Методы обнаружения вирусов

4 августа 2014 года

Июль 2014 года, как-либо примерно будто давние месяцы, был отмечен важным числом инцидентов, связанных с распространением всевозможных трансформаций троянцев-шифровальщиков. кроме этого, специалистами фирме «Доктор Веб» было выявлено очень много опасностей для мобильной платформы гугл Android примерно будто остальных вредный приложений, нацеленных на юзеров операционной системы Microsoft Windows.

Вирусная обстановка

В июле посреди угроз, выявленных с применением лечащей утилиты Dr.Web CureIt!, как-либо примерно будто сперва лидировали маркетинговые надстройки для пользующихся популярностью браузеров, основополагающее предначертание коих заключается в демонстрации юзеру ненужных баннеров в процессе просмотра веб-страниц. Расширяется примерно будто существующий ассортимент похожих приложений: в «топе» наличествует порядка 10 всевозможных трансформаций сходных плагинов, посреди них — Trojan.BPlug.100, Trojan.BPlug.48, Trojan.BPlug.46, Trojan.BPlug.102, Trojan.BPlug.28, Trojan.BPlug.78, Trojan.BPlug.79 примерно будто другие. шабаш они отличаются в главном индивидуальностями реализации. По заданным сервера статистики Dr.Web, максимально всераспространенной опасностью в июле можно думать троянца — установщика ненужных приложений Trojan.Packed.24524: он обнаруживался антивирусным ПО Dr.Web на инфицированных индивидуальных персональных компьютерах в 0,56% случаев (от общего численности выявленных угроз), а уж уж уж уж уж уж уж с применением лечащей утилиты Dr.Web CureIt! — в 1,59% случаев. тоже фаворитные позиции в своеобразном рейтинге максимально пользующихся популярностью опасностей занимают маркетинговые троянцы семейства Trojan.InstallMonster.

В почтовом трафике в июле максимально зачастую встречались вредные программы, перенаправляющие жертву на разные вредные сайты, — Trojan.Redirect.195 примерно будто Trojan.Redirect.197, а уж уж уж уж уж уж уж тоже рискованный троянец BackDoor.Tishop.122, о массовой рассылке коего мы сообщали раньше в одном из новостных материалов. Напомним, будто основополагающее предначертание предоставленной опасности заключается в загрузке на инфицированный персональный персональный комп остальных вредных программ, благодаря чему незащищенный антивирусом ПК помножать перевоплотиться в точный заповедник для всевозможных троянцев примерно будто вирусов.

Ситуация, касающаяся отслеживаемых специалистами фирме «Доктор Веб» ботнетов, за былой луна кардинально перестать изменилась: продолжают свое живот бот-сети, сотворенные злодеями с применением файлового вируса Win32.Rmnet.12 (порядка 250 000 воззваний к управляющим серверам в сутки в одной из подсетей), вируса Win32.Sector (ежесуточно энергичность проявляют порядка 65 000 инфицированных узлов) примерно будто вредного модуля Trojan.Rmnet.19 (в посредственном подле 1 100 ежесуточных воззваний к командным серверам). Бот-сеть, состоящая из работающих под управлением операционной системы Mac OS X компьютеров, зараженных троянской программой BackDoor.Flashback.39, в реальное минута насчитывает порядка 14 000 узлов.

Троянцы-энкодеры

Вредоносные программы семейства Trojan.Encoder на нынешний денек представляют, пожалуй, максимально жизненную угрозу для юзеров индивидуальных компьютеров. впервинку сходного рода троянцы были выявлены в 2006–2007 году, порой юзеры нежданно сталкивались с тем, будто на них индивидуальных персональных компьютерах оказались зашифрованными значимые файлы, за расшифровку коих преступники требовали уплатить выкуп. В те период похожие инциденты были достаточно редки, а уж уж уж уж уж уж уж сам шифровальщик перестать различался технологическим совершенством, потому шатия-братия «Доктор Веб» достаточно скоро выпустила утилиту для расшифровки пострадавших от его воздействия файлов. впрочем вирусописатели начали очень быстро трансформировать свои изделия, усложняя методы шифрования примерно будто структуру самих энкодеров. Уже к январю 2009 возраст насчитывалось 39 всевозможных трансформаций троянцев-шифровальщиков, а уж уж уж уж уж уж уж на нынешний денек численность них версий перевалило за крошечку сотен.

