вирусы

124 PandaLabs

Компания Panda Security опубликовала последние результаты своего ежеквартального отчета PandaLabs за первый квартал 2014 года.

Основные выводы этого исследования включают тот факт, что в течение данного периода времени объем создания вредоносных программ побил все рекорды, достигнув отметки в 15 миллионов новых образцов, что соответствует более 160 000 новых образцов ежедневно. Трояны продолжают оставаться наиболее распространенным типом новых вредоносных программ, что составляет порядка 71,85% от числа новых угроз, созданных в течение первого квартала.

Соответственно, за этот период наибольшее число инфекций также было вызвано троянами: их доля достигла 79,90% от числа всех заражений. Что касается мобильных устройств, то продолжается рост числа атак на операционные системы Android. Большинство из них привели к подписке пользователей (без их ведома!) на дорогостоящие SMS-сервисы как через Google Play, также и через рекламные объявления на Facebook с использованием WhatsApp в качестве приманки.

270 DrWeb

В мае 2014 года на устройствах пользователей было обнаружено порядка 7 млн. нежелательных, вредоносных и потенциально опасных приложений, что в целом соответствует показателям прошлого месяца.

В период с 1 по 31 мая на мобильных устройствах пользователей было зарегистрировано 7 005 453 срабатывания Антивируса Dr.Web для Android, при этом «лидерами» среди выявленных приложений, как и ранее, стали различные рекламные модули, которые встраивают разработчики программ в свои продукты с целью их монетизации. В 9,81% случаев на мобильных устройствах фиксировалось наличие рекламных модулей семейства Adware.Leadbolt, на втором месте с показателем 9,06% оказалось семейство Adware.Airpush, на третьем (6,68%) — Adware.Revmob.

Наиболее распространенной вредоносной программой для мобильных устройств под управлением платформы Google Android в мае 2014 года стал Android.SmsBot.120.origin — он обнаружился на 3,36% устройств, вторую позицию с показателем 2,71% занял бэкдор Android.Backdoor.69.origin, третьим в этом рейтинге оказался Android.SmsBot.105.origin (1,89%).

Британские правоохранительные органы рекомендуют владельцам персональных компьютеров в течение двух недель принять меры по защите своих ПК. В противном случае они с большой вероятностью станут жертвами мощного вируса GameOver Zeus, который используется для вымогательства миллионов евро у жертв по всему миру.

По словам представителей ведомства National Crime Agency, двухнедельное окно открылось благодаря операции, которую возглавило ФБР. Организация получила контроль над северами для управления продвинутым вредоносным софтом. Вирус похищает финансовые и персональные данные.

Считается, что малвер уже взломал более 15 тыс. ПК в Великобритании. Программу разработала преступная организация хакеров из России и Украины. Вирус используется для поиска файлов и получения доступа к важным данным. В ФБР считают, что GameOver Zeus нанес ущерб пользователям в размере $100 млн. Софт распространяет агрессивный малвер CryptoLocker, который блокирует все файлы на компьютере жертвы, пишет anti-malware.ru.

Лаборатория Касперского обнаружила особенного мобильного червя, основной целью которого является сервис интернет-телефонии сети Sipnet. В отличие от многого другого подобного вредоносного ПО этот зловред начинает рассылать SMS-спам сразу после запуска, не дожидаясь команды с сервера злоумышленников.

Деятельность червя Worm.AndroidOS.Posms.a в зараженном телефоне в основном сводится к созданию аккаунта в сети Sipnet без ведома владельца устройства. Функционала зловреда достаточно для того, чтобы самостоятельно управлять учетной записью и, прежде всего, скрытно пополнять ее счет, переводя деньги со счета мобильного телефона жертвы. Далее червь может настроить переадресацию звонков на другой номер и заказать звонок за счет владельца устройства.

