Доктор веб обзор вирусной активности

Обновлено: 02.07.2024

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

17 декабря 2008 | «Доктор Веб»: Обзор вирусной активности в 2008 году.

Компания «Доктор Веб» подвела итоги анализа вирусной активности в Интернете в уходящем году.

Статистика распространения различных вредоносных программ в 2008 году

С начала 2008 года процент вредоносных программ в общем количестве просканированных объектов постоянно возрастал и достиг в апреле отметки, превышающей в 4 раза уровень начала года. Такая ситуация сохранилась до июля, после чего доля вредоносных файлов сократилась вдвое и составила к августу около 0,01% от числа проверенных объектов. До конца года данное процентное соотношение практически не менялось. Таким образом, на данный момент каждый 10 000-ый просканированный файл является инфицированным.

«Громкие» вирусы

В уходящем году наиболее заметными вредоносными программами были BackDoor.MaosBoot, Win32.Ntldrbot (Rustock.C) и различные модификации Trojan.Encoder.

BackDoor.MaosBoot запомнился тем, что прописывает себя в загрузочный сектор жёсткого диска и использует руткит-технологии для своего сокрытия в инфицированной системе. С января по март 2008 года были обнаружены несколько различных модификаций данного вируса.

Win32.Ntldrbot отличился тем, что использует одновременно множество методов своего сокрытия в системе, что позволяло оставаться ему незамеченным на протяжении нескольких месяцев. В частности, некоторые антивирусные разработчики считали этот вирус выдуманным и несуществующим.

Win32.Ntldrbot имеет мощный полиморфный протектор, реализованный в виде драйвера уровня ядра, а также функцию самозащиты. Кроме того, он противодействует отладке собственного кода, работает как файловый вирус, фильтрует обращения к заражённому файлу, внедряется в системные процессы, после чего начинает рассылку спама.

Разработчики компании «Доктор Веб» оперативно дорабатывали необходимые компоненты для эффективного противодействия BackDoor.MaosBoot и Win32.Ntldrbot, в результате чего Dr.Web оказался первым антивирусом, способным справляться с этими вредоносными программами штатными средствами без использования дополнительных утилит.

Известность в текущем году приобрел и троянец, получивший по классификации Dr.Web название Trojan.Encoder. При попадании в систему он шифрует документы пользователя, после чего предлагает заплатить автору вируса за утилиту дешифровки. В 2008 году распространялись сразу несколько модификаций данного троянца, отличающихся требуемыми суммами денег (в одном случае требовалось заплатить 10$, в другом — 89$), визуальными проявлениями в системе, а также длиной ключа, который применялся для шифрования файлов. Вирусные аналитики компании «Доктор Веб» оперативно добавляли новые модификации этого троянца в вирусную базу, а также разработали бесплатную утилиту, позволяющую расшифровать зашифрованные файлы. Данная утилита доступна для скачивания на официальном сайте компании «Доктор Веб».

Вредоносные почтовые рассылки

Для распространения Trojan.DownLoad.4419 использовались письма со ссылками на якобы порно-ролики. При открытии по ссылке страницы браузера, предлагалось скачать и установить «кодек» для просмотра ролика. В этом «кодеке» и содержался вредоносный код. Авторы Trojan.DownLoad.4419 практически при каждой рассылке модифицировали исполняемый файл. Не намного реже менялся упаковщик, который применялся к исполняемому файлу, что усложняло определение данного троянца антивирусными программами. Вирусные аналитики компании «Доктор Веб» оперативно добавляли записи Trojan.Packed, позволявшие определять множество различных модификаций Trojan.DownLoad.4419, в том числе неизвестные на момент обнаружения.

Для распространения различных модификаций Trojan.PWS.GoldSpy использовались более разнообразные методы – данный троянец распространялся как в виде электронных открыток, так и в виде писем, направленных на устрашение получателей. В частности, в них говорилось о блокировании интернет-аккаунта из-за нелегальных действий пользователя в Интернете. Благодаря широкому распространению Trojan.PWS.GoldSpy в течение последних месяцев, в почтовом трафике значительно возрос процент троянцев, в функционал которых входит воровство пользовательских паролей.

Социальные сети

Также были замечены рассылки якобы от имени администрации социальных сетей, которые на деле никакого отношения к ним не имели. Ссылки, указанные в них, вели обычно на подставные сайты, распространяющие вредоносный код.

Съёмные диски

Наряду с почтовыми рассылками, широкое распространение съёмных устройств привело к тому, что именно они стали одним из основных инструментов распространения вредоносных программ, в частности и для корпоративных пользователей. В базу Dr.Web они, как правило, заносятся под названием Win32.HLLW.Autoruner, т.к. для запуска вредоносных файлов используется механизм автозапуска программ, расположенных на съёмных устройствах, встроенный в операционные системы семейства Windows.

Широкое распространение вирусов, которые переносятся на съёмных устройствах, вынуждает руководство многих предприятий и госучреждений применять радикальные меры противодействия им – от использования специализированного ПО, призванного разграничивать доступ к съёмным устройствам различных групп сотрудников, до введения полного запрета на использование съёмных устройств.