Троянцы-энкодеры распространяются всевозможными способами: популярны случаи рассылок сходных троянцев по электронной почте, массовой отправки ссылок на вредные интернет-сайты в общественных паутинах примерно будто с поддержкой программ обмена сообщениями (нередко вредная программа скачивается на персональный персональный комп жертвы под пейзажем кодека, якобы важного для просмотра видео) — прочими словами, преступники применяют в своих целях шабаш вероятные методы, охватывая технологии общественной инженерии.

Технологически энкодеры отличаются методами шифрования пользовательских файлов, языком, на котором они были написаны, однако принцип них воздействия в цельном одинаков. Запустившись на инфицированном компьютере, троянец изготавливает розыск хранящихся на дисках файлов — документов, изображений, музыки, фильмов, порой — баз заданных примерно будто приложений, дальше чего шифрует их. опосля вредная программа показывает жертве заявка заплатить расшифровку файлов — оно помножать бытовать помещено на диске в облике текстового документа, выполнено в облике графического изображения примерно будто установлено в качестве обоев Рабочего стола Windows, или же сохранено в облике интернет-страницы примерно будто добавлено в характеристики автозагрузки. Для взаимоотношения преступники обыкновенно применяют адресок электронной почты, зарегистрированный на одном из доровых общественных сервисов.

screen
Изображение, применяемое вредной программой Trojan.Encoder.398

К сожалению, в том числе примерно точно употребление современного антивирусного программного снабжения перестать ручается стопроцентной обороны от проникновения в систему троянцев-энкодеров, примерно будто преступники систематически переупаковывают примерно будто шифруют свои творения, потому них сигнатуры попадают в вирусные основы вдали перестать сразу. кроме того, современные энкодеры применяют разные методы генерации ключей шифрования: в кое-каких случаях они образовываются конкретно на инфицированном персональном персональном персональном персональном персональном компьютере примерно будто передаются на сервер злоумышленников, дальше чего начальные файлы ключей уничтожаются, порой наизнанку — поступают с удаленного командного сервера, однако почаще досадить метод них генерации останется неизвестным, потому расшифровка файлов (особенно в случае в случае если на диске отсутствует сам исполняемый файл вредной программы) вероятна вдали перестать кончено пора примерно будто перестать для любых версий Trojan.Encoder.

В июле 2014 возраст в службу технической поддержки фирме «Доктор Веб» обратилось больше 320 пользователей, пострадавших от действий троянцев-шифровальщиков. максимально зачастую файлы оказывались зашифрованы вредной программой семейства BAT.Encoder — к этой группе относятся троянцы, шифрующие файлы при поддержки законной криптографической утилиты GPG с применением BAT-скриптов. На втором месте по числу запросов располагается Trojan.Encoder.293 — троянец-шифровальщик, напечатанный на языке Delphi. данная вредная программа изготавливает шифрование файлов в двойка приема: наперво с применением метода XOR, опосля с применением метода RSA. тоже многие юзеры стали жертвами энкодера Trojan.Encoder.102, являющегося прародителем Trojan.Encoder.293. этот троянец изготавливает шифрование файлов с поддержкой метода RSA, будто изготавливает очень сложной полновесную расшифровку без прикрытого ключа. Также, в силу применения в коде троянца 32-битной переменной, энкодер записывает свою информацию в начин файлов объемом выше 4 ГБ, будто приводит к них порче примерно будто невозможности восстановления. На представленной далее диаграмме показаны версии троянцев-шифровальщиков по числу воззваний в службу технической поддержки «Доктор Веб» пострадавших от них воздействия юзеров в июле 2014 года:

screen

В июле машистое распространение приобрел шифровальщик Trojan.Encoder.686, какой-нибудь знатоки уже окрестили одной из самых совершенных посреди похожих программ. В направление долгосрочного времени шифровальщик деятельно заражал компы отечественных пользователей, а уж уж уж уж уж уж уж перестать примерно давно возникли его английская версия, примерно будто мотивированная аудитория опасности расширяется. Trojan.Encoder.686 пользуется очень несгибаемый механизм шифрования файлов, какой-нибудь целиком исключает них расшифровку без наличия ключей. Свою энергичность на персональном персональном персональном персональном персональном компьютере жертвы троянец искусно маскирует: наперво он целиком зашифровывает файлы примерно будто токмо затем обращается к управляющему серверу злоумышленников, чтоб переслать данные. тем самым Trojan.Encoder.686 различается от остальных энкодеров, коие поддерживают взаимосвязь со собственным командным центром в ходе шифрования. Сам управляющий сервер выключить почти невозможно, примерно будто он размещается в анонимной паутине Tor.

