19 июля 2017 года

Вирусные аналитики компании «Доктор Веб» исследовали многофункционального банковского троянца Android.BankBot.211.origin, который вынуждает пользователей предоставить ему доступ к специальным возможностям (Accessibility Service). С их помощью вредоносная программа управляет мобильными устройствами и крадет конфиденциальную информацию клиентов кредитно-финансовых организаций. В самом начале наблюдения троянец атаковал только жителей Турции, однако вскоре список его целей расширился, и теперь он угрожает пользователям десятков стран.

Android.BankBot.211.origin распространяется под видом безобидных приложений, например, проигрывателя Adobe Flash Player. После того как пользователь устанавливает и запускает троянца, банкер пытается получить доступ к специальным возможностям (Accessibility Service). Для этого Android.BankBot.211.origin показывает окно с запросом, которое при каждом его закрытии появляется вновь и не дает работать с устройством.

Режим специальных возможностей упрощает работу с Android-смартфонами и планшетами и применяется в том числе для помощи пользователям с ограниченными возможностями. Он позволяет программам самостоятельно нажимать на различные элементы интерфейса, такие как кнопки в диалоговых окнах и системных меню. Вынудив пользователя предоставить троянцу эти полномочия, Android.BankBot.211.origin с их помощью самостоятельно добавляется в список администраторов устройства, устанавливает себя менеджером сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана. Все эти действия сопровождаются показом системных запросов, которые можно вовсе не заметить, т. к. вредоносная программа мгновенно подтверждает их. Если же владелец устройства в дальнейшем пытается отключить какую-либо из полученных Android.BankBot.211.origin функций, банкер не позволяет это сделать и возвращает пользователя в предыдущие системные меню.

После успешного заражения троянец подключается к управляющему серверу, регистрирует на нем мобильное устройство и ожидает дальнейших команд. Android.BankBot.211.origin способен выполнять следующие действия:

• отправлять СМС с заданным текстом на указанный в команде номер;
• передавать на сервер сведения об СМС, которые хранятся в памяти устройства;
• загружать на сервер информацию об установленных приложениях, список контактов и сведения о телефонных вызовах;
• открывать заданную в команде ссылку;
• изменять адрес командного центра.

Кроме того, вредоносная программа отслеживает все входящие СМС и также передает их киберпреступникам.

Помимо стандартных команд, злоумышленники могут отправлять троянцу специальные директивы. В них в зашифрованном виде содержится информация о приложениях, которые банкеру необходимо атаковать. При получении таких команд Android.BankBot.211.origin может:

• показывать поддельные формы ввода логина и пароля поверх запускаемых банковских программ;
• отображать фишинговое окно настроек платежного сервиса с запросом ввода информации о банковской карте (например, при работе с программой Google Play);
• блокировать работу антивирусов и других приложений, которые могут помешать троянцу.

Android.BankBot.211.origin может атаковать пользователей любых приложений. Киберпреступникам достаточно лишь обновить конфигурационный файл со списком целевых программ, который банкер получает при соединении с управляющим сервером. Например, в начале наблюдения за троянцем вирусописателей интересовали только клиенты кредитных организаций Турции, однако позднее к ним добавились жители других стран, среди которых Германия, Австралия, Польша, Франция, Англия и США. На момент публикации этого материала в списке атакуемых троянцем программ содержится более 50 приложений, предназначенных для работы с платежными системами и ДБО, а также другое ПО.

Ниже представлены примеры мошеннических окон, которые может показывать Android.BankBot.211.origin:

Троянец также собирает информацию обо всех запускаемых приложениях и действиях, которые пользователь в них выполняет. Например, он отслеживает доступные текстовые поля, такие как элементы меню, а также фиксирует нажатия на кнопки и другие компоненты пользовательского интерфейса.

Кроме того, Android.BankBot.211.origin способен похищать логины, пароли и другую аутентификационную информацию, которую пользователь вводит в любых программах и на любых сайтах при авторизации. Для кражи паролей троянец делает скриншот при каждом нажатии клавиатуры, в результате чего он получает необходимую последовательность символов до того, как они будут скрыты. После этого информация, которая указывается в видимых полях, и все сохраненные скриншоты передаются на управляющий сервер.

Так как Android.BankBot.211.origin препятствует собственному удалению, для борьбы с ним необходимо выполнить следующие действия:

• загрузить зараженный смартфон или планшет в безопасном режиме;
• зайти в системные настройки и перейти к списку администраторов устройства;
• найти троянца в этом списке и отозвать у него соответствующие права (при этом вредоносная программа попытается напугать владельца устройства, предупредив о неизбежной потере всех важных данных, однако это лишь уловка, и никакой опасности для файлов нет);
• перезагрузить устройство, выполнить его полное сканирование антивирусом и удалить троянца после окончания проверки.

Все известные модификации Android.BankBot.211.origin детектируются антивирусом Dr.Web, поэтому для наших пользователей этот банкер опасности не представляет.

Подробнее о троянце

19 июля 2017 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web — сообщает о развертывании интернет-сервиса Dr.Web AV-Desk индонезийской ИТ-компанией ESPINAT DATA GLOBAL, чьи бизнес-клиенты теперь имеют возможность подписки на услугу «Антивирус Dr.Web».

Воспользоваться антивирусной защитой в формате SaaS могут более полусотни корпоративных клиентов ESPINAT DATA GLOBAL.

Еще при тестировании системы специалисты индонезийской компании убедились в стабильности работы интернет-сервиса, а также простоте его развертывания и администрирования. Они отмечают наличие полного спектра функций поддержки как пользователей, так и системного администратора.

«Внедрение Dr.Web AV-Desk прошло быстро и без сложностей — мы уверены в том, что делаем, благодаря четкому руководству и поддержке команды "Доктор Веб". Сервис обеспечивает полный контроль комплексной информационной безопасности клиентов», — рассказывает о своих впечатлениях генеральный директор ESPINAT DATA GLOBAL Ризал Мухаммад (Rizal Muhammad).

О компании ESPINAT DATA GLOBAL

ESPINAT DATA GLOBAL — поставщик услуг в сфере информационно-коммуникационных технологий в Индонезии. Цель партнерства с клиентами — помочь им быть готовыми к цифровой эпохе. Компания зарекомендовала себя как ценный партнер на протяжении всего жизненного цикла своих проектов.

Об интернет-сервисе Dr.Web AV-Desk

Интернет-сервис Dr.Web AV-Desk создан специалистами компании «Доктор Веб» в 2007 году. На сегодняшний день установку Dr.Web AV-Desk осуществили более 350 провайдеров и компаний, предоставляющих ИТ-услуги в различных регионах России, а также во Франции, Нидерландах, Испании, Украине, Эстонии, Литве, Казахстане и ряде других стран.

www.av-desk.com

19 июля 2017 года

Компания «Доктор Веб» сообщает о продлении лицензий на продукты корпоративного антивирусного комплекса Dr.Web Enterprise Security Suite в образовательных учреждениях Кировского района Санкт-Петербурга. Сублицензии предоставила компания «Софт Билдинг».

Dr.Web защищает рабочие станции и серверы образовательных учреждений Кировского района Санкт-Петербурга.

Компьютерные сети школ и гимназий, которые используются в учебном процессе, наиболее подвержены риску вирусных заражений, потому что каждый компьютер такой сети является многопользовательским, а перенос информации с одного компьютера на другой с помощью сменных носителей трудно контролировать. Понимая все угрозы безопасности и риски взаимодействия детей и подростков с современной цифровой средой, Отдел образования Кировского района Санкт-Петербурга развернул антивирусную систему защиты Dr.Web во всех образовательных учреждениях Кировского района Санкт-Петербурга, и сейчас более четырех тысяч рабочих станций и десятки серверов надежно защищены от вирусных эпидемий и сетевых угроз.

«Централизованное управление антивирусной защитой позволяет системному администратору с одного рабочего места устанавливать необходимые настройки безопасности, — комментирует представитель Отдела образования Кировского района Санкт-Петербурга Андрей Ланцов. — Также для школ очень востребована функция Родительского контроля, благодаря которой возможно оградить учащихся от посещения сайтов с контентом, который может напугать детей или навредить их здоровью».

При продлении действия лицензий образовательные учреждения Кировского района Санкт-Петербурга воспользовались специальными условиями продления для образовательных и медицинских учреждений.

