вирусы

«Лаборатория Касперского» зафиксировала в России и ряде других стран массовую рассылку программ-шифровальщиков. На них пользователя вела «официальная ссылка» в письме, отправленном якобы от имени Высшего Арбитражного Суда Российской Федерации.

Зловред, известный как Cryakl, делает нечитаемыми файлы самых разных форматов, в том числе образы дисков и резервные копии, хранящиеся непосредственно на компьютере. При этом восстановить целостность данных невозможно, если пользователь заранее не озаботился вопросом продуманного хранения бэкап-файлов. Основной удар Фантомаса и Cryakl пришелся на Россию — «Лаборатория Касперского» зафиксировала здесь почти 2,5 тысячи атак. В зоне особого риска также оказались Германия, Казахстан, Украина и Белоруссия.

«Опасность Cryakl заключается, прежде всего, в том, что расшифровать обработанные им файлы на данный момент невозможно. Поэтому беспечным пользователям, которые не делают резервные копии, придется или попрощаться с данными, или согласиться с требованиями преступников, что, однако, совсем не гарантирует решение проблемы, — объяснил Артем Семенченко, антивирусный эксперт „Лаборатории Касперского“. — Наилучший выход в данной ситуации — позаботиться о безопасности заранее. Во-первых, необходимо сделать резервные копии всех важных файлов и разместить их на отдельном носителе вне компьютера. Во-вторых, имеет смысл включить отображение расширений для зарегистрированных типов файлов — это поможет контролировать, что присланный вам по почте документ действительно является документом, а не исполняемым файлом. В-третьих, стоит с повышенным подозрением относиться к ссылкам и вложениям из писем, получения которых вы не ждете. И, конечно же, современному пользователю крайне необходимо специальное защитное ПО, которое убережет его от различных киберинцидентов».

333 YouTube

Около 113 тысяч интернет-пользователей в США за последние 30 дней стали жертвами мошенников, размещающих вредоносную рекламу на YouTube. Пострадали также пользователи в Японии, Европе и других регионах, хотя в значительно меньшем количестве, сообщает Trend Micro.

«Последние несколько месяцев мы наблюдали за вредоносной кампанией на YouTube», — рассказал аналитик Trend Micro Джозеф Чен. Злоумышленники заразили не сам сайт YouTube, а разместили на нем рекламные объявления, ведущие на вредоносный сайт. Заражение ПК происходит тогда, когда посетитель YouTube кликает по объявлению и переходит на сайт с вредоносным кодом, передает CNews.

В Сети набирает силу новая версия СМС-вируса Selfmite, впервые обнаруженного в июне.

«Червь», который после попадания в систему рассылает тысячи спамерских сообщений, уже заразил Android-устройства пользователей из 16 стран, включая Россию, передают «Вести». Первую версию троянца, Selfmite.a, исследователи по кибербезопасности выявили летом. Он отправлял ссылку на APK-установщик, содержащий вредоносный код, первым 20 контактам в адресной книге жертвы. Его новая форма, Selfmite.b, более агрессивна — она отправляет тысячи СМС всем контактам, и делает это по кругу, предупредили в компании AdaptiveMobile.

«По нашим данным, Selfmite.b ответственен за рассылку свыше 150 тысяч сообщений за последние десять дней с чуть более ста зараженных устройств», — сказал аналитик AdaptiveMobile Денис Масленников. По его оценке, Selfmite.b генерирует в сто раз больше трафика, чем его первая версия.

89 DrWeb

Как и в предыдущие месяцы, в сентябре специалисты компании «Доктор Веб» зафиксировали многочисленные атаки на мобильные устройства пользователей.

В частности, вирусная база Dr.Web пополнилась множеством новых записей для распространяемых злоумышленниками Android-угроз, среди которых были банковские троянцы, троянцы-вымогатели, вредоносные программы-шпионы и даже опасный троянец-вандал. Также в вирусную базу была внесена очередная запись для вредоносного приложения, работающего на «взломанных» мобильных устройствах производства компании Apple.

196 Mac OS X

Аналитики компании «Доктор Веб» исследовали сразу несколько новых угроз для операционной системы Apple Mac OS X.

Одна из них — это сложный многофункциональный бэкдор, добавленный в вирусные базы под именем Mac.BackDoor.iWorm. Данная программа позволяет выполнять на инфицированном «маке» широкий набор различных команд, поступивших от злоумышленников. Полученные в результате статистического анализа данные свидетельствуют о наличии более 17 000 уникальных IP-адресов инфицированных троянцем «маков».

