Добавить в библиотеку

RU RU CN DE EN ES FR JP PL UA

«Доктор Веб»: обзор вирусной активности в феврале 2016 года

29 февраля 2016 года

В феврале 2016 года произошел целый ряд событий, имеющих самое непосредственное отношение к вопросам информационной безопасности. Так, в начале месяца специалисты «Доктор Веб» обнаружили опасного Android-троянца, способного встраиваться в системные процессы, а во второй половине февраля было выявлено сразу несколько опасных вредоносных программ для ОС Windows.

Главные тенденции февраля

Угроза месяца

Наиболее интересной с технической точки зрения вредоносной «новинкой» среди прочих, обнаруженных в феврале, можно назвать набор из трех действующих совместно Android-троянцев, получивших наименования Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3. Эти программы используют в своей работе библиотеку liblokih.so (ее Антивирус Dr.Web детектирует как Android.Loki.6) — компонент Android.Loki.3 встраивает ее в системные процессы, благодаря чему основной модуль, Android.Loki.1.origin, получает возможность действовать на зараженном устройстве с привилегиями пользователя system.

Следует отметить, что раньше Android-троянцы не могли похвастаться умением выполнять инжекты в процессы системных приложений, в связи с чем эта находка вирусных аналитиков компании «Доктор Веб» выглядит по-настоящему интересной. Android.Loki.1.origin обладает широким спектром функциональных возможностей, среди которых:

Входящий в комплект вредоносных программ троянец Android.Loki.2.origin предназначен для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для показа рекламы. Однако обладает он и весьма обширным набором шпионских функций, позволяющих злоумышленникам собирать большой объем информации о зараженном устройстве. Более подробные сведения об этих троянцах для Android можно получить, ознакомившись с соответствующей обзорной статьей.

По данным статистики лечащей утилиты Dr.Web CureIt!

По данным статистики лечащей утилиты Dr.Web CureIt! #drweb

По данным серверов статистики «Доктор Веб»

По данным серверов статистики «Доктор Веб» #drweb

Статистика вредоносных программ в почтовом трафике

Статистика вредоносных программ в почтовом трафике #drweb

Троянцы-шифровальщики

Троянцы-шифровальщики #drweb

Наиболее распространенные шифровальщики в феврале 2016 года:

Следует отметить, что почти половина зарегистрированных в феврале обращений в службу технической поддержки компании «Доктор Веб» от пользователей, файлы которых были зашифрованы троянцами-энкодерами, поступили из зарубежных стран.

Dr.Web Security Space 11.0 для Windows
защищает от троянцев-шифровальщиков

Этого функционала нет в лицензии Антивирус Dr.Web для Windows

Защита данных от потери
Превентивная защитаЗащита данных от потери

Подробней Смотрите видео о настройке

Другие вредоносные программы

О банковских троянцах семейства Trojan.Dyre многочисленные средства массовой информации сообщали с завидной регулярностью: эти вредоносные программы досаждают пользователям еще с середины 2014 года. Различные модификации Trojan.Dyre распространялись злоумышленниками с использованием партнерских программ по схеме CaaS — crime-as-a-service («преступление как услуга»). Участники программы получали специальный конструктор, с помощью которого генерировали новые образцы троянца. Также злоумышленники предоставляли в распоряжение своих партнеров специальную администраторскую панель, с помощью которой те могли управлять ботами. О том, как специалисты «Доктор Веб» борются с создателями и распространителями Trojan.Dyre, можно прочитать в опубликованной на сайте компании статье.

В середине февраля был обнаружен троянец Trojan.Proxy2.102, угрожающий клиентам нескольких крупных российских банков, — он позволяет злоумышленникам похищать деньги с банковских счетов. Для этого троянец устанавливает в системе корневой цифровой сертификат и изменяет настройки соединения с Интернетом, прописывая в них адрес принадлежащего злоумышленникам прокси-сервера.

screen Trojan.Proxy2.102 #drweb

С помощью этого прокси-сервера в страницы систем «банк-клиент» при открытии на инфицированном компьютере встраивается постороннее содержимое, позволяющее злоумышленникам похищать деньги с банковских счетов жертвы. Более подробная информация о троянце Trojan.Proxy2.102 изложена в соответствующем обзорном материале.

В конце месяца компания «Доктор Веб» сообщила о появлении троянца-загрузчика BackDoor.Andromeda.1407, примечательная особенность которого заключается в том, что он не работает на компьютерах, где установлена русская, украинская, белорусская или казахская национальная раскладка клавиатуры. В настоящее время этот бэкдор замечен в распространении нескольких опасных вредоносных приложений.

Опасные сайты

В течение февраля 2016 года в базу нерекомендуемых и вредоносных сайтов было добавлено 453 623 интернет-адреса.

Январь 2016Февраль 2016Динамика
+ 625 588+ 453 623- 27.5%
Нерекомендуемые сайты

Вредоносное и нежелательное ПО для мобильных устройств

Прошедший февраль был отмечен сразу несколькими инцидентами с участием Android-троянцев. Так, в начале месяца вирусные аналитики компании «Доктор Веб» исследовали целую группу многофункциональных вредоносных приложений семейства Android.Loki, предназначенных, в частности, для загрузки и установки различного ПО, показа рекламы, а также сбора конфиденциальной информации. Кроме того, в феврале злоумышленники вновь распространяли банковских троянцев среди пользователей Android-смартфонов и планшетов.

Наиболее заметные события, связанные с «мобильной» безопасностью в феврале:

Более подробно о вирусной обстановке для мобильных устройств в феврале читайте в нашем обзоре.

Узнайте больше с Dr.Web

Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live