Обладая возможностью рассылать SMS-спам сразу после запуска, новый червь поначалу распространялся очень активно: менее чем за сутки защитный продукт Kaspersky Internet Security для Android предотвратил более 400 установок этого зловреда. После того, как число заблокированных установок достигло пика, сервер злоумышленников, с которого загружалась вредоносная программа, стал недоступен — и количество заражений сразу резко пошло на спад. Через неделю появилась новая версия червя, но сервер распространения вновь очень быстро стал недоступен.

«Червь Posms имеет достаточно мощный функционал, поэтому очень странно, что его распространение раз за разом быстро заканчивается. Возможно, злоумышленники оттачивают его функциональность и в дальнейшем планируют массированную атаку», — высказал предположение Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

241 DrWeb

Согласно статистической информации, собранной с использованием лечащей утилиты Dr.Web CureIt!, в апреле 2014 года на компьютерах пользователей наиболее часто встречался установщик нежелательных и сомнительных приложений Trojan.Packed.24524.

На втором и третьем местах (как и в прошлом месяце) расположились уже хорошо знакомые пользователям антивирусных продуктов компании «Доктор Веб» троянцы семейства Trojan.BPlug — эти вредоносные программы представляют собой надстройки (плагины) для браузеров, встраивающие в просматриваемые веб-страницы рекламу всевозможных сомнительных сайтов.

Антивирусная компания ESET обнаружила новый компонент крупнейшего ботнета Win32/Sality — Win32/RBrute. В отличие от уже известных элементов ботнета, он модифицирует DNS-сервис роутеров таким образом, что скомпрометированный роутер перенаправляет пользователей на поддельную страницу загрузки браузера Google Chrome. Фальшивый установщик представляет собой один из вредоносных файлов самого Sality.

Семейство файловых инфекторов Win32/Sality известно с 2003 г. Специалисты вирусной лаборатории ESET отслеживали его на протяжении длительного времени. В рейтинге информационных угроз за март 2014 г. Sality занимает вторую строку с ростом активности 1,68%.

Ботнет Sality может выступать в роли вируса или загрузчика других вредоносных программ (downloader). Он обладает модульной архитектурой, его компоненты отвечают за рассылку спама, организацию DDoS, генерацию рекламного трафика и взлом VoIP аккаунтов. Долговечность и постоянное совершенствование ботнета свидетельствуют о высокой квалификации авторов вредоносного кода.

Несколько пользователей Mac OS X опубликовали на официальном форуме компании Apple жалобы на навязчивую рекламу, которая демонстрируется в окне браузеров Safari и Google Chrome при просмотре различных веб-ресурсов. Источником проблем оказались вредоносные надстройки (плагины), которые устанавливаются в систему при посещении определенных сайтов. Плагины распространяются в комплекте с легитимными приложениями, способными выполнять на компьютере некоторые полезные функции.

Одна из таких программ носит наименование Downlite и распространяется с сайта популярного торрент-трекера: нажав на кнопку Download, пользователь перенаправляется на другой интернет-ресурс, с которого загружается само приложение, при этом перенаправление осуществляется таргетированно: пользователям Apple-совместимых компьютеров отдается файл StartDownload_oREeab.dmg — установщик Downlite, пользователи других операционных систем могут быть перенаправлены на иные сайты.

После загрузки файла начинается установка приложения Downlite.app. Данный установщик обладает любопытной особенностью: он устанавливает легитимное приложение DlLite.app и несколько надстроек к браузеру, при этом в процессе установки запрашивается пароль пользователя Mac OS X, и, если он является администратором системы, приложения устанавливаются в корневую папку. Для работы DlLite.app на компьютере требуется наличие Java, однако вредоносные плагины написаны на языке Objective-C и благополучно запускаются при открытии окна браузера. Также в систему устанавливается приложение dev.Jack, предназначенное для контроля над браузерами Mozilla Firefox, Google Chrome, Safari.

245 DrWeb

В марте 2014 года с помощью мобильного Антивируса Dr.Web было выявлено 7 866 900 вредоносных и нерекомендуемых приложений на устройствах пользователей.