О компании «Софт Билдинг»

ООО «Софт Билдинг» — поставщик программного обеспечения и оборудования. За 14 лет работы на рынке компания реализовала тысячи проектов для крупных компаний и государственных организаций по всей России. В портфеле предложений «Софт Билдинг» — широкий ассортимент оборудования и комплектующих, ПО для автоматизации бизнес-процессов и обеспечения информационной безопасности. Специалисты компании проходят регулярную сертификацию.

softb.ru

18 июля 2017 года

Компания «Доктор Веб» сообщает об обновлении модуля Dr.Web Updater (11.0.26.07040), агента SpIDer Agent for Windows (11.0.16.07121), Dr.Web Security Space, Anti-virus for Windows setup (11.0.16.07070), а также конфигурационных скриптов Lua-script for dwprot (11.0.6.07070) и Lua-script for av-service (11.0.6.07070) в ряде продуктов Dr.Web. Обновление связано с исправлением выявленных ошибок и внесением внутренних изменений.

В модуль обновления были внесены изменения, направленные на улучшение взаимодействия с серверами обновлений Dr.Web.

В агенте была исправлена ошибка, приводившая к аварийному завершению его работы в момент старта на компьютерах под управлением ОС Windows Server 2008 SP2. Кроме того, для Dr.Web Enterprise Security Suite 10.0 и 10.1 устранена причина «падения» агента при его переводе из пользовательского режима в административный.

В Lua-script for av-service устранена проблема, из-за которой продукт для защиты рабочих станций не мог обновиться в системе, в которой ранее был установлен ES-агент.

Обновление пройдет автоматически.

18 июля 2017 года

Компания «Доктор Веб» сообщает об обновлении бота Dr.Web для Telegram. Обновление связано с добавлением новых функциональных возможностей и исправлением выявленных ошибок.

В рамках обновления лимит объема проверяемых объектов увеличен до 20 МБ, а уведомление по умолчанию для новых чатов изменено на следующее: «Сообщать только об угрозах».

Вместе с тем устранена ошибка работы с кириллическими и арабскими символами в названии проверяемых файлов и исправлен сбой при загрузке файлов с серверов Telegram.

Для использования бота достаточно найти аккаунт @DrWebBot в мессенджере Telegram (или перейти по адресу telegram.me/drwebbot) и отправить файл или ссылку — бот «на лету» проверит их по вирусной базе и сообщит о результатах.

17 июля 2017 года

До очередного розыгрыша призов осталось десять дней — достаточно времени, чтобы заработать недостающие баллы и Dr.Web-ки, необходимые для участия в аукционе, а также тщательно обдумать предстоящие ставки. Компания «Доктор Веб» уже подготовила интересные призы для участников, осталось только выбрать! Розыгрыш состоится 27 июля.

Делайте ставки: открыты лоты июльского аукциона Dr.Web.

Как обычно, участники проекта ВебIQметр могут выиграть не только обычные, но и специальные призы — в июле это рубашка поло с паучком Dr.Web, МР3-плеер, универсальное переносное зарядное устройство, настенные часы, веб-камера с микрофоном и годовые лицензии на Dr.Web Security Space для 1 ПК/Mac. Также среди специальных лотов июльского аукциона мы представляем полезную новинку — фонарик.

Все остальные участники — владельцы аккаунтов на сайте антивирус.рф и сертифицированные пользователи, сдавшие любой экзамен группы DWCERT-030-X, смогут сделать ставки на сумочку Dr.Web со стразами, наборы для путешествий, пылесосы для клавиатуры, подставки под горячее, наборы из коврика и беспроводной мыши, а также лицензии на антивирусы для 1 ПК/Mac — Dr.Web Security Space (1 год или 6 мес.) и Dr.Web KATANA (6 мес.).

Аукцион состоится в четверг, 27 июля, приглашаем делать ставки.

13 июля 2017 года

29 июня на сайте компании «Доктор Веб» были опубликованы результаты расследования целевой кибератаки на российские аптеки и фармацевтические компании, в котором, в частности, говорилось о механизме заражения компьютеров с использованием процедуры обновления программного продукта «ePrica», разрабатываемого компанией «Спарго Технологии».

Через некоторое время на официальном сайте «Спарго Технологии» было размещено сообщение о распространении ООО «Доктор Веб» недостоверной информации и нарушении деловой этики. Также был опубликован и комментарий заместителя генерального директора по информационным технологиям ЦВ «Протек» Виктора Горбунова (по данным официального сайта компании «Протек», «ePrica» — совместный продукт компаний ЗАО «ЦВ Протек» и «Спарго Технологии»). Напомним, г-н Горбунов заявил об абсолютной безопасности программных продуктов, используемых в работе клиентами ЦВ «Протек», в связи с тем, что программа «ePrica» внесена в Единый реестр российских программ для ЭВМ и баз данных.

10 июля на официальном сайте «Спарго Технологии» было опубликовано опровержение-извинение перед Министерством связи и массовых коммуникаций Российской Федерации и уточнение, что сведения о проведении «полной технической экспертизы, в том числе, проверки исходного кода, всех дистрибутивов и алгоритмов действий», при включении ПП «ePrica» в Единый реестр российских программ для электронных вычислительных машин и баз данных являются недостоверными: www.spargo.ru/about-company/news/691-2017-07-10-13-22-11.html.

12 июля портал Vademecum опубликовал сообщение генерального директора АО «Спарго Технологии» Георгия Хечинашвили о том, что: 1) АО «Спарго Технологии» направило ООО «Доктор Веб» запрос «о предоставлении информации, необходимой для изучения ситуации» и 2) «Только после получения и изучения данной информации компания «Спарго Технологии» сможет прокомментировать ситуацию».

Стоит сразу отметить, что, вопреки заявлению генерального директора АО «Спарго Технологии» о том, что «Спарго Технологии» сможет прокомментировать ситуацию «только после получения и изучения» информации, запрошенной 12 июля у компании «Доктор Веб», до текущего момента отсутствие данной информации не мешало ни АО «Спарго Технологии», ни г-ну Горбунову (от лица ЦВ «Протек») выступать с комментариями, опровержениями и обвинениями.

В этот же день, 12 июля, в компанию «Доктор Веб» поступил первый и на текущий момент единственный за все время с момента публикации результатов расследования запрос от АО «Спарго Технологии».

Должны признаться, нас весьма удивил список вопросов, которые задала нам компания – разработчик ПО. Механизм распространения вредоносного кода, о котором мы писали 29 июня, равно как и прочие технические детали, АО «Спарго Технологии» по какой-то причине не заинтересовали. Заинтересовал лишь список обращавшихся к нам с жалобами клиентов АО «Спарго Технологии», а также то, кому мы сообщили о своей находке до публикации на своем сайте.

Учитывая серьезность ситуации, мы решили воспользоваться своим сайтом как площадкой для ответа на запрос компании «Спарго Технологии». Итак, по пунктам.

1. Нас обвиняют в том, что опубликованные нами материалы содержат сведения, наносящие ущерб деловой репутации АО «Спарго Технологии».

   Отвечаем: сведения могут быть признаны наносящими ущерб чьей-либо деловой репутации, только если они не соответствуют действительности и не являются достоверными. Мы отвечаем за достоверность опубликованных нами сведений, но при этом не считаем, что они наносят ущерб деловой репутации АО «Спарго Технологии». Саму же компанию АО «Спарго Технологии», как мы видим, интересует не технический аспект опубликованных нами сведений (хотя данные сведения могли бы помочь АО «Спарго Технологии» в изучении ситуации), а лишь круг лиц, которому эта информация могла быть доступна до публикации на нашем сайте.

2. Относительно просьбы предоставить список клиентов «Спарго Технологии», которые, по нашим сведениям, пострадали от якобы распространенного этой компанией вируса.

   Отвечаем: во-первых, как мы неоднократно подчеркивали, мы нигде и ни в какой форме не сообщали о распространении компанией «Спарго Технологии» вредоносного ПО. Во-вторых, изучая само вредоносное ПО и пути его проникновения на компьютеры аптек, мы никоим образом не изучали вопрос, чьими клиентами эти аптеки являются. Этот аспект атаки нас не интересовал, поэтому списков у нас нет и быть не может. А обращались к нам НАШИ клиенты, у которых антивирус Dr.Web выявил присутствие троянца семейства Backdoor.Dande.

