Методы обнаружения вирусов

1 октября 2015 года

С пришествием озари вирусописатели вовсе перестать делать понизили собственной активности: в сентябре было закреплено распространение нескольких установщиков маркетинговых столь словно ненужных приложений — причем ровно для Windows, столь этак словно для Mac OS X, новенького троянца, могущего заражать POS-терминалы, а уж уж уж уж уж уж тоже разных вредных программ для ОС Linux столь словно мобильной платформы Android.

Главные веяния сентября

  • Появление новенького троянца, могущего заражать POS-терминалы
  • Распространение установщиков ненужных столь словно маркетинговых приложений для Windows столь словно Mac OS X
  • Распространение новеньких вредных программ для гугл Android столь словно Linux

Угроза месяца

POS-терминалы, работающие под управлением операционных систем семейства Microsoft Windows, век вызывали конкретный энтузиазм у киберпреступников, этак насколько уже давненько популярны разные способы хищения треков банковских карт из памяти подобных механизмов с пользованием вредных программ. Одним из подобных приложений появляется исследованный в сентябре специалистами фирме «Доктор Веб» троянец Trojan.MWZLesson, представляющий собой трансформацию прочий небезопасной программы — BackDoor.Neutrino.50.

Trojan.MWZLesson умножать делать последующие команды:

  • CMD – передает поступившую директиву командному интерпретатору CMD;
  • LOADER - скачивает столь словно запускает файл (dll – c пользованием утилиты regsrv, vbs – c пользованием утилиты wscript, exe — исполняется естественный запуск);
  • UPDATE – команда обновления;
  • rate – задает временной перерыв сеансов взаимосвязи с управляющим сервером;
  • FIND - розыск документов по маске;
  • DDOS – приняться DDoS-атаку примером http-flood.

Более доскональные знания об данном троянце можно почерпнуть в размещенном на медиа-сайте фирме «Доктор Веб» обзорном материале.

По заданным статистики лечащей утилиты Dr.Web CureIt!

В направление сентября с пользованием утилиты Dr.Web CureIt! было выявлено 155 554 503 нежелательных, потенциально рискованных столь словно вредных объекта.

screen

  • Trojan.Packed.24524

    Установщик маркетинговых программ столь словно сомнительных приложений, распространяющийся злодеями под обликом законного ПО.

  • Trojan.Siggen6.33552

    Детект вредной программы, предназначенной для установки иного небезопасного ПО.

  • Trojan.DownLoad3.35967

    Один из представителей семейства троянцев-загрузчиков, скачивающих из веба столь словно запускающих на атакуемом персональном персональном персональном компьютере альтернативное вредное ПО.

  • Trojan.MulDrop5.10078

    Представитель семейства вредных программ, специализированных для доставки столь словно установки на атакуемый персональный персональный комп прочих вредных приложений.

  • Trojan.Click

    Семейство вредных программ, специализированных для накрутки посещаемости разных интернет-ресурсов способом перенаправления запросов жертвы на конкретные веб-сайты с поддержкой управления поведением браузера.

По заданным серверов статистики «Доктор Веб»

screen

  • Trojan.LoadMoney

    Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. заданные приложения загружают столь словно ставят на персональный персональный комп жертвы всевозможное ненужное ПО.

  • Trojan.InstallCube

    Семейство программ-загрузчиков, инсталлирующих на персональный персональный комп юзера разные ненадобные столь словно ненужные приложения.

  • Trojan.Siggen6.33552

    Детект вредной программы, предназначенной для установки иного небезопасного ПО.

Статистика вредных программ в почтовом трафике

screen

  • Trojan.Encoder.567

    Один из представителей семейства троянцев-вымогателей, шифрующих файлы на дисках персонального персонального компьютера жертвы столь словно требующих выкуп за них расшифровку. настоящий троянец в силах зашифровывать важнейшие пользовательские файлы, в книжка числе надлежащих типов: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.

  • Trojan.Upatre

    Семейство троянцев-загрузчиков, специализированных для скачивания на инфицированный персональный персональный комп столь словно скрытной установки прочих вредных приложений.

  • Trojan.DownLoader

    Семейство троянцев, специализированных для загрузки на атакуемый персональный персональный комп прочих вредных приложений.

Ботнеты

Вирусные аналитики фирме «Доктор Веб» продолжают досматривать за функционированием бот-сетей, созданных злодеями с пользованием небезопасного файлового вируса Win32.Rmnet.12. энергичность этих ботнетов в сентябре 2015 годы показана на надлежащих иллюстрациях:

screen

screen

Rmnet — это семья файловых вирусов, распространяющихся без участия пользователя, могущих встраивать в просматриваемые юзерам интернет-страницы инородное содержимое (это в теории разрешает киберпреступникам зашибать доступ к банковской инфы жертвы), а уж уж уж уж уж уж тоже воровать файлы cookies столь словно пароли от преимущественно известных FTP-клиентов столь словно делать разные команды, поступающие от злоумышленников.