Наибольшее количество вредоносных и нежелательных программ — 334 212 — Антивирус Dr.Web для Android зафиксировал 13 марта 2014 года. Наименьшее же число заражений — 244 478 — пришлось на 11 марта. В среднем ежесуточно антивирусное ПО детектировало на защищаемых мобильных устройствах порядка 250 000 угроз.

Чаще всего Антивирус Dr.Web для Android выявлял на мобильных устройствах различные рекламные программы, предназначенные для монетизации бесплатных Android-приложений: среди них оказались представители семейств Adware.Revmob, Adware.Airpush и Adware.Leadbolt.

Директор по консалтингу компании IDC Тимур Фарукшин заявил, что вероятность заражения компьютера при установке контрафактного ПО, загруженного с сайтов или файлообменных сетей, достигает 76%. Сама программа может и не содержать вирусы, а заражение произойдет при попытке скачать ее из cети, отметил эксперт.

По словам руководителя отдела по продвижению лицензионного ПО Microsoft Дмитрия Берестнева, в среднем ресурсы с пиратским ПО тратят на свое продвижение по 20-30 тысяч долларов в месяц и зарабатывают эти деньги именно на торговле доступом к компьютерам либо информации пользователей, пишет digit.ru.

224 ESET

По данным вирусной лаборатории ESET, в 2013 году Россия наряду с Ираном и Китаем вошла в тройку лидеров по числу обнаруженных мобильных угроз.

Усилия злоумышленников направлены прежде всего на Android-устройства — в прошлом году число вредоносных программ для этой платформы возросло на 63%, составив до 99% известных мобильных угроз. Если в 2010 году эксперты ESET открыли три семейства вредоносных программ для Android, то в 2013 году их число достигло 79. Одно семейство или группа вредоносных объектов (вирусов, троянов, потенциально небезопасных приложений) может объединять несколько миллионов образцов.

Вредоносное ПО проникает даже на Google Play под видом обычных приложений — по данным компании RiskIQ, с 2011 по 2013 гг число подделок возросло на 388%. В группе риска большая часть продаваемых в России мобильных гаджетов. По статистике J’son & Partners Consulting, 77% смартфонов, реализованных во втором квартале 2013 года, работали на Android. Еще одна проблема пользователей мобильной связи — спам. По данным опроса ESET, от мобильного спама страдают 76% пользователей.

Компания Panda Security сообщила о новой массовой атаке на пользователей Android. Эта тщательно продуманная уловка берет свое начало на Facebook, где киберпреступники рекламировали набор приложений. Panda Security связалась с Facebook и предупредила о данной вредоносной рекламной кампании, развернутой на страницах популярной социальной сети.

Когда пользователи открывают Facebook на своих мобильных устройствах Android, они видят различные сообщения под заголовком «Предлагаемое сообщение», рекламирующее советы WhatsApp, например: «Хотите узнать, как посмотреть чаты Ваших контактов в WhatsApp? Узнайте здесь!» или «Хотите скрыть Ваш статус подключения в WhatsApp? Скачайте данное приложение, и люди не смогут увидеть Вас».

Если предполагаемая жертва нажимает на любое из этих рекламных объявлений, то она перенаправляется на ложную версию Google Play — магазин приложений Android. Пользователь, думая, что он находится на правильном сайте, скачивает бесплатное приложение, которое на самом деле оказывается трояном, подписывающим пользователей на дорогостоящий SMS-сервис без их ведома.

107 ESET

Компания ESET представляет отчет о наиболее активных угрозах февраля 2014 года.

В глобальном рейтинге угроз почти все представители вирусной «десятки» испытали спад своей активности, исключение составили только элементы вредоносных страниц HTML/ScrInject и файловый вирус Win32/Virut. Активность трояна Win32/Bundpil снижается не первый месяц, хотя он и продолжает занимать первую строку рейтинга. В списке присутствуют три представителя файловых вирусов: Win32/Sality, Win32/Ramnit и Win32/Virut, – что подчеркивает актуальность данного класса вредоносных программ.

