Методы обнаружения вирусов

28 августа 2015 года

Август 2015 возраст был отмечен появлением новейшей троянской программы, заражающей роутеры, коие ишачят под управлением операционной системы Linux, а уж уж уж уж уж уж уж уж уж уж уж а также троянца-майнера, способного, аналогично червю, независимо имитировать себя по локальной сети. помимо этого в августе закреплено распространение небезопасного троянца-загрузчика, скрывавшегося в документах Microsoft Word, установщика ненужных программ из семейства LoadMoney, а уж уж уж уж уж уж уж уж уж уж уж а также нескольких новеньких вредных приложений, угрожающих юзерам мобильной платформы Android.

Главные веяния августа

  • Появление вредной программы, заражающей роутеры под управлением Linux
  • Распространение загрузчиков настолько что установщиков ненужных приложений для Microsoft Windows
  • Рост численности троянцев для мобильной платформы гугл Android

Угроза месяца

С появлением электронных криптовалют на подсолнечная явились настолько что троянские программы, предназначенные для их майнинга (добычи). однако со порой объем вычислений, коие нужно осуществить для успеха аналогичных операций, несравнимо возрос, в взаимоотношения с чем известность троянцев-майнеров предстала помалу падать. сообща с для тех в августе в вирусную лабораторию корпорации «Доктор Веб» поступил снова одной образчик того троянца, получивший название Trojan.BtcMine.737.

По собственной внутренней архитектуре Trojan.BtcMine.737 припоминает матрешку, состоящую из трех вложенных дружок в друга установщиков: центральный воображает собой дроппер — он старается застопорить процессы Trojan.BtcMine.737, в случае в случае в случае в случае если раньше они уже были запущены в системе, а уж уж уж уж уж уж уж уж уж уж уж в последствии чего извлекает из собственного тела настолько что помещает во временную папку исполняемый файл иного установщика, запускает его, а уж уж уж уж уж уж уж уж уж уж уж начальный файл удаляет. второстепенный установщик владеет возможностями, аналогичными на функционал сетевого червя: он предохраняет в одной из папок на диске атакованного персонального персонального персонального компьютера настолько что запускает исполняемый файл, в последствии чего образовывает свои клоны в нескольких папках, к одной из коих автоматом раскрывает доступ из локальной сети. В мотивированных папках эти клоны вредной программы показываются в облике файла с именованием Key, имеющего значок WinRAR-архива.

screen

Затем троянец копирует себя в корневую папку любых дисков инфицированной машины, перечисляет доступные в сетевом округе компы настолько что старается включиться к ним, перебирая логины настолько что пароли с применением имеющегося в его постановлении особого списка. помимо этого, вредная программа старается при наличии соответственного оснащения осуществить на инфицированном персональном персональном персональном персональном персональном персональном персональном компьютере раскрытую точку доступа WiFi. в случае в случае в случае в случае если вредной программе получилось принять доступ к единому из компов в локальной сети, предпринимается попытка сберечь настолько что забыть на нем копию троянца. Программа CNminer.exe, коию Trojan.BtcMine.737 предохраняет на диск на втором рубеже собственной установки, будто одинехонек настолько что появляется установщиком утилиты для добычи (майнинга) криптовалюты. преимущественно доскональную информацию об этой вредной программе можно почерпнуть в размещенной на нашем веб-сайте статье.

По этим статистики лечащей утилиты Dr.Web CureIt!

screen

  • Trojan.LoadMoney

    Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. заданные приложения загружают настолько что ставят на персональный персональный персональный комп жертвы всевозможное ненужное ПО.
  • Trojan.DownLoad3.35967

    Один из представителей семейства троянцев-загрузчиков, скачивающих из веба настолько что запускающих на атакуемом персональном персональном персональном персональном персональном персональном персональном компьютере иное вредное ПО.
  • Trojan.Crossrider

    Семейство троянских программ, специализированных для демонстрации юзерам веба всевозможной сомнительной рекламы.
  • Trojan.Click

    Семейство вредных программ, специализированных для накрутки посещаемости всевозможных интернет-ресурсов методом перенаправления запросов жертвы на конкретные веб-сайты с поддержкой управления поведением браузера.

По этим серверов статистики «Доктор Веб»

screen

  • Trojan.Siggen6.33552

    Детект вредной программы, предназначенной для инсталляции иного небезопасного ПО.
  • Trojan.LoadMoney

    Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. заданные приложения загружают настолько что ставят на персональный персональный персональный комп жертвы всевозможное ненужное ПО.
  • Trojan.Installmonster

    Семейство вредных программ, созданных с применением партнерской программы installmonster. заданные приложения ставят на персональный персональный персональный комп жертвы всевозможное ненужное ПО.
  • Trojan.DownLoad3.35967

    Один из представителей семейства троянцев-загрузчиков, скачивающих из веба настолько что запускающих на атакуемом персональном персональном персональном персональном персональном персональном персональном компьютере иное вредное ПО.

