщениях.

Данная угроза была не единственной, так или иначе затронувшей социальную сеть «В контакте» - к таковым можно отнести и распространение троянской программы Trojan.VkSpam, инфицирующей компьютеры благодаря спам-рассылкам на сайте ВКонтакте.ру. Как правило, пользователям предлагается принять участие в опросе и получить за это ценные призы, «голоса» или другие бонусы. Вредоносная программа маскируется под приложение, собирающее мнение участников опроса о нововведениях данной социальной сети, либо под программу для сбора статистики о посещении страницы пользователя ВКонтакте.ру. И в том и в другом случае троянец демонстрирует на экране компьютера окно, предлагающее ввести в соответствующую форму логин и пароль учетной записи: это якобы необходимо для установки соответствующего приложения. Воспользовавшись полученными учетными данными, Trojan.VkSpam начинает массовую рассылку сообщений по списку контактов пользователя.

Также в июле был обнаружен троянец, крадущий у пользователей не файлы электронных кошельков или реквизиты доступа к платежным системам, а вычислительные ресурсы. На сегодняшний день известно несколько вредоносных программ, занимающихся майнингом, или, иными словами, «добычей» электронной валюты Bitcoin, в частности, Trojan.Coinbit и некоторые версии Trojan.Vkbase. Новый троянец, Trojan.BtcMine.1, использует две легитимные программы для майнинга, с помощью которых задействует вычислительные ресурсы компьютера жертвы с целью «добычи» виртуальных монет. Распространяется эта вредоносная программа с различных ресурсов, никак не связанных с официальным сайтом проекта Bitcoin.

Не отстала от Trojan.BtcMine.1 и новая, 48-я по счету модификация троянца Trojan.VkBase. Данная версия вредоносной программы, получившая название Trojan.VkBase.48, запускает на инфицированном компьютере программу-«майнер» для платежной системы Bitcoin. Благодаря этому злоумышленники могут использовать вычислительные ресурсы зараженного компьютера с целью личного обогащения.

Оказавшись на зараженном компьютере, Trojan.VkBase.48 создает в директории установки Windows папку update.4.1, сохраняется в нее под именем svchost.exe и запускается как фоновый сервис. Затем троянец проверяет наличие соединения с Интернетом, отправляя запросы по протоколу HTTP узлам Google.com, Microsoft.com и Yandex.ru, ожидая получить в ответ главную страницу этих сайтов. Если отклик получен, Trojan.VkBase.48 случайным образом генерирует логин и пароль для платежной системы Bitcoin и сохраняет их в файл %AppData%\Bitcoin\bitcoin.conf. Вслед за этим троянец проверяет собственную версию (в нем присутствует функция обновления), собирает сведения о зараженной машине (включая имя компьютера, серийный номер диска, типы используемых накопителей) и отправляет информацию на сервер злоумышленников. Затем вредоносная программа подключается к своим командным центрам и обменивается с ними данными. По команде Trojan.VkBase.48 может загрузить из Интернета сервер Bitcoin и запустить его в качестве сервиса.

3 августа 2011 Г.

08:35

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Начат серийный выпуск SSD Samsung PM1643 объемом 30,72 ТБ: Самые емкие в отрасли SSD Samsung PM1643 предназначены для корпоративного сегмента25

Google тестирует технологию, которая позволит достаточно точно определять местоположение абонента, звонящего в службу спасения: Google хочет, чтобы служба 911 имела точное местоположение звонящего17

Sony работает над технологией искусственного интеллекта, которая позволит улучшить эффективность работы сервисов такси: Sony создаёт ИИ для таксистов2

Игровой смартфон Xiaomi Black Shark получит SoC Snapdragon 845 и 8 ГБ оперативной памяти: Игровой смартфон Xiaomi Black Shark может получить малый объём флэш-памяти4

Неанонсированные процессоры Intel Coffee Lake уже появились в ассортименте некоторых зарубежных магазинов: Новый CPU Intel Coffee Lake уже можно купить2

Правительству России предложили создать министерство, курирующее технологии виртуальной и дополненной реальности : В России предлагают создать министерство виртуальной реальности22

Sony значительно усилила свои позиции на рынке премиальных телевизоров США : Sony нарастила продажи премиальных телевизоров18

На фото засветился прототип смартфона Sony Xperia XZ2 Compact: Прототип Sony Xperia XZ2 Compact не имеет разъёма для наушников 9

Новые смартфоны Samsung семейства Galaxy J также могут получить дисплеи Infinity Display: Samsung намерена сделать полноэкранными и среднебюджетные смартфоны10

Электрический гиперкар Aspark Owl разгоняется до 100 км/ч менее чем за 2 с: Aspark Owl поспорит с Tesla Roadster в динамике 22

Пользователи утверждают, что Samsung Galaxy S9 работает полтора дня без подзарядки: Автор поста, который уже был удален, что подтверждает достоверность информации, сообщает, что новинка очень похожа на Galaxy S835

