DrWeb

Внедрение троянского функционала в легитимные приложения с последующим размещением их на различных сайтах — сборниках ПО и файлообменных сервисах — весьма популярный среди вирусописателей и давно известный специалистам по информационной безопасности способ доставки вредоносных программ на мобильные Android-устройства. Подобный механизм распространения троянцев значительно увеличивает шансы на то, что потенциальные жертвы успешно установят и будут использовать скомпрометированное приложение на своих смартфонах или планшетах — ведь они скачивают внешне безобидное ПО, которое обладает всеми функциональными возможностями оригинала. В действительности же вместе с искомой программой пользователи получают троянца, который работает незаметно для них и выполняет выгодные для вирусописателей действия.

Специалисты рекомендуют владельцам Android-устройств загружать приложения для онлайн-банкинга только из надежных источников, таких как каталог Google play или веб-сайты соответствующих кредитных организаций, говорится в сообщении «Доктор Веб».

С помощью центра управления осуществляется администрирование антивирусной системы, включая управление компонентами защиты: запуск быстрого или полного сканирования для выбранных станций или для всех станций выбранных групп, настройка реакции сканера Dr.Web на обнаружение вредоносных объектов, просмотр и управление файлами из карантина на выбранной станции или всех станциях выбранной группы.

Также администратору доступны просмотр и управление сообщениями о важных событиях посредством интерактивных Push-уведомлений, статистика о состоянии антивирусной сети и ряд других действий, упрощающих контроль уровня информационной безопасности.

Важнейшие изменения для сервера Dr.Web AV-Desk: в интернет-сервис была добавлена новая сетевая подсистема сервера Dr.Web, которая позволяет быстрее, чем ранее, работать с большим числом станций; для расширения возможностей установки агентов по сети был обновлен сканер сети, который позволяет производить поиск станций, находящихся в разных доменах; реализована поддержка кластера серверов Dr.Web и кластерного протокола, с помощью которого координируются действия над агентами с разных серверов.

Для продукта была реализована работа в режиме централизованной защиты с Dr.Web Enterprise Security Suite. Теперь Dr.Web для IBM Lotus Domino совместим с антивирусом Dr.Web 10.0 для файловых серверов Windows. В работе плагина используются вирусные базы Dr.Web версии 9.0, обновления происходят с единой зоны для продуктов Dr.Web 10.0 для Windows и MS Exchange.

Для новой версии плагина предусмотрен единый установщик независимо от разрядности ОС, установленной на защищаемом компьютере.

Dr.Web 10.0 для IBM Lotus Domino не совместим с продуктами Dr.Web версии 6.0, а также не поддерживает устаревшие ОС Windows 2000 и 2003×64.

Для обоих продуктов была устранена проблема перехода к приложению через значок в панели уведомлений и менеджер приложений, — эта проблема могла возникать на некоторых Android-устройствах. Также была устранена причина возможного аварийного завершения работы Dr.Web при сканировании.

Ряд изменений коснулся только продукта комплексной защиты Dr.Web для Android. Было внесено исправление для корректной работы облачного фильтра Dr.Web Cloud Checker с последними версиями Яндекс.Браузера. Также были исправлены ошибки в работе компонентов Антивор и Брандмауэр.

Во избежание аварийного завершения работы антивируса при просмотре списка уязвимостей внесены изменения в Аудитор безопасности.

Dr.Web Updater и модуль самозащиты также были обновлены в Антивирусе Dr.Web 10.0 для файловых серверов Windows, в Dr.Web для MS Exchange – только Dr.Web Updater. Обновление связано с исправлением выявленных ошибок. В модуле обновления для Dr.Web Security Suite и Антивируса Dr.Web была устранена проблема создания некорректного зеркала обновлений.

Обновление пройдет для пользователей автоматически, сообщает «Доктор Веб».

После установки этих программ пользователи смартфонов и планшетов под управлением ОС Android могут столкнуться с навязчивыми рекламными сообщениями, которые в ряде случаев мешают нормальной работе с мобильным устройством. Обнаруженный рекламный модуль внесен в вирусную базу Dr.Web как Adware.MobiDash.2.origin и представляет собой обновленную версию «агрессивной» рекламной платформы Adware.MobiDash.1.origin, известной с февраля 2015 года.

Как и его предшественник, Adware.MobiDash.2.origin начинает вредоносную активность не сразу после установки содержащего его приложения, а через определенный промежуток времени, снижая тем самым вероятность обнаружения пользователем источника рекламы, сообщает «Доктор Веб».

Android.Toorch.1.origin скрывается в безобидном на первый взгляд приложении-фонарике. При запуске этот троянец пытается получить root-привилегии для незаметной загрузки, установки и удаления приложений по команде злоумышленников, а также собирает сведения о зараженном мобильном устройстве. Кроме того, он способен отображать навязчивую рекламу.

