23 июня 2017 года

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько потенциально опасных приложений, которые несут угрозу главным образом пользователям на территории Украины. Эти программы позволяют обойти блокировку сайтов «ВКонтакте» и «Одноклассники», но делают это небезопасным способом. Они передают через сторонние серверы и в незашифрованном виде логины и пароли от учетных записей, а также весь трафик при работе в социальных сетях, что может привести к утечке конфиденциальной информации.

В мае текущего года на территории Украины указом президента был ограничен доступ к услугам и сервисам ряда российских компаний, среди которых оказались социальные сети «ВКонтакте» и «Одноклассники». Это привело к росту популярности средств обхода блокировки, таких как браузер Tor, VPN и анонимайзеры. Кроме того, стали появляться новые программы, предоставляющие аналогичный функционал, однако далеко не все из этих новинок безопасны.

Вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play несколько приложений, которые позволяют работать с заблокированными сайтами «ВКонтакте» и «Одноклассники». Для доступа к этим социальным сетям владельцам Android-устройств предлагается указать свой логин и пароль, после чего программы выполняют вход в учетную запись пользователя в обход ограничения. Специалисты «Доктор Веб» выявили 8 таких программ, которые распространяются разработчиками JDX Studio, Soukaina Bousfiha, Zikolabs, Boubakri yassir, affzakanab и simon faiz.

Все эти приложения выглядят очень похожими. Они устанавливаются на мобильные устройства как программы с именами «ВК В Украина», «ВК Украина», «ВК Украина 2», «ОК Украина», «Украина ОК», «ВК VPN Украина.», «ВК Украiна» и «ВК Украина VPN»» и имеют схожие значки. В общей сложности их скачали более 122 000 пользователей, каждый из которых рискует столкнуться с утечкой персональных данных.

Проблема состоит в том, что для обхода блокировки сайтов социальных сетей это ПО перенаправляет трафик через один из онлайн-анонимайзеров. Анонимайзеры – это специализированные серверы, которые пропускают через себя сетевые запросы, а также скрывают информацию о компьютере или мобильном устройстве для обхода ограничения на посещение заблокированных интернет-ресурсов. Такие сервисы востребованы, например, среди пользователей из корпоративных сетей, где системные администраторы на уровне шлюза запретили доступ к доменам социальных сетей.

Введенные в программах логин и пароль передаются серверу-анонимайзеру в незашифрованном виде, поэтому ничто не мешает его владельцам использовать полученную информацию в незаконных целях. Например, они могут зайти в социальную сеть от имени пользователя и без его ведома рассылать сообщения, добавлять друзей, вступать в группы, читать переписку, просматривать фотографии и т. п. При этом пользователь не знает, что авторизуется в социальной сети через сторонний домен, так как в приложениях не отображается адресная строка. Дальнейшая работа с сайтами «ВКонтакте» и «Одноклассники» через это ПО также происходит без шифрования, что позволяет контролировать все выполняемые в этих социальных сетях действия.

Даже если предположить, что такой безответственный подход к защите конфиденциальных сведений со стороны владельцев анонимайзера и авторов приложений продиктован ошибкой или элементарным незнанием основ информационной безопасности, нет никакой гарантии, что незашифрованный сетевой трафик не перехватят злоумышленники.

Поскольку использование указанных программ может привести к утечке персональной информации, антивирус Dr.Web детектирует их как потенциально опасные приложения Program.PWS.1. Вирусные аналитики «Доктор Веб» проинформировали компанию Google о том, что указанное ПО несет угрозу раскрытия конфиденциальных сведений, однако на момент публикации этого материала программы все еще были доступны для загрузки.

Во избежание риска пользователям заблокированных онлайн-ресурсов следует избегать сомнительных приложений и сервисов для обхода ограничений доступа. На рынке существуют более безопасные решения, которые предоставляют достаточный уровень защищенности. Среди них – коммерческие и бесплатные VPN (Virtual Network Provider или частные виртуальные сети), а также Proxy-серверы.

Все известные версии Program.PWS.1 детектируются антивирусными продуктами Dr.Web для Android. Поскольку эти программы являются потенциально опасными, их рекомендуется удалить и не использовать до тех пор, пока разработчики не внесут необходимые изменения в их работу.

Подробнее о Program.PWS.1

21 июня 2017 года

Компания «Доктор Веб» сообщает о переходе к использованию серверных продуктов Dr.Web Департаментом информационных технологий Оренбургской области. Выдачу сублицензий осуществи партнер «Доктор Веб» - ООО «МК Компани Трейд».

Рассматривая варианты организации информационной защиты собственных серверов, специалисты ДИТ Оренбургской области обращали внимание как на отечественные, так и на зарубежные продукты. В итоге выбор был сделан в пользу комплекса Dr.Web Enterprise Security Suite, в состав которого входят нужные Департаменту средства для защиты почтовых и файловых серверов, а также интернет-шлюзов. Важными достоинствами этого выбора ИТ-специалисты предприятия считают очень гибкие настройки Антиспама и возможность получения подробных отчетов о состоянии системы защиты.

«Мы выбрали Dr.Web, потому что среди рассмотренных антивирусных систем только этот продукт обладает декларированным набором инструментов и наиболее полно перекрывает наши потребности. В ряде вопросов настройки системы защиты мы прибегли к помощи специалистов “Доктор Веб”», - говорит Дмитрий Понарин, ведущий специалист ГКУ «ЦИТ» Оренбургской области.

О ДИТ Оренбургской области

Департамент информационных технологий Оренбургской области является органом исполнительной власти Оренбургской области, осуществляющим управление в сфере информационных технологий, связи, телекоммуникаций, информационной безопасности и обеспечения защиты персональных данных, развития информационного общества и формирования электронного правительства с целью повышения качества жизни населения на территории Оренбургской области и координирующим в соответствии с законодательством Российской Федерации деятельность органов исполнительной власти Оренбургской области в данной сфере.

ditoo.orb.ru

О компании «МК Компани Трейд»

ООО «МК Компани Трейд» – динамично развивающаяся компания на рынке информационных технологий Приволжском Федерального Округа. Компания предоставляет широкий спектр услуг в следующих областях: системная интеграция, продажа лицензионного программного обеспечения, продажа торгового оборудования, продажа компьютерной и оргтехники, продажа расходного материала, разработка и проектные внедрения.

mk-company.ru

20 июня 2017 года

Нас долго и настойчиво убеждали в том, что облака — это надежно и удобно, а Linux — это круто. Казалось, что выбор стоит между удобным и еще более удобным интерфейсом. Но вдруг — «получилось как всегда».

С точки зрения специалистов случай совершенно рядовой. Не обновленное ПО, ошибки в настройке и т. д. и т. п. Но это — рекордная сумма выкупа, когда-либо заплаченная вымогателям. И самая успешная атака на ОС Linux.

Кто виноват?