Несмотря на то, что сегодня злоумышленники активно используют более современные категории вредоносного ПО – трояны и программы-вымогатели, – файловые вирусы не сдают позиции.

Ушедший месяц ознаменовался несколькими направленными атаками с использованием 0day-уязвимостей. В середине февраля была зафиксирована атака на один из правительственных сайтов США. Он был скомпрометирован вредоносным iframe и перенаправлял пользователей на эксплойт к уязвимости CVE-2014-0322 в веб-браузере Internet Explorer 10. Эксплойт представлял собой вредоносный swf-файл для Flash Player и после успешной эксплуатации осуществлял установку полезной нагрузки в ОС.

Антивирусные продукты ESET обнаруживают этот эксплойт как Win32/Exploit.CVE-2014-0332.A, а вредоносный код полезной нагрузки как Win32/Agent.QEP.

176 DrWeb

Согласно статистическим данным, собранным в феврале 2014 года с использованием лечащей утилиты Dr.Web CureIt!, среди выявленных на компьютерах угроз, как и в январе, лидирует распространяющийся под видом легитимного ПО установщик рекламных программ и сомнительных приложений Trojan.Packed.24524.

Второе место, как и прежде, занимает рекламный троянец Trojan.LoadMoney.1, а на третьей позиции расположилась еще одна вредоносная программа, предназначенная для демонстрации навязчивой рекламы и подмены содержимого веб-страниц, — Trojan.Triosir.1. Этот троянец распространяется с использованием ресурсов партнерской программы Installmonster вместе с различными приложениями и использует для своей установки инсталлятор Amonetize (amonetize.com), при этом основные модули троянца реализованы в виде плагинов (надстроек) к популярным браузерам.

226 wi-fi

В Университете Ливерпуля создано экспериментальное программное обеспечение Chameleon, которое может атаковать многие точки доступа, которые не были защищены должным образом, например, используют стандартные пароли или не используют их вообще.

После того, как вредонос получает доступ к точке доступа, Chameleon пытается заменить системную прошивку точки доступа или роутера на открытую прошивку OpenWrt. Атакующие получающие контроль таким образом, могут отслеживать трафик и перехватывать данные пользователей беспроводной сети, пишет cybersecurity.ru.

220 PandaLabs

Panda Security обнаружила в Google Play вредоносные приложения, которые способны подписывать пользователей на сервисы дорогостоящих SMS без их разрешения.

Эти новые угрозы к настоящему моменту уже способны были заразить не менее 300 000 пользователей, хотя количество скачиваний этих угроз могло достичь 1 200 000. Такие приложения как Easy Hairdo (посвященное прическам), Abs Diets (посвящено диетам), Workout Routines (о фитнесе) и Cupcake Recipes (рецепты) являются одними из наиболее доступных для скачивания на Google Play.

109 ESET

Компания ESET представила отчет о наиболее активных угрозах января 2014 года.

В глобальном рейтинге угроз заметны небольшие изменения динамики вредоносных программ, при этом активизировались только троянские программы Win32/Qhost и Win32/TrojanDownloader.Waski. В десятке угроз присутствуют два семейства файловых вирусов Win32/Ramnit и Win32/Sality, их активность в январе снизилась. Вредоносная программа Win32/TrojanDownloader.Waski оказалась в десятке впервые. Ее активность начали фиксировать несколько месяцев назад, когда злоумышленники стали активно использовать ее в своих целях. Основная задача Waski заключается в загрузке других вредоносных программ на зараженный компьютер пользователя. Чтобы извлечь материальную выгоду из ее распространения, киберпреступники берут плату со своих «коллег» за успешные установки Waski на скомпрометированный компьютер.

Ушедший месяц ознаменовался событиями в области вредоносного кода для POS-терминалов. Стали известны подробности крупной атаки на американскую розничную сеть Target. Злоумышленникам удалось проникнуть во внутреннюю сеть компании и установить на компьютеры, которые управляют POS-терминалами, вредоносный код Win32/Spy.POSCardStealer. В результате при проведении платежной операции через POS-терминал злоумышленники получали доступ к данным с магнитных лент кредитных карт.

