Обзор вирусной активности в сентябре 2016 года1 Узнайте больше Лаборатория-live | Вирусные обзоры | Горячая лента угроз | Вирусная библиотека Обзор вирусной активности в сентябре 2016 года Обзор вирусной активности в сентябре 2016 года2 Узнайте больше Лаборатория-live | Вирусные обзоры | Горячая лента угроз | Вирусная библиотека 30 сентября 2016 года В сентябре 2016 года специалисты компании «Доктор Веб» выявили и исследовали несколько вредоносных программ для операционных систем семейства Linux. В начале месяца был изучен троянец, напи- санный на языке Rust, а вскоре вирусные аналитики обнаружили еще одного троянца для Linux, предназначенного для проведения DDoS- атак. Кроме того, в конце сентября было изучено целое семейство DDoS-троянцев, способных работать в различных версиях Linux. Также вирусные аналитики «Доктор Веб» выявили новую вредонос- ную программу для мобильной платформы Android. Этот троянец способен встраиваться в системные процессы. Главные тенденции сентября§ Появление написанного на Rust троянца для Linux § Распространение новых Linux-троянцев для проведения DDoS-атак § Появление способного встраиваться в системные процессы троян- ца для Android Обзор вирусной активности в сентябре 2016 года3 Узнайте больше Лаборатория-live | Вирусные обзоры | Горячая лента угроз | Вирусная библиотека Угроза месяцаТроянцы, предназначенные для проведения атак на отказ в обслуживании, то есть DDoS-атак (англ. Distributed Denial of Service) — не редкость. Некоторые из них могут заражать компьютеры, работающие под управлением не только Microsoft Windows, но и Linux. Одной из таких вредоносных программ является Linux.Mirai Первую версию троянца Linux.Mirai вирусные аналитики «Доктор Веб» исследовали еще мае 2016 года. Эта вредоносная программа была добавлена в вирусные базы Dr.Web под именем Linux.DDoS.87 . Троянец работает на устройствах с архитектурой х86, ARM, MIPS, SPARC, SH-4 и M68K и имеет сходство с вредоносными программами семейства Linux.BackDoor.Fgt , об одном из представителей которого мы уже писали в 2014 году. Linux.DDoS.87 ищет на зараженном устройстве и прекращает работу дру- гих вредоносных программ. По команде злоумышленников он может осуществлять следующие виды атак: § UDP flood; § UDP flood over GRE; § DNS flood; § TCP flood (несколько разновидностей); § HTTP flood. В начале августа 2016 года было зафиксировано распространение следующей модификации этой вредоносной программы, которая получила наименование Linux. DDoS.89 . Этот троянец имеет множество общих черт со своим предшественником, однако прослеживаются и характерные отличия от Linux.DDoS.87 . Например, в обнов- ленной версии изменился порядок действий при запуске троянца, механизм защиты от самоудаления, а также из списка поддерживаемых типов атак исчез HTTP flood. Кроме того, в Linux.DDoS.89 появился новый компонент — telnet-сканнер, предназна- ченный для поиска в сети уязвимых устройств и несанкционированного подключения к ним по протоколу telnet. Наконец, совсем недавно был обнаружен еще один представитель этого семейства троянцев, получивший наименование Linux.Mirai . Троянец научился отключать предот- вращающий зависание операционной системы сторожевой таймер watchdog (чтобы исключить перезагрузку устройства), а в перечень выполняемых типов атак вернулся HTTP flood. Подробную информацию об этом семействе вредоносных программ можно получить, ознакомившись с опубликованной на сайте компании «Доктор Веб» обзорной статьей Обзор вирусной активности в сентябре 2016 года4 Узнайте больше Лаборатория-live | Вирусные обзоры | Горячая лента угроз | Вирусная библиотека По данным статистики лечащей утилиты Dr.Web CureIt!