1. Провайдер услуг — он не предложил клиентам услуги резервного копирования и сам не позаботился о «бэкапе» своей инфраструктуры.
2. Клиенты — не резервировавшие свои данные в расчете на надежность инфраструктуры провайдера.

Успешные атаки на провайдеров облачных услуг случались и раньше, но таких громких еще не было.

Мы в «Доктор Веб» ожидаем резкого роста подобных инцидентов.

Потому что любая такая новость порождает подражателей. Возможно, в дальнейшем волна атак на провайдеров сойдет на нет, а возможно — станет новой тенденцией, как стали атаки на системы на основе Linux. Предсказания делать рано.

Dr. Web рекомендует

1. Всем, кто сейчас держит данные в облаках и не использует резервное копирование, начать делать копии и хранить их обязательно у другого провайдера услуг, дома или в ином месте.
2. Если вы арендуете сервер, сайт, услугу в облаке — это не избавляет вас от необходимости защищаться. Безопасность — это ваша забота. Вдобавок к резервированию требуется как минимум антивирус. Причем и в облаке, и на ПК.

Безопасность инфраструктуры провайдеров услуг обеспечивают продукты Dr. Web Server Security Suite (защита серверов провайдера от заражения вредоносными программами) и Dr.Web Gateway Security Suite (проверка входящего трафика на наличие вредоносных программ, а также доступ к потенциально-опасным ресурсам, размещенным в сети Интернет).

Безопасность клиентов провайдеров услуг обеспечивают продукты, входящие в линейку продуктов для защиты бизнеса любого масштаба Dr. Web Enterprise Security Suite. Обращаем особое внимание, что антивирусная защита должна осуществляться как на стороне провайдера услуг, так и на уровне локальной сети компании и компьютеров ее сотрудников. Только это может защитить от атак типа человек-посередине.

19 июня 2017 года

Специалисты компании «Доктор Веб» обнаружили Android-троянца, которым вирусописатели управляют с использованием протокола Telegram. Эта вредоносная программа крадет конфиденциальную информацию и выполняет команды злоумышленников.

Троянец, получивший имя Android.Spy.377.origin, представляет собой утилиту удаленного администрирования (Remote Administation Tool, или RAT), которая распространяется под видом безобидных приложений и атакует иранских пользователей. Она может устанавливаться на смартфоны и планшеты как программа с именем «اینستا پلاس» («Insta Plus»), «پروفایل چکر» («Profile Checker») и «Cleaner Pro».

При запуске троянец предлагает владельцу мобильного устройства проверить, насколько тот популярен среди других пользователей Telegram, для чего просит указать персональный идентификатор. После того как жертва вводит любую информацию в соответствующую форму, Android.Spy.377.origin показывает «количество посетителей» ее профиля. Однако в действительности никакой проверки троянец не выполняет. Он лишь генерирует случайное число, которое и выдает за правдивый результат. Эта функция призвана снять подозрение с вредоносной программы и создать впечатление того, что она не представляет опасности. Через некоторое время после запуска Android.Spy.377.origin удаляет свой значок из списка приложений в меню главного экрана устройства и закрывает свое окно, пытаясь скрыть присутствие в системе.

Android.Spy.377.origin – классическая программа-шпион, способная удаленно выполнять команды злоумышленников. Главное отличие этого вредоносного приложения от других Android-троянцев заключается в том, что для его управления киберпреступники используют протокол обмена сообщениями онлайн-мессенджера Telegram. Это первый известный вирусным аналитикам «Доктор Веб» троянец для ОС Android, в котором реализована такая функция.

После удаления значка программы Android.Spy.377.origin копирует контакты из телефонной книги, входящие и исходящие СМС-сообщения, а также сведения об учетной записи Google владельца мобильного устройства. Затем он сохраняет эти данные в текстовые файлы в своем рабочем каталоге. Кроме того, троянец делает фотоснимок при помощи фронтальной камеры, чтобы запечатлеть лицо пользователя. Далее шпион загружает созданную фотографию и файлы с украденной информацией на управляющий сервер и отправляет Telegram-боту киберпреступников сигнал об успешном заражении устройства.

Ниже показаны примеры файлов, которые Android.Spy.377.origin передает злоумышленникам.

После кражи конфиденциальной информации Android.Spy.377.origin вновь подключается к боту и ожидает от него сообщений, в которых будут содержаться управляющие команды. Троянец может получать следующие директивы:

• call – выполнить телефонный звонок;
• sendmsg – отправить СМС;
• getapps – передать на сервер информацию об установленных приложениях;
• getfiles – передать на сервер информацию обо всех доступных на устройстве файлах;
• getloc – отправить на сервер информацию о местоположении устройства;
• upload – загрузить на сервер указанный в команде файл, который хранится на устройстве;
• removeA – удалить с устройства указанный в команде файл;
• removeB – удалить группу файлов;
• lstmsg – передать на сервер файл с информацией обо всех отправленных и полученных СМС, включая номера отправителей и получателей, а также содержимое сообщений.

При выполнении каждой команды вредоносная программа информирует об этом Telegram-бота вирусописателей.

Помимо сбора конфиденциальных данных по команде киберпреступников Android.Spy.377.origin самостоятельно отслеживает все входящие и исходящие СМС, а также координаты устройства. При поступлении или отправке новых сообщений и изменении местоположения зараженного смартфона или планшета троянец передает эту информацию Telegram-боту злоумышленников.

Специалисты компании «Доктор Веб» предупреждают, что вирусописатели очень часто распространяют вредоносные приложения под видом безобидных программ. Для защиты от Android-троянцев следует устанавливать ПО только от известных разработчиков и загружать его из надежных источников, таких как каталог Google Play. Все известные версии троянца Android.Spy.377.origin детектируются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот шпион опасности не представляет.

Подробнее о троянце

19 июня 2017 года

Компания «Доктор Веб» открывает лоты июньского аукциона: в конце этого месяца – не только самые долгие, но и самые многообещающие дни для участников сообщества Dr.Web, которые намерены выиграть наши фирменные призы.

Аукцион июня на ВебIQметре – время повышать ставки!

МР3-плеер, настенные часы, подставка под мобильный, а также «кот в мешке» и кое-что еще – ставки на специальные лоты начинаются от 10 баллов и 10 Dr.Web-ок и уже сегодня начнут повышаться.

Обычные лоты, в числе которых – карточная игра «Мафия», пылесос для клавиатуры, набор для путешествий и лицензии Dr.Web (включая полугодовую на Dr.Web KATANA), также ждут встречи со своими владельцами.

Ставки можно делать до 29 июня включительно – и пусть эти дни станут для вас особенно светлыми!

19 июня 2017 года

Компания «Доктор Веб» предлагает российским и белорусским пользователям бесплатную защиту для 1 ПК: с 19 по 23 июня при покупке годовой лицензии Dr.Web Security Space для защиты 1 или 2 компьютеров антивирус еще для одной машины – в подарок!