Компания «Доктор Веб» предупреждает пользователей ОС Android о появлении опасного троянца, который располагается во встроенной flash-памяти инфицированных мобильных устройств и функционирует как буткит, запускаясь на ранней стадии загрузки операционной системы.

Это позволяет ему минимизировать возможность своего удаления без вмешательства в структуру файловой системы Android-устройств. В настоящее время данная вредоносная программа активна на более чем 350 000 мобильных устройств, принадлежащих пользователям из разных стран, таких как Испания, Италия, Германия, Россия, Бразилия, США, а также ряда государств Юго-восточной Азии.

317 ESET

Компания ESET предупреждает о возросшей активности трояна Boaxxe, который заражает пользователей, перенаправляя их на рекламные сайты.

Win32/Boaxxe.BE – семейство вредоносных программ, используемых киберпреступниками для перенаправления пользователя на рекламные сайты ради получения платы от рекламодателя (эта схема называется «кликфрод»). Данная программа попадает в систему через вредоносные ссылки, которые активно распространяются на сомнительных или зараженных сайтах, а также через спам-рассылки. С сентября 2013 года троян Boaxxe распространяется силами участников одной из мошеннических партнерских программ (т.н. «партнерок») в русскоязычном сегменте сети. За последние четыре месяца, в течение которых эксперты ESET отслеживали активность Boaxxe, к данной партнерской программе присоединились более сорока новых участников.

Согласно проанализированной статистике, за два месяца один из участников заразил трояном Boaxxe свыше 3300 устройств. Если экстраполировать эти данные, то получается, что лишь за счет сорока новых «партнеров» заражению подверглись не менее 100 000 пользователей.

В ближайшие годы инциденты в сфере информационной безопасности могут затронуть не только владельцев ПК, смартфонов или планшетов – пользователей ждет активная диверсификация интернет-угроз. Такое мнение высказали аналитики компании ESET.

Под ударом киберпреступников могут оказаться очки дополненной реальности, игровые консоли, охранные системы, автомобили, телевизоры, холодильники с подключением к интернету и другие технические новинки, постепенно входящие в нашу жизнь. Появление киберугроз для этих устройств – вопрос времени. Например, саовременные телевизоры с функцией Smart TV (с возможностью выхода в сеть) теоретически позволяют злоумышленникам следить за владельцем при помощи фронтальной камеры. Подсоединенный к телевизору микрофон в этом случае также пригодится.

Другие ценные сведения, способные привлечь хакеров – данные для онлайн-банкинга. Некоторые телевизоры уже позволяют осуществлять платежи буквально не отрываясь от экрана. Перехват подобных данных будет мало отличаться от традиционной кибератаки на персональный ПК или смартфон.

Компания «Доктор Веб информирует об активном распространении через социальную сеть Facebook троянской программы Trojan.Zipvideom.1, устанавливающей на компьютер пользователя вредоносные расширения к браузерам.

Эти плагины препятствуют свободному просмотру веб-страниц, демонстрируя навязчивую рекламу. Trojan.Zipvideom.1 попадает на компьютеры жертв под видом обновления для браузерного плагина Adobe Flash. Также, согласно поступившей от пользователей информации, в начале 2014 года образцы данного троянца распространялись с использованием массовых рассылок сообщений в социальной сети Facebook. Если пользователь соглашается с рекомендацией обновить Adobe Flash Player, на его компьютер скачивается первый компонент троянца — программа FlashGuncelle.exe, при этом пользователю демонстрируется ход установки якобы обновления к Flash Player.

Далее FlashGuncelle.exe связывается с сервером злоумышленников и скачивает на компьютер жертвы следующий компонент троянца — дроппер, который устанавливает и запускает еще несколько компонентов вредоносной программы. Среди них — файл Flash_Plugin.exe, который модифицирует ветвь системного реестра, отвечающую за автозагрузку приложений, а затем скачивает и устанавливает плагины к браузерам Mozilla Firefox и Google Chrome.