Наиболее действующим методом профилактики примерно будто обороны от троянцев-шифровальщиков появляется своевременное резервное копирование всей ценной инфы на независящие носители. в случае в случае если вы стали жертвой сходной вредной программы, пользуйтесь последующими рекомендациями:

  • обратитесь с надлежащим заявлением в полицию (http://legal.drweb.com/templates);
  • ни в коем случае перестать старайтесь переустановить операционную систему;
  • не удаляйте никакие файлы на вашем компьютере;
  • не старайтесь вернуть зашифрованные файлы самостоятельно;
  • обратитесь в службу технической поддержки фирме «Доктор Веб», создав тикет в категории «Запрос на лечение» (эта услуга бесплатна примерно будто предоставляется юзерам лицензионных продуктов компании);
  • к тикету приложите зашифрованный троянцем файл;
  • дождитесь ответа вирусного аналитика. В взаимоотношения с немалым численностью запросов это помножать взять в долг некое время.

События примерно будто опасности июля

Злоумышленники при поддержки троянских программ продолжают методично атаковать защиту банковских операций, совершаемых юзерами спустя Интернет. В июле знатоки обнародовали итоги изучений банковского троянца Retefe, поставившего под угрозу счета покупателей нескольких 10-ов банков в Швейцарии, Австрии, Германии примерно будто Японии. механизм атаки состоит из 2-ух этапов. наперво жертве по электронной почте приходит цидулка с предложением определить программу для обновления операционной системы Windows, при предоставленном под пейзажем законного ПО на персональный персональный комп монтируется троянец Retefe. Его функционал разрешает злодеям проверять интернет-трафик жертвы примерно будто обходить деньги обороны от фишинга в браузере. Выполнив нужные конфигурации опций на зараженном компьютере, Retefe самоудаляется, дальше чего антивирусными деньгами выявить инфецирование уже невозможно. При исполнении какой-нибудь операции с применением онлайн-банкинга жертва раскрывает заместо настоящего веб-сайта банка фальшивую интернет-страницу примерно будто внедряет на ней заданные собственного аккаунта. дальше этого наступает надлежащий стадия мошенничества: жертве предлагается скачать примерно будто определить на личный маневренный мобильник приложение, которое якобы генерирует пароли для входа в банковский аккаунт, однако в действительности появляется троянской программой. Это приложение без ведома жертвы в фоновом режиме перенаправляет входящие СМС-сообщения от банка на сервер злоумышленников или же подконтрольное им же иное мобильное устройство. подобным образом мошенники, имея учетные заданные жертвы примерно будто присылаемые банком СМС с разовыми паролями, вводимыми при операциях онлайн-банкинга, приобретают пышный контроль над банковским счетом пользователя. разные образчики Retefe детектируется антивирусом Dr.Web как-либо Trojan.MulDrop5.9243, Trojan.PWS.Panda.5676, Trojan.Siggen6.16706, а уж уж уж уж уж уж уж его Android-модуль детектируется как-либо Android.Banker.11.origin.

Привлекательными целями для злоумышленников остаются примерно будто терминалы оплаты (POS-терминалы). В июле специалистами по информационной безопасности была выявлена бот-сеть, в коию входило порядка 5 600 компов в 119 странах. Целью злоумышленников появлялось воровство сведений о банковских картах. С февраля 2014 возраст зараженные устройства старались приобрести удаленный доступ к POS-терминалам, применяя технику подбора паролей. Выявлено отлично командных серверов предоставленного ботнета, 3 неактивных находятся в Иране, Германии примерно будто России, двойка функциональных (которые начали делать в мае-июне этого года) — тоже в России. Антивирусное ПО Dr.Web детектирует предназначенный для подбора паролей вредный модуль как-либо Trojan.RDPBrute.13.

В июле в еще один как-то была поставлена под сомнение неуязвимость операционной системы Linux. Экспертами антивирусных фирм были размещены итоги анализа вредной программы Linux.Roopre.1, разработанной для атак на веб-серверы под управлением Linux примерно будто Unix. Это многоцелевая модульная программа, выполняющая по команде управляющего сервера классические вредные функции: передачу данных, загрузку иного ПО, пуск задач. приобретя доступ к двум командным серверам, знатоки установили, будто троянцем Linux.Roopre.1 было заражено порядка 1 400 серверов, основная масса коих обнаруживается в США, России, Германии примерно будто Канаде.