Предложение будет действовать всю следующую неделю (за исключением выходных). Напомним, что защита Dr.Web Security Space распространяется и на мобильные устройства, так что в рамках акции вы можете также бесплатно обеспечить безопасность своим смартфонам и планшетам.

Специальное предложение действительно при покупке лицензии в интернет-магазине «Доктор Веб», allsoft.ru и allsoft.by.

Покупатели, которые воспользуются данным предложением, получат один серийный номер, а также Dr.Web-ки за регистрацию в программе лояльности «Я + Dr.Web».

16 июня 2017 года

Компании «Доктор Веб» и «Евросеть» представляют новое предложение для покупателей: с 16 июня по 23 июля 2017 года, покупая годовую лицензию на Dr.Web Mobile Security для одного устройства, можно бесплатно использовать антивирус на втором смартфоне или планшете.

При покупке Dr.Web для 1 мобильного устройства защита для 2-го – в подарок!

Год защиты 2 устройств при помощи Dr.Web Mobile Security обойдется участникам акции всего в 499 рублей – таким образом экономия составит 200 рублей.

Акционная лицензия предназначена для защиты мобильных устройств под управлением Android или BlackBerry в течение одного года. Вы получите один серийный номер, после регистрации которого сформируется один ключевой файл для защиты двух мобильных устройств, который начнет действовать с момента регистрации серийного номера. Если в салоне вам предложат установить Dr.Web и активировать серийный номер к купленной лицензии, пожалуйста, предоставьте продавцу или техническому специалисту, устанавливающему ПО, принадлежащий вам действующий e-mail. Он требуется для регистрации лицензии, а также понадобится вам при обращении в службу технической поддержки и при продлении лицензии. Лицензия должна быть зарегистрирована только на адрес владельца коммерческой лицензии Dr.Web.

Покупатели, которые воспользуются данным предложением, также получат Dr.Web-ки за регистрацию серийного номера в программе лояльности «Я + Dr.Web». Полученные Dr.Web-ки можно потратить в ежемесячных аукционах или обменять на подарочные сертификаты.

Организатор акции — компания «Доктор Веб».
Территория действия акции — Российская Федерация.
Участники акции — покупатели магазинов «Евросети».
Срок действия акции — 16.06–23.07.2017.
Цена действительна на время публикации.

15 июня 2017 года

Троянцы-майнеры – это вредоносные программы, использующие вычислительные ресурсы инфицированного устройства для добычи (майнинга) криптовалют. Вирусные аналитики компании «Доктор Веб» исследовали такого троянца, способного заражать компьютеры под управлением Microsoft Windows.

Эта вредоносная программа, предназначенная для добычи криптовалюты Monero (XMR) и установки бэкдора Gh0st RAT, получила наименование Trojan.BtcMine.1259. Майнер скачивается на компьютер троянцем-загрузчиком Trojan.DownLoader24.64313, который, в свою очередь, распространяется с помощью бэкдора DoublePulsar.

Сразу после старта Trojan.BtcMine.1259 проверяет, не запущена ли на инфицированном компьютере его копия. Затем он определяет количество ядер процессора, и, если оно больше или равно указанному в конфигурации троянца числу потоков, расшифровывает и загружает в память хранящуюся в его теле библиотеку. Эта библиотека представляет собой модифицированную версию системы удаленного администрирования с открытым исходным кодом, известной под наименованием Gh0st RAT (детектируется Антивирусом Dr.Web под именем BackDoor.Farfli.96). Затем Trojan.BtcMine.1259 сохраняет на диск свою копию и запускает ее в качестве системной службы. После успешного запуска троянец пытается скачать с управляющего сервера, адрес которого указан в конфигурационном файле, свое обновление.

Основной модуль, предназначенный для добычи криптовалюты Monero, также реализован в виде библиотеки, при этом троянец содержит как 32-, так и 64-разрядную версию майнера. Соответствующая реализация троянца используется на зараженном компьютере в зависимости от разрядности операционной системы. В конфигурации для этого модуля указано, сколько ядер и вычислительных ресурсов процессора будет задействовано для добычи криптовалюты, с каким интервалом будет автоматически перезапускаться майнер, а также иные параметры. Троянец отслеживает работающие на зараженном компьютере процессы и при попытке запустить Диспетчер задач завершает свою работу.

Несмотря на то, что первые троянцы-майнеры были обнаружены уже более 6 лет назад (запись для троянца Trojan.BtcMine.1 была добавлена в вирусные базы Dr.Web в 2011 году), злоумышленники по-прежнему распространяют вредоносные программы, использующие вычислительные ресурсы компьютера без ведома пользователя. Признаком заражения такой программой может служить замедление работы системы или более интенсивный по сравнению с обычным нагрев процессора. Trojan.BtcMine.1259 и все его компоненты успешно удаляется Антивирусом Dr.Web, поэтому троянец не представляет опасности для наших пользователей.

Подробнее о троянце

13 июня 2017 года

Компания «Доктор Веб» представляет обновленный обучающий курс «Защита рабочих станций и файловых серверов Windows от действий программ-шифровальщиков» (DWCERT-070-6). Материалы были обновлены в связи с массовым распространением троянца WannaCry в мае 2017 года.

Защита от WannaCry: обновлен обучающий курс «Доктор Веб»

Наши специалисты тщательно проанализировали причины и последствия массового заражения шифровальщиком Trojan.Encoder.11432, известным на весь мир как WannaCry. Это позволило выработать дополнительные рекомендации по усилению мер защиты от энкодеров: материалы курса были расширены, снабжены дополнительными описаниями настроек Dr.Web и наглядными иллюстрациями из серии «так делать не надо».

Курс предназначен для системных администраторов и всех желающих повысить уровень своих знаний – и безопасности.

За сдачу экзамена по курсу будут начислены 100 баллов и 10 Dr.Web-ок, которые традиционно можно использовать в ежемесячных аукционах или обменять на сертификаты на покупку антивирусов Dr.Web со скидкой.

13 июня 2017 года

Компания «Доктор Веб» сообщает об обновлении модуля Lua-Updater (11.0.21.06080), антируткитного модуля Dr.Web Anti-rootkit API (11.1.11.201706060), управляющего сервиса Dr.Web Control Service (11.0.13.06051 и 11.0.12.06061) и конфигурационного скрипта Lua-script for scan-engine (11.0.6.06050) в ряде продуктов Dr.Web. Кроме того, в Dr.Web KATANA 1.0 был обновлен модуль katana-service (11.1.7.06051). Обновление связано с исправлением выявленных ошибок и внесением внутренних изменений.

В Lua-Updater внесены изменения для оптимизации взаимодействия с серверами обновлений Dr.Web.