Win32.Sector

Данный файловый вирус выделен в отдельный раздел, так как за 2008 год он причинил пользователям Интернета множество хлопот. В арсенал Win32.Sector входит заражение большинства исполняемых файлов, внедрение в системные процессы, загрузка и установка других вредоносных программ из Интернета, отключение компонента UAC, входящего в состав Windows Vista.

SMS-мошенничество

На подставном сайте пользователям под различным предлогом предлагается ввести свои приватные данные – параметры доступа к банковскому счёту, параметры аккаунта платного интернет-сервиса и пр. В последнее время фишинг-атакам подвергались клиенты JPMorgan Chase Bank, RBC Royal Bank, Google AdWords, PayPal, eBay и др.

Авторы вредоносных программ будут совершенствовать свои методики, в частности вероятно появление всё более сложных полиморфных упаковщиков и других способов затруднения анализа вредоносных файлов. Как и прежде, злоумышленники будут эксплуатировать уязвимости операционных систем и другого популярного ПО. Также прогнозируется постепенное увеличение содержания вредоносных программ, равно как и спама, в почтовом трафике в течение первых нескольких месяцев 2009 года.

В связи с тем, что антивирусные компании также постоянно совершенствуют технологии обнаружения и устранения последствий заражений вредоносными программами, некоторые кибер-преступники вынуждены менять свой род деятельности. К примеру, те, кто ранее ограничивался распространением писем с содержащимися в них ссылками на сайты (в частности с Trojan.DownLoad.4419), переходят на рассылку писем со ссылками на рекламные сайты.

Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

Вредонос получает права администратора, деактивировать которые невозможно.

Windows не предоставляет графический интерфейс для просмотра полного списка.

Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

На данный момент только компания AT&T прекратила использование супер cookie-файлов.

По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

«Доктор Веб»: обзор вирусной активности в феврале 2021 года

В феврале анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 25.07% по сравнению с январем. Количество уникальных угроз при этом снизилось — на 7.57%. Большинство самых распространенных угроз по-прежнему приходится на долю рекламных программ. В почтовом трафике активнее всего распространялись различные вредоносные скрипты, а также обфусцированные модификации бэкдора Bladabindi и стилера AgentTesla. Кроме того, пользователям продолжали угрожать программы, использующие уязвимости документов Microsoft Office.

Число обращений пользователей за расшифровкой файлов снизилось на 21.27% по сравнению с январем. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого приходится 21.45% всех инцидентов.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.SweetLabs.4 Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy. Adware.Elemental.17 Семейство рекламных программ, попадающих на устройства путем подмены ссылок на файлообменных сервисах. Вместо ожидаемых файлов жертвы получают эти приложения, которые показывают рекламу, а также инсталлируют ненужное ПО. Adware.Downware.19894 Adware.Downware.19629 Рекламное ПО, часто выступающее в роли промежуточного установщика пиратских программ. Adware.Softobase.15 Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.

Статистика вредоносных программ в почтовом трафике

JS.IFrame.811 Вредоносный скрипт, встраиваемый злоумышленниками в веб-страницы. Выполнение скрипта позволяет перенаправлять посетителей на нежелательные и опасные сайты, отображать навязчивую рекламу в браузере или отслеживать действия пользователя. W97M.DownLoader.2938 Семейство троянов-загрузчиков, использующих в работе уязвимости документов Microsoft Office. Предназначены для загрузки на атакуемый компьютер других вредоносных программ. Trojan.Packed2.42845 Модификация бэкдора Bladabindi, обфусцированная при помощи упаковщика. Bladabindi является распространенным трояном-бэкдором с широкими возможностями для удаленного управления зараженным компьютером. HTML.FishForm.63 Веб-страница, распространяющаяся посредством фишинговых рассылок. Представляет собой фиктивную форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Введенные пользователем данные отправляются злоумышленнику. Trojan.Packed2.42827 Одна из многочисленных модификаций AgentTesla, обфусцированная при помощи упаковщика.

Шифровальщики

Запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в феврале в антивирусную лабораторию «Доктор Веб» поступило на 21.27% меньше, чем в январе.

Trojan.Encoder.29750 — 7.27%
Trojan.Encoder.30356 — 3.27% — 1.82%

Опасные сайты

В течение февраля 2021 года интернет-аналитики «Доктор Веб» добавили в базу нерекомендуемых и вредоносных сайтов множество новых мошеннических и фишинговых ресурсов. Кроме эксплуатирования тематики с выплатами и компенсациями злоумышленники вернулись и к другим известным схемам заработка. Так, в феврале было выявлено множество ресурсов, имитирующих сайты частных кинотеатров.

Чтобы заставить потенциальную жертву приобрести билеты на сеанс на одном из таких сайтов, злоумышленники активно использовали различные методы социальной инженерии. После оплаты билетов пользователи просто теряли деньги, а данные банковских карт передавались операторам сайта. В ряде случаев после этого с жертвой связывалась «техническая поддержка» и под предлогом оформления возврата средств высылала еще одну форму для оплаты.