Мобильные угрозы

Для юзеров мобильных Android-устройств былой июль оказался очень интенсивным в замысле возникновения всевозможных вирусных угроз. Например, в середине месяца специалистами фирме «Доктор Веб» была найдена критическая вредная программа Android.BankBot.21.origin, крадущая у русскоязычных хозяев смартфонов примерно будто планшетов под управлением ОС Android знания об применяемой ими банковской карте. Для этого троянец имитировал запрос ввода аутентификационных заданных карты, отображаемый поверх запущенного приложения гугл Play, дальше чего передавал полученную информацию злоумышленникам. кроме этого, Android.BankBot.21.origin изготовлял кражу примерно будто остальных важнейших сведений, охватывая шабаш входящие СМС, а уж уж уж уж уж уж уж тоже мог осуществить неприметную отправку всевозможных коротеньких извещений по команде киберпреступников. Подробнее об этой опасности рассказано в соответственной новостной публикации.

screen screen screen

Помимо этого в июле вирусная основа фирме «Доктор Веб» пополнилась еще один записью для троянца семейства Android.Locker. новенькая вредная программа-вымогатель, получившая имя Android.Locker.19.origin, распространялась посреди Android-пользователей из USA примерно будто при попадании на мобильное механизм изготовляла его блокировку с требованием выкупа. Троянец важным образом ограничивал работу зараженного мобильного устройства примерно будто перестать дозволял делать на нем какие-либо действия, потому отрешиться от него было очень проблематично.

Вновь под ударом оказались примерно будто южнокорейские юзеры ОС Android: в прошедшем месяце знатоки фирме «Доктор Веб» закрепили больше 120 случаев спам-рассылок сообщений, в коих содержалась гиперссылка на загрузку Android-троянца. максимально распространяемыми опасностями в предоставленном случае стали подобные вредные приложения, как-либо Android.SmsBot.121.origin, Android.Banker.28.origin, Android.MulDrop.20.origin, Android.MulDrop.19.origin, Android.SmsSpy.65.origin, Android.SmsSpy.78.origin примерно будто Android.MulDrop.14.origin.

screen

Полезные ссылки

Актуальная статистика по вирусным угрозам: stat.drweb.com

Пробные версии антивирусных программ «Доктор Веб»

Наши новости: http://news.drweb.com

Вирусная энциклопедия: vms.drweb.com

Давайте дружить! Присоединяйтесь к нашим группам в общественных сетях:

Facebook Vkontakte Одноклассники Twitter
НОВОЕ НА САЙТЕ

5 сентября 2018 возраст

Компания «Доктор Веб» информирует о расширении проекта «Настрой-ка Dr.Web» так что в «корпоративную» сферу: приглашаем ознакомиться со сценариями употребления антивирусных продуктов Dr.Web Enterprise Security Suite в помога системным админам так что техническим специалистам.

Антивирус Dr.Web

20 сентября 2018 года

Компания «Доктор Веб» информирует об обновлении антируткитного модуля Dr.Web Anti-rootkit API (11.5.5.201809130), модуля самозащиты Dr.Web Protection for Windows (11.05.04.09040), сканирующего обслуживания Dr.Web Scanning Engine (11.5.4.201808270), драйвера Dr.Web Net Filter for Windows driver (11.1.9.07190), модуля Dr.Web File System Monitor (1... Антивирус Dr.Web

19 сентября 2018 лета

Компания «Доктор Веб» информирует об обновлении модуля drwbase (201809100), антируткитного модуля Dr.Web Anti-rootkit API (11.5.5.201809130), модуля самозащиты Dr.Web Protection for Windows (11.05.04.09040), управляющего обслуживания Dr.Web Control Service (11.5.0.201807170), модуля обновления Dr.Web Updater (11.5.6.07190), модуля... Антивирус Dr.Web

19 сентября 2018 года

Компания «Доктор Веб» информирует об обновлении Мобильного центра управления Dr.Web для iOS перед началом версии 11.0. Обновление связано с снабжением совместимости с продуктами комплекса Dr.Web Enterprise Security Suite версии 11.0 так что с исправлением выявленных ошибок.

Помимо прибавления способности работы в составе Dr.... Антивирус Dr.Web

14 сентября 2018 лета

Компания «Доктор Веб» информирует об обновлении антируткитного модуля Dr.Web Anti-rootkit API версии 11.5.5.201809130 в продуктах Dr.Web Security Space 11.5, Антивирус Dr.Web 11.5, Антивирус Dr.Web 11.5 для файловых серверов Windows, Dr.Web Enterprise Security Suite 11.0, Dr.Web 11.5 для Microsoft Exchange Server так что Dr.Web 11... Антивирус Dr.Web