Методы обнаружения вирусов

28 августа 2015 года

Август 2015 годы был отмечен появлением новейшей троянской программы, заражающей роутеры, кои ишачят под управлением операционной системы Linux, а уж уж уж уж уж уж уж уж уж уж уж а уж уж уж уж уж уж уж уж уж уж тоже троянца-майнера, способного, схоже червю, самосильно обезьянить себя по локальной сети. помимо этого в августе закреплено распространение коварного троянца-загрузчика, скрывавшегося в документах Microsoft Word, установщика ненужных программ из семейства LoadMoney, а уж уж уж уж уж уж уж уж уж уж уж а уж уж уж уж уж уж уж уж уж уж тоже нескольких новеньких вредных приложений, угрожающих юзерам мобильной платформы Android.

Главные веяния августа

  • Появление вредной программы, заражающей роутеры под управлением Linux
  • Распространение загрузчиков эдак что установщиков ненужных приложений для Microsoft Windows
  • Рост численности троянцев для мобильной платформы гугл Android

Угроза месяца

С появлением электронных криптовалют на худо-бедно возникли эдак что троянские программы, предназначенные для их майнинга (добычи). однако со порой объем вычислений, кои нужно исполнить для успеха аналогичных операций, неизмеримо возрос, в взаимосвязи с чем известность троянцев-майнеров предстала постепенно падать. милый с другом с для тех в августе в вирусную лабораторию фирмы «Доктор Веб» поступил ещё одной пример того троянца, получивший название Trojan.BtcMine.737.

По собственной внутренней архитектуре Trojan.BtcMine.737 припоминает матрешку, состоящую из трех вложенных милый в друга установщиков: стержневой воображает собой дроппер — он пробует приостановить процессы Trojan.BtcMine.737, в случае коли раньше они уже были запущены в системе, а уж уж уж уж уж уж уж уж уж уж уж далее извлекает из собственного тела эдак что помещает во временную папку исполняемый файл иного установщика, запускает его, а уж уж уж уж уж уж уж уж уж уж уж начальный файл удаляет. второстепенный установщик владеет возможностями, подобными на функционал сетевого червя: он предохраняет в одной из папок на диске атакованного персонального персонального персонального компьютера эдак что запускает исполняемый файл, далее формирует свои клоны в нескольких папках, к одной из коих автоматизированно раскрывает доступ из локальной сети. В мотивированных папках эти клоны вредной программы показываются в облике файла с именованием Key, имеющего значок WinRAR-архива.

screen

Затем троянец копирует себя в корневую папку любых дисков инфицированной машины, перечисляет доступные в сетевом округе компы эдак что пробует включиться к ним, перебирая логины эдак что пароли с применением имеющегося в его постановлении особого списка. помимо этого, вредная программа пробует при наличии соответственного оснащения сделать эдак на инфицированном персональном персональном персональном персональном персональном персональном персональном компьютере раскрытую точку доступа WiFi. в случае коли вредной программе получилось принять доступ к единому из компов в локальной сети, предпринимается попытка сберечь эдак что забыть на нем копию троянца. Программа CNminer.exe, коию Trojan.BtcMine.737 предохраняет на диск на втором рубеже собственной установки, ровно один-одинехонек эдак что появляется установщиком утилиты для добычи (майнинга) криптовалюты. закончить гораздо обстоятельную информацию об этой вредной программе можно почерпнуть в размещенной на нашем медиа-сайте статье.

По этим статистики лечащей утилиты Dr.Web CureIt!

screen

  • Trojan.LoadMoney

    Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. заданные приложения загружают эдак что ставят на комп жертвы всевозможное ненужное ПО.
  • Trojan.DownLoad3.35967

    Один из представителей семейства троянцев-загрузчиков, скачивающих из веба эдак что запускающих на атакуемом персональном персональном персональном персональном персональном персональном персональном компьютере альтернативное вредное ПО.
  • Trojan.Crossrider

    Семейство троянских программ, специализированных для демонстрации юзерам веба разной сомнительной рекламы.
  • Trojan.Click

    Семейство вредных программ, специализированных для накрутки посещаемости самых разных интернет-ресурсов методом перенаправления запросов жертвы на конкретные веб-сайты с поддержкой управления поведением браузера.

По этим серверов статистики «Доктор Веб»

screen

  • Trojan.Siggen6.33552

    Детект вредной программы, предназначенной для инсталляции иного коварного ПО.
  • Trojan.LoadMoney

    Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. заданные приложения загружают эдак что ставят на комп жертвы всевозможное ненужное ПО.
  • Trojan.Installmonster

    Семейство вредных программ, созданных с применением партнерской программы installmonster. заданные приложения ставят на комп жертвы всевозможное ненужное ПО.
  • Trojan.DownLoad3.35967

    Один из представителей семейства троянцев-загрузчиков, скачивающих из веба эдак что запускающих на атакуемом персональном персональном персональном персональном персональном персональном персональном компьютере альтернативное вредное ПО.

screen

  • Trojan.Encoder.567

    Один из представителей семейства троянцев-вымогателей, шифрующих файлы на дисках персонального персонального персонального компьютера жертвы эдак что требующих выкуп за их расшифровку. данный троянец в силах зашифровывать принципиальные пользовательские файлы, в фолиант числе надлежащих типов: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.
  • Trojan.PWS.Multi.1690

    Один из представителей троянцев-бэкдоров, могущих таскать секретную информацию на атакованном компьютере.
  • Trojan.Oficla

    Семейство троянцев, распространяющихся большей частью по каналам электронной почты. При инфецировании персонального персонального персонального компьютера они умалчивают свою вредоносную активность. В предстоящем Trojan.Oficla подключает комп в бот-сеть эдак что дает вероятность злодеям загружать на него альтернативное вредное ПО. позже инфецирования системы обладатели бот-сети, формируемой Trojan.Oficla, приобретают вероятность проверять комп жертвы. В частности, они имеют конец шансы загружать, ставить эдак что применять на нем фактически хоть какое вредное ПО.
  • Trojan.PWS.Stealer

    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном персональном персональном персональном компьютере паролей эдак что супротивный ценной секретной информации.

Ботнеты

Как эдак что ранее, вирусные аналитики фирмы «Доктор Веб» продолжают заботливо выслеживать деятельность 2-ух субсетей ботнета, сотворенного злодеями с применением зараженных файловым вирусом Win32.Rmnet.12 компьютеров. их энергичность показана на надлежащих иллюстрациях:

screen

screen

Rmnet — это семья файловых вирусов, распространяющихся без участия пользователя, могущих встраивать в просматриваемые юзерам интернет-страницы инородное содержимое (это в теории дает вероятность киберпреступникам зарабатывать доступ к банковской инфы жертвы), а уж уж уж уж уж уж уж уж уж уж уж а уж уж уж уж уж уж уж уж уж уж тоже таскать файлы cookies эдак что пароли от максимально фаворитных FTP-клиентов эдак что скорпулезно всевозможные команды, поступающие от злоумышленников.

Проявляет энергичность эдак что бот-сеть, состоящая из индивидуальных компьютеров, зараженных небезопасным файловым вирусом Win32.Sector, — график этой энергичности показан на надлежащей иллюстрации:

screen

Файловый вирус Win32.Sector владеет перечисленными дальше многофункциональными возможностями:

  • загрузка из P2P-сети эдак что пуск на зараженной машине самых разных исполняемых файлов;
  • встраивание в запущенные на инфицированном персональном персональном персональном персональном персональном персональном персональном компьютере процессы;
  • возможность останавливать работу кое-каких антивирусных программ эдак что перекрыть доступ к веб-сайтам их разработчиков;
  • инфицирование файловых объектов на внутрисетевых дисках эдак что сменных носителях (где в процессе инфецирования формирует файл автозапуска autorun.inf), а уж уж уж уж уж уж уж уж уж уж уж а уж уж уж уж уж уж уж уж уж уж тоже файлов, хранящиеся в общедоступных сетевых папках.

В августе 2015 годы малость активировались админы ботнета Linux.BackDoor.Gates.5, с поддержкой коего преступники воплотят DDoS-атаки на всевозможные веб-сайты. По уподоблению с прошлым месяцем численность подобных атак возрасло на 118,3% эдак что составило 2083. При конкретно в конкретно в конкретно в данном 86,7 % атакованных сайтов, ровно эдак что прежде, склонны на территории Китая, а уж уж уж уж уж уж уж уж уж уж уж ещё 10,7 % — в США.

Троянцы-шифровальщики

Количество запросов на расшифровку, поступивших в службу технической помощи «Доктор Веб»

Июль 2015Август 2015Динамика
14141425+ 0,77 %

Наиболее общераспространенные шифровальщики в августе 2015 года:

  • Trojan.Encoder.567;
  • Trojan.Encoder.858;
  • BAT.Encoder.

Dr.Web Security Space 10.0 для Windows
защищает от троянцев-шифровальщиков

Этого функционала дудки в лицензии Антивирус Dr.Web для Windows

Превентивная защитаЗащита заданных от потери
Превентивная защитаЗащита заданных от потери

Подробней Смотрите видео о настройке

Вредоносные программы для Linux

В августе 2015 годы эксперты фирмы «Доктор Веб» изучали заглавную группу вредных программ, вместе применяемых злодеями для целенаправленных атак на роутеры, работающие под управлением операционных систем семейства Linux.