Специалисты Google нашли в браузере Microsoft Edge достаточно серьёзную уязвимость : Microsoft пока не может справиться с обнаруженной Google уязвимостью в Edge3

Virgin Hyperloop One подписала с властями Индии рамочное соглашение касательно постройки ветки Hyperloop: Virgin Hyperloop One хочет соединить веткой Hyperloop Мумбаи и Пуну7

Seagate уже начала поставки партнёрам тестовых накопителей с технологией HAMR: Seagate начнёт продажи HDD с технологией HAMR в следующем году3

Защищенный смартфон Ulefone Armor X получил сдвоенную камеру: Ulefone Armor X построен на SoC MediaTek MT6739

Полнокадровую зеркальную камеру Canon EOS 6D можно купить менее чем за $1000: Это не единственная старая модель, на которую предложена существенная скидка63

Социальная сеть Uhsupp будет представлена одновременно с новым флагманом Samsung: Uhsupp позволит пользователям обмениваться сообщениями, делиться фотографиями, видеороликами, оценивать записи друг друга11

В мюнхенском аэропорту началось тестирование антропоморфного робота: Джози Пеппер — совместный проект аэропорта Мюнхена и авиакомпании Lufthansa18

Больше никаких секретов: дата выхода, официальные изображения и характеристики Samsung Galaxy S9: Напомним, анонс смартфонов ожидается 25 февраля этого года32

Xiaomi и Samsung продолжают спорить, кто из них лидирует на рынке смартфонов Индии: Samsung сложно признать поражение4

Смартфон HTC Desire 12 получит очень бюджетную платформу MediaTek : Смартфон HTC Desire 12 получит четырёхъядерный CPU3

Видеоролик демонстрирует трехмерную модель смартфона Nokia 8 Sirocco: Предположительно, устройство получит две сдвоенные камеры

Смартфон Samsung Galaxy S9+ набирает более 9000 баллов в тесте Geekbench: В однопоточном тесте результат составил 3773 балла, а в многопоточном устройство набрало впечатляющие 9024 балла34

Прирост производительности у процессоров AMD Ryzen 2000 будет выше, чем можно было бы ожидать, учитывая разницу в частотах: Ryzen 5 2600 попал в базу Geekbench25

Опубликована новая версия фирменного рингтона Over the Horizon для смартфона Samsung Galaxy S9 : Презентация Samsung Galaxy S9 ожидается 25 февраля8

Suunto 3 Fitness — спортивные часы, способные адаптироваться под ваши тренировки: Suunto представила спортивные часы Suunto 3 Fitness 3

Видеоролик демонстрирует концепт смартфона Nokia 10 с пятью поворотными объективами: На задней панели находятся две 16-мегапиксельные камеры, а также система поворотных объективов с пятью разными диафрагмами2

Samsung занимает почти половину корейского рынка смартфонов: Купертиновцы немного прибавили за последний год11

На крышу кампуса Apple Park рухнул дрон: Дрон упал на крышу Apple Park18

Смартфон Nokia 4 может получить SoC Snapdragon 450: В Китае и других азиатских странах устройство выйдет под другим названием

Samsung получила 90,1% всей выручки на рынке OLED в прошлом квартале: Аналитики Display Supply Chain Consultants оценили рынок OLED8

Intel рассказала о прототипе дискретного GPU, состоящего из двух кристаллов: Intel работает над дискретным GPU?2

С сегодняшнего дня пользоваться смартфонами с Windows Phone 7.5 и Windows Phone 8 станет ещё сложнее: Microsoft отключает push-уведомления на Windows Phone 7.5 и Windows Phone 826

iXBT TV

  • Обзор многофункционального сетевого CD-ресивера Pioneer NC-50DAB

  • Обзор блока питания Thermaltake Toughpower iRGB Plus 1250W Titanium с программно-аппаратным комплексом мониторинга

  • [6.07] Подкаст PRO игры: cтрасти вокруг Kingdom Come: Deliverance, вымирание слэшеров, русский колорит

  • Обзор компактной фотокамеры Sony RX10 IV с сенсором 1″ и несменным 25-кратным зум-объективом

  • Обзор карты памяти SanDisk Extreme Pro CFast 2.0 емкостью 128 ГБ

  • Обзор портретного объектива Fujinon XF 50mm f/2 R WR для компактных беззеркальных камер Fujifilm

  • Запуск Falcon Heavy, убытки Илона Маска, умные очки Intel

  • Обзор недорогого корпуса Deepcool Earlkase RGB со стеклянной стенкой и RGB-подсветкой

  • Обзор кинокамеры Canon EOS C200: съемка 4K-видео с высокой частотой кадров в формате Cinema RAW Light

  • Обзор «камуфляжного» игрового ноутбука MSI GE62VR 7RF Camo Squad Limited Edition

  • Обзор светосильного широкоугольного объектива Nikon AF-S Nikkor 28mm f/1.4E ED

  • Обзор СВО Thermaltake Floe Riing RGB 360 TT Premium Edition

Календарь

август
Пн
Вт
Ср
Чт
Пт
Сб
Вс