В антируткитном модуле устранена проблема, при которой было невозможно войти в локальный профиль пользователя, и вход в систему осуществлялся с временным профилем.

Обновление пройдет для пользователей автоматически, при использовании Dr.Web KATANA потребуется перезагрузка компьютеров.

13 июня 2017 года

Компания «Доктор Веб» сообщает об обновлении Windows-версии плагина Dr.Web для IBM Lotus Domino до версии 11.0.2. Обновление связано с добавлением новых функциональных возможностей и исправлением выявленных ошибок.

Плагин теперь поддерживает ОС Windows Server 2016.

Также была устранена ошибка, возникавшая при передаче статистики на сервер централизованной защиты; ликвидирована причина «зависания» задачи SMTP и исправлена ошибка при проверке писем в момент запроса доступа к NSF-базам.

Для установки обновленной версии Dr.Web для IBM Lotus Domino необходимо деинсталлировать предыдущую. Для сохранения имеющихся настроек рекомендуется воспользоваться функцией их экспорта/импорта.

6 июня 2017 года

Компания «Доктор Веб» приглашает принять участие в бета-тестировании Dr.Web 11.0 для почтовых серверов UNIX и Антивируса Dr.Web 11.0.3 для Linux. Оба продукта были существенно переработаны и оснащены новыми функциональными возможностями, упрощающими работу с системой защиты и повышающими уровень безопасности.

Изменения в Dr.Web для почтовых серверов UNIX:

• полностью обновлена архитектура продукта – теперь он работает с текущей инфраструктурой почтового сервера, используя стандартные интерфейсы почтовых серверов (Milter, Spamd, Rspamd), а не интегрируясь в сервер;
• добавлена возможность прозрачного для почтового сервера и клиента встраивания непосредственно в каналы обмена данных, использующие стандартные почтовые протоколы SMTP, POP3 и IMAP (данный режим доступен только для GNU/Linux);
• нежелательное содержимое входящих писем теперь сохраняется в архив, защищенный паролем, а не в карантин;
• добавлен собственный веб-интерфейс управления, что избавляет от необходимости использовать Webmin;
• реализована возможность использовать информацию из служб каталогов (OpenLDAP, Active Directory) в правилах проверки писем;
• добавлена отправка статистики о состоянии продукта и нотификации о важных событиях (например, о блокировке писем) через SNMP;
• для проверки писем на почтовых серверах, не имеющих возможности использования Milter/Spamd/Rspamd, доступен модуль Clamd;
• проверка адреса отправителя/получателя письма на серверах служб DNSxL.

Изменения в Антивирусе Dr.Web для Linux:

• добавлена проверка входящих писем по протоколам IMAP(S)/POP3(S);
• добавлена проверка исходящих писем по протоколам SMTP(S).

Приглашаем всех заинтересованных испытать новые возможности Dr.Web 11.0 для почтовых серверов UNIX и Антивируса Dr.Web 11.0.3 для Linux.

5 июня 2017 года

Вирусные аналитики компании «Доктор Веб» исследовали две вредоносные программы для ОС Linux. Одна из них устанавливает на инфицированном устройстве приложение для добычи криптовалют, вторая — запускает прокси-сервер.

Первый из двух исследованных специалистами «Доктор Веб» троянцев был добавлен в вирусные базы Dr.Web под именем Linux.MulDrop.14. Эта вредоносная программа атакует исключительно миникомпьютеры Rasberry Pi. Распространение Linux.MulDrop.14 началось во второй половине мая. Троянец представляет собой скрипт, в теле которого хранится сжатое и зашифрованное приложение-майнер, которое предназначено для добычи криптовалют. Linux.MulDrop.14 меняет пароль на зараженном устройстве, распаковывает и запускает майнер, после чего в бесконечном цикле начинает искать в сетевом окружении узлы с открытым портом 22. Соединившись с ними по протоколу SSH, троянец пытается запустить на них свою копию.

Другой троянец получил название Linux.ProxyM. Атаки с его использованием фиксировались еще с февраля 2017 года, но пика достигли во второй половине мая. График зафиксированного специалистами «Доктор Веб» количества атак троянца Linux.ProxyM представлен ниже.

Значительная часть IP-адресов, с которых осуществляются атаки, расположена на территории России. На втором месте — Китай, на третьем — Тайвань. Распределение источников атак с использованием Linux.ProxyM по географическому признаку показано на следующей иллюстрации:

Троянец использует специальный набор методов для детектирования ханипотов (от англ. honeypot – «горшочек с медом») — специальных серверов-приманок, применяемых специалистами по информационной безопасности для исследования вредоносного ПО. После старта он соединяется с управляющим сервером и, получив от него подтверждение, запускает на инфицированном устройстве SOCKS-прокси-сервер. Злоумышленники могут использовать его для обеспечения собственной анонимности в Интернете.

Оба этих троянца детектируются и удаляются Антивирусом Dr.Web для Linux и потому не представляют опасности для наших пользователей.

• Подробнее о Linux.MulDrop.14
• Подробнее о Linux.ProxyM

2 июня 2017 года

Компания «Доктор Веб» и розничная торговая сеть по продаже бытовой техники и электроники Корпорация «Центр» сообщают о начале совместной акции. В течение июня каждый покупатель годовой лицензии на Dr.Web Security Space для одного ПК/Mac получит в подарок бесплатную защиту для второго компьютера на тот же срок.

По условиям акции, с 1 по 30 июня 2017 года все посетители розничных магазинов Корпорации «Центр» смогут приобрести годовую лицензию на Dr.Web Security Space для 1 ПК за и получить в подарок защиту второго компьютера на тот же срок.

Весь июнь в магазинах Корпорации «Центр» Dr.Web Security Space для второго компьютера на год — в подарок!

Акционные лицензии подходят для продления как электронных, так и коробочных продуктов Dr.Web Security Space и Антивирус Dr.Web. Защита двух мобильных устройств на базе Android или BlackBerry предоставляется бесплатно. Если при регистрации купленной лицензии вы укажете серийный номер предыдущего продукта или его ключевой файл, срок действия новой лицензии будет увеличен на 150 дней.

Покупатели, которые воспользуются данным предложением, получат один серийный номер для защиты двух ПК/Мас, который после регистрации начнет действовать одновременно на обоих компьютерах, а также Dr.Web-ки за регистрацию в программе лояльности «Я + Dr.Web», которые можно обменять на подарочные сертификаты на покупку антивирусов Dr.Web со скидкой или поставить на понравившиеся лоты в ежемесячных аукционах.

Если в магазине вам предложат установить Dr.Web и активировать серийный номер к купленной лицензии, пожалуйста, предоставьте продавцу или техническому специалисту, устанавливающему ПО, принадлежащий вам действующий e-mail. Он требуется для регистрации лицензии, а также понадобится вам при обращении в службу технической поддержки и при продлении лицензии. Лицензия должна быть зарегистрирована только на адрес владельца коммерческой лицензии Dr.Web.

Приходите в магазины Корпорации «Центр» в июне! В акционные дни все покупатели Dr.Web Security Space получат годовую лицензию для двух ПК всего за 1290 рублей, экономия в сравнении с обычной ценой составит 500 рублей.

2 июня 2017 года

Компания «Доктор Веб» сообщает об обновлении модуля самозащиты Dr.Web SelfPROtect (11.01.10.06010) в продуктах Dr.Web Security Space 11.0, Антивирус Dr.Web 11.0, Антивирус Dr.Web 11.0 для файловых серверов Windows, Dr.Web Enterprise Security Suite 10.0, Dr.Web AV-Desk 10.0, Dr.Web KATANA 1.0 и Dr.Web CureNet! . Обновление связано с исправлением выявленной ошибки.

Была устранена причина возможного появления критической ошибки системы (BSOD).

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

1 июня 2017 года

Компания «Доктор Веб» сообщает об обновлении серверной части комплекса Dr.Web Enterprise Security Suite 10.1 (201705110), Dr.Web Enterprise Proxy (201705110), агента Dr.Web Enterprise Agent for Windows (11.0.1.05150) и Dr.Web Enterprise Agent for Windows supporting Active Directory (11.00.05180). Обновление связано с добавлением новых функциональных возможностей и исправлением выявленных ошибок. Вместе с тем была обновлена документация.

Изменения в серверной части комплекса:

• добавлена возможность автоматического обновления лицензионных ключевых файлов;
• в Центре управления безопасностью Dr.Web разделены настройки Превентивной защиты и агента;
• добавлены настройки для сортировки защищаемых станций в дереве антивирусной сети;
• реализована возможность частичного экспорта дерева антивирусной сети;
• исправлена ошибка, приводившая к падению производительности сервера при раздаче обновлений большому количеству агентов;
• исправлена ошибка, которая в некоторых случаях могла приводить к проблемам подтверждения новых станций на сервере;
• устранена проблема, приводившая к ошибке при загрузке или выгрузке файлов большого размера через разделы «Содержимое репозитория» и «Карантин» в Центре управления безопасностью Dr.Web;
• исправлена ошибка, возникавшая при подсчете количества станций антивирусной сети по запросу через Web API, - в частности, при передаче данных Мобильному центру управления Dr.Web.

Изменения в Dr.Web Enterprise Proxy:

• исправлена ошибка, при которой агент без ID не устанавливался в условиях большой нагрузки на Dr.Web Enterprise Proxy;
• уменьшено потребление оперативной памяти при запуске;
• устранена проблема, приводившая к невозможности подключения агентов версии 6 через прокси-сервер.

Изменения в компонентах агента:

• реализована совместимость с обновлением Windows 10 Creators Update;
• компоненты обновлены до текущей версии.

Обновленный продукт доступен через веб-интерфейс Центра управления Dr.Web, где будет отображаться как обновление от 11.05.2017. Обновленные дистрибутивы доступны также для скачивания на сайте «Доктор Веб».

1 июня 2017 года

Компания «Доктор Веб» анонсирует свое участие в крымском этапе «Кода информационной безопасности»: конференция состоится 8 июня в Симферополе. На этот раз речь пойдет о защите почтового трафика – с прицелом на троянцев-шифровальщиков.

«Доктор Веб» в Симферополе расскажет о защите почте и шифровальщиках

Тема шифровальщиков в который раз обрела актуальность после атаки нашумевшего WannaCry. Она затронула огромное количество пользователей по всему миру – но только не пользователей Dr.Web.

Менеджер по работе с клиентами «Доктор Веб» Максим Кузнецов в своем докладе расскажет о важности защиты корпоративного почтового сервера и о том, каковы должны быть действия для успешного противостояния троянцам-шифровальщикам.

Конференция начнется 8 июня в 10:00 по адресу: г. Симферополь, ул. Маяковского, д. 14 (БЦ КТС). Организатором конференций «Код информационной безопасности» выступает компания «Экспо-линк».

Как обычно, на встречу с нашим представителем можно записаться заблаговременно — в календаре мероприятий «Доктор Веб».

1 июня 2017 года

Компания «Доктор Веб» сообщает об обновлении антируткитного модуля Dr.Web Anti-rootkit API (11.1.11.201705260), модуля самозащиты Dr.Web SelfPROtect (11.01.10.05180) и конфигурационных скриптов в ряде продуктов Dr.Web. Обновление связано с добавлением новых функциональных возможностей и внесением внутренних изменений.

В антируткитном модуле для всех перечисленных продуктов и в модуле самозащиты для Антивируса Dr.Web, Dr.Web Security Space, Dr.Web Enterprise Security Suite, Dr.Web AV-Desk, Dr.Web KATANA и Dr.Web CureNet! улучшены алгоритмы детектирования угроз, в том числе новейших.

Обновление пройдет для пользователей автоматически, однако потребует перезагрузки компьютеров.

31 мая 2017 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за май 2017 года. В прошедшем месяце в каталоге Google Play был обнаружен троянец, который скачивал другие программы и передавал злоумышленникам информацию о зараженном устройстве. Также в каталоге были выявлены приложения, содержащие рекламного троянца, способного скачивать и запускать дополнительные компоненты. Кроме того, в мае вирусописатели распространяли банкера, крадущего деньги со счетов пользователей.

31 мая 2017 года

Компания «Доктор Веб» представляет майский обзор вирусной обстановки для смартфонов и планшетов на Android. В прошедшем месяце в каталоге Google Play было обнаружено несколько Android-троянцев. Один из них загружал приложения из Интернета и похищал конфиденциальную информацию. Другой мог скачивать и запускать дополнительные программные модули и показывал навязчивую рекламу. Кроме того, в мае злоумышленники распространяли банковского троянца, который крал деньги со счетов пользователей.

Мобильная угроза месяца

В начале мая в каталоге Google Play был обнаружен троянец Android.RemoteCode.28, который был встроен в приложение-аудиоплеер. Он скачивал из Интернета другие программы и передавал на управляющий сервер информацию о зараженном устройстве, а также сведения об установленном на нем ПО.

Особенности Android.RemoteCode.28:

• основной вредоносный функционал троянца находится во вспомогательном программном модуле, который зашифрован;
• Android.RemoteCode.28 начинает вредоносную активность только через 8 часов после своего запуска;
• троянец проверяет наличие эмулятора и средств отладки и при их обнаружении прекращает работу.

По данным антивирусных продуктов Dr.Web для Android

• Android.HiddenAds.83.origin
• Android.HiddenAds.76.origin
• Android.HiddenAds.68.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

• Android.Sprovider.9

Троянская программа, предназначенная для показа навязчивой рекламы в панели уведомлений ОС Android, а также загрузки и запуска других приложений, в том числе вредоносных.