3. По поводу просьбы «а также пояснить, в чем выражалась зловредность воздействия» –

   Отвечаем: мы не используем в работе термин «зловредность», когда говорим о компьютерных вирусах. Мы используем те определения, которые даны в статье 273 Уголовного кодекса РФ «Создание, использование и распространение вредоносных компьютерных программ». А именно:

   «Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации».

4. По поводу просьбы «приложить копии обращений и жалоб, поступивших к вам по этому вопросу» –

   Отвечаем: все обращения от наших клиентов защищены политикой конфиденциальности, опубликованной на нашем сайте. Защита конфиденциальности этой информации – краеугольный камень нашей работы. Поэтому никакой информации в связи с указанной просьбой мы предоставить не можем.

5. По поводу просьбы проинформировать компанию «Спарго Технологии» обо всех третьих лицах, которым было передано содержание опубликованных материалов до момента их размещения на нашем сайте –

   Отвечаем: мы не считаем целесообразным удовлетворять эту просьбу, поскольку нам она непонятна и вызывает удивление.

13 июля 2017

На портале государственных услуг Российской Федерации (gosuslugi.ru) специалисты компании «Доктор Веб» обнаружили внедрённый неизвестными потенциально вредоносный код. В связи с отсутствием реакции со стороны администрации сайта gosuslugi.ru мы вынуждены прибегнуть к публичному информированию об угрозе.

Дату начала компрометации, а также прошлую активность по этому вектору атаки, установить на данный момент не представляется возможным. Вредоносный код заставляет браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.

В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. На текущий момент специалистами обнаружено не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие адреса намеренно неинформативных наименований. Как минимум для 5 из них диапазон адресов принадлежит компаниям, зарегистрированным в Нидерландах. За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен, либо ответ не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код.

На данный момент сайт gosuslugi.ru по-прежнему скомпрометирован, информация передана в техническую поддержку сайта, но подтверждения принятия необходимых мер по предотвращению инцидентов в будущем и расследования в прошлом не получено. «Доктор Веб» рекомендует проявлять осторожность при использовании портала государственных услуг Российской Федерации до разрешения ситуации. ООО «Доктор Веб» рекомендует администрации сайта gosuslugi.ru и компетентным органам осуществить проверку безопасности сайта.

Любой пользователь может проверить наличие кода самостоятельно, использовав поисковый сервис и задав запрос о поиске следующей формулировки:

site:gosuslugi.ru "A1996667054"

12 июля 2017 года

Компания «Доктор Веб» объявляет об изменении в правилах программы лояльности «Я + Dr.Web». С 17 июля добавить свою коммерческую лицензию в программу лояльности и получить за это награду можно будет только по ссылке из письма о регистрации серийного номера.

С 17 июля меняются правила указания лицензий в программе «Я + Dr.Web»

Это изменение означает, что в «Я + Dr.Web» теперь можно будет заявить только новые лицензии. По прежним правилам (пока еще действующим) указать серийный номер можно непосредственно на странице программы лояльности. Так что до 17 июля вы можете успеть заявить не только новые, но и старые, возможно уже истекшие лицензии Dr.Web.

Напомним, что за эту активность вам будут начислены Dr.Web-ки, которые можно обменять на подарочные сертификаты или реальные призы на ежемесячных аукционах. Бесплатные демо- и ОЕМ-лицензии в программе не участвуют.

Спасибо за то, что вы с нами, а если вдруг еще нет – скорее заведите аккаунт на нашем сайте и присоединяйтесь к программе «Я + Dr.Web»!

11 июля 2017 года

Компания «Доктор Веб» сообщает об обновлении агента SpIDer Agent for Windows (11.0.15.07070) в продуктах Dr.Web Security Space 11.0, Антивирус Dr.Web 11.0, Антивирус Dr.Web 11.0 для файловых серверов Windows, Dr.Web Enterprise Security Suite 10.0 и 10.1, а также Dr.Web AV-Desk 10.0. Обновление связано с исправлением выявленной ошибки.

В агенте была исправлена ошибка, которая приводила к сбросу ранее заданного набора правил для приложений при манипуляциях с ними в настройках брандмауэра.

Обновление пройдет автоматически.

7 июля 2017 года

Компания «Доктор Веб» отвечает на обвинения компании «Спарго Технологии» и поясняет выявленные факты промышленного шпионажа за российскими аптеками.

После того как компания «Доктор Веб» опубликовала результаты расследования целенаправленной атаки на множество сетей российских аптек и фармацевтические компании с использованием вредоносной программы семейства BackDoor.Dande, на официальном сайте акционерного общества «Спарго Технологии» было размещено сообщение, утверждающее, что «компания DrWeb», нарушая нормы деловой этики, распространяет заведомо ложную и недостоверную информацию о содержании вирусных файлов в программе «ePrica». «Доктор Веб» вступается за тезку и помогает компании «Спарго Технологии» разобраться в ситуации.

Необходимо отметить, во-первых, что компания «Спарго Технологии» перед публикацией своего обращения за дополнительной информацией в компанию «Доктор Веб» не обращалась и сочла возможным обвинить нас, при этом намеренно исказив суть опубликованной нами информации.

Во-вторых, на момент, когда компания «Доктор Веб» в 2012 году начала свое расследование, заражению подверглись более 2800 аптек и российских фармацевтических компаний (по данным Службы вирусного мониторинга нашей компании). К слову сказать, жалобы от наших клиентов и стали причиной начала расследования. На данный же момент обнаруженный специалистами компании «Доктор Веб» шпионский модуль BackDoor.Dande.61 определяет как вредоносное программное обеспечение 41 производитель антивирусных программ из 63, представленных на ресурсе Virustotal.

В-третьих, важно отметить, что в программе ePrica вредоносных файлов не содержалось, соответственно, компания «Доктор Веб» и не могла об этом ничего писать. ePrica — это приложение, разработанное компанией «Спарго Технологии», которое позволяет руководителям аптек проанализировать расценки на медикаменты и выбрать оптимального поставщика. Используемая этой программой динамическая библиотека PriceCompareLoader.dll имеет экспортируемые функции, выполняющие запуск библиотек в памяти. PriceCompareLoader.dll вызывается из PriceComparePm.dll. Эта библиотека пытается скачать с сайта полезную нагрузку, расшифровать ее с помощью алгоритма AES и запустить из памяти. Троянец загружался с сайта http://ws.eprica.ru, принадлежащего компании «Спарго Технологии» и предназначенного для обновления программы ePrica. При этом модуль, скрытно загружавший вредоносную программу сразу в память компьютера, имел действительную цифровую подпись «Спарго», и именно такая схема скрытной загрузки вредоносной программы и привела к необходимости столь длительного расследования с целью определения источника заражения. Похищенную с зараженных компьютеров коммерческую информацию троянец выгружал на серверы за пределами России. Иными словами, как и в ситуации с Trojan.Encoder.12544, распространявшимся через ПО M.E.Doc, бэкдор был скрыт в модуле обновления программы.

В-четвертых, заявления «Спарго Технологии» о чистоте и безопасности выпускаемых решений в связи с внесением программы ePrica в Единый реестр российских программ являются безосновательными, так как этот реестр никак не связан с вопросами безопасности программных продуктов. Комментирует Евгения Василенко, исполнительный директор АРПП «Отечественный софт», член Экспертного совета по развитию отрасли информационных технологий, эксперт Временной комиссии Совета Федерации по развитию информационного общества:

Таким образом, информация, распространяемая компанией «Спарго Технологии» относительно гарантированной безопасности программного обеспечения «Спарго Технологии» только на основании включения его в Единый реестр отечественного ПО, может ввести в заблуждение и дезинформировать клиентов данной компании.

6 июля 2017 года

Компания «Доктор Веб» сообщает об обновлении модуля Dr.Web Updater (11.0.26.06260), управляющего сервиса Dr.Web Control Service (11.0.16.06200 и 11.0.14.06070) и агента SpIDer Agent for Windows 11.0.14.06290) в ряде продуктов Dr.Web. Обновление связано с исправлением выявленных ошибок.

Изменение в модуле обновления для всех продуктов:

• оптимизирована работа с серверами обновлений.

Изменение в модуле обновления для Dr.Web Enterprise Security Suite:

• устранена проблема, из-за которой при получении мультикаст-обновлений для станций мог увеличиваться трафик.

Изменения в Dr.Web Control Service для Dr.Web Security Space, Антивируса Dr.Web, Антивируса Dr.Web для файловых серверов Windows и Dr.Web Enterprise Security Suite:

• доработана система интеграции с Windows Security Center (Action Center);
• исправлена проблема, при которой при обезвреживании потенциально опасных файлов не учитывалось действие, выбранное для этого типа угроз в настройках файлового монитора SpIDer Guard.