Троянец, добавленный в вирусные основы Dr.Web под именованием Linux.PNScan.1, скорее устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с применением уязвимости shellshock методом пуска сценария с надлежащими параметрами, а уж уж уж уж уж уж уж уж уж уж уж потом его загружают эдак что ставят на атакованные роутеры троянцы семейства Linux.BackDoor.Tsunami, которые, в свою очередь, распространяются с применением самого Linux.PNScan.1. одиним-единственным предназначением Linux.PNScan.1 появляется взлом роутера эдак что загрузка на него вредного скрипта, какой-либо устанавливает на маршрутизатор бэкдоры, собранные в соответствии с применяемой роутером архитектурой, — ARM, MIPS либо PowerPC. в случае коли же с применением уязвимости shellshock злодеям удастся взломать комп с архитектурой Intel x86, в скрипте предусмотрена загрузка бэкдора эдак что на подобный случай. заданные бэкдоры имеют конец шансы скорпулезно всевозможные поступающие от злоумышленников команды, одной из которых, в частности, появляется команда загрузки утилиты Tool.Linux.BrutePma.1, — с ее поддержкой исполняется взлом административных панелей систем управления реляционными базами заданных PHPMyAdmin.

Помимо перечисленных выше небезопасных приложений, вирусные аналитики фирмы «Доктор Веб» нашли на принадлежащих злодеям серверах эдак что остальные вредные программы: между их — ещё одна трансформация троянца Linux.PNScan.2, вредная программа Trojan.Mbot, предназначенная для взлома веб-сайтов, троянец Perl.Ircbot.13, какой-либо служит для розыска уязвимостей на сайтах, работающих с разными системами управления контентом эдак что ПО для организации интернет-магазинов, а уж уж уж уж уж уж уж уж уж уж уж а уж уж уж уж уж уж уж уж уж уж тоже отдельный другие. Всего вирусным аналитикам фирмы «Доктор Веб» натурально о 1439 случаях инфецирования устройств с применением перечисленных выше инструментов, при конкретно в конкретно в конкретно в данном в 649 случаях выявлено географическое тезис инфицированных устройств:

screen

Более совершенную информацию об найденных специалистами фирмы «Доктор Веб» вредных программах эдак что знания о конкретно в конкретно в данном инциденте можно получить, ознакомившись с размещенной на нашем медиа-сайте доскональной статьей.

Другие вредные программы

В августе 2015 годы вирусные аналитики фирмы «Доктор Веб» изучали коварного троянца-загрузчика, распространявшегося в облике вложенного в сообщения электронной почты документа Word эдак что получившего название W97M.DownLoader.507. Для ознакомления с якобы зашифрованным содержимым документа преступники предлагают вероятной жертве подключить в редакторе Word использование макросов.

Если жертва соглашается исполнить это действие, ей же показывается целый текст документа, а уж уж уж уж уж уж уж уж уж уж уж в это пора троянец загружает с удаленного сервера эдак что коллекционирует из фрагментов малость вредных сценариев, которые, в свою очередь, скачивают с принадлежащего злодеям узла эдак что запускают коварного банковского троянца. Подробнее об этой опасности читайте в размещенной на медиа-сайте нашей фирмы обзорной статье.

Другая вредная программа, скрупулезно исследованная вирусными аналитиками «Доктор Веб» в августе, Trojan.LoadMoney.336, сталкивается на персональных компьютерах юзеров довольно зачастую эдак что воображает собой установщик ненужных приложений. Распространяется он надлежащим образом: при воззвании жертвы к созданному злодеями файлообменному ресурсу происходит автоматизированное перенаправление на промежуточный сайт, с коего на комп исполняется загрузка троянца Trojan.LoadMoney.336. позже пуска троянец обращается на супротивный сервер, откуда приобретает зашифрованный конфигурационный файл. В конкретно в конкретно в конкретно в данном файле содержатся ссылки на всевозможные партнерские приложения, кои тоже загружаются из веба эдак что запускаются на инфицированном компьютере, — между их имеют конец шансы очутиться закончить навряд безопасные программы, однако эдак что небезопасные вредные приложения.

Более абсолютная оповещение об конкретно в конкретно в конкретно в данном троянце изложена в размещенной нами направленной на определенную тематику статье.

Опасные сайты

В направление августа 2015 годы в основу нерекомендуемых эдак что вредных веб-сайтов было добавлено 834 753 интернет-адреса.

Июль 2015
Август 2015Динамика
+ 821 409+ 834 753+ 1,62 %
Нерекомендуемые сайты

Вредоносное эдак что ненужное ПО для Android

В августе энергичность вредных приложений, специализированных для работы на мобильных устройствах под управлением ОС Android, в цельном была видно дальше по уподоблению с предыдущими месяцами наблюдений. для тех закончить менее, юзеры Android-смартфонов эдак что планшетов как и раньше оставались первостатейный целью нацеленных на маневренный сегмент киберпреступников. Так, эксперты по информационной безопасности выявили еще одного коварного Android-троянца, предназначенного для кибершпионажа. помимо этого, вирусные аналитики «Доктор Веб» пометили рост числа новеньких Android-вымогателей, вредных программ-банкеров, а уж уж уж уж уж уж уж уж уж уж уж а уж уж уж уж уж уж уж уж уж уж тоже СМС-троянцев. максимально приметные веяния в сфере безопасности ОС Android в августе:

  • применение злодеями Android-троянцев для слежки за пользователями;
  • угроза со стороны вредных программ-банкеров;
  • распространение новеньких Android-вымогателей;
  • увеличение числа СМС-троянцев.

Узнайте более с Dr.Web

Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web