Поскольку Android.Toorch.1.origin работает как полноценное приложение-фонарик, для пользователей его вредоносная деятельность заметна не сразу.

Более того, устанавливаемые им вредоносные модули помещаются в системный каталог, который не сканируется во время выполнения быстрой проверки антивирусными продуктами Dr.Web для Android.

Обновление связано с исправлением выявленных ошибок, говорится в сообщении компании.

Вредоносная программа, получившая наименование Linux.BackDoor.Sessox.1, регистрирует себя на инфицированной машине в параметрах автозагрузки. Затем троянец подключается к управляющему серверу, на котором работает чат, поддерживающий обмен текстовыми сообщениями по протоколу IRC — в этом чате бот и получает команды от злоумышленников.

Среди поддерживаемых троянцем команд можно перечислить следующие: зайти в чат-канал IRC с заданными регистрационными данными; передать на IRC-канал информацию о времени работы инфицированной машины (аптайм); сменить ник на заданный, сообщает «Доктор Веб».

Для Dr.Web Desktop Security Suite была устранена причина возможного аварийного завершения работы управляющего сервиса при функционировании подсистемы обнаружения станций. Для остальных продуктов в Dr.Web Control Service были внесены незначительные изменения.

Обновление пройдет для пользователей автоматически, однако потребует перезагрузки компьютеров, говорится в сообщении компании.

Троянец, получивший наименование VBS.BackDoor.DuCk.1, написан на языке Visual Basic и распространяется в виде файла ярлыка с расширением .lnk, в содержимое которого записан запакованный VBS-сценарий. При открытии ярлыка VBS-скрипт извлекается и сохраняется в виде отдельного файла, после чего происходит его запуск.

Для получения команд от управляющего сервера троянец с интервалом в одну минуту направляет на него соответствующий запрос. Среди специальных команд VBS.BackDoor.DuCk.1 может выполнить скачивание на инфицированный компьютер другого вредоносного приложения, либо с помощью запроса загрузить снимки экрана на удаленный сервер. Все остальные команды VBS.BackDoor.DuCk.1 передает командному интерпретатору CMD или PowerShell, сообщает «Доктор Веб».

Сертификация позволяет использовать Dr.Web Enterprise Security Suite версии 6.0 для защиты информации в организациях с повышенными требованиями к уровню безопасности, а также для защиты систем, содержащих документы с уровнем «Совершенно секретно».

Dr.Web Security Space, прошедший сертификацию Минобороны России, соответствует требованиям документов ФСТЭК России.

Троянец распространялся киберпреступниками в ходе таргетированной атаки, направленной на один из крупных российских концернов, в состав которого входят многочисленные предприятия преимущественно оборонного профиля.

Троянец BackDoor.Hser.1 распространялся с помощью целевой почтовой рассылки. Среди прочего, вредоносная программа способна по команде передавать на удаленный сервер список активных процессов на зараженном ПК, загрузить и запустить другое вредоносное приложение, а также открыть командную консоль и выполнить перенаправление ввода-вывода на принадлежащий киберпреступникам сервер, благодаря чему злоумышленники получают возможность дистанционного управления инфицированным компьютером.

Сигнатура троянца BackDoor.Hser.1 добавлена в вирусную базу Dr.Web, и потому эта вредоносная программа более не представляет опасности для пользователей.

Одним из критериев, по которым ИТ-специалисты компании остановили свой выбор именно на Dr.Web, стал тот факт, что «Доктор Веб» является российским производителем антивирусных средств защиты информации.

«Вместе с тем для нас важной особенностью продуктов Dr.Web стала возможность централизованной настройки и управления защитой, а также доступная стоимость лицензий», — отмечает Михаил Есин, начальник службы IT и связи ГУП «Международный аэропорт „Оренбург“».

В  марте владельцам компьютеров под управлением Windows снова угрожали многочисленные троянцы-энкодеры, рассылаемые киберпреступниками по электронной почте: в течение месяца число пострадавших от их действий пользователей, обратившихся за помощью в службу технической поддержки компании «Доктор Веб», выросло более чем на 20%.

Продолжают функционировать многочисленные ботнеты, за деятельностью которых внимательно следят специалисты по информационной безопасности.

На протяжении последних нескольких месяцев злоумышленники организовали множество спам-кампаний по распространению различных версий троянцев-шифровальщиков. Так, на текущей неделе участились случаи массовых рассылок по электронной почте посланий якобы от имени службы по передаче факсов через Интернет, имеющих заголовок «Incoming Fax Report».

В приложении к письму под видом факсимильного сообщения содержится ZIP-архив, внутри которого располагается вредоносный SCR-файл, являющийся исполняемым в операционных системах семейства Microsoft Windows. Данные SCR-файлы детектируются антивирусным ПО Dr.Web как Trojan.DownLoader11.32458.