• Android.Triada.264.origin

Представитель многофункциональных троянцев, выполняющих разнообразные вредоносные действия.

• Adware.Jiubang.1
• Adware.Batmobi.2.origin
• Adware.Leadbolt.12.origin
• Adware.Airpush.31.origin
• Adware.Appsad.1

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянец в Google Play

В середине прошлого месяца в каталоге Google Play были выявлены приложения со встроенным в них троянцем Android.Spy.308.origin. В частности, они распространялись разработчиком Sumifi Dev. Это не первый случай, когда указанная вредоносная программа проникает в официальный каталог ПО для Android. Об одном из таких инцидентов компания «Доктор Веб» сообщала в июле 2016 года. После обнаружения Android.Spy.308.origin разработчик обновил зараженные приложения, удалив троянский компонент, и теперь они не представляют опасности.

Android.Spy.308.origin показывает надоедливую рекламу, а также незаметно загружает дополнительные программные модули и запускает их. Кроме того, троянец крадет конфиденциальную информацию и передает ее на управляющий сервер.

Банковские троянцы

В мае под видом ММС-сообщений киберпреступники распространяли банковского троянца Android.BankBot.186.origin. Пользователям приходили СМС со ссылкой, при переходе по которой в веб-браузере открывался мошеннический сайт. С него на мобильное устройство загружался apk-файл вредоносного приложения.

Android.BankBot.186.origin запрашивает доступ к функциям администратора мобильного устройства, чтобы усложнить свое удаление. Кроме того, он пытается подменить собой стандартное приложение для работы с СМС. Это необходимо для обхода системы безопасности новых версий ОС Android и получения возможности отправлять и перехватывать сообщения. После этого троянец проверяет баланс доступных банковских счетов пользователя и незаметно переводит деньги киберпреступникам.

Вредоносные программы для мобильных Android-устройств по-прежнему представляют опасность. Троянцы могут распространяться как с использованием мошеннических веб-сайтов, так и через официальный каталог приложений Google Play. Для защиты от опасного и нежелательного ПО владельцам смартфонов и планшетов под управлением ОС Android необходимо установить антивирусные продукты Dr.Web для Android.

31 мая 2017 года

Компания «Доктор Веб» представляет обзор вирусной активности в мае 2017 года. Этот месяц запомнится массовым распространением опасного червя-шифровальщика, получившего известность под именем WannaCry. Также в мае был обнаружен бэкдор для macOS и исследован сложный многокомпонентный троянец для Linux.

31 мая 2017 года

Самым значительным событием мая 2017 года стало массовое распространение вредоносной программы WannaCry, детектируемой Антивирусом Dr.Web как Trojan.Encoder.11432. Этот червь распространялся самостоятельно, заражая сетевые узлы с использованием уязвимости в протоколе SMB. Затем он шифровал файлы на компьютере своей жертвы и требовал выкуп за расшифровку. Кроме того, в мае специалисты «Доктор Веб» исследовали сложного многокомпонентного троянца для Linux, написанного на языке Lua. Также был обнаружен новый бэкдор, угрожающий пользователям macOS.

Угроза месяца

О вредоносной программе, получившей известность под именем WannaCry, рассказывали многие средства массовой информации. Это опасное приложение представляет собой сетевого червя, способного заражать компьютеры под управлением Microsoft Windows. Его распространение началось примерно в 10 утра 12 мая 2017 года. В качестве полезной нагрузки червь несет в себе троянца-шифровальщика. Антивирус Dr.Web детектирует все компоненты червя под именем Trojan.Encoder.11432.

При запуске червь регистрирует себя в качестве системной службы и начинает опрашивать сетевые узлы в локальной сети и в Интернете со случайными IP-адресами. Если установить соединение удалось, червь предпринимает попытку заразить эти компьютеры. В случае успешного заражения червь запускает троянца-шифровальщика, который шифрует файлы на компьютере со случайным ключом. В процессе работы Trojan.Encoder.11432 удаляет теневые копии и отключает функцию восстановления системы. Троянец создает отдельный список файлов, которые шифруются с использованием другого ключа: их вредоносная программа может расшифровать для своей жертвы бесплатно. Поскольку эти тестовые файлы и все остальные файлы на компьютере шифруются с использованием разных ключей, нет никакой гарантии успешной расшифровки файлов даже в случае уплаты выкупа злоумышленникам. Более подробная информация об этом троянце изложена в опубликованной нами статье, а также в подробном техническом описании червя.

По данным статистики Антивируса Dr.Web

• Trojan.InstallCore
  Семейство установщиков нежелательных и вредоносных приложений.
• Trojan.DownLoader
  Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
• Trojan.Encoder.11432
  Сетевой червь, запускающий на компьютере жертвы опасного троянца-шифровальщика. Известен также под именем WannaCry.
• Trojan.LoadMoney
  Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. Эти приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.
• Trojan.Moneyinst.133
  Вредоносная программа, устанавливающая на компьютер жертвы различное ПО, в том числе других троянцев.

По данным серверов статистики «Доктор Веб»

• JS.DownLoader
  Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
• Trojan.InstallCore
  Семейство установщиков нежелательных и вредоносных приложений.
• Trojan.DownLoader
  Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
• Trojan.Moneyinst.151
  Вредоносная программа, устанавливающая на компьютер жертвы различное ПО, в том числе других троянцев.
• Trojan.PWS.Stealer
  Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Статистика вредоносных программ в почтовом трафике

• JS.DownLoader
  Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
• W97M.DownLoader
  Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
• Trojan.PWS.Stealer
  Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

По данным бота Dr.Web для Telegram

• Trojan.Encoder.11432
  Сетевой червь, запускающий на компьютере жертвы опасного троянца-шифровальщика. Известен также под именем WannaCry.
• Android.Locker.139.origin
  Представитель семейства Android-троянцев, предназначенных для вымогательства. Он показывает навязчивое сообщение якобы о нарушении закона и о последовавшей в связи с этим блокировке мобильного устройства, для снятия которой пользователю предлагается заплатить определенную сумму.
• Android.HiddenAds.24
  Троянец, предназначенный для показа навязчивой рекламы.
• Android.Androrat.1.origin
  Шпионская программа, работающая на устройствах под управлением ОС Android.
• BackDoor.Bifrost.29284
  Представитель семейства троянцев-бэкдоров, способных выполнять на зараженной машине поступающие от злоумышленников команды.

В мае в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 14,39% обращений;
• Trojan.Encoder.11432 — 8.36% обращений;
• Trojan.Encoder.3953 — 7.41% обращений;
• Trojan.Encoder.761 — 2.62% обращений;
• Trojan.Encoder.10144 — 2.60% обращений;
• Trojan.Encoder.567 — 2.47% обращений.

Dr.Web Security Space 11.0 для Windows
защищает от троянцев-шифровальщиков

Этого функционала нет в лицензии Антивирус Dr.Web для Windows

Защита данных от потери

Подробнее Смотрите видео о настройке

В течение мая 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 1 129 277 интернет-адресов.

