мойантивирус «Доктор Веб»: обзор вирусной активности в июле 201

31 июля 2017 года

Главное

Как правило, в середине годы нечасто происходят значимые события в сфере информационной безопасности, но современный июль предстал исключением из этого правила. В начале месяца эксперты фирмы «Доктор Веб» заприметили в приложении для организации электронного документооборота M.E.Doc всеполноценный бэкдор. едва впоследствии вирусные аналитики установили родник распространения троянца BackDoor.Dande, воровавшего информацию о закупках медикаментов у лекарственных компаний. В конце месяца был установлен факт компрометации портала муниципальных услуг Российской Федерации (gosuslugi.ru). а уж а также в июле было выявлено крошечку небезопасных вредных программ для мобильной платформы Android.

Главные веяния июля

Обнаружение бэкдора в программе M.E.Doc
Выявление источника распространения бэкдора Dande
Компрометация портала госуслуг

Угроза месяца

Популярное на территории Украины приложение для организации электронного документооборота M.E.Doc было разработано корпорацией Intellect Service. В одном из компонент этого приложения, ZvitPublishedObjects.Server.MeCom, вирусные аналитики «Доктор Веб» заприметили запись, надлежащую свойственному ключу системного реестра Windows: HKCUSOFTWAREWC.

Этот же измерить реестра пользовался в собственной работе троянец-шифровальщик Trojan.Encoder.12703. Вирусные аналитики изучали файл журнальчика антивируса Dr.Web, приобретенного с персонального персонального компьютера 1-го из наших клиентов, настолько чисто установили, чисто данный энкодер был запущен на пострадавшей машине приложением ProgramDataMedocMedocezvit.exe, которое появляется ингридиентом программы M.E.Doc:

Дальнейшее изыскание программы показало, чисто в одной из ее библиотек — ZvitPublishedObjects.dll — содержится бэкдор, какой множить исполнять последующие функции:

сбор заданных для доступа к почтовым серверам;
выполнение произвольных команд в инфицированной системе;
загрузка на зараженный комп произвольных файлов;
загрузка, хранение настолько чисто пуск любых исполняемых файлов;
выгрузка произвольных файлов на удаленный сервер.

Кроме того, модуль обновления M.E.Doc дозволяет метать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1 — прямо настолько на инфицированных персональных персональных компьютерах настолько чисто был запущен Trojan.Encoder.12544. Подробнее о расследовании «Доктор Веб» читайте в размещенной на нашем медиа-сайте статье.

Статистика

По заданным статистики Антивируса Dr.Web

Trojan.DownLoader
Семейство троянцев, специализированных для загрузки на атакуемый комп остальных вредных приложений.
Trojan.InstallCore
Семейство установщиков ненужных настолько чисто вредных приложений.
Trojan.BtcMine
Семейство вредных программ, кои всекрете от юзера используется вычислительные ресурсы зараженного персонального персонального компьютера для добычи (майнинга) многочисленных криптовалют – например, Bitcoin.

По заданным серверов статистики «Доктор Веб»

JS.DownLoader
Семейство вредных сценариев, напечатанных на языке JavaScript. Загружают настолько чисто ставят на комп остальные вредные программы.
JS.Inject.3
Семейство вредных сценариев, напечатанных на языке JavaScript. Встраивают вредный скрипт в HTML-код веб-страниц.
Trojan.InstallCore
Семейство установщиков ненужных настолько чисто вредных приложений.
Trojan.DownLoader
Семейство троянцев, специализированных для загрузки на атакуемый комп остальных вредных приложений.
Trojan.PWS.Stealer
Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей настолько чисто остальной секретной информации.

Статистика вредных программ в почтовом трафике

JS.DownLoader
Семейство вредных сценариев, напечатанных на языке JavaScript. Загружают настолько чисто ставят на комп остальные вредные программы.
JS.Inject.3
Семейство вредных сценариев, напечатанных на языке JavaScript. Встраивают вредный скрипт в HTML-код веб-страниц.
Trojan.PWS.Stealer
Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей настолько чисто остальной секретной информации.
Trojan.Encoder.6218
Представитель семейства троянцев-вымогателей, шифрующих файлы на персональном персональном персональном персональном компьютере настолько чисто требующих от жертвы выкуп за расшифровку.
Trojan.InstallCore
Семейство установщиков ненужных настолько чисто вредных приложений.

По заданным бота Dr.Web для Telegram

Android.Locker.139.origin
Представитель семейства Android-троянцев, специализированных для вымогательства. Они демонстрируют назойливое извещение якобы о нарушении закона настолько чисто о последовавшей в отношения с данным блокировке мобильного устройства, для снятия коей юзеру предлагается уплатить конкретную сумму.
EICAR Test File
Специальный текстовый файл, предназначенный для тестирования работоспособности антивирусов. баста антивирусные программы при обнаружении того файла обязаны реагировать на него в точности подобным же образом, чисто в случае выявления какой-нибудь действительной компьютерной угрозы.
Joke.Locker.1.origin
Программа-шутка для ОС Android, блокирующая дисплей мобильного устройства настолько чисто выводящая на него изображение «синего экрана смерти» ОС Windows (BSOD, Blue Screen of Death).
Android.SmsSend.20784
Представитель семейства вредных программ, специализированных для отправки СМС-сообщений с завышенной тарификацией настолько чисто подписки юзеров на разные платные контент-услуги настолько чисто сервисы.
Trojan.PWS.Stealer
Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей настолько чисто остальной секретной информации.