Изменения в Dr.Web Control Service для Dr.Web Enterprise Security Suite и Dr.Web AV-Desk:

• устранена проблема, при которой после применения со стороны консоли команды «Обновить все компоненты» некоторые станции могли не получать обновления;
• исправлена ошибка, при которой после восстановления связи с сервером со станции не отправлялась информация о запущенных по расписанию заданиях (для Dr.Web Enterprise Security Suite 10.1).

Изменение в агенте для Dr.Web Security Space, Антивируса Dr.Web, Антивируса Dr.Web для файловых серверов Windows, Dr.Web Enterprise Security Suite и Dr.Web AV-Desk:

• внесено исправление для восстановления только «чистых» файлов после повторного сканирования нескольких объектов в карантине.

Изменение в агенте для Dr.Web Enterprise Security Suite:

• cкорректировано переключение языков через консоль на сервере.

Обновление пройдет автоматически.

5 июля 2017 года

Компания «Доктор Веб» сообщает об участии компании «Доктор Веб — Центральная Азия» — представительства российского разработчика средств информационной безопасности под маркой Dr.Web в странах Центральной Азии — в Международной специализированной выставке EXPO-2017, которая проходит с 10 июня по 10 сентября в г. Астане, в качестве партнера по информационной безопасности.

Компания «Доктор Веб — Центральная Азия» обеспечивает ИБ-защиту объектов EXPO-2017 в г. Астане.

В рамках партнерства с АО НК «Астана ЭКСПО-2017» компания «Доктор Веб — Центральная Азия» предоставляет лицензии на продукты корпоративного антивирусного комплекса Dr.Web Enterprise Security Suite для комплексной защиты ИТ-инфраструктуры Международной специализированной выставки EXPO-2017 в г. Астане, а также осуществляет техническую поддержку по развертыванию и сопровождению антивирусной системы защиты на информационных системах объектов EXPO-2017.

Об EXPO-2017

Международная специализированная выставка EXPO-2017 на тему «Энергия будущего» пройдет в Астане в период с 10 июня по 10 сентября. Специально для этой выставки был построен целый город в городе общей площадью 174 гектара, в котором расположились 115 павильонов стран со всего мира.

На момент открытия выставки было продано свыше 1 млн билетов. Информационный охват EXPO-2017 составил более 1 млрд человек.

expo2017astana.com

5 июля 2017 года

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play игру со встроенным троянцем-загрузчиком. Это вредоносное приложение может без ведома пользователей загружать, устанавливать и запускать другое ПО. Троянца скачали более 1 000 000 владельцев мобильных устройств.

Вредоносное приложение, получившее имя Android.DownLoader.558.origin, встроено в популярную игру BlazBlue, которую загрузили более 1 000 000 пользователей. Этот троянец является частью специализированного программного комплекса (SDK, Software Development Kit) под названием Excelliance, предназначенного для автоматизации и упрощения обновления Android-программ.

В отличие от стандартной процедуры обновления, когда старая версия приложения полностью заменяется новой, указанный SDK позволяет загружать необходимые компоненты по отдельности без переустановки всего программного пакета. Это дает разработчикам возможность поддерживать версию установленного на мобильных устройствах ПО в актуальном состоянии даже если пользователи самостоятельно не следят за выходом его новых версий. Однако платформа Excelliance работает как троянец-загрузчик, поскольку может скачивать и запускать непроверенные компоненты приложений. Такой способ обновления нарушает правила каталога Google Play, т. к. он представляет опасность.

Android.DownLoader.558.origin начинает работу при первом старте программы или игры, в которую он встроен. Троянец вместе с другими элементами приложения извлекается из каталога с его ресурсами и расшифровывается. После этого он самостоятельно загружается при каждом подключении мобильного устройства к Интернету, даже если пользователь больше не запускает зараженное приложение.

Троянский модуль отслеживает сетевую активность и пытается соединиться с управляющим сервером. В зависимости от настроек сервера в ответ Android.DownLoader.558.origin может получить команду на загрузку того или иного программного компонента. Например, в случае с игрой BlazBlue модуль предлагает скачать недостающие файлы, а также обновления, если они доступны.

Помимо дополнительных ресурсов приложения и его обновлений Android.DownLoader.558.origin способен загружать отдельные apk-, dex- и elf-файлы. При этом их запуск в некоторых случаях может выполняться без ведома пользователя. Например, исполнение кода загруженных dex-файлов происходит автоматически и не требует каких-либо действий со стороны владельца устройства.

В то же время при установке скачиваемых apk-файлов пользователь видит стандартное диалоговое окно, однако при наличии root-доступа в системе Android.DownLoader.558.origin может устанавливать их совершенно незаметно. В этом и заключается главная опасность SDK Excelliance. Его авторы в любое время могут отдать команду на загрузку объектов, никак не связанных с основным приложением, – например, рекламных модулей, сторонних программ и даже других троянцев, которые могут быть скачаны в обход каталога Google Play и запущены без разрешения.

Специалисты «Доктор Веб» уведомили компанию Google об опасном поведении троянского компонента в SDK, который используется в игре BlazBlue, однако на момент выхода этого материала в каталоге Google Play для скачивания все еще была доступна ее версия с Android.DownLoader.558.origin.

Приложения, в которые встроен этот троянец, детектируются как Android.RemoteCode.81.origin и успешно удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей опасности не представляют.

Подробнее о троянце

4 июля 2017 года

Аналитики компании «Доктор Веб» исследовали модуль обновления M.E.Doc и обнаружили его причастность к распространению как минимум еще одной вредоносной программы. Напоминаем, что, по сообщениям независимых исследователей, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, также известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал именно модуль обновления популярной на территории Украины программы для ведения налоговой отчетности M.E.Doc.

В сообщениях утверждается, что первоначальное распространение червя Trojan.Encoder.12544 осуществлялось посредством популярного приложения M.E.Doc, разработанного украинской компанией Intellect Service. В одном из модулей системы обновления M.E.Doc с именем ZvitPublishedObjects.Server.MeCom вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.

Специалисты «Доктор Веб» обратили внимание на этот ключ реестра в связи с тем, что этот же путь использует в своей работе троянец-шифровальщик Trojan.Encoder.12703. Анализ журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, показал, что энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc:

Запрошенный с зараженной машины файл ZvitPublishedObjects.dll имел тот же хэш, что и исследованный в вирусной лаборатории «Доктор Веб» образец. Таким образом, наши аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. Дальнейшее исследование показало, что этот бэкдор может выполнять в инфицированной системе следующие функции:

• сбор данных для доступа к почтовым серверам;
• выполнение произвольных команд в инфицированной системе;
• загрузка на зараженный компьютер произвольных файлов;
• загрузка, сохранение и запуск любых исполняемых файлов;
• выгрузка произвольных файлов на удаленный сервер.

Весьма интересным выглядит следующий фрагмент кода модуля обновления M.E.Doc — он позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1:

Именно таким образом на компьютерах жертв был запущен троянец-шифровальщик, известный как NePetya, Petya.A, ExPetya и WannaCry-2 (Trojan.Encoder.12544).

В одном из своих интервью, которое было опубликовано на сайте агентства Reuters, разработчики программы M.E.Doc высказали утверждение, что созданное ими приложение не содержит вредоносных функций. Исходя из этого, а также учитывая данные статического анализа кода, вирусные аналитики «Доктор Веб» пришли к выводу, что некие неустановленные злоумышленники инфицировали один из компонентов M.E.Doc вредоносной программой. Этот компонент был добавлен в вирусные базы Dr.Web под именем BackDoor.Medoc.

Подробнее о троянце

3 июля 2017 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за июнь 2017 года. В прошедшем месяце в каталоге Google Play было обнаружено сразу несколько новых троянцев и потенциально опасных программ. Кроме того, в июне вирусописатели распространяли опасного вымогателя, шифровавшего файлы на картах памяти.

3 июля 2017 года

В июне вирусные аналитики «Доктор Веб» обнаружили Android-троянца, который шпионил за иранскими владельцами мобильных устройств и выполнял команды злоумышленников. Кроме того, в прошедшем месяце в каталоге Google Play было найдено сразу несколько вредоносных приложений. Одно из них пыталось получить root-доступ, внедрялось в системные библиотеки и могло незаметно устанавливать ПО. Другие – отправляли СМС с премиум-тарификацией и подписывали пользователей на дорогостоящие услуги. Также в Google Play распространялись потенциально опасные программы, работа с которыми могла привести к утечке конфиденциальной информации. Помимо этого в июне был выявлен новый Android-шифровальщик.