При создании данной вредоносной программы злоумышленники использовали языки программирования С++ и Lua, при этом в архитектуре бэкдора широко применяется криптография. В процессе установки троянец распаковывается в папку /Library/Application Support/JavaW, после чего дроппер собирает «на лету» файл plist для обеспечения автоматического запуска этой вредоносной программы.

Компания ESET предупредила пользователей о распространении нового трояна под видом писем от интернет-магазина.

Вредоносное ПО распространяется в спамерской рассылке. В теле письма сообщается, что пользователь успешно оформил заказ, детали которого можно посмотреть в приложении. На самом деле, приложение содержит исполняемый файл с вредоносным ПО, которое детектируется решениями ESET NOD32 как Win32/TrojanDonloader.Elenoocka. После установки на компьютер жертвы троян загружает из интернета другие вредоносные программы.

В коде Elenoocka содержится шесть URL-адресов для скачивания файлов, в числе которых — разновидность трояна семейства Kryptik. Вирусные аналитики рекомендуют пользователям не открывать вложения в незапрошенных письмах и регулярно проводить сканирование компьютера антивирусным ПО.

Специалисты FireEye Lab обнаружили неизвестную ранее версию бэкдора XSLCmd — OSX.XSLCmd, которая компрометирует персональные компьютеры и устройства на базе OS X.

Вредоносная программа использует значительную часть кода Windows—версии бэкдора XSLCmd, получившей широкое распространение за последние несколько лет. Как отмечают эксперты, новая вредоносная программа совместима с большинством версий операционной системы OS X. В ходе анализа OSX.XSLCmd эксперты обнаружили две дополнительные функции, которые отсутствуют в бэкдоре XSLCmd: кейлогинг и возможность сохранения скриншотов.

Несмотря на сходство OS X-версии с оригинальным XSLCmd, который был разработан хакерской группой АРТ, эксперты предполагают, что авторство вредоносной программы принадлежит команде злоумышленников под названием GREF, которые являются первопроходцам в сфере атак по типу «watering hole», пишет securitylab.ru.

174 iOS

Вирус AdThief, разработанный китайским хакером Rover 12421, заразил более 75 тысяч iOS-устройств с джейлбрейком (модификация iOS-устройства пользователем, позволяющая получить доступ к файловой системе iOS-устройств и устанавливать программы не из AppStore).

Вирус распространяется с расширением Cydia Substrate, после чего изменяет рекламные объявления, появляющиеся в бесплатных приложениях. Деньги за показ объявлений, уплаченные разработчикам приложений, перенаправляются на счет хакеров, пишет anti-malware.ru.

Специалисты Sophos обнаружили Android —вирус под названием «XXshenqi» или «Heart App». Он распространяется при помощи SMS-сообщений с предложением романтической встречи, которые пользователи получают якобы от своих друзей. «Heart App» содержит настоящий вирус, способный к саморепликации.

Вирус, названный Andr/SlfMite-A, распространяется посредством отсылки SMS-сообщений с загружаемой ссылкой первым 99 контактам из телефонной книги пользователя. Таким образом, даже небольшое инфицирование может создать большое количество траффика, что и случилось в данном случае. Согласно сообщениям новостных ресурсов Китая, местные провайдеры мобильной связи уже заблокировали 20 млн сообщений, причем инфицированию подверглось более 100 тысяч мобильных телефонов, отмечает securitylab.ru.

112 ESET

Компания ESET представила отчет об угрозах июля 2014 года. В июле активизировалось несколько вредоносных приложений, в том числе Win32/RiskWare.NetFilter, позволяющее злоумышленникам удаленно подключаться к инфицированным компьютерам для кражи персональных данных или установки другого вредоносного ПО.

Более заметными также стали вредоносные элементы веб-страниц, которые детектируются продуктами ESET NOD32 как HTML/ScrInject. Они перенаправляют пользователей на мошеннические площадки, с которых устанавливается вредоносный код. В июле в глобальный рейтинг впервые попало рекламное ПО Win32/Adware.Multiplug, а также семейство троянов-загрузчиков Win32/TrojanDownloader.Zurgop, «перебрасывающих» в зараженную систему другие вредоносные программы.

В России в июле активизировалось вредоносное рекламное ПО: Win32/Adware.LoadMoney, Win32/Adware.Toolbar.Webalta и Win32/Adware.Agent.NFF. Помимо этого, возросла активность приложения Win32/RiskWare.NetFilter и кода JS/Kryptik.I, который встраивается в html-страницы и используется для перенаправления браузера на вредоносные URL или эксплуатации эксплойтов. В июне доля России в мировом объеме вредоносного ПО составила 6,84%.

Более 2800 предприятий, значительная часть которых связана с энергетикой и машиностроением, пострадали от глобальной кампании кибершпионажа Crouching Yeti — предположительно похищена конфиденциальная информация, составлявшая коммерческую тайну, в том числе некоторых российских предприятий.