Нерекомендуемые сайты

Другие события в сфере информационной безопасности

В начале мая был обнаружен троянец, распространявшийся по ссылкам в комментариях, которые злоумышленники оставляли в официальной группе компании «Доктор Веб» в социальной сети «ВКонтакте». В своих сообщениях киберпреступники предлагали желающим скачать бесплатные ключи к антивирусу Dr.Web, однако в действительности при переходе по ссылке на компьютер жертвы загружался троянец Trojan.MulDrop7.26387.

Эта вредоносная программа может выполнять различные команды злоумышленников: например, менять обои Рабочего стола Windows, открывать и закрывать лоток оптического привода, менять местами функции кнопок мыши, воспроизвести с помощью динамиков заданную фразу, используя голосовой синтезатор, или даже продемонстрировать на экране компьютера пугающие видеоролики. Подробности об этом инциденте изложены в опубликованной на нашем сайте статье.

Вредоносные программы для Linux

В мае вирусные аналитики компании «Доктор Веб» исследовали многокомпонентного троянца для ОС Linux, написанного на языке Lua. Эта вредоносная программа, получившая имя Linux.LuaBot, состоит из 31 Lua-сценария и может заражать не только компьютеры, но и различные «умные» устройства: сетевые хранилища, роутеры, телевизионные приставки, IP-камеры, и т. д. Троянец генерирует список IP-адресов, которые будет атаковать, а затем пытается соединиться с удаленными устройствами по созданному списку и авторизоваться путем перебора логинов и паролей по словарю. В случае успеха он загружает на инфицированное устройство свою копию и запускает ее.

Этот троянец фактически является бэкдором – то есть способен выполнять поступающие от злоумышленников команды. Кроме того, он запускает на зараженном устройстве веб-сервер, позволяющий злоумышленникам скачивать и загружать различные файлы. Вирусные аналитики «Доктор Веб» собрали статистику об уникальных IP-адресах устройств, зараженных Linux.LuaBot, — они представлены на следующей иллюстрации.

Более подробную информацию об этом многокомпонентном троянце можно получить, ознакомившись с нашей новостью или подробным техническим описанием вредоносной программы.

Вредоносные программы для macOS

Последний весенний месяц 2017 года ознаменовался распространением бэкдора для macOS. Троянец был добавлен в вирусные базы Dr.Web под именем Mac.BackDoor.Systemd.1. Бэкдор способен выполнять следующие команды:

• получить список содержимого заданной директории;
• прочитать файл;
• записать в файл;
• получить содержимое файла;
• удалить файл или папку;
• переименовать файл или папку;
• изменить права для файла или папки (команда chmod);
• изменить владельца файлового объекта (команда chown);
• создать папку;
• выполнить команду в оболочке bash;
• обновить троянца;
• переустановить троянца;
• сменить IP-адрес управляющего сервера;
• установить плагин.

Более подробные сведения об этой вредоносной программе изложены в опубликованной на нашем сайте статье.

Вредоносное и нежелательное ПО для мобильных устройств

В мае в каталоге Google Play был обнаружен троянец Android.RemoteCode.28, который скачивал другие программы и передавал на управляющий сервер конфиденциальную информацию. Кроме того, в каталоге были выявлены приложения, скрывающие в себе троянца Android.Spy.308.origin. Он загружал и запускал дополнительные программные модули, а также показывал рекламу. В минувшем месяце вирусописатели под видом ММС-сообщений распространяли банковского троянца Android.BankBot.186.origin, крадущего деньги со счетов пользователей.

Наиболее заметные события, связанные с «мобильной» безопасностью в мае:

• обнаружение Android-троянцев в каталоге Google Play;
• распространение банковского троянца, который незаметно переводил деньги пользователей на счета киберпреступников.

Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.

Узнайте больше с Dr.Web

Вирусная статистика Библиотека описаний Все обзоры о вирусах

26 мая 2017 года

Компания «Доктор Веб» рада поделиться итогами майского аукциона, в ходе которого был разыгран широкий спектр гаджетов, сувениров и лицензий Dr.Web. Рассказываем о тех, кто сделал наиболее удачные вложения своих баллов и Dr.Web-ок и потому встречает это лето с обновками.

Майский аукцион для участников сообщества Dr.Web: итоги

Итак, среди «специальных» призеров – anto-s (г. Муром), orw_mikle (г. Санкт-Петербург) и звукач (г. Набережные Челны), которые получают настенные часы Dr.Web, а также Zserg (Воронежская область) и Killer (г. Красноярск) – обладатели новеньких МР3-плееров. «Кот в мешке» (как мы и обещали – по-настоящему летний) достается участнику аукциона под псевдонимом ivankrest (г. Омск). Это зарядное устройство на солнечных батареях.

Garik (г. Орел) становится владельцем набора для путешествий, Влад58028 (Воронежская область) – пылесоса для клавиатуры, а GREEN (г. Самара), Александр Ш. (Республика Беларусь, г. Солигорск), Юрий (г. Подольск), slanof (Кировская область) и AlexN (г. Москва) обзавелись наборами подарочных карт Dr.Web.

Поздравляем удачливых участников аукциона и подбадриваем неудачливых: до июньского «раунда» остается меньше месяца!

25 мая 2017 года

Компания «Доктор Веб», российский производитель антивирусных средств защиты информации под маркой Dr.Web, сообщает о начале предоставления услуги «Антивирус Dr.Web» корпоративным клиентам федерального телеком-оператора «Дом.ru Бизнес» в рамках нового продукта провайдера «Антивирусы для Бизнеса».

В современных условиях бизнес особенно нуждается в антивирусной защите. По данным ЦБ, в 2016 году хакеры попытались вывести со счетов юридических лиц более миллиарда рублей. Средний ущерб всего лишь от одной кибератаки для крупных фирм составляет 11 миллионов рублей, для сектора СМБ — 1,6 миллиона. Интернет-мошенники крадут пароли к системам онлайн-банкинга, шифруют базы данных организаций, требуя выкуп за восстановление файлов, шпионят по заказу конкурентов. В 2017 году ожидается рост ущерба от киберугроз — программ-вымогателей, DDoS-атак на различные сетевые узлы и IT-инфраструктуру. Так, масштабной атаке вируса-шифровальщика WannaCry за три дня (12–14 мая) подверглись более 200 тысяч компьютеров в 150 странах. Основной удар пришелся на российских пользователей и компании. Новый троянец-шифровальщик не угрожает пользователям антивируса Dr.Web: он успешно определяется эвристическим анализатором и добавлен в вирусные базы, детектируется сигнатурно как Trojan.Encoder.11432.