Мобильная угроза месяца

В июне вирусные аналитики компании «Доктор Веб» обнаружили Android-троянца Android.Spy.377.origin, который распространялся среди иранских пользователей. Эта вредоносная программа собирала конфиденциальную информацию и передавала ее злоумышленникам. Кроме того, она могла выполнять команды вирусописателей.

Особенности Android.Spy.377.origin:

• распространяется под видом безобидных приложений;
• крадет СМС-переписку, контакты из телефонной книги и данные об учетной записи Google;
• может делать фотографии при помощи фронтальной камеры;
• управляется злоумышленниками через протокол Telegram.

Подробнее об этом троянце рассказано в соответствующей новостной публикации.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.83.origin

Android.HiddenAds.76.origin

Android.HiddenAds.85.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.DownLoader.337.origin

Троянская программа, предназначенная для загрузки других приложений.

Android.Triada.264.origin

Представитель многофункциональных троянцев, выполняющих разнообразные вредоносные действия.

По данным антивирусных продуктов Dr.Web для Android

Adware.Jiubang.1

Adware.SalmonAds.1.origin

Adware.Batmobi.4

Adware.Avazu.8.origin

Adware.Leadbolt.12.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Угрозы в Google Play

В прошедшем месяце специалисты компании «Доктор Веб» обнаружили в каталоге Google Play потенциально опасные программы, которые позволяли работать с заблокированными на территории Украины социальными сетями «ВКонтакте» и «Одноклассники». Эти приложения, добавленные в вирусную базу как Program.PWS.1, задействовали сервер-анонимайзер для обхода ограничения доступа, однако никак не шифровали логин, пароль и другую конфиденциальную информацию пользователей. Более подробно об этом случае рассказано в материале, размещенном на сайте «Доктор Веб».

Также в июне в Google Play были выявлены троянцы семейства Android.Dvmap. При запуске эти вредоносные программы пытаются получить на мобильном устройстве root-доступ, после чего заражают некоторые системные библиотеки и устанавливают дополнительные компоненты. Эти троянцы могут выполнять команды злоумышленников, а также загружать и запускать другие приложения без участия пользователя.

Другие Android-троянцы, распространявшиеся через каталог Google Play в июне, были добавлены в вирусную базу Dr.Web как Android.SmsSend.1907.origin и Android.SmsSend.1908.origin. Злоумышленники встроили их в безобидные программы. Эти вредоносные приложения отправляли СМС на платные номера, подписывая абонентов мобильных операторов на дорогостоящие услуги. После этого троянцы начинали удалять все поступающие сообщения, чтобы пользователи не получали уведомлений с информацией об успешном подключении ненужных премиум-сервисов.

Троянец-шифровальщик

В июне был обнаружен троянец-вымогатель Android.Encoder.3.origin, который атаковал китайских пользователей ОС Android и шифровал файлы на SD-карте. Авторы этого энкодера вдохновились нашумевшим троянцем-шифровальщиком WannaCry, в мае 2017 года поразившим сотни тысяч компьютеров по всему миру. Вирусописатели использовали аналогичный стиль оформления сообщения с требованием выкупа за расшифровку.

Злоумышленники требовали у пострадавших выкуп в размере 20 юаней, при этом каждые 3 дня сумма удваивалась. Если через неделю после заражения мобильного устройства киберпреступники не получали деньги, Android.Encoder.3.origin удалял зашифрованные файлы.

Вредоносные и потенциально опасные программы для ОС Android попадают на мобильные устройства не только при загрузке с различных веб-сайтов, но также и при скачивании из каталога Google Play. Владельцам смартфонов и планшетов необходимо с осторожностью устанавливать неизвестные приложения, а также использовать антивирусные продукты Dr.Web для Android.

3 июля 2017 года

Компания «Доктор Веб» представляет обзор вирусной активности в июне 2017 года. Первый летний месяц ознаменовался массовым распространением опасного червя-шифровальщика, известного как Petya, Petya.A, ExPetya и WannaCry-2. Также в июне было выявлено и исследовано несколько вредоносных программ для ОС Windows и Linux.

3 июля 2017 года

Самым заметным событием первого летнего месяца 2017 года стала эпидемия червя-шифровальщика Trojan.Encoder.12544, упоминаемого в СМИ как Petya, Petya.A, ExPetya и WannaCry-2. Эта вредоносная программа заразила компьютеры множества организаций и частных лиц в различных странах мира. В начале июня вирусные аналитики «Доктор Веб» исследовали две вредоносные программы для Linux. Одна из них устанавливает на инфицированном устройстве приложение для добычи криптовалют, вторая — запускает прокси-сервер. В середине месяца был обнаружен еще один троянец-майнер, но в этом случае он угрожал пользователям ОС Windows. Также в июне было выявлено несколько новых вредоносных программ для мобильной платформы Android.

Главные тенденции июня

Угроза месяца

В первой половине дня 27 июня появились первые сообщения о распространении опасного червя-шифровальщика, которого пресса окрестила Petya, Petya.A, ExPetya и WannaCry-2. Аналитики «Доктор Веб» назвали его Trojan.Encoder.12544. На самом деле с троянцем Petya (Trojan.Ransom.369) у этой вредоносной программы общего не много: схожа лишь процедура шифрования файловой таблицы. Троянец заражает компьютеры при помощи того же набора уязвимостей, которые ранее злоумышленники использовали для внедрения троянца WannaCry. Trojan.Encoder.12544 получает список локальных и доменных пользователей, авторизованных на зараженном компьютере. Затем он ищет доступные на запись сетевые папки, пытается открыть их с использованием полученных учетных данных и сохранить там свою копию. Некоторые исследователи утверждали, что для предотвращения запуска шифровальщика достаточно создать в папке Windows файл perfc, но это не так. Червь действительно выполняет проверку своего повторного запуска по наличию в системной папке файла с именем, соответствующим имени троянца без расширения, но стоит злоумышленникам изменить исходное имя троянца, и создание в папке C:\Windows\ файла с именем perfc без расширения (как советуют некоторые антивирусные компании) уже не спасет компьютер от заражения. Кроме того, троянец осуществляет проверку наличия файла только при наличии у него достаточных привилегий в операционной системе.

Trojan.Encoder.12544 портит VBR (Volume Boot Record), копирует оригинальную загрузочную запись Windows в другой участок диска, предварительно зашифровав ее с использованием алгоритма XOR, а вместо нее записывает свою. Далее он создает задание на перезагрузку и шифрует файлы на стационарных дисках компьютера. После перезагрузки червь демонстрирует на экране зараженного ПК текст, напоминающий сообщение стандартной утилиты для проверки дисков CHDISK.

В это время Trojan.Encoder.12544 шифрует MFT (Master File Table). Завершив шифрование, Trojan.Encoder.12544 демонстрирует на экране требование злоумышленников об уплате выкупа.

Вирусные аналитики компании «Доктор Веб» полагают, что Trojan.Encoder.12544 изначально был рассчитан не на получение выкупа, а на уничтожение зараженных компьютеров: во-первых, вирусописатели использовали только один почтовый ящик для обратной связи, который вскоре после начала эпидемии был заблокирован. Во-вторых, ключ, который демонстрируется на экране зараженного компьютера, представляет собой случайный набор символов и не имеет ничего общего с реальным ключом шифрования. В-третьих, передаваемый злоумышленникам ключ не имеет ничего общего с ключом, используемым для шифрования таблицы размещения файлов, поэтому вирусописатели никак не смогут предоставить жертве ключ расшифровки диска. Подробнее о принципах работы Trojan.Encoder.12544 можно прочитать в новостной статье или в техническом описании.

Первоначальным источником распространения троянца была система обновления программы MEDoc — популярного на территории Украины средства ведения налогового учета. Специалисты компании «Доктор Веб» уже знакомы с подобной схемой распространения вредоносных программ. В 2012 году наши вирусные аналитики выявили целенаправленную атаку на сеть российских аптек и фармацевтических компаний с использованием троянца-шпиона BackDoor.Dande. Он похищал информацию о закупках медикаментов из специализированных программ, которые используются в фармацевтической индустрии. Троянец загружался с сайта http://ws.eprica.ru, принадлежащего компании «Спарго Технологии» и предназначенного для обновления программы для мониторинга цен на медикаменты ePrica. Подробнее об этом инциденте рассказано в нашем новостном материале, а детали расследования изложены в техническом описании.