Как столь словно прежде, деятелен ботнет, состоящий из индивидуальных компьютеров, инфицированных файловым вирусом Win32.Sector, — график этой энергичности показан на надлежащей иллюстрации:

screen

Вирус Win32.Sector располагает последующими многофункциональными возможностями:

  • загрузка из P2P-сети столь словно пуск на зараженной машине разных исполняемых файлов;
  • встраивание в запущенные на инфицированном персональном персональном персональном компьютере процессы;
  • возможность останавливать работу неких антивирусных программ столь словно перекрыть доступ к веб-сайтам них разработчиков;
  • инфицирование файловых объектов на внутрисетевых дисках столь словно сменных носителях (где в процессе инфецирования образовывает файл автозапуска autorun.inf), а уж уж уж уж уж уж тоже файлов, хранящиеся в общедоступных сетевых папках.

В сентябре 2015 годы снова активировались злоумышленники, осуществляющие массированные DDoS-атаки с пользованием Linux-троянца Linux.BackDoor.Gates.5. По уподоблению с прошлым месяцем число подобных атак возрасло на 263.5% столь словно составило 7572. При данном страны-лидеры по числу атакованных узлов в уподоблении с заданными за август изменились местами: на 1-ое местность получились США, а уж уж уж уж уж уж Китай одолжил уверенную вторую позицию. Географическое распределение намерений злоумышленников, организующих DDoS-атаки с пользованием Linux.BackDoor.Gates.5, показано на надлежащей иллюстрации:

screen

Троянцы-шифровальщики

Количество запросов на расшифровку, поступивших в службу технической помощи «Доктор Веб»

Август 2015Сентябрь 2015Динамика
14251310- 8 %

Наиболее известные шифровальщики в сентябре 2015 года:

  • Trojan.Encoder.567;
  • Trojan.Encoder.858.

Dr.Web Security Space 10.0 для Windows
защищает от троянцев-шифровальщиков

Этого функционала дудки в лицензии Антивирус Dr.Web для Windows

Превентивная защитаЗащита заданных от потери
Превентивная защитаЗащита заданных от потери

Подробней Смотрите видео о настройке

Вредоносные программы для Linux

В сентябре специалистам фирме «Доктор Веб» снова довелось повстречаться с троянцами для операционных систем семейства Linux. преимущественно увлекательными посреди этаких оказались Linux.Ellipsis.1 столь словно Linux.Ellipsis.2. 2-ой из них специализирован для взлома разных механизмов примером перебора логинов столь словно паролей по словарю. дабы снабдить анонимность в процессе доступа к взломанным с его поддержкой устройствам, преступники пользуются троянца Linux.Ellipsis.1. броско столь словно то, словно данная вредная программа владеет чертовски своеобразным поведением, которое вирусные аналитики фирме «Доктор Веб» именовали «параноидальным».

Основное предопределение Linux.Ellipsis.1 заключается в организации на инфицированном персональном персональном персональном компьютере прокси-сервера: его киберпреступники столь словно пользуются для несанкционированного доступа к скомпрометированным устройствам, дабы «замести следы». Для этой цели троянец держит под контролем соединения по данному внутрисетевому адресу столь словно порту, проксируя полный транслируемый сквозь настоящий адресок столь словно порт трафик.

«Параноидальность» поведения Linux.Ellipsis.1 заключается в том, словно он располагает полно необъятным перечнем свойственных строк, обнаруживая кои в сетевом трафике, троянец перекрывает замен заданными с соответственным удаленным сервером. помимо того, данная вредная программа инспектирует точка сетевые включения персонального персонального компьютера столь словно отсылает на управляющий сервер IP-адрес, с коим установлено соединение. коли сервер отвечает командой "kill", троянец прекращает работу приложения, которое установило соединение, а уж уж уж уж уж уж попутно перекрывает настоящий айпишник на неудовлетворительно часа. преимущественно детализированную информацию об архитектуре столь словно принципах работы этих вредных программ можно получить, ознакомившись с размещенной нами обзорной статьей.

Опасные программы для Mac OS X

Установщиками маркетинговых столь словно ненужных приложений для ОС Windows в наши деньки никого уже перестать делать удивишь, но в сентябре вирусные аналитики фирме «Доктор Веб» познакомились с еще одной эдакий программой, предназначенной для операционной системы Mac OS X. настоящий образец, получивший прозвание Adware.Mac.WeDownload.1, воображает собой подложный дистрибутив плеера Adobe Flash Player столь словно распространяется с пользованием ресурсов партнерской программы, направленной на монетизацию файлового трафика.

screen Adware.Mac.WeDownload.1 #drweb

После отсылки надлежащего запроса Adware.Mac.WeDownload.1 приобретает от управляющего сервера перечень приложений, кои будут предложены юзеру для установки. посреди них увидены ровно нежелательные, столь этак словно явно вредные программы, в книжка числе Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, разные представители семейства Trojan.Conduit столь словно некие иные рискованные приложения, при данном число столь словно состав устанавливаемых программ зависит от географической «привязки» айпишника жертвы.