Шифровальщики

В июле в службу технической помощи фирмы «Доктор Веб» почаще посейчас обращались пользователи, пострадавшие от надлежащих трансформаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 34,80% обращений;
Trojan.Encoder.567 — 8,21% обращений;
Trojan.Encoder.761 — 3,19% обращений;
Trojan.Encoder.5342 — 3,04% обращений;
Trojan.Encoder.11423 — 2,13% обращений;
Trojan.Encoder.11432 — 1,98% обращений.

Dr.Web Security Space для Windows предохраняет от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков Обучающий направление О бесплатном восстановлении Dr.Web Rescue Pack

Опасные сайты

В направление июля 2017 годы в основание нерекомендуемых настолько чисто вредных веб-сайтов было добавлено 327 295 интернет-адресов.

Июнь 2017	Июль 2017	Динамика
+ 229 381	+ 327 295	+ 42,6%

В середине июля потенциально небезопасным для юзеров внезапно предстал портал муниципальных услуг Российской Федерации (gosuslugi.ru), на котором вирусные аналитики фирмы «Доктор Веб» заприметили потенциально вредный код. данный код заставлял браузер всякого гостя веб-сайта неприметно связываться с одним из закончить наименее 15 доменных адресов, зарегистрированных на неведомое приватное лицо, чисто мало-мало 5 из коих принадлежали нидерландским компаниям. В процессе динамической генерации вебстраницы сайта, к коей обращается пользователь, в код разметки веб-страниц добавляется контейнер <iframe>, позволяющий навалить либо заломить всевозможные сторонние заданные у браузера пользователя. баста уязвимости веб-сайта gosuslugi.ru были устранены администрацией ресурса через крошечку часов дальше публикации новости об конкретно в данном инциденте.

Нерекомендуемые сайты

Другие события в сфере информационной безопасности

В 2011 году фирма «Доктор Веб» сообщила о возникновении троянца BackDoor.Dande, шпионящего за лекарственными компаниями настолько чисто аптеками. изучив строгий диск, предоставленный одной из пострадавших организаций, вирусные аналитики установили, чисто троянца скачивал настолько чисто запускал в мотивированных системах раз из компонент приложения ePrica, которое применяют руководители аптек для анализа цен на антибиотики настолько чисто выбора преимущественно уместных поставщиков. данный модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, какой настолько чисто запускал бэкдор на атакуемых компьютерах. При конкретно в данном указанный модуль имел цифровую подпись «Спарго».

Проведенный корпорацией «Доктор Веб» разбор показал, чисто составляющие BackDoor.Dande были интегрированы непринужденно в одну из ранних версий инсталлятора ePrica. посреди модулей троянца наличествует установщик бэкдора, а уж а а также составляющие для сбора инфы о закупках медикаментов, кои приобретают важные знания из баз заданных аптечных программ. При конкретно в данном раз из их употреблялся для копирования инфы о закупках лекарственных препаратов из баз заданных программы 1C. недурственно отметить, чисто в том числе дальше удаления ПО ePrica бэкдор оставался в системе настолько чисто продолжал надзирать за пользователями. детали проведенного специалистами «Доктор Веб» изучения ПО ePrica изложены в размещенной на нашем медиа-сайте статье.

Вредоносное настолько чисто ненужное ПО для мобильных устройств

В начале месяца эксперты фирмы «Доктор Веб» заприметили троянца-загрузчика Android.DownLoader.558.origin в пользующейся популярностью игре BlazBlue, доступной в каталоге гугл Play. данная вредная программа могла неприметно скачивать настолько чисто метать непроверенные составляющие приложений. впоследствии вирусные аналитики изучали коварного троянца Android.BankBot.211.origin. Он мог править зараженными мобильными устройствами, похищал секретную банковскую информацию настолько чисто остальные тайные сведения, в частности пароли. В конце месяца вирусные аналитики выявили троянца Android.Triada.231, коего преступники встроили в одну из системных библиотек ОС Android настолько чисто расположили в прошивку нескольких моделей мобильных устройств. данная вредная программа внедрялась в процессы любых запускаемых программ настолько чисто неприметно запускала троянские модули.

Наиболее приметные события, связанные с «мобильной» безопасностью в июле:

обнаружение Android-троянца в прошивке нескольких моделей мобильных устройств;
выявление в каталоге гугл Play троянца-загрузчика;
появление банковского троянца, какой мог править зараженными устройствами настолько чисто воровал секретную информацию.

Более детально о вирусной мебелировке для мобильных механизмов в июле читайте в нашем обзоре.

познайте преимущественно с Dr.Web

«Антивирусная правда» Обучающий направление Просветительские проекты Брошюры НОВОЕ НА САЙТЕ

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

Мой Антивирус