По данным статистики Антивируса Dr.Web

• Trojan.InstallCore
  Семейство установщиков нежелательных и вредоносных приложений.
• Trojan.Kbdmai.16
  Представитель семейства рекламных троянцев. Одна из функций этой вредоносной программы – открытие в окне браузера различных веб-сайтов.
• Trojan.DownLoader
  Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
• Trojan.Moneyinst.69
  Вредоносная программа, устанавливающая на компьютер жертвы различное ПО, в том числе других троянцев.
• Trojan.Encoder.11432
  Сетевой червь, запускающий на компьютере жертвы опасного троянца-шифровальщика. Известен также под именем WannaCry.

По данным серверов статистики «Доктор Веб»

• JS.DownLoader
  Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
• JS.Inject.3
  Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
• Trojan.InstallCore
  Семейство установщиков нежелательных и вредоносных приложений.
• Trojan.Kbdmai.37
  Представитель семейства рекламных троянцев. Одна из функций этой вредоносной программы – открытие в окне браузера различных веб-сайтов.
• Trojan.DownLoader
  Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Статистика вредоносных программ в почтовом трафике

• JS.DownLoader
  Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
• W97M.DownLoader
  Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
• Trojan.PWS.Stealer
  Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

По данным бота Dr.Web для Telegram

• Android.Locker.139.origin, Android.Locker.1733
  Представители семейства Android-троянцев, предназначенных для вымогательства. Они показывают навязчивое сообщение якобы о нарушении закона и о последовавшей в связи с этим блокировке мобильного устройства, для снятия которой пользователю предлагается заплатить определенную сумму.
• Win32.HLLP.Neshta
  Файловый вирус, известный вирусным аналитикам с 2005 года. Заражает файлы EXE PE, размер которых не меньше 41472 байт. При заражении пишет себя в начало инфицированного файла, а оригинальное начало переносит в конец файла. Содержит строчку: «Neshta 1.0 Made in Belarus».
• EICAR Test File
  Специальный текстовый файл, предназначенный для тестирования работоспособности антивирусов. Все антивирусные программы при обнаружении такого файла должны реагировать на него в точности таким же образом, как в случае выявления какой-либо реальной компьютерной угрозы.
• Android.Androrat.1.origin
  Шпионская программа, работающая на устройствах под управлением ОС Android.

В июне в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 28.51% обращений;
• Trojan.Encoder.10103 — 8.10% обращений;
• Trojan.Encoder.567 — 5.54% обращений;
• Trojan.Encoder.11432 — 4.10% обращений;
• Trojan.Encoder.10144 — 2.36% обращений.

В течение июня 2017 года в базу нерекомендуемых и вредоносных сайтов был добавлен 229 381 интернет-адрес.

Вредоносные программы для ОС Linux

В начале июня вирусные аналитики компании «Доктор Веб» исследовали двух троянцев для ОС Linux. Один из них — Linux.MulDrop.14 — атакует исключительно миникомпьютеры Raspberry Pi. Троянец представляет собой скрипт, в теле которого хранится сжатое и зашифрованное приложение-майнер, которое предназначено для добычи криптовалют. Второй троянец, добавленный в вирусные базы под именем Linux.ProxyM, атаковал пользователей еще с февраля 2017 года, но своего пика атаки достигли во второй половине мая. График зафиксированной специалистами «Доктор Веб» активности троянца Linux.ProxyM представлен ниже.

Значительная часть IP-адресов, с которых осуществляются атаки, расположена на территории России. На втором месте — Китай, на третьем — Тайвань. Распределение источников атак с использованием Linux.ProxyM по географическому признаку показано на следующей иллюстрации:

Более подробная информация об этих вредоносных программах изложена в опубликованной на нашем сайте статье.

Другие события в сфере информационной безопасности

Вредоносные программы, которые используют вычислительные ресурсы инфицированных компьютеров для добычи (майнинга) криптовалют, появились вскоре после появления самих криптовалют: первый троянец семейства Trojan.BtcMine был добавлен в вирусные базы Dr.Web в 2011 году. Обнаруженный в июне Trojan.BtcMine.1259 — очередной представитель этого вредоносного семейства. Trojan.BtcMine.1259 предназначен для добычи криптовалюты Monero (XMR). Он скачивается на компьютер троянцем-загрузчиком Trojan.DownLoader24.64313, который, в свою очередь, распространяется с помощью бэкдора DoublePulsar.

Помимо своей основной функции Trojan.BtcMine.1259 расшифровывает и загружает в память хранящуюся в его теле библиотеку, которая представляет собой модифицированную версию системы удаленного администрирования с открытым исходным кодом Gh0st RAT (детектируется Антивирусом Dr.Web под именем BackDoor.Farfli.96). С использованием этой библиотеки злоумышленники могут управлять инфицированным компьютером и выполнять на нем различные команды. Модуль, добывающий криптовалюту Monero (XMR), может загружать расчетами до 80% вычислительных ресурсов зараженной машины. Троянец содержит как 32-, так и 64-разрядную версию майнера. Соответствующая реализация троянца используется на зараженном компьютере в зависимости от разрядности операционной системы. Более подробная информация об архитектуре и принципах работы этого троянца изложена в опубликованной на нашем сайте обзорной статье.

Вредоносное и нежелательное ПО для мобильных устройств

В июне вирусные аналитики «Доктор Веб» обнаружили троянца Android.Spy.377.origin, который атаковал иранских пользователей мобильных устройств. Эта вредоносная программа передавала киберпреступникам конфиденциальную информацию и могла выполнять их команды. Также в июне специалисты «Доктор Веб» выявили в каталоге Google Play потенциально опасные программы, предназначенные для подключения к заблокированным на территории Украины социальным сетям «ВКонтакте» и «Одноклассники». Эти приложения, добавленные в вирусную базу Dr.Web как Program.PWS.1, использовали сервер-анонимайзер для обхода ограничения доступа и не обеспечивали защиту передаваемых данных.

Кроме того, в прошедшем месяце через каталог Google Play распространялись троянцы Android.SmsSend.1907.origin и Android.SmsSend.1908.origin, которые отправляли СМС на платные номера и подписывали пользователей на дорогостоящие услуги. Помимо этого, в вирусную базу были внесены записи для троянцев семейства Android.Dvmap. Эти вредоносные приложения пытались получить root-доступ, заражали системные библиотеки, устанавливали дополнительные компоненты и могли по команде вирусописателей скачивать и запускать ПО без ведома пользователя.

Еще один Android-троянец, обнаруженный в июне, получил имя Android.Encoder.3.origin. Он предназначался для китайских пользователей и после заражения мобильных устройств шифровал файлы на SD-карте, требуя выкуп за их восстановление.

Наиболее заметные события, связанные с «мобильной» безопасностью в июне:

• обнаружение Android-троянца, шпионившего за иранскими пользователями;
• выявление в каталоге Google Play новых угроз;
• распространение троянца-энкодера, который шифровал файлы на карте памяти и требовал выкуп за их расшифровку.

Более подробно о вирусной обстановке для мобильных устройств в июне читайте в нашем обзоре.

30 июня 2017 года

Компания «Доктор Веб», российский производитель антивирусных средств защиты информации, и компания «Носимо» — официальный дистрибьютор Samsung — продолжают совместную акцию «Два по цене одного» для пользователей мобильных Android-устройств. По условиям акции, с 30 июня по 30 июля при покупке годовой лицензии на Dr.Web Security Space для Android для одного мобильного устройства защита второго устройства на тот же срок предоставляется бесплатно.

На сегодняшний день мобильные устройства под управлением Android являются наиболее привлекательной целью для киберпреступников, поэтому установка Dr.Web Security Space для Android является критически важной для безопасного использования смартфонов и планшетов. Dr.Web Security Space для Android защитит ваше устройство от новейших вредоносных программ и троянцев-вымогателей, оградит от назойливой рекламы и спама, предостережет от посещения опасных ресурсов, обнаружит уязвимости и подскажет, как их устранить, а также даст возможность найти и заблокировать ваше устройство с помощью Антивора в случае утери или кражи.

Акция в магазинах «Носимо»: антивирус на год для двух Android-устройств по цене одного.

