Методы обнаружения вирусов

21 апреля 2015 года

Специалисты корпорации «Доктор Веб» нашли коварного Android-троянца, какой-нибудь пробует обрести root-привилегии для неприметной загрузки, установки так словно удаления приложений по команде злоумышленников. кроме этого, заданная вредная программа коллекционирует исчерпывающие познания о зараженных мобильных устройствах так словно передает них вирусописателям, а уж уж уж тоже способна показывать назойливую рекламу.

Новая вредная программа, получившая по систематизации Dr.Web имя Android.Toorch.1.origin, скрывается в безвредном на главнейший взор приложении-фонарике так словно перемножать распространяться злодеями чрез пользующиеся популярностью веб-сайты — каталоги ПО, а уж уж уж тоже загружаться на мобильные устройства юзеров при поддержки всевозможных враждебных маркетинговых модулей, входящих в состав тех либо других приложений. дабы Android.Toorch.1.origin заразил Android-смартфон либо планшет, юзер обязан независимо осуществить инсталляцию этой вредной программы, все-таки так как-либо троянец «прячется» под маской законного приложения, возможность его установки вероятными жертвами неизмеримо возрастает. Примечательно, словно наружно Android.Toorch.1.origin ишачит как-либо настоящее приложение-фонарь, потому установившие его юзеры перестать обязаны подозревать какой-нибудь подвох.

screen virus #drweb

После пуска данный троянец соединяется с управляющим сервером так словно загружает на него надлежащую информацию о зараженном устройстве:

  • текущее время;
  • текущее местоположение;
  • IMEI-идентификатор;
  • уникальный идентификатор устройства, сгенерированный троянцем;
  • версия троянца;
  • наличие root-доступа;
  • наличие функционального включения Wi-Fi;
  • версия ОС;
  • язык системы, применяемый в данный момент;
  • производитель так словно модель устройства;
  • имя пакета троянца;
  • тип сетевого подключения.

Одновременно с тем самым Android.Toorch.1.origin пробует увеличить свои системные привилегии перед началом уровня root, для чего задействует измененный злодеями хакерский тюрик com.apkol.root. В случае успеха вредная программа устанавливает в системный каталог /system/app приложение NetworkProvider.apk (также детектируется как-либо Android.Toorch.1.origin), хранящийся в программном пакете троянца, так словно запускает соответственный ему же системный сервис. отдельный версии предоставленного ингридиента имеют баста шансы охватывать добавочный модуль GDataAdapter, какой-нибудь подобным образом монтируется в системный каталог так словно служит для того, дабы поддерживать систематическое функционирование NetworkProvider.apk, вторично запуская его в случае прекращения работы.

В свою очередь, программа NetworkProvider.apk содержит в для себя еще один-одинешенек составляющую троянца Android.Toorch.1.origin, внесенный в вирусную основание как-либо Android.Toorch.2.origin. Он загружается в оперативную память с применением класса DexClassLoader так словно дальше удачного старта в зараженной системе приобретает с управляющего сервера конфигурационный файл, в соответствии с коим воплотит в жизнь последующую вредоносную деятельность. В частности, он перемножать доложить вирусописателям о своем успешном запуске, осуществить личное обновление, завалить на удаленный узел обстоятельную информацию об инфицированном устройстве, подключая его GPS-координаты, а уж уж уж тоже передать познания об поставленных программах. все-таки первостепенная опция предоставленного модуля заключается в том, словно по команде злоумышленников он в силах загружать, становить либо вытаскивать заданные ими приложения, при данном благодаря приобретенному раньше root-доступу заданные деяния будут совершаться без вмешательства юзера зараженного устройства.

Примечательно, словно Android.Toorch.1.origin содержит в для себя встроенную маркетинговую платформу Adware.Avazu.1.origin, которая предопределена для отражения рекламы на экране зараженных механизмов любой раз, как-либо юзер выполнит инсталляцию такого либо другого приложения. данный же модуль перемножать водиться инсталлирован в систему некими модификациями троянца так словно в качестве отдельного приложения, идущего в составе троянского ингридиента GoogleSettings.apk – совершенного аналога модуля NetworkProvider.apk.

screen virus #drweb

Серьезная угроза Android.Toorch.1.origin заключается в том, словно устанавливаемые им же же вредные модули помещаются в системный каталог, какой-нибудь перестать сканируется во час исполнения резвой испытания антивирусными продуктами Dr.Web для Android. В итоге в том числе так чисто в случае удаления начального троянского приложения-фонаря инсталлированные им же же ингридиенты остаются в системе так словно продолжают тайно скорпулезно исполнять свою вредоносную деятельность, потому при первом обнаружении троянца Android.Toorch.1.origin недурно осуществить совершенную испытание мобильного устройства.

Специалисты корпорации «Доктор Веб» разработали особую утилиту, которая обязана пособить пострадавшим от троянца Android.Toorch.1.origin юзерам спровадить баста его запасные ингридиенты со своих мобильных устройств. дабы осуществить исцеление зараженных смартфонов так словно планшетов, очень недурственно загрузить эту утилиту, найти так словно пустить ее, дальше чего придерживаться инструкциям на экране. недурно отметить, словно дальше удачного удаления троянца из системы root-полномочия в ней превращаются недоступными, потому в случае если Android-устройство первоначально поддерживало эти привилегии, них нужно обрести заново.

НОВОЕ НА САЙТЕ

15 августа 2018 года

Компания «Доктор Веб» информирует об обновлении антируткитного модуля Dr.Web Anti-rootkit API (11.5.3.201807181) так что сканирующего обслуживания Dr.Web Scanning Engine (11.5.3.201807040) во любых перечисленных продуктах, управляющего обслуживания Dr.Web Control Service (11.5.8.08090), модуля Dr.Web Thunderstorm Cloud Client SDK (11.5.1.06070), м... Антивирус Dr.Web

15 августа 2018 года

Компания «Доктор Веб» информирует об обновлении модулей Dr.Web Enterprise Agent for Windows setup (11.5.2.08100) так что Dr.Web ES Service (11.5.4.08101) в составе Dr.Web Enterprise Security Suite версии 11.0. Обновление связано с исправлением выявленных ошибок так что увеличением удобства работы для пользователей.

В оба моду... Антивирус Dr.Web

13 августа 2018 года

Компания «Доктор Веб» информирует об обновлении серверной части комплекса Dr.Web Enterprise Security Suite 11.0 (REL-1100-2018007270). Обновление связано с исправлением выявленных ошибок.

Изменения:

  • устранена проблема, приводившая к неработоспособности Сервера Dr.Web так что Прокси-сервера Dr.Web на персональны... Антивирус Dr.Web

    13 августа 2018 возраст

    Компания «Доктор Веб» информирует об обновлении Мобильного центра управления Dr.Web для Android перед началом версии 11.0.1. Обновление связано с исправлением выявленной ошибки.

    В рамках обновления была устранена проблема, в следствии коей перестать отчаливали push-уведомления с Сервера перед началом... Антивирус Dr.Web

    7 августа 2018 года

    Троянцы для Microsoft Windows, подменяющие в буфере обмена отель кошельков при операциях с электронными денежками примерно чисто криптовалютами, обширно всераспространены примерно чисто издавна популярны как же юзерам компьютеров, примерно так чисто специалистам по информационной безопасности. В августе 2018 лета вирусные аналитики «... Горячая лента угроз и предупреждений о вирусной опасности!