165 sms

SMS-троянцы расширяют географическую зону своего присутствия.

В рейтинге самых часто выявляемых «Лабораторией Касперского» мобильных вредоносных программ на данный момент первую строчку занимает троянец, способный отправлять SMS на премиум-номера в 14 различных странах мира. Однако это не предел: зафиксирован новый SMS-троянец FakeInst.ef, который угрожает пользователям 66 стран, в том числе США — в этой стране подобные вредоносные программы ранее не были замечены.

Этот троянец был обнаружен в феврале 2013 года и с тех пор получил продолжение еще в 14 разных версиях. Первые модификации умели отправлять премиум SMS только в России, но в конце первого полугодия 2013 года появилась поддержка еще 64 стран, среди которых были государства Европы, СНГ, Латинской Америки и Азии. Согласно данным облачной инфраструктуры Kaspersky Security Network, наибольшее количество случаев заражения FakeInst.ef встречается в России и Канаде.

132 DrWeb

Компания «Доктор Веб» зафиксировала массовое распространение нежелательных СМС-сообщений, которые содержали ссылку на загрузку Android-троянца Android.SmsBot.75.origin, предназначенного для кражи конфиденциальных данных у южнокорейских пользователей, а также незаметной отправки СМС. За несколько дней злоумышленники произвели около 40 спам-рассылок, а общее число пострадавших владельцев мобильных Android-устройств может составить несколько десятков тысяч человек.

Зафиксированные сообщения информировали потенциальных жертв о якобы неполученном почтовом отправлении, о статусе которого можно было узнать, перейдя по предоставленной в тексте короткой ссылке. В случае перехода по указанному веб-адресу пользователь перенаправлялся на страницу мошеннического блога, размещенного на платформе Blogger от корпорации Google и оформленного так, чтобы создать ложное впечатление его принадлежности к службе курьерской почтовой доставки.

При попытке ознакомиться с предлагаемой информацией на мобильное устройство жертвы загружался троянец Android.SmsBot.75.origin, размещенный в облачном хранилище Dropbox, где у киберпреступников имелась специальная учетная запись.

Несколько пользователей Mac OS X опубликовали на официальном форуме компании Apple жалобы на навязчивую рекламу, которая демонстрируется в окне браузеров Safari и Google Chrome при просмотре различных веб-ресурсов. Источником проблем оказались вредоносные надстройки (плагины), которые устанавливаются в систему при посещении определенных сайтов. Плагины распространяются в комплекте с легитимными приложениями, способными выполнять на компьютере некоторые полезные функции.

Одна из таких программ носит наименование Downlite и распространяется с сайта популярного торрент-трекера: нажав на кнопку Download, пользователь перенаправляется на другой интернет-ресурс, с которого загружается само приложение, при этом перенаправление осуществляется таргетированно: пользователям Apple-совместимых компьютеров отдается файл StartDownload_oREeab.dmg — установщик Downlite, пользователи других операционных систем могут быть перенаправлены на иные сайты.

После загрузки файла начинается установка приложения Downlite.app. Данный установщик обладает любопытной особенностью: он устанавливает легитимное приложение DlLite.app и несколько надстроек к браузеру, при этом в процессе установки запрашивается пароль пользователя Mac OS X, и, если он является администратором системы, приложения устанавливаются в корневую папку. Для работы DlLite.app на компьютере требуется наличие Java, однако вредоносные плагины написаны на языке Objective-C и благополучно запускаются при открытии окна браузера. Также в систему устанавливается приложение dev.Jack, предназначенное для контроля над браузерами Mozilla Firefox, Google Chrome, Safari.

545 mail.ru

Сервис Mail.ru, предназначенный для хранения файлов и документов, становится местом размещения и распространения вредоносного ПО. В настоящее время на ресурсе доступны для скачивания сразу несколько опасных троянцев — Trojan.Encoder.102, Trojan.Encoder.427, Trojan.Encoder.432, Trojan.Encoder.438.