Специалисты «Лаборатории Касперского» провели расследование, в ходе которого установили, что злоумышленники, стоящие за Crouching Yeti, участвовали в организации ряда других сложных целевых атак. Одной из особенностей кампании является нацеленность на индустриальные IT-инфраструктуры и системы. Первые действия в рамках кампании были предприняты еще в 2010 году, и ежедневные атаки продолжаются до сих пор.

В числе жертв — предприятия отрасли машиностроения, энергетики, промышленного производства, строительства, фармацевтические организации, IT-компании и образовательные учреждения. Большая часть из них находится в США и Испании.

Ранее сообщалось, что кампания была направлена на энергетические структуры, но список жертв, идентифицированных «Лабораторией Касперского» указывает, что интересы киберпреступников гораздо шире. Специалисты «Лаборатории Касперского» допускают, что речь идет не об узкоспециализированной операции, а о широкой кампании шпионажа, затрагивающей различные секторы.

659 DrWeb

В июле среди угроз, выявленных с использованием лечащей утилиты Dr.Web CureIt!, как и раньше лидировали рекламные надстройки для популярных браузеров, основное предназначение которых заключается в демонстрации пользователю нежелательных баннеров в процессе просмотра веб-страниц.

Расширяется и существующий ассортимент подобных приложений: в «топе» присутствует порядка десяти различных модификаций таких плагинов, среди них — Trojan.BPlug.100, Trojan.BPlug.48, Trojan.BPlug.46, Trojan.BPlug.102, Trojan.BPlug.28, Trojan.BPlug.78, Trojan.BPlug.79 и другие. Все они различаются в основном особенностями реализации.

Наиболее распространенной угрозой в июле можно считать троянца — установщика нежелательных приложений Trojan.Packed.24524: он обнаруживался антивирусным ПО Dr.Web на инфицированных компьютерах в 0,56% случаев (от общего количества выявленных угроз), а с использованием лечащей утилиты Dr.Web CureIt! — в 1,59% случаев.

Также лидирующие позиции в своеобразном рейтинге наиболее популярных угроз занимают рекламные троянцы семейства Trojan.InstallMonster. В почтовом трафике в июле наиболее часто встречались вредоносные программы, перенаправляющие жертву на различные вредоносные сайты, — Trojan.Redirect.195 и Trojan.Redirect.197, а также опасный троянец BackDoor.Tishop.122

ИТ-организация Switch CH сообщила об обнаружении нового троянского кода, целенаправленно атакующего системы онлайн-банкинга швейцарских банков.

Эксперты утверждают, что вредоносный код родом из России, и он способен перехватывать SMS-ключи, а также изменять настройки доменной системы компьютера. На практике воздействие трояна приводит к тому, что жертва данного вредоноса попадает на мошеннический сайт, откуда у него похищают все реквизиты для доступа к реальному банкингу.

Интересно отметить, что вдобавок к традиционному функционалу, новый код обходит системы двухфакторной аутентификации, а кроме того подменяет DNS-записи, что создает даже у продвинутого пользователя полную иллюзию легитимности действий, сообщает cybersecurity.ru.

Специалисты «Лаборатории Касперского» сообщили на своем сайте о новой угрозе личной информации пользователей, а также корпоративным данным: архивам, базам 1С и прочим документам. В конце июня был обнаружен CTB-Locker — ранее неизвестный вариант троянца-шифровальщика, одной из особенностей которого является полноценное взаимодействие с анонимной сетью Tor без ведома жертвы. Возможности дешифровать данные при этом нет — троянец защищенно передает ключ на сервер злоумышленников, который маскируется в сети Tor.

Изначально троянец был нацелен на атаку англоязычных жертв, однако самые свежие образцы претерпели косметические доработки и получили поддержку русского языка. Этот факт, а также некоторые строки кода позволяют утверждать, что за данной программой стоят русскоговорящие злоумышленники. Данное предположение коррелирует с географией заражений: больше всего инцидентов зарегистрировано на территории СНГ. Единичные заражения обнаружены на территории Германии, Болгарии, Израиля, ОАЭ и Ливии. На первый взгляд, общая схема работы шифровальщика довольно типична: троянец добавляет свой исполняемый файл в список планировщика задач системы, после чего производит поиск файлов с определенными расширениями, осуществляет их шифрование и показывает пользователю требование выкупа. Однако реализация отличается одной «инновацией»: командный сервер злоумышленников находится в анонимной сети Tor, что ранее не встречалось среди шифровальщиков.

В этом заключается принципиальное отличие нового троянца от других вредоносных программ, прибегающих к анонимности Tor: если раньше злоумышленники пользовались легальным ПО от разработчиков Tor для включения компьютера в эту сеть, то в данном случае код взаимодействия реализован внутри вредоносной программы. Это позволяет ей пользоваться сетью Tor без использования сторонних исполняемых файлов и запуска дополнительных процессов.

168 Sophos

Компания Sophos зафиксировала распространение злоумышленниками макровирусов, которые были особенно популярны в 90-х годах.

В тот период времени злоумышленники писали вредоносное ПО на языке программирования под названием VBA (Visual Basic for Applications).В настоящее время VBA используется злоумышленниками для создания вредоносного ПО, которое чаще всего затрагивает файлы Excel и Word. Количество макровирусов, написанных на VBA, резко снизилось в 2000-х годах.

Макровирусы встраиваются в системы обработки данных, зачастую – в текстовые редакторы. VBA-вирусы прячутся в текстовых документах, тайно выполняя функции приложений внутри Office, таких как AutoOpen (в Word) или Auto_Open (в Excel), пишет securitylab.ru.

Антивирусная компания ESET отчиталась о наиболее активных угрозах июня 2014 года.

В глобальном рейтинге угроз отмечен спад активности почти всех вредоносных объектов. Схожая динамика наблюдалась и в мае. В июньском рейтинге рост активности испытала только вредоносная программа HTML/IFrame. Антивирусные продукты ESET NOD32 фиксируют под этим названием различные вредоносные объекты, которые встраиваются злоумышленниками в веб-страницы.

Заметным событием июня стало появление новых модификаций вымогателя-шифровальщика Simplocker для Android. В новых версиях злоумышленники демонстрируют на экране блокировки снимки, сделанные встроенной камерой инфицированного устройства. Наибольшее число заражений Simplocker приходится на Россию и Украину.

121 DrWeb

С точки зрения информационной безопасности первый месяц лета оказался весьма насыщенным различными событиями: в отпуск вирусописатели уходить явно не собираются.

Одной из наиболее важных тенденций июня стало распространение большого количества троянцев-блокировщиков, а также шифровальщиков для мобильной платформы Google Android.

Помимо этого, в начале месяца специалисты компании «Доктор Веб» обнаружили нового троянца для ОС Linux, а в конце июня было выявлено несколько массовых рассылок вредоносных программ от имени различных известных компаний, в том числе производителей антивирусного ПО.

«Лаборатория Касперского» обнаружила первого мобильного троянца, нацеленного на шифрование списка контактов пользователя.

Зловред, детектируемый защитными продуктами компании как Cokri, делает нечитаемыми телефонные номера и адреса электронной почты, внесенные в список контактов на Android-смартфонах. За восстановление доступа к зашифрованным данным вредоносная программа требует выкуп, в противном случае угрожает уничтожить всю контактную информацию.

437 ESET

Компания ESET предупреждает о появлении трояна-вымогателя для мобильных устройств на Android — Simplocker. Угроза нацелена на жителей Украины и может быть переориентирована на всех русскоязычных пользователей Android-устройств.

Android/Simplocker.A шифрует файлы пользователя, блокирует доступ к устройству и требует денежный выкуп за расшифровку. При этом сообщение о блокировке написано на русском языке, а сумма выкупа указана в украинских гривнах. Simplocker работает по схеме вымогательства, которая широко распространена в среде Windows. Эксперты ESET установили, что авторы Android-вымогателя вплотную подошли к реализации концепции известного вируса Cryptolocker, обнаруженного примерно в это же время. Simplocker распространяется под видом приложения «Sex xionix» на торрент-трекерах и других площадках с мобильными приложениями.

После установки он проверяет файловую систему планшета или смартфона на наличие изображений, документов или видеофайлов с расширениями jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4. Обнаружив искомое, программа шифрует файл с использованием симметричного алгоритма шифрования AES. Заблокировав устройство, Simplocker предлагает жертве оплатить выкуп с помощью MoneXy — в отличие от обычных платежных систем, которые работают с кредитными картами, клиентов данного сервиса сложно отследить.

Высший арбитражный суд (ВАС) сообщил о мошенниках, рассылающих электронные письма с вирусом от имени суда.

С начала года в ВАС поступило около десятка обращений от граждан и представителей компаний, в которых те жалуются на мошенников, действующих от имени суда. Каждый из них получил по электронной почте письмо о якобы начатой процедуре искового производства, после чего им предложили перейти по ссылке для проверки информации, передает РБК.

«Письма отправляются с несуществующего адреса электронной почты ВАС, поэтому не рекомендуем открывать ссылку: по нашим сведениям, она содержит вирус, что представляет серьезную угрозу компьютеру», — предупреждают в суде.