screen

  • Trojan.Encoder.567

    Один из представителей семейства троянцев-вымогателей, шифрующих файлы на дисках персонального персонального персонального компьютера жертвы настолько что требующих выкуп за их расшифровку. данный троянец в силах зашифровывать значимые пользовательские файлы, в фолиант числе надлежащих типов: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.
  • Trojan.PWS.Multi.1690

    Один из представителей троянцев-бэкдоров, могущих воровать секретную информацию на атакованном компьютере.
  • Trojan.Oficla

    Семейство троянцев, распространяющихся большей частью по каналам электронной почты. При инфецировании персонального персонального персонального компьютера они прячут свою вредоносную активность. В предстоящем Trojan.Oficla подключает персональный персональный персональный комп в бот-сеть настолько что дает вероятность злодеям загружать на него иное вредное ПО. в последствии инфецирования системы хозяева бот-сети, формируемой Trojan.Oficla, приобретают вероятность держать под контролем персональный персональный персональный комп жертвы. В частности, они имеют конец шансы загружать, становить настолько что употреблRтьна нем почти хоть какое вредное ПО.
  • Trojan.PWS.Stealer

    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном персональном персональном персональном компьютере паролей настолько что супротивный ценной секретной информации.

Ботнеты

Как настолько что ранее, вирусные аналитики корпорации «Доктор Веб» продолжают заботливо выслеживать деятельность 2-ух субсетей ботнета, сотворенного злодеями с применением зараженных файловым вирусом Win32.Rmnet.12 компьютеров. их энергичность показана на надлежащих иллюстрациях:

screen

screen

Rmnet — это фамилия файловых вирусов, распространяющихся без участия пользователя, могущих встраивать в просматриваемые юзерам интернет-страницы стороннее содержимое (это на теоретическом уровне дает вероятность киберпреступникам приобретать доступ к банковской инфы жертвы), а уж уж уж уж уж уж уж уж уж уж уж а также тырить файлы cookies настолько что пароли от преимущественно известных FTP-клиентов настолько что скорпулезно исполнять всевозможные команды, поступающие от злоумышленников.

Проявляет энергичность настолько что бот-сеть, состоящая из индивидуальных компьютеров, зараженных коварным файловым вирусом Win32.Sector, — график этой энергичности показан на надлежащей иллюстрации:

screen

Файловый вирус Win32.Sector владеет перечисленными далее многофункциональными возможностями:

  • загрузка из P2P-сети настолько что пуск на зараженной машине всевозможных исполняемых файлов;
  • встраивание в запущенные на инфицированном персональном персональном персональном персональном персональном персональном персональном компьютере процессы;
  • возможность останавливать работу неких антивирусных программ настолько что перекрыть доступ к веб-сайтам их разработчиков;
  • инфицирование файловых объектов на внутрисетевых дисках настолько что сменных носителях (где в процессе инфецирования образовывает файл автозапуска autorun.inf), а уж уж уж уж уж уж уж уж уж уж уж а также файлов, хранящиеся в общедоступных сетевых папках.

В августе 2015 возраст крошку активировались админы ботнета Linux.BackDoor.Gates.5, с поддержкой коего преступники производят DDoS-атаки на всевозможные веб-сайты. По уподоблению с прошлым месяцем численность подобных атак возрасло на 118,3% настолько что составило 2083. При конкретно в данном 86,7 % атакованных сайтов, будто настолько что прежде, склонны на территории Китая, а уж уж уж уж уж уж уж уж уж уж уж снова 10,7 % — в США.

Троянцы-шифровальщики

Количество запросов на расшифровку, поступивших в службу технической помощи «Доктор Веб»

Июль 2015Август 2015Динамика
14141425+ 0,77 %

Наиболее всераспространенные шифровальщики в августе 2015 года:

  • Trojan.Encoder.567;
  • Trojan.Encoder.858;
  • BAT.Encoder.

Dr.Web Security Space 10.0 для Windows
защищает от троянцев-шифровальщиков

Этого функционала нету в лицензии Антивирус Dr.Web для Windows

Превентивная защитаЗащита заданных от потери
Превентивная защитаЗащита заданных от потери

Подробней Смотрите видео о настройке

Вредоносные программы для Linux

В августе 2015 возраст знатоки корпорации «Доктор Веб» изучили немалую группу вредных программ, сообща применяемых злодеями для целенаправленных атак на роутеры, работающие под управлением операционных систем семейства Linux.

Троянец, добавленный в вирусные основы Dr.Web под именованием Linux.PNScan.1, скорее устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с применением уязвимости shellshock методом пуска сценария с соответственными параметрами, а уж уж уж уж уж уж уж уж уж уж уж впоследствии его загружают настолько что ставят на атакованные роутеры троянцы семейства Linux.BackDoor.Tsunami, которые, в свою очередь, распространяются с применением самого Linux.PNScan.1. единым предназначением Linux.PNScan.1 появляется взлом роутера настолько что загрузка на него вредного скрипта, какой-либо устанавливает на маршрутизатор бэкдоры, собранные в соответствии с применяемой роутером архитектурой, — ARM, MIPS либо PowerPC. в случае в случае в случае в случае если же с применением уязвимости shellshock злодеям удастся взломать персональный персональный персональный комп с архитектурой Intel x86, в скрипте предусмотрена загрузка бэкдора настолько что на экой случай. заданные бэкдоры имеют конец шансы скорпулезно исполнять всевозможные поступающие от злоумышленников команды, одной из которых, в частности, появляется команда загрузки утилиты Tool.Linux.BrutePma.1, — с ее поддержкой исполняется взлом административных панелей систем управления реляционными базами заданных PHPMyAdmin.