Более детально об данном установщике ненужных программ читайте в нашей информационной статье.

Другие вредные программы

Сентябрь 2015 годы запомнится специалистам по информационной безопасности обширным распространением установщиков нежелательных, маркетинговых столь словно в фолиант числе эдак ровно рискованных приложений, формируемых злодеями в рамках разных партнерских программ, направленных на монетизацию файлового трафика.

Так, в начале месяца вирусные аналитики фирме «Доктор Веб» изучили вредоносную программу Trojan.InstallCube.339, которая умножать находиться загружена возможными жертвами с разных фальшивых файлообменных ресурсов или же торрент-трекеров. потом пуска настоящий троянец приобретает нужные для собственной работы заданные с управляющего сервера столь словно показывает юзеру окно с информацией о загружаемом объекте, имеющее значок известного торрент-клиента mTorrent. индивидуальность управляющих серверов предоставленной вредной программы состоит в том, словно они разрешают скачать полезную нагрузку едва-только коли обращающийся к ним персональный персональный комп имеет отечественный IP-адрес. Подробнее об этой вредной программе рассказано в размещенной на медиа-сайте фирме «Доктор Веб» обзорной статье.

Другой трудный установщик, о котором мы рассказывали в середине месяца, носит наименование Trojan.RoboInstall.1. ровно столь словно иные похожие программы, настоящий троянец распространяется с пользованием файлообменных сайтов, фальшивых торрентов столь словно прочих подобных интернет-ресурсов, созданных злоумышленниками. подобные вредные программы часто пользуются столь словно сами создатели доровых приложений для них монетизации — они приобретают вознаграждение за каждую добавочную утилиту, загруженную троянцем на компы пользователей. В разница от многих прочих установщиков маркетингового ПО, в отображаемых Trojan.RoboInstall.1 диалоговых окнах часто отсутствуют флажки, дозволяющие отречься от установки добавочных программ, поэтому них пуск на реализация исполняется без каких-то условий.

В конце сентября преступники предприняли попытку распространения вредной программы в почтовой рассылке, осуществлявшейся якобы от имени фирме «Доктор Веб».

screen

Киберпреступники предлагали собственным жертвам получить отзывчивость в тестировании несуществующей утилиты Dr.Web CureIt 2, под обликом коей с принадлежащего вирусописателям интернет-сайта загружался троянец Trojan.PWS.Stealer.13052, предназначенный для хищения паролей. С целью повышения числа заражений предоставленной вредной программой преступники предлагали вероятным жертвам выключить работающий на них персональных компьютерах антивирус, якобы потому, словно «утилита» умножать конфликтовать с альтернативным антивирусным ПО. Подробнее об данном инциденте мы рассказывали в размещенном нами новостном материале.

Опасные сайты

В направление сентября 2015 годы в основание нерекомендуемых столь словно вредных веб-сайтов было добавлено 399 227 интернет-адресов.

Август 2015Сентябрь 2015Динамика
+ 834 753+ 399 227- 51.39 %
Нерекомендуемые сайты

Вредоносное столь словно ненужное ПО для Android

Сентябрь оказался зверски интенсивным на события вирусной тематики, связанные с мобильными устройствами. Так, эксперты по информационной безопасности заприметили общее проникновение троянского приложения в каталог App Store, а уж уж уж уж уж уж тоже бессчетные случаи размещения разных вредных программ в каталоге гугл Play. В середине месяца вирусные аналитики «Доктор Веб» закрепили еще одной инцидент с участием троянца, предустановленного злодеями в одну из официальных Android-прошивок. помимо этого, юзерам снова грозили банковские троянцы, Android-вымогатели столь словно иные вредные приложения.

Наиболее приметные веяния в сфере мобильной безопасности в сентябре:

  • обнаружение в каталоге App Store огромного числа программ, содержащих троянца IPhoneOS.Trojan.XcodeGhost;
  • обнаружение большого колличества троянцев в каталоге приложений гугл Play;
  • новый эпизод инфецирования Android-прошивки вредным приложением;
  • появление новеньких троянцев-вымогателей для ОС Android;
  • распространение злодеями новеньких Android-банкеров.

Узнайте преимущественно с Dr.Web

Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live

НОВОЕ НА САЙТЕ

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

Main menu


Sub menu