Наиболее распространенные вредоносные программы согласно статистике лечащей утилиты Dr.Web CureIt! § Trojan.Zadved Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена реклам- ных сообщений, демонстрируемых на различных сайтах. § Trojan.BtcMine.793 Представитель семейства вредоносных программ, который втайне от пользователя использует вычислительные ресурсы зараженного компьютера для добычи (майнинга) различных криптовалют, например, Bitcoin. § Trojan.DownLoader Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений. § Trojan.InstallCore.1903 Представитель семейства установщиков нежелательных и вредоносных приложений. Обзор вирусной активности в сентябре 2016 года5 Узнайте больше Лаборатория-live | Вирусные обзоры | Горячая лента угроз | Вирусная библиотека Узнайте больше Лаборатория-live | Вирусные обзоры | Горячая лента угроз | Вирусная библиотека По данным серверов статистики «Доктор Веб»Наиболее распространенные вредоносные программы в сентябре 2016 года согласно данным серверов статистики Dr.Web § Trojan.Zadved Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена реклам- ных сообщений, демонстрируемых на различных сайтах. § JS.Downloader Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы. § BackDoor.Bebloh.184 Один из представителей троянцев-бэкдоров, способных встраиваться в процессы других приложений и выполнять поступающие от злоумышленников команды. § Win32.HLLW.Shadow Червь, использующий для своего распространения съемные носители и сетевые диски. Кроме того, может распространяться по сети с использованием стандартного протокола SMB. Способен загружать с управляющего сервера и запускать исполняе- мые файлы. § Trojan.Bayrob.57 Троянец, способный похищать конфиденциальную информацию и выполнять на инфицированном компьютере другие нежелательные для пользователя действия. Обзор вирусной активности в сентябре 2016 года 6 Узнайте больше Лаборатория-live | Вирусные обзоры | Горячая лента угроз | Вирусная библиотека Статистика вредоносных программ в почтовом трафике Наиболее распространенные вредоносные программы, выявленные в почтовом трафике в сентябре 2016 года § JS.Downloader Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы. § W97M.DownLoader Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредо- носных программ. По данным бота Dr.Web для Telegram Вредоносные программы, обнаруженные ботом Dr.Web для Telegram в сентябре
Обзор вирусной активности в сентябре 2016 года7 Узнайте больше Лаборатория-live | Вирусные обзоры | Горячая лента угроз | Вирусная библиотека § Joke.Locker.1.origin Программа-шутка для ОС Android, блокирующая экран мобильного устройства и выводящая на него изображение «синего экрана смерти» ОС Windows (BSOD, Blue Screen of Death). § Android.Locker.139.origin Представитель семейства Android-троянцев, предназначенных для вымогательства денег. Различные модификации этих вредоносных программ могут демонстриро- вать навязчивое сообщение якобы о нарушении закона и последовавшей в связи с этим блокировкой мобильного устройства, для снятия которой пользователям предлагается заплатить определенную сумму. § Android.Backdoor.428.origin Представитель семейства Android-троянцев, предназначенных для выполнения поступающих от злоумышленников команд. В зависимости от функционала кон- кретных модификаций вредоносных приложений среди выполняемых ими дей- ствий могут быть отправка СМС-сообщений, открытие определенных URL в бра- узере, сбор информации об устройстве, включая сведения из телефонной книги, загрузка других программ и т. п. § Android.Spy Семейство многофункциональных троянцев, заражающих мобильные устройства под управлением ОС Android. Могут читать и записывать контакты, принимать и отправлять СМС-сообщения, определять GPS-координаты, читать и записывать закладки браузера, получать сведения об IMEI мобильного устройства и номере мобильного телефона. § Trojan.PWS.Spy.11887 Представитель семейства троянцев для ОС Windows, способных похищать конфи- денциальную информацию, в том числе пароли пользователя. Троянцы-шифровальщикиКоличество запросов на расшифровку, поступивших в службу технической поддержки «Доктор Веб» Обзор вирусной активности в сентябре 2016 года8 Узнайте больше Лаборатория-live | Вирусные обзоры | Горячая лента угроз | Вирусная библиотека В сентябре в службу технической поддержки компании «Доктор Веб» чаще всего обра- щались пользователи, пострадавшие от следующих модификаций троянцев-шифро- вальщиков: § Trojan.Encoder.717 — 25,64% обращений; § Trojan.Encoder.602 — 21,53% обращений; § Trojan.Encoder.143 — 5,11% обращений; § Trojan.Encoder.126 — 4,51% обращений; § Trojan.Encoder.119 — 4,26% обращений. Dr.Web Security Space 11.0 для Windows защищает от троянцев-шифровальщиковЭтого функционала нет в лицензии Антивирус Dr.Web для Windows Превентивная защита Защита данных от потери Подробней Смотрите видео о настройке Обзор вирусной активности в сентябре 2016 года9 Узнайте больше Лаборатория-live | Вирусные обзоры | Горячая лента угроз | Вирусная библиотека Опасные сайтыВ течение сентября 2016 года в базу нерекомендуемых и вредо-носных сайтов было добавлено 298 985 интернет-адресов.