Помимо перечисленных выше небезопасных приложений, вирусные аналитики корпорации «Доктор Веб» заприметили на принадлежащих злодеям серверах настолько что остальные вредные программы: посреди их — снова одна трансформация троянца Linux.PNScan.2, вредная программа Trojan.Mbot, предназначенная для взлома веб-сайтов, троянец Perl.Ircbot.13, какой-либо служит для розыска уязвимостей на сайтах, работающих с всевозможными системами управления контентом настолько что ПО для организации интернет-магазинов, а уж уж уж уж уж уж уж уж уж уж уж а также кое-какие другие. Всего вирусным аналитикам корпорации «Доктор Веб» понятно о 1439 случаях инфецирования устройств с применением перечисленных выше инструментов, при конкретно в данном в 649 случаях выявлено географическое тезис инфицированных устройств:

screen

Более совершенную информацию об найденных специалистами корпорации «Доктор Веб» вредных программах настолько что знания о конкретно в данном инциденте можно получить, ознакомившись с размещенной на нашем веб-сайте доскональной статьей.

Другие вредные программы

В августе 2015 возраст вирусные аналитики корпорации «Доктор Веб» изучили небезопасного троянца-загрузчика, распространявшегося в облике вложенного в сообщения электронной почты документа Word настолько что получившего название W97M.DownLoader.507. Для ознакомления с якобы зашифрованным содержимым документа преступники предлагают вероятной жертве подключить в редакторе Word использование макросов.

Если жертва соглашается осуществить это действие, ей же показывается ненарушимый текст документа, а уж уж уж уж уж уж уж уж уж уж уж в это пора троянец загружает с удаленного сервера настолько что коллекционирует из фрагментов крошку вредных сценариев, которые, в свою очередь, скачивают с принадлежащего злодеям узла настолько что запускают небезопасного банковского троянца. Подробнее об этой опасности читайте в размещенной на веб-сайте нашей корпорации обзорной статье.

Другая вредная программа, кропотливо исследованная вирусными аналитиками «Доктор Веб» в августе, Trojan.LoadMoney.336, сталкивается на персональных компьютерах юзеров хватит зачастую настолько что воображает собой установщик ненужных приложений. Распространяется он надлежащим образом: при воззвании жертвы к созданному злодеями файлообменному ресурсу происходит полуавтоматическое перенаправление на промежуточный сайт, с коего на персональный персональный персональный комп исполняется загрузка троянца Trojan.LoadMoney.336. в последствии пуска троянец обращается на супротивный сервер, откуда приобретает зашифрованный конфигурационный файл. В конкретно в данном файле содержатся ссылки на всевозможные партнерские приложения, коие а также загружаются из веба настолько что запускаются на инфицированном компьютере, — посреди их имеют конец шансы угодить перестать едва-лишь безопасные программы, однако настолько что рискованные вредные приложения.

Более абсолютная оповещение об конкретно в данном троянце изложена в размещенной нами направленной на определенную тематику статье.

Опасные сайты

В направление августа 2015 возраст в основание нерекомендуемых настолько что вредных веб-сайтов было добавлено 834 753 интернет-адреса.

Июль 2015
Август 2015Динамика
+ 821 409+ 834 753+ 1,62 %
Нерекомендуемые сайты

Вредоносное настолько что ненужное ПО для Android

В августе энергичность вредных приложений, специализированных для работы на мобильных устройствах под управлением ОС Android, в цельном была существенно далее по уподоблению с предыдущими месяцами наблюдений. для тех перестать менее, юзеры Android-смартфонов настолько что планшетов конец еще оставались главной целью нацеленных на маневренный сегмент киберпреступников. Так, знатоки по информационной безопасности выявили еще одного небезопасного Android-троянца, предназначенного для кибершпионажа. помимо этого, вирусные аналитики «Доктор Веб» пометили рост числа новеньких Android-вымогателей, вредных программ-банкеров, а уж уж уж уж уж уж уж уж уж уж уж а также СМС-троянцев. преимущественно приметные веяния в сфере безопасности ОС Android в августе:

  • применение злодеями Android-троянцев для слежки за пользователями;
  • угроза со стороны вредных программ-банкеров;
  • распространение новеньких Android-вымогателей;
  • увеличение числа СМС-троянцев.

Более детально о вирусной мебелировке для мобильных Android-устройств в августе читайте в специально приготовленном обзоре.

Узнайте преимущественно с Dr.Web

Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web