Приглашаем оформить подписку на услугу «Антивирус Dr.Web» у телеком-оператор «Дом.ru Бизнес» http://b2b.domru.ru

С апреля 2017 года бизнес-пользователи «Дом.ru Бизнес» могут оформить у оператора подписку на услугу «Антивирус Dr.Web». Оформив подписку в Личном кабинете или через персонального менеджера, абоненты провайдера смогут приостанавливать действие подписки (на время отпуска или командировки), расширять защиту на новые рабочие места и мобильные устройства или сокращать количество подписок. Антивирус Dr.Web доступен бизнес-пользователям оператора «Дом.ru Бизнес» в двух тарифных пакетах: Dr.Web Классик и Dr.Web Премиум. Использование антивируса Dr.Web по подписке дает компаниям возможность не только обеспечить комплексную защиту локальных сетей от вредоносного ПО и хакерских атак, но и успешно реализовать внутренние стандарты в сфере ИБ и действующие требования отраслевых регуляторов. Новейшие антивирусные технологии Dr.Web позволяют бизнес-пользователям избежать непродуктивной потери рабочего времени из-за спама в корпоративной почте и максимально снизить риск заражения системы троянцами семейства Trojan.Encoder.

«Киберугрозы опасны для бизнеса любого размера. Масштабируемость продуктовой линейки “Антивирусы для Бизнеса” позволяет нам предложить оптимальное решение абсолютно всем предприятиям вне зависимости от их масштаба и сферы деятельности. Использование лицензионных антивирусов по подписке позволяет корпоративным клиентам перейти от капитальных затрат на операционные, упростить администрирование и снизить затраты на информационную безопасность предприятия», — комментирует директор по B2B АО «ЭР-Телеком Холдинг» (бренд «Дом.ru Бизнес») Елена Венцлавович.

Об АО «ЭР-Телеком Холдинг»

АО «ЭР-Телеком Холдинг» — один из ведущих операторов связи в России, работает с 2001 года. Услуги для частных пользователей предоставляются под брендом «Дом.ru», для корпоративных клиентов — под брендом «Дом.ru Бизнес». Поставщик услуг: широкополосный доступ (ШПД) в Интернет, цифровое ТВ, телефонная связь, а также видеонаблюдение и Wi-Fi (для корпоративных клиентов). Услуги предоставляются на базе собственных телекоммуникационных сетей, построенных с нуля и по единым стандартам по технологии «оптика до здания». По собственным оценкам, на долю компании приходится 11% российского рынка ШПД и 12% рынка платного ТВ. По количеству обслуживаемых клиентов занимает 2-е место среди интернет-провайдеров и операторов кабельного ТВ России. Лауреат многих национальных премий, включая премию «Большая цифра», «ТехУспех» (2016 год).

www.ertelecom.ru/

http://b2b.domru.ru

25 мая 2017 года

Вредоносные программы для операционных систем семейства Linux не столь распространены по сравнению с Windows-троянцами. Тем не менее они представляют серьезную угрозу для пользователей. Специалисты «Доктор Веб» исследовали сложного многокомпонентного троянца, способного заражать устройства под управлением Linux с различной аппаратной архитектурой.

Первые атаки с применением троянца, вошедшего в семейство Linux.LuaBot, специалисты «Доктор Веб» фиксировали еще в декабре 2016 года. Все представители семейства написаны на скриптовом языке Lua. Троянец непрерывно эволюционирует с ноября 2016 года, и новые версии Linux.LuaBot появляются с завидной регулярностью. Вредоносная программа Linux.LuaBot представляет собой набор из 31 Lua-сценария и двух дополнительных модулей, каждый из которых выполняет собственную функцию. Троянец способен заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – иными словами, не только компьютеры, но и широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер и других «умных» девайсов. При этом специалистам «Доктор Веб» не удалось обнаружить в «дикой природе» сборки троянца для архитектуры SPARC: заражающий устройства инфектор троянца умеет определять эту архитектуру, но реально существующих модулей для нее не выявлено.

Все входящие в состав Linux.LuaBot сценарии взаимосвязаны. Троянец генерирует список IP-адресов, которые будет атаковать, а затем пытается соединиться с удаленными устройствами по созданному списку и авторизоваться путем перебора логинов и паролей по словарю. Скрипты, с использованием которых осуществляется взлом сетевых узлов, умеют определять архитектуру атакуемого устройства и, кроме того, имеют специальный механизм для детектирования «ханипотов» (от англ. honeypot, «горшочек с медом») — серверов, играющих роль приманки для злоумышленников. С помощью «ханипотов» специалисты по информационной безопасности изучают методики атак и инструментарий злоумышленников. При этом атаки выполняются как по протоколу Telnet, так и посредством SSH — за работу с каждым из этих протоколов отвечает отдельный Lua-сценарий. Если получить доступ к устройству удалось, вредоносный скрипт устанавливает на него троянца Linux.LuaBot соответствующей архитектуры. В процессе атаки по протоколу Telnet на скомпрометированный узел сначала загружается небольшой модуль, который, запустившись, скачивает самого троянца, при атаке по протоколу SSH троянец загружается сразу.

Один из модулей Linux.LuaBot представляет собой полноценный веб-сервер, работающий по протоколу HTTP. Сервер может сохранить на инфицированном устройстве и выполнить приложение, передать по запросу файл из своей директории и сообщать информацию о версии троянца. Отметим, что в майской версии Linux.LuaBot злоумышленники убрали функцию передачи данных о зараженном устройстве.

Linux.LuaBot общается с управляющим сервером по протоколу HTTP, при этом вся передаваемая информация шифруется. Для поиска свежих конфигурационных файлов и модулей используется сеть P2P на основе протокола Bittorent DHT, такого же, который задействован в обычных торрент-сетях. За эту функцию отвечает еще один скрипт. При этом принимаемые и передаваемые сообщения проверяются на подлинность с помощью цифровой подписи. Если P2P-сеть недоступна, отдельный сценарий выполняет обновление Linux.LuaBot с помощью других зараженных узлов, закачивая свои файлы на скомпрометированные устройства по специальному запросу. Этот сценарий присутствовал только в ранних версиях троянца.

Опасность Linux.LuaBot для владельцев Linux-устройств заключается в том, что этот троянец фактически является бэкдором, то есть способен выполнять поступающие от злоумышленников команды. Кроме того, ранние версии этой вредоносной программы запускали на скомпрометированном устройстве прокси-сервер, который злоумышленники использовали для анонимизации своих действий в Интернете.

Вирусные аналитики «Доктор Веб» собрали статистику об уникальных IP-адресах устройств, зараженных Linux.LuaBot. Географическое распределение этих адресов показано на следующей иллюстрации.

Специалистам «Доктор Веб» известно несколько модификаций Linux.LuaBot, отличающихся набором функций и архитектурными особенностями. Антивирус Dr.Web детектирует все существующие на сегодняшний день образцы Linux.LuaBot.

Подробнее о троянце