С 30 июня по 30 июля в сети магазинов «Носимо» всех покупателей годовой лицензии на Dr.Web Security Space для Android ждет подарок — бесплатная защита второго устройства на тот же срок. Приглашаем доверить защиту ваших мобильных устройств Dr.Web со значительной экономией!

Если в магазине вам предложат установить Dr.Web и активировать серийный номер к купленной лицензии, пожалуйста, предоставьте продавцу или техническому специалисту, устанавливающему ПО, принадлежащий вам действующий e-mail. Он требуется для регистрации лицензии, а также понадобится вам при обращении в службу технической поддержки и при продлении лицензии. Лицензия должна быть зарегистрирована только на адрес владельца коммерческой лицензии Dr.Web.

30 июня 2017 года

Компания «Доктор Веб» рада озвучить результаты первого летнего аукциона, завершившегося вчера, 29 июня. На этот раз неразыгранной осталась подставка для мобильного телефона, в то время как остальные лоты ушли с большим разбросом ставок.

Обнародованы итоги нового аукциона для участников сообщества Dr.Web

Музыку через наши фирменные МР3-плееры этим летом и не только будут слушать Татьяна (г. Тобольск), Сергей_64 (г. Энгельс) и A_A_N (г. Санкт-Петербург), настенными часами Dr.Web обзавелись Настя (г. Казань), Dmitr (г. Иркустк) и dyadya_Sasha (г. Валдай).

Путешествовать с повышенным комфортом (и с нашим фирменным набором путешественника) станет Tetania Zeta (г. Тольятти), избавить клавиатуру от пыли с помощью миниатюрного пылесоса сможет Любитель пляжного футбола (пос. Дубна), а пользователь под псевдонимом dron (г. Севастополь) получит веб-камеру с микрофоном.

«Котом в мешке» на этот раз оказалось универсальное зарядное устройство. И мы уверены, что оно пригодится в хозяйстве участника аукциона под ником TeXNiK (г. Омск).

Поздравляем победителей, желаем всем предсказуемой погоды и непредсказуемой борьбы на новых аукционах!

30 июня 2017 года

27 июня исследователь Амит Серпер (Amit Serper) опубликовал твит, утверждающий, что найден «стопроцентный» способ предотвращения шифрования файлов вымогателем Petya. Инструкции о том, как это сделать, разместило множество интернет-ресурсов. Компания «Доктор Веб» выступает с опровержением этой информации.

В опубликованных статьях говорится, что существует способ предотвратить срабатывание на компьютере троянца Trojan.Encoder.12544, создав в папке C:\Windows файл perfc. Некоторые даже предлагают командные файлы, делающие это за пользователя, например: https://download.bleepingcomputer.com/bats/nopetyavac.bat.

Подобные инструкции размещены в том числе по адресам:

• http://www.telegraph.co.uk/technology/2017/06/28/security…
• https://www.bleepingcomputer.com/news/security/vaccine…
• http://www.foxnews.com/tech/2017/06/28/petya-ransomware…
• http://www.zdnet.com/article/create-a-single…
• http://mashable.com/2017/06/28/ransomware-notpetya…
• https://www.scmagazineuk.com/notpetya-researchers…
• https://xakep.ru/2017/06/28/petya-vaccine
• http://www.securitylab.ru/news/486967.php

Компания «Доктор Веб» утверждает, что этот способ борьбы с троянцем Trojan.Encoder.12544, также известным под именами Petya, Petya. A, ExPetya и WannaCry-2, неэффективен по следующим причинам:

1. Файл, с помощью которого Trojan.Encoder.12544 осуществляет контроль повторного запуска, зависит от имени файла троянца. Стоит злоумышленникам переименовать вредоносный файл, и наличие в папке C:\Windows файла perfc уже не спасет компьютер от заражения.
2. Троянец осуществляет проверку наличия файла perfc, только если у него достаточно для этого привилегий в операционной системе.

Компания «Доктор Веб» выпустила статью с предварительным исследованием шифровальщика Trojan.Encoder.12544, с которой можно ознакомиться на нашем сайте.

29 июня 2017 года

Из различных источников в Интернете стало известно, что заразивший множество компьютеров по всему миру червь-шифровальщик Trojan.Encoder.12544, известный также под именами Petya, Petya.A, ExPetya и WannaCry-2, проникал в операционную систему с использованием программы обновления приложения MEDoc, предназначенного для ведения налогового учета. Специалисты «Доктор Веб» уже встречали подобную методику распространения вредоносных программ ранее и знают, как избежать подобных инцидентов в будущем.

Аналитики, исследовавшие шифровальщик Trojan.Encoder.12544, сообщают, что первоначальным источником распространения троянца была система обновления программы MEDoc. Эта программа помогает украинским пользователям в ведении налогового учета. Исследователям удалось установить, что входящая в комплект поставки MEDoc утилита EzVit.exe, предназначенная для обновления основного приложения, в определенный момент выполняла cmd-команду, по которой в память компьютера загружалась вредоносная библиотека. В этой библиотеке реализован основной функционал Trojan.Encoder.12544. Поскольку этот шифровальщик обладает способностью самостоятельно распространяться по сети с использованием уязвимости в протоколе SMB, а также красть учетные данные пользователей Windows, для дальнейшего распространения инфекции достаточно лишь одной зараженной машины.

Еще в 2012 году вирусные аналитики компании «Доктор Веб» выявили целенаправленную атаку на сеть российских аптек и фармацевтических компаний с использованием вредоносной программы BackDoor.Dande. Этот троянец-шпион похищал информацию о закупках медикаментов из специализированных программ, которые используются в фармацевтической индустрии. В момент запуска бэкдор проверял, установлены ли в системе соответствующие приложения для заказа и учета закупок лекарств, и, если они отсутствовали, прекращал свою работу. Заражению подверглись более 2800 аптек и российских фармацевтических компаний. Таким образом, можно с определенной уверенностью утверждать, что BackDoor.Dande использовался в целях промышленного шпионажа.

Специалисты компании «Доктор Веб» провели расследование, длившееся целых 4 года. Проанализировав жесткие диски, предоставленные одной из пострадавших от BackDoor.Dande фирм, вирусные аналитики установили дату создания драйвера, который запускает все остальные компоненты бэкдора. Упоминания об этом драйвере обнаружились в файле подкачки Windows и журнале антивируса Avast, который был установлен на зараженной машине. Анализ этих файлов показал, что вредоносный драйвер был создан сразу же после запуска приложения ePrica (D:\ePrica\App\PriceCompareLoader.dll). Это приложение, разработанное компанией «Спарго Технологии», позволяет руководителям аптек проанализировать расценки на медикаменты и выбрать оптимального поставщика. Изучение программы ePrica позволило установить, что она загружает в память библиотеку, которая скрытно скачивает, расшифровывает и запускает в памяти BackDoor.Dande. Троянец загружался с сайта http://ws.eprica.ru, принадлежащего компании «Спарго Технологии» и предназначенного для обновления программы ePrica. При этом модуль, скрытно загружавший вредоносную программу, имел действительную цифровую подпись «Спарго». Похищенные данные троянец загружал на серверы за пределами России. Иными словами, как и в ситуации с Trojan.Encoder.12544, бэкдор «прятался» в модуле обновления этой программы.

Сходство этих двух случаев показывает, что инфраструктура разработки программного обеспечения требует повышенного внимания к вопросам информационной безопасности. Прежде всего, процессы обновления любого коммерческого ПО должны находиться под пристальным вниманием как самих разработчиков, так и пользователей. Утилиты обновления различных программ, обладающие в операционной системе правами на установку и запуск исполняемых файлов, могут неожиданно стать источником заражения. В случае с MEDoc к этому привел взлом злоумышленниками и компрометация сервера, с которого загружались обновления, а в ситуации с BackDoor.Dande, как полагают специалисты, к распространению инфекции привели сознательные действия инсайдеров. Посредством такой методики злоумышленники могут провести эффективную целевую атаку против пользователей практически любого программного обеспечения.

Подробности о проведенном компанией "Доктор Веб" расследовании

Именно таким образом на компьютерах жертв был запущен троянец-шифровальщик, известный как NePetya, Petya.A, ExPetya и WannaCry-2 (Trojan.Encoder.12544).