Вирусы семейства Trojan.Encoder шифруют данные пользователей и требуют выкуп за возврат файлов в первоначальное состояние. Особенно опасным считается Trojan.Encoder.102, в котором применяется алгоритм RSA, что делает невозможной полноценную расшифровку без закрытого ключа. К тому же, шифруя файлы большого размера (более 2 Гбайт), Trojan.Encoder, в силу заложенных в нем архитектурных ошибок, повреждает файлы, что приводит к невозможности их расшифровки.

Специалисты компании «Доктор Веб» начиная с 8 апреля неоднократно обращались в службу технической поддержки и службу безопасности Mail.ru с просьбой удалить опасный контент. Однако файлы, размещенные в облачном сервисе Mail.ru в период с 11 января по 19 февраля 2014 года, все еще доступны и могут нанести вред пользователям, говорится в сообщении «Доктор Веб».

В Mail.ru ситуацию прокомментировали следующим образом: «Вредоносный контент, размещенный пользователями, уже удален. Кроме того, сегодня мы запускаем проверку всех загружаемых в хранилище файлов, а в ближайшее время будет проверено 100% всех загруженных ранее файлов».

Эксперты «Лаборатории Касперского» обнаружили новый троянец Waller — помимо отправки платных SMS, зловред также пытается украсть деньги с электронного кошелька QIWI.

Попав на телефон пользователя, этот троянец обращается к своему управляющему серверу за командами, выполняя стандартные для таких программ действия: проверка баланса, отправка SMS, установка других вредоносных программ и прочее. Однако помимо этого Waller обладает еще несколькими возможностями, которые позволяют ему опустошать электронный кошелек QIWI, зарегистрированный на номер владельца зараженного смартфона.

Получив соответствующую команду, троянец проверяет баланс счета QIWI-Wallet, отправляя SMS на короткий номер. Полученные в ответ сообщения троянец перехватывает и переправляет их злоумышленникам. В случае положительного баланса электронного кошелька троянец может начать переводить деньги со счета пользователя на другой счет QIWI-Wallet, указанный мошенниками. Для этого по команде троянец отправляет на короткий номер соответствующее SMS, в котором указаны номер кошелька злоумышленников и сумма перевода.

153 DrWeb

Компания «Доктор Веб» предупредила на своем сайте появлении в арсенале киберпреступников очередной вредоносной программы-бота, предназначенного для функционирования на мобильных устройствах под управлением ОС Android.

Троянец, продаваемый на закрытых хакерских интернет-площадках, является весьма серьезной угрозой для пользователей, т. к. может быть встроен в любое легитимное приложение и способен стать причиной не только раскрытия важных конфиденциальных сведений, но и принести финансовые убытки своим жертвам.

Троянец, внесенный в вирусную базу Dr.Web под именем Android.Dendroid.1.origin, продается на одном из подпольных хакерских форумов и представляет собой многофункциональную утилиту для удаленного администрирования (Remote Administration Tool или RAT), которая может быть встроена в любое безобидное приложение, что усложняет ее обнаружение потенциальной жертвой.

В распоряжении вирусных аналитиков компании «Доктор Веб» появился образец троянца Trojan.Skimer.19, способного инфицировать банкоматы одного из зарубежных производителей, используемые многочисленными банками на территории России и Украины. Это уже третий тип банкоматов, на которые ориентированы троянцы семейства Trojan.Skimer.

Согласно имеющейся у «Доктор Веб» информации, организованные злоумышленниками атаки на банковские системы с применением Trojan.Skimer.19 продолжаются и по сей день. Основной вредоносный функционал этого троянца, как и его предыдущих модификаций, реализован в виде динамической библиотеки, которая хранится в NTFS-потоке другого вредоносного файла, детектируемого антивирусным ПО Dr.Web как Trojan.Starter.2971.

Если в инфицированной системе используется файловая система NTFS, Trojan.Skimer.19 также хранит свои файлы журналов в потоках — в эти журналы троянец записывает треки банковских карт, а также ключи, используемые для расшифровки информации.

163 ESET

ESET представляет результаты анализа банковского трояна Win32/Corkow, ориентированного на российские и украинские системы дистанционного банковского обслуживания.

Win32/Corkow предназначен для кражи конфиденциальных данных для онлайн-банкинга. Он находился в эксплуатации с 2011 года и продемонстрировал непрерывную активность в прошлом году. Экспертами ESET обнаружены различные версии модулей Win32/Corkow, что указывает на непрерывный цикл его разработки.

По данным вирусной лаборатории компании, жертвами вредоносного ПО уже стали несколько тысяч пользователей в России и Украине. Win32/Corkow распространяется наиболее типичным на сегодняшний день методом – скрытая установка с использованием разного рода программных уязвимостей (drive-by download).

Компания ESET предупреждает о появлении нового трояна OSX/CoinThief, разработанного для кражи биткоинов.

Вредоносная программа заражает компьютеры на базе Mac OS X и распространяется через пиринговые сети. Эксперты обнаружили OSX/CoinThief на популярных файлообменниках под видом взломанных приложений для Mac OS X, среди которых Angry Birds, BBEdit, Pixelmator, Delicious Library. После заражения троян OSX/CoinThief устанавливает в браузере вредоносные компоненты для кражи аутентификационных данных для доступа к электронным кошелькам с биткоинами.

«Создатели трояна OSX/CoinThief пытаются нажиться на популярности Bitcoin и обменных курсах, предварительно очистив электронные счета пользователей криптовалюты, – говорит Грэм Клули, эксперт по информационной безопасности. – Как указывает исследовательская группа ESET, пользователи Mac, скачивающие и устанавливающие пиратское ПО, не только лишают разработчиков законного заработка, но и ставят под угрозу свои компьютеры и кошельки».

Компания «Доктор Веб» предупреждает о троянце Trojan.PWS.OSMP.21. Эта вредоносная программа заражает терминалы одной из наиболее популярных в России платежных систем.

Троянская программа Trojan.PWS.OSMP.21 распространяется в виде динамической библиотеки, которая проникает в терминал с использованием инфицированного флеш-накопителя. Также для этой угрозы обнаружена программа-дроппер. После проникновения в платежный терминал вредоносная библиотека копируется в папку Application Data под именем win.sxs и с использованием одной из своих функций прописывает себя в отвечающую за автозагрузку ветвь системного реестра Windows под именем Taskbar.

Затем другая функция ищет в системе запущенный процесс, относящийся к платежному функционалу терминала, и, если не обнаруживает его, запускает процедуру заражения флеш-накопителей. Если же искомое приложение оказывается активным, Trojan.PWS.OSMP.21 пытается получить из папки, в которой размещается исполняемый модуль данного приложения, конфигурационный файл config.dat, файлы журналов, а также собирает информацию о жестком диске устройства, после чего все эти данные в зашифрованном виде передаются на принадлежащий злоумышленникам сервер. В случае успешного завершения передачи троянец самоудаляется.

Компания «Доктор Веб» обнаружила троянца Trojan.PWS.Papras.4, обладающего чрезвычайно обширным вредоносным функционалом. Например, он способен красть пароли от множества популярных прикладных программ, передавать злоумышленникам содержимое заполняемых жертвой форм и открывать им возможность удаленного управления инфицированным компьютером.

Trojan.PWS.Papras.4 представляет собой приложение, которое можно отнести к категории RAT (Remote Administration Tool, т. е. средство удаленного администрирования). Оно позволяет злоумышленникам получить доступ к инфицированному компьютеру без ведома пользователя.

Троянец состоит из нескольких компонентов, одним из которых является дроппер, после своего запуска распаковывающий в одну из системных папок другой модуль — инжектор, и в зависимости от привилегий текущей учетной записи пользователя Windows модифицирующий соответствующую ветвь системного реестра для добавления его в автозагрузку. После успешного запуска инжектор извлекает и распаковывает основные модули троянской программы, а затем встраивает их во все запущенные процессы за исключением нескольких системных.

При этом Trojan.PWS.Papras.4 имеет возможность инфицировать как 32—, так и 64-разрядные процессы.

297 ESET

Компания ESET предупреждает об активизации банковского трояна Win32/Corkow, поражающего системы дистанционного банковского обслуживания. Атаки вредоносной программы направлены на пользователей из России и Украины, на них приходится 86% заражений.

Win32/Corkow – комплексная вредоносная программа, предназначенная для хищения аутентификационных данных для онлайн-банкинга. Первые ее модификации появились в 2011 году, но, в отличие от широко известного трояна Carberp, Corkow до сих пор не стал настолько известным.

Подобно другим банковским троянам, Win32/Corkow имеет модульную архитектуру. Это означает, что злоумышленники могут по мере необходимости расширять спектр его возможностей для хищения конфиденциальных данных. Как показано на диаграмме выше, больше всего заражений приходится на Россию и Украину (73 и 13% соответственно). Неудивительно, что эти страны пострадали больше других, так как Win32/Corkow имеет российское происхождение. Троян содержит вредоносный модуль, нацеленный на компрометацию системы онлайн-банкинга iBank2, которая используется российскими банками и их клиентами.

В базы антивируса «Доктор Веб» добавлен троянец под именем Trojan.CoinThief, предназначенный для хищения криптовалюты Bitcoin на компьютерах производства компании Apple.

Специалистам известно несколько модификаций Trojan.CoinThief, первые образцы этого троянца получили распространение еще осенью 2013 года, в период бурного роста курса электронной криптовалюты Bitcoin. Программа маскируется под легитимные утилиты для добычи (майнинга) этой криптовалюты, такие как, в частности, BitVanity, StealthBit, Bitcoin Ticker TTM, Litecoin Ticker. Trojan.CoinThief заражает компьютеры, работающие под управлением Mac OS X.

192 DrWeb

Специалисты компании «Доктор Веб» обращают внимание пользователей на то, что в последнее время чрезвычайно широкое распространение получили вредоносные программы, предназначенные для демонстрации в окне браузера навязчивой рекламы и подмены содержимого веб-страниц.

Опасность подобных троянцев заключается прежде всего в том, что они демонстрируют рекламные объявления на популярных сайтах, к которым пользователи относятся с высокой степенью доверия, а среди рекламируемых ресурсов нередко встречаются мошеннические сайты и веб-страницы, замеченные в распространении вредоносного ПО. Одной из таких угроз является троянец Trojan.Triosir.1, о появлении которого «Доктор Веб» предупреждает пользователей.

Имеются основания полагать, что к созданию и распространению троянца причастна новосибирская компания Trioris, работающая по следующей схеме монетизации: компания отыскивает какое-либо приложение, договаривается с его разработчиками и, добавив в состав программы дополнительные плагины, занимается ее распространением, либо заключает договор дистрибуции с третьей стороной — например, компанией Amonetize, распространяющей Trojan.Triosir.1 с использованием возможностей партнерской программы Installmonster.

Компания «Доктор Веб» предупреждает о распространении очередного рекламного троянца, получившего наименование Trojan.Admess.1.

Основное функциональное назначение данной вредоносной программы — подмена рекламных блоков при просмотре пользователем различных веб-страниц. Троянец Trojan.Admess.1, как и многие его предшественники, распространяется преимущественно с помощью вредоносной партнерской программы installmonster.ru (zipmonster) и маскируется под проигрыватель Adobe Flash. Троянец устанавливается как надстройка к браузерам Microsoft Internet Explorer, Mozilla Firefox, Opera и Google Chrome.

После успешной установки в инфицированной системе троянец реализует свой основной вредоносный функционал: подмену рекламных модулей (и демонстрацию новых) при просмотре пользователем различных веб-страниц. При этом Trojan.Admess.1 обладает специальными настройками для вывода рекламы на некоторых особенно популярных и посещаемых интернет-ресурсах: среди них — mail.ru, vk.com, odnoklassniki.ru, yandex.ru, yandex.ua, yandex.by, youtube.com, zaycev.net и ряд других.

Но даже при посещении сайтов, отсутствующих в списке «привилегированных», вредоносная программа все равно встраивает в них свои рекламные блоки.

Компания «Доктор Веб» представила новый раздел своего сайта, посвященный такой угрозе как банковские троянцы.

До сих пор вредоносные программы, способные похитить информацию о банковских картах и причинить серьезный финансовый ущерб отдельным людям или целым организациям, остаются насущной проблемой, отмечают разработчики. Пик распространения банковских троянцев пришелся на 2011 год, но и сегодня цифры продолжают оставаться пугающими: по оценкам специалистов, совокупный ежегодный ущерб от банковских троянцев составляет более полумиллиарда долларов. И эта сумма складывается в том числе из денег самых обычных людей, воспользовавшихся зараженными системами «банк-клиент».

«На их месте может оказаться каждый — если не будет заранее знать все о коварстве этой угрозы» — отмечается в сообщении. С новым проектом можно ознакомиться здесь.

Компания «Доктор Веб» предупреждает пользователей ОС Android о появлении опасного троянца, который располагается во встроенной flash-памяти инфицированных мобильных устройств и функционирует как буткит, запускаясь на ранней стадии загрузки операционной системы.

Это позволяет ему минимизировать возможность своего удаления без вмешательства в структуру файловой системы Android-устройств. В настоящее время данная вредоносная программа активна на более чем 350 000 мобильных устройств, принадлежащих пользователям из разных стран, таких как Испания, Италия, Германия, Россия, Бразилия, США, а также ряда государств Юго-восточной Азии.

Компания «Доктор Веб информирует об активном распространении через социальную сеть Facebook троянской программы Trojan.Zipvideom.1, устанавливающей на компьютер пользователя вредоносные расширения к браузерам.

Эти плагины препятствуют свободному просмотру веб-страниц, демонстрируя навязчивую рекламу. Trojan.Zipvideom.1 попадает на компьютеры жертв под видом обновления для браузерного плагина Adobe Flash. Также, согласно поступившей от пользователей информации, в начале 2014 года образцы данного троянца распространялись с использованием массовых рассылок сообщений в социальной сети Facebook. Если пользователь соглашается с рекомендацией обновить Adobe Flash Player, на его компьютер скачивается первый компонент троянца — программа FlashGuncelle.exe, при этом пользователю демонстрируется ход установки якобы обновления к Flash Player.

Далее FlashGuncelle.exe связывается с сервером злоумышленников и скачивает на компьютер жертвы следующий компонент троянца — дроппер, который устанавливает и запускает еще несколько компонентов вредоносной программы. Среди них — файл Flash_Plugin.exe, который модифицирует ветвь системного реестра, отвечающую за автозагрузку приложений, а затем скачивает и устанавливает плагины к браузерам Mozilla Firefox и Google Chrome.

153 DrWeb

Компания «Доктор Веб» информирует на своем сайте о распространении новой модификации вредоносной программы семейства Trojan.Mods, получившей наименование Trojan.Mods.10.

Создавшие этого троянца злоумышленники также поддались «модному» тренду декабря 2013 года: помимо других функциональных возможностей в Trojan.Mods.10 включен компонент для добычи криптовалюты Bitcoin.

Основное функциональное предназначение троянцев семейства Trojan.Mods, получивших широкое распространение еще весной 2013 года, — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса.

В результате вместо запрашиваемых интернет-ресурсов пользователь попадает на мошеннические веб-страницы, при этом в адресной строке браузера демонстрируется «правильный» URL, вследствие чего жертва может далеко не сразу распознать подмену.