Август 2016Сентябрь 2016Динамика+ 245 394 + 298 985 +21,8% Нерекомендуемые сайты Вредоносные программы для LinuxВ первой половине сентября вирусные аналитики «Доктор Веб» исследовали вредонос- ную программу для ОС семейства Linux, получившую название Linux.BackDoor.Irc.16 Особенность этого троянца заключается в том, что он написан на языке Rust, — раньше аналитики не встречали троянцев, созданных с использованием этой технологии. Linux. BackDoor.Irc.16 выполняет поступающие от злоумышленников команды. Для их получе- ния троянец использует протокол обмена текстовыми сообщениями IRC (Internet Relay Chat). Подробнее об этом трояне рассказано в специально подготовленной компанией «Доктор Веб» обзорной статье Вскоре было зафиксировано распространение еще одного Linux-троянца: Linux. DDoS.93 . Эта вредоносная программа в полном соответствии со своим названием предназначена для осуществления DDoS-атак и может выполнять следующие команды злоумышленников: § обновить вредоносную программу; § скачать и запустить указанный в команде файл; § самоудалиться; § начать атаку методом UDP flood на указанный порт; § начать атаку методом UDP flood на случайный порт; § начать атаку методом Spoofed UDP flood; § начать атаку методом TCP flood; Обзор вирусной активности в сентябре 2016 года10 Узнайте больше Лаборатория-live | Вирусные обзоры | Горячая лента угроз | Вирусная библиотека § начать атаку методом TCP flood (в пакеты записываются случайные данные длиной 4096 байт); § начать атаку методом HTTP flood с использованием GET-запросов; § начать атаку методом HTTP flood с использованием POST-запросов; § начать атаку методом HTTP flood с использованием HEAD-запросов; § отправить на 255 случайных IP-адресов HTTP-запросы с указанными параметрами; § завершить выполнение; § отправить команду “ping”. Подробнее о Linux.DDoS.93 рассказано в опубликованном нами обзорном материале Вредоносное и нежелательное ПО для мобильных устройств В сентябре вирусные аналитики компании «Доктор Веб» обнаружили новые версии распространенных троянцев Android.Xiny , предназначенных для незаметной загрузки и установки разнообразного ПО без согласия пользователей. Выявленные троянцы научились внедряться в процессы системных приложений и могут запускать дополнительные программные модули. Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре: § обнаружение новых представителей троянцев семейства Android.Xiny , которые могут встраиваться в процессы системных приложений и запускать вредоносные плагины. Более подробно о вирусной обстановке для мобильных устройств в сентя- бре читайте в нашем обзоре Обзор вирусной активности в сентябре 2016 года11 Узнайте больше Лаборатория-live | Вирусные обзоры | Горячая лента угроз | Вирусная библиотека О компании «Доктор Веб» «Доктор Веб» — российский производитель антивирусных средств защиты информа- ции под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года. Компания — ключевой игрок на российском рынке программных средств обеспечения базовой потребности бизнеса — безопасности информации. «Доктор Веб» — один из немногих антивирусных вендоров в мире, владеющих соб- ственными уникальными технологиями детектирования и лечения вредоносных про- грамм. Компания имеет свою антивирусную лабораторию, глобальную службу вирус- ного мониторинга и службу технической поддержки. Стратегической задачей компании, на которую нацелены усилия всех сотрудников, является создание лучших средств антивирусной защиты, отвечающих всем современ- ным требованиям к этому классу программ, а также разработка новых технологических решений, позволяющих пользователям встречать во всеоружии любые виды компью- терных угроз. Полезные ресурсыВебIQметр | Центр противодействия кибер-мошенничеству Пресс-центрОфициальная информация | Контакты для прессы | Брошюры | Галерея КонтактыЦентральный офис 125124, Россия, Москва, 3-я улица Ямского поля, вл. 2, корп.12а www.антивирус.рф | www.drweb.ru | www.mobi.drweb.com | www.av-desk.ru «Доктор Веб» в других странах© ООО «Доктор Веб», 2003-2016
Поделитесь с Вашими друзьями: |