В одном из своих интервью, которое было опубликовано на сайте агентства Reuters, разработчики программы M.E.Doc высказали утверждение, что созданное ими приложение не содержит вредоносных функций. Исходя из этого, а также учитывая данные статического анализа кода, вирусные аналитики «Доктор Веб» пришли к выводу, что некие неустановленные злоумышленники инфицировали один из компонентов M.E.Doc вредоносной программой. Этот компонент был добавлен в вирусные базы Dr.Web под именем BackDoor.Medoc.

28 июня 2017 года

Специалисты компании "Доктор Веб" изучают новый троянец-шифровальщик Trojan.Encoder.12544, упоминаемый в СМИ как Petya, Petya.A, ExPetya и WannaCry-2. На основании предварительного анализа вредоносной программы компания "Доктор Веб" представляет рекомендации, как избежать заражения, рассказывает, что делать, если заражение уже произошло, и раскрывает технические подробности атаки.

Наделавший много шума червь-шифровальщик Trojan.Encoder.12544 представляет серьезную опасность для персональных компьютеров, работающих под управлением Microsoft Windows. Различные источники называют его модификацией троянца, известного под именем Petya (Trojan.Ransom.369), но Trojan.Encoder.12544 имеет с ним лишь некоторое сходство. Эта вредоносная программа проникла в информационные системы целого ряда госструктур, банков и коммерческих организаций, а также заразила ПК пользователей в нескольких странах.

На текущий момент известно, что троянец заражает компьютеры при помощи того же набора уязвимостей, которые ранее использовались злоумышленниками для внедрения на компьютеры жертв троянца WannaCry. Массовое распространение Trojan.Encoder.12544 началось в первой половине дня 27.06.2017. При запуске на атакуемом компьютере троянец несколькими способами ищет доступные в локальной сети ПК, после чего по списку полученных IP-адресов начинает сканировать порты 445 и 139. Обнаружив в сети машины, на которых открыты эти порты, Trojan.Encoder.12544 пытается инфицировать их с использованием широко известной уязвимости в протоколе SMB (MS17-10).

В своем теле троянец содержит 4 сжатых ресурса, 2 из которых являются 32- и 64-разрядной версиями утилиты Mimikatz, предназначенной для перехвата паролей открытых сессий в Windows. В зависимости от разрядности ОС он распаковывает соответствующую версию утилиты, сохраняет ее во временную папку, после чего запускает. При помощи утилиты Mimikatz, а также двумя другими способами Trojan.Encoder.12544 получает список локальных и доменных пользователей, авторизованных на зараженном компьютере. Затем он ищет доступные на запись сетевые папки, пытается открыть их с использованием полученных учетных данных и сохранить там свою копию. Чтобы инфицировать компьютеры, к которым ему удалось получить доступ, Trojan.Encoder.12544 использует утилиту для управления удаленным компьютером PsExec (она также хранится в ресурсах троянца) или стандартную консольную утилиту для вызова объектов Wmic.exe.

Контроль своего повторного запуска энкодер осуществляет с помощью файла, сохраняемого им в папке C:\Windows\. Этот файл имеет имя, соответствующее имени троянца без расширения. Поскольку распространяемый злоумышленниками в настоящий момент образец червя имеет имя perfc.dat, то файл, предотвращающий его повторный запуск, будет иметь имя C:\Windows\perfc. Однако стоит злоумышленникам изменить исходное имя троянца, и создание в папке C:\Windows\ файла с именем perfc без расширения (как советуют некоторые антивирусные компании), уже не спасет компьютер от заражения. Кроме того, троянец осуществляет проверку наличия файла, только если у него достаточно для этого привилегий в операционной системе.

После старта троянец настраивает для себя привилегии, загружает собственную копию в память и передает ей управление. Затем энкодер перезаписывает собственный файл на диске мусорными данными и удаляет его. В первую очередь Trojan.Encoder.12544 портит VBR (Volume Boot Record, загрузочная запись раздела) диска C:, первый сектор диска заполняется мусорными данными. Затем шифровальщик копирует оригинальную загрузочную запись Windows в другой участок диска, предварительно зашифровав ее с использованием алгоритма XOR, а вместо нее записывает свою. Далее он создает задание на перезагрузку компьютера, и начинает шифровать все обнаруженные на локальных физических дисках файлы с расширениями .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

Троянец шифрует файлы только на фиксированных дисках компьютера, данные на каждом диске шифруются в отдельном потоке. Шифрование осуществляется с использованием алгоритмов AES-128-CBC, для каждого диска создается собственный ключ (это — отличительная особенность троянца, не отмеченная другими исследователями). Этот ключ шифруется с использованием алгоритма RSA-2048 (другие исследователи сообщали, что используется 800-битный ключ) и сохраняется в корневую папку зашифрованного диска в файл с именем README.TXT. Зашифрованные файлы не получают дополнительного расширения.

После выполнения созданного ранее задания компьютер перезагружается, и управление передается троянской загрузочной записи. Она демонстрирует на экране зараженного компьютера текст, напоминающий сообщение стандартной утилиты для проверки дисков CHDISK.

В это время Trojan.Encoder.12544 шифрует MFT (Master File Table). Завершив шифрование, Trojan.Encoder.12544 демонстрирует на экране требование злоумышленников об уплате выкупа.

Если в момент запуска на экране появилось сообщение о запуске утилиты CHDISK, незамедлительно выключите питание ПК. Загрузочная запись в этом случае будет повреждена, но ее можно исправить при помощи утилиты восстановления Windows или Консоли восстановления, загрузившись с дистрибутивного диска. Восстановление загрузочной записи обычно возможно в ОС Windows версии 7 и более поздних, если на диске имеется используемый системой скрытый раздел с резервной копией критичных для работы Windows данных. В Windows XP такой способ восстановления загрузки не сработает. Также для этого можно использовать Dr.Web LiveDisk — создайте загрузочный диск или флешку, выполните загрузку с этого съемного устройства, запустите сканер Dr.Web, выполните проверку пострадавшего диска, выберите функцию «Обезвредить» для найденных угроз.

По сообщениям из различных источников единственный используемый распространителями Trojan.Encoder.12544 ящик электронной почты в настоящее время заблокирован, поэтому они в принципе не могут связаться со своими жертвами (чтобы, например, предложить расшифровку файлов).

С целью профилактики заражения троянцем Trojan.Encoder.12544 компания «Доктор Веб» рекомендует своевременно создавать резервные копии всех критичных данных на независимых носителях, а также использовать функцию «Защита от потери данных» Dr.Web Security Space. Кроме того, необходимо устанавливать все обновления безопасности операционной системы. Специалисты компании «Доктор Веб» продолжают исследование шифровальщика Trojan.Encoder.12544.

Инструкция пострадавшим от Trojan.Encoder.12544

28 июня 2017 года

Троянец Trojan.Encoder.12544 распространяется с помощью уязвимости в протоколе SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148), которая была реализована через эксплойт NSA "ETERNAL_BLUE", использует 139 и 445 TCP-порты для распространения. Это уязвимость класса Remote code execution, что означает возможность заражения компьютера удалeнно.

1. Чтобы восстановить возможность входа в операционную систему, необходимо восстановить MBR (в том числе стандартными средствами консоли восстановления Windows, запуском утилиты bootrec.exe /FixMbr).

   Также для этого можно использовать Dr.Web LiveDisk — создайте загрузочный диск или флешку, выполните загрузку с этого съемного устройства, запустите сканер Dr.Web, выполните проверку пострадавшего диска, найденное Обезвредить.

2. После этого: отключите ПК от ЛВС, выполните запуск системы, установите патч MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

   На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам:

   Windows XP SP3:

   download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

   Windows Server 2003 x86:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

   Windows Server 2003 x64:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

3. Далее установите антивирус Dr.Web, подключите Интернет, выполните обновление вирусных баз, запустите контрольную полную проверку.

Мастер скачивания по серийному номеру Демо для дома Демо для бизнеса

Троянец заменяет MBR (главная загрузочная запись диска) и создает, а затем и выполняет задание в планировщике системы на перезагрузку системы, после которой загрузка ОС уже невозможна из-за подмены загрузочного сектора диска. Сразу после создания задания на перезагрузку запускается процесс шифрования файлов. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования диска. Он шифруется на открытом ключе RSA и удаляется. После перезагрузки, при успешной подмене MBR, также шифруется главная файловая таблица MFT, в которой хранится информация о содержимом диска. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно.

В настоящий момент расшифровки файлов нет, ведется анализ и поиск решений, мы сообщим вам об окончательных результатах.

В случае возникновения затруднений просим вас обращаться в службу технической поддержки «Доктор Веб».