Кроме того, в феврале аналитики обнаружили несколько веб-сайтов, предлагающих посетителям просматривать видео за вознаграждение.

Вредоносное и нежелательное ПО для мобильных устройств

В феврале самыми распространенными Android-угрозами вновь стали троянские приложения, демонстрирующие рекламу, а также трояны, способные исполнять произвольный код и загружать различное ПО.

В течение прошедшего месяца специалисты компании «Доктор Веб» обнаружили множество угроз в каталоге Google Play. Среди них были многофункциональные трояны семейства Android.Joker, подписывающие пользователей на премиум-сервисы и выполняющие произвольный код, мошеннические трояны семейства Android.FakeApp, которые злоумышленники выдавали за полезное и безобидное ПО, рекламные трояны Android.HiddenAds, а также другие угрозы.

Наиболее заметные события, связанные с «мобильной» безопасностью в феврале:

рекламные трояны и трояны-загрузчики остаются одними из самых активных Android-угроз;
обнаружение угроз в каталоге Google Play;
высокая активность вредоносных приложений, применяемых в различных мошеннических схемах.

Более подробно о вирусной обстановке для мобильных устройств в феврале читайте в нашем обзоре.

Следуйте за нашими новостями в удобном для вас формате

Обзор вирусной активности за 2020 год от компании «Доктор Веб»

29 декабря 2020 года

Компания «Доктор Веб» представляет обзор вирусной активности за 2020 год. В уходящем году пользователи компьютеров и мобильных устройств столкнулись с новыми вредоносными программами и сетевым мошенничеством, а организации — с целевыми атаками и кибершпионажем.

В 2020 году массовой угрозой для пользователей стало не только распространение вредоносного ПО, но и развивающееся сетевое мошенничество. Согласно собранной статистике, антивирусные средства Dr.Web чаще всего обезвреживали различные троянские программы, шпионское ПО, вредоносные скрипты и многочисленных загрузчиков, которые скачивали другие опасные и ненужные программы. Уходящий год также отметился атаками на ряд предприятий и организаций, в процессе расследования которых вирусные аналитики «Доктор Веб» обнаружили и изучили множество образцов специализированного ВПО. Владельцы мобильных устройств под управлением ОС Android также не остались без внимания злоумышленников, активно распространявших вредоносные приложения, в том числе через каталог Google Play. Об этих и других событиях читайте в итоговом обзоре вирусной активности за прошедший год, опубликованном на нашем сайте.

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Поделитесь информацией с вашими друзьями в социальных сетях

Нам важно Ваше мнение

Android.Click.248.origin загружал мошеннические веб-страницы, на которых пользователей подписывали на дорогостоящие мобильные услуги. Кроме того, в Google Play была обнаружена вредоносная программа Android.FakeApp, распространявшаяся под видом известного ПО. Она переходила по заданным злоумышленниками ссылкам и накручивала счетчик посещений веб-сайтов. Среди других угроз, встретившихся в официальном каталоге приложений ОС Android, оказались троянцы семейства Android.HiddenAds, предназначенные для показа рекламы. Также в уходящем месяце специалисты по информационной безопасности выявили троянцев Android.Spy.456.origin и Android.Spy.457.origin, которых злоумышленники использовали для кибершпионажа. А в конце мая в вирусную базу Dr.Web была добавлена запись для детектирования новой версии коммерческой программы-шпиона Program.Onespy.

Мобильная угроза месяца
В уходящем месяце специалисты «Доктор Веб» выявили в каталоге Google Play троянца Android.Click.248.origin, которого злоумышленники распространяли под видом таких известных программ как Skype и Алиса (голосовой помощник от компании «Яндекс», в действительности недоступный в виде отдельного приложения).

Троянец загружал мошеннические веб-сайты, на которых пользователей подписывали на платные услуги.
По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.210.origin
Android.HiddenAds.222.origin / Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.
Android.SmsSend.1338.origin / Вредоносная программа, отправляющая СМС на платные номера.
Android.Mobifun.4 / Троянец, предназначенный для загрузки других Android-приложений.
Android.Xiny.1403 /Троянец, предназначенный для незаметной загрузки и установки других вредоносных приложений.

Adware.Adtiming.1.origin, Adware.Jiubang.2, Adware.Adpush.601 / Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Tool.SilentInstaller.1.origin, Tool.SilentInstaller.6.origin / Потенциально опасные программы, предназначенные для незаметного запуска приложений без вмешательства пользователя

Угрозы в Google Play
В мае в каталоге Google Play вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.FakeApp, распространявшегося под видом популярных приложений. По команде вирусописателей Android.FakeApp переходил по заданным ими ссылкам и загружал веб-сайты, накручивая счетчик их посещений.

Особенности троянца:
создан с использованием сервиса AppsGeyser, который за несколько элементарных шагов позволяет построить простые Android-программы;
распространялся под видом известных приложений;
не содержал никаких полезных функций;
выявлено 7 разработчиков, от имени которых троянец распространялся в Google Play.

Читайте также: