22 августа 2017 года

Компания «Доктор Веб» представляет акцию для покупателей интернет-магазина программного обеспечения Allsoft и клиентов всех наших партнеров: с 22 августа по 4 сентября при покупке двухгодичной лицензии на продукт комплексной защиты Dr.Web Security Space 5 месяцев защиты прилагается в подарок.

+5 месяцев защиты при покупке Dr.Web Security Space на 2 года

Начинается новый учебный год – а значит, домашние компьютеры будут чаще выходить в Интернет, помогая школьникам постигать новые знания. Но и сами ПК нуждаются в содействии: защиту от всех типов интернет-угроз для них обеспечит Dr.Web Security Space, который в рамках акции можно приобрести сразу на 29 месяцев, причем количество защищаемых компьютеров может достигать пяти.

Приходите за выгодной покупкой в интернет-магазин allsoft.ru или обращайтесь к ближайшему партнеру «Доктор Веб» в вашем городе.

Желаем, чтобы в новом учебном году главной цифрой стала «пятерка»!

21 августа 2017 года

Троянцы-майнеры, использующие для добычи криптовалют вычислительные ресурсы компьютеров без ведома их владельцев, известны с 2011 года. За прошедшие годы интерес к ним со стороны злоумышленников не ослабел, о чем свидетельствует появление новых вредоносных программ этого типа.

Троянцы-майнеры появляются с завидной регулярностью, при этом вирусные аналитики «Доктор Веб» отмечают любопытную тенденцию: создатели таких программ все чаще ориентируются на платформу Linux. В последнее время широкое распространение получили работающие под управлением Linux «умные» устройства, владельцы которых не меняют установленные по умолчанию настройки, прежде всего — логин и пароль администратора. Именно поэтому взлом таких устройств не представляет для киберпреступников большой проблемы.

Очередной троянец-майнер, предназначенный для работы под управлением ОС Linux, получил наименование Linux.BtcMine.26. Схема его распространения похожа на механизм заражения троянцем Linux.Mirai: злоумышленники соединяются с атакуемым устройством по протоколу Telnet, подобрав логин и пароль, после чего сохраняют на нем программу-загрузчик. Затем киберпреступники запускают эту программу из терминала с помощью консольной команды, и на устройство загружается троянец Linux.BtcMine.26.

Анализ загрузчика майнера показал забавную особенность этого приложения: в его коде несколько раз встречается адрес сайта krebsonsecurity.com, принадлежащего известному эксперту по информационной безопасности Брайану Кребсу. По всей видимости, автор троянца является его тайным поклонником.

Троянец предназначен для майнинга Monero (XMR) — криптовалюты, созданной в 2014 году. В настоящее время известны сборки Linux.BtcMine.26 для аппаратных архитектур x86-64 и ARM. Характерными признаками присутствия майнера могут служить снижение быстродействия устройства и увеличение тепловыделения в процессе его работы. Наиболее надежным методом профилактики заражения подобными троянцами является своевременное изменение установленных по умолчанию логина и пароля на устройстве, при этом рекомендуется использовать сложные пароли, устойчивые к компрометации методом перебора по словарю. Также рекомендуется ограничить возможность дистанционного изменения настроек устройства при внешних подключениях к нему.

Сигнатура Linux.BtcMine.26 добавлена в базы Антивируса Dr.Web для Linux, так что этот троянец не представляет опасности для наших пользователей.

Подробнее о троянце

17 августа 2017 года

Компания «Доктор Веб» сообщает об обновлении модуля Dr.Web AV-Desk Agent for Windows setup (11.0.6.08070) в интернет-сервисе Dr.Web AV-Desk 10.0 и Dr.Web Enterprise Agent for Windows setup (11.0.6.08033) в Dr.Web Enterprise Security Suite 10.0 и 10.1. Обновление связано с исправлением выявленной ошибки.

На компьютеры, находящиеся в состоянии ожидания перезагрузки, запрещена установка Dr.Web в silent-режиме.

Обновление пройдет автоматически.

17 августа 2017 года

Компания «Доктор Веб» уже рассказывала о том, что неправильная настройка DNS-серверов в совокупности с другими факторами может стать одной из возможных причин компрометации веб-сайта. Проведенное нашими аналитиками исследование показало, что подобные проблемы актуальны для многих российских финансовых учреждений и некоторых государственных организаций.

Доменная система имен (DNS, Domain Name System) позволяет получать информацию о доменах и обеспечивает адресацию в Интернете. С помощью DNS клиентское программное обеспечение, в частности браузер, определяет IP-адрес интернет-ресурса по введенному URL. Администрированием DNS-серверов занимаются, как правило, сами владельцы доменов.

Многие интернет-ресурсы помимо основного домена второго уровня используют несколько дополнительных доменов третьего или даже четвертого уровней. Например, домен drweb.com использует поддомены vms.drweb.ru, на котором размещается сайт, позволяющий проверить ссылку, файл или найти описание вируса, free.drweb.ru — домен для веб-страницы утилиты Dr.Web CureIt!, updates.drweb.com — страница системы обновлений Dr.Web и т д. С использованием таких доменов обычно реализованы различные технические и вспомогательные службы — системы администрирования и управления сайтом, системы онлайн-банкинга, веб-интерфейсы почтовых серверов и всевозможные внутренние сайты для сотрудников компании. Также поддомены могут быть задействованы, например, для организации систем контроля версий, баг-трекеров, различных служб мониторинга, вики-ресурсов и прочих нужд.

При осуществлении целевых атак на веб-сайты с целью их компрометации злоумышленники в первую очередь собирают информацию о целевом интернет-ресурсе. В частности, они пытаются определить тип и версию веб-сервера, который обслуживает сайт, версию системы управления контентом, язык программирования, на котором написан «движок», и прочую техническую информацию, среди которой — список поддоменов основного домена атакуемого веб-сайта. С использованием такого списка злоумышленники могут попытаться проникнуть в инфраструктуру интернет-ресурса через «черный ход», подобрав учетные данные и успешно авторизовавшись на одном из внутренних непубличных сервисов. Многие системные администраторы не уделяют должного внимания безопасности таких ресурсов. Между тем такие «внутренние» сайты могут использовать устаревшее программное обеспечение с известными уязвимостями, содержать отладочную информацию или допускать открытую регистрацию. Все это может значительно упростить задачу злоумышленникам.

Если обслуживающие веб-сайт DNS-серверы настроены правильно, взломщики не смогут получить по своему запросу информацию о доменной зоне. Однако в случае неправильной настройки DNS-серверов специальный AXFR-запрос позволяет киберпреступникам получить полные данные о зарегистрированных в доменной зоне поддоменах. Неправильная настройка DNS-серверов сама по себе не является уязвимостью, однако может стать косвенной причиной компрометации интернет-ресурса.

Аналитики «Доктор Веб» провели исследование настройки DNS-серверов ряда российских банков и государственных организаций. Было установлено, что из примерно 1000 проверенных доменов российских банков 89 отдают доменную зону в ответ на внешний AXFR-запрос. Информация об этом была передана в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) Банка России. Кроме того, некорректные настройки были выявлены на сайтах нескольких государственных организаций. Компания «Доктор Веб» напоминает администраторам сайтов о том, что корректная настройка DNS является одним из факторов, способных обеспечить безопасность интернет-ресурсов.

16 августа 2017 года

Компания «Доктор Веб» сообщает о продления срока действия лицензий Dr.Web в компьютерной сети Петрозаводской и Карельской Епархии Русской Православной Церкви. Лицензии, как и ранее, были предоставлены безвозмездно.

В последние годы компьютеры активно вошли в жизнь Епархии. Бухгалтерская и налоговая отчетность ведется через Интернет, представителям Епархии зачастую приходится самим создавать информационные ресурсы в сети и пр. Связь с Патриархией теперь тоже осуществляется по электронной почте, а также проводятся вебинары.

Dr.Web используется в Епархии уже 9 лет, и за все это время не произошло ни одного вирусного инцидента. Под защитой Dr.Web Security Space находятся в том числе компьютеры бухгалтерии, информационного отдела, Правящего Архиерея и секретаря Епархии. В Детской воскресной школе тоже есть компьютер, дети смотрят на нем духовные фильмы, заходят на православные ресурсы. Здесь есть риск заражения через MP3-плейеры и флешки, которые ребята все время норовят подключить к ПК.

«Dr.Web практически не замедляет работу наших довольно медленных машин. Мы до сих пор пользуемся компьютерами, пожертвованными богатыми людьми при покупке себе более современных машин. У нас нет штатных программистов, компьютерщиков, веб-дизайнеров. Особенно хочется поблагодарить вашу компанию за то, что вы нам уже трижды помогли: выдали в июне 2008 года совершенно бесплатно целых семь лицензий на три года и потом, в 2011 и в 2014 году, продлевали лицензии еще на три года» - говорит системный администратор Епархии протоиерей Олег Евсеев.

О Петрозаводской и Карельской Епархии

Полное наименование: Религиозная организация «Петрозаводская и Карельская Епархия Русской Православной Церкви (Московский Патриархат)». Географическое положение: находится на Северо-Западе России, включает в себя Петрозаводский городской округ, Кондопожский, Лахденпохский, Медвежьегорский, Олонецкий, Питкярантский, Прионежский, Пряжинский, Пудожский, Сортавальский, Суоярвский районы Республики Карелия. Основана 22 мая / 4 июня 1828 года, восстановлена 19 июля 1990 года. Решением Священного Синода от 29 мая 2013 года вошла в состав Карельской митрополии. Правящий архиерей – Митрополит Петрозаводский и Карельский Константин. В епархии 64 действующих прихода, 7 монастырей, 88 священнослужителей.

eparhia.karelia.ru

14 августа 2017 года

Компания «Доктор Веб» анонсирует последний летний аукцион – уже 60-й за всю историю раздачи лотов, – главной особенностью станет «кот в мешке». Розыгрыш «кота» и остальных лотов состоится 24 августа.

Юбилейный аукцион и необычный «кот в мешке» - время делать ставки!

Список обычных лотов возглавляет полугодовая лицензия на Dr.Web Security Space. Помимо виртуального артефакта присутствуют и реальные: например, значки ВебIQметра, светоотражающий браслет и пылесос для клавиатуры. Полный перечень лотов – как обычно, на странице аукциона.

Среди специальных лотов, помимо коврика с мышью, МР3-плеера и настенных часов – «кот в мешке», причем на этот раз – практически размером с человека. Больше ничего о нем сказать не можем, за исключением того, что он пригодится любому.

Приглашаем делать ставки – и выигрывать!

8 августа 2017 года

Компания «Доктор Веб» сообщает об обновлении управляющего сервиса Dr.Web Control Service (11.0.18.07311) в продуктах Dr.Web Security Space 11.0, Антивирус Dr.Web 11.0 и Dr.Web Enterprise Security Suite 10.1, а также (11.0.17.07240) в Dr.Web Enterprise Security Suite 10.0 и Dr.Web AV-Desk 10.0. Обновление связано с исправлением выявленных ошибок.

Для Dr.Web Enterprise Security Suite и Dr.Web AV-Desk в сервисе было исправлено поведение при смене сетевого интерфейса.

Также было внесено изменение, благодаря которому агент теперь запрашивает настройки всех установленных компонентов при подключении к серверу.

Обновление пройдет автоматически.

7 августа 2017 года

Компания «Доктор Веб» приглашает обсудить технологии антивирусной защиты Dr.Web на Межрегиональном форуме «АЙСБЕРГ», который пройдет 17–18 августа в Якутске.

Компания «Доктор Веб» в качестве официального партнера мероприятия примет участие в Межрегиональном форуме «АЙСБЕРГ», который пройдет 17–18 августа в Якутске. Темой форума в этом году станут информационные технологии и проблемы обеспечения безопасности информационных систем. Менеджер сектора образовательных программ Кирилл Тезиков встретится с гостями форума в рамках двух секций: первое выступление будет посвящено технологиям Dr.Web для защиты от троянцев-шифровальщиков и других вредоносных программ, второе — защите почтовых серверов и шлюзовых решений.

Обсудим противодействие шифровальщикам и защиту Dr.Web для почтовых серверов и шлюзовых решений на форуме в Якутске.

Организатором мероприятия выступает компания «АВАТЕК». Приглашаем на форум «АЙСБЕРГ» руководителей ИТ-департаментов, отраслевых профессионалов, специалистов, ответственных за информационную безопасность компаний, а также всех, кто хочет знать больше о защите от новейших сетевых угроз средствами продуктов корпоративного антивирусного комплекса Dr.Web Enterprise Security Suite.

Регистрация гостей начнется 17 августа в 09:30 по адресу: г. Якутск, ул. Кулаковского, д. 48. Программа предусматривает живое общение с экспертами, на встречу с нашим представителем Кириллом Тезиковым можно записаться предварительно в календаре мероприятий компании «Доктор Веб».

О компании «АВАТЕК»

Компания «АВАТЕК» предлагает комплексный подход к решению вопросов обеспечения информационной безопасности, защиты персональных данных физических лиц и конфиденциальной информации, обеспечение оборудованием от утечки информации по техническим каналам, занимается поставкой и внедрением систем защиты информации.

https://www.iceberg2017.ru

4 августа 2017 года

Компания «Доктор Веб» сообщает о совместной акции с телекоммуникационным оператором МТС. С 4 августа по 30 сентября 2017 года все покупатели двухгодичных лицензий Dr.Web Mobile Security для одного мобильного устройства в розничных салонах МТС получат в подарок бесплатную защиту второго устройства на весь срок действия лицензии.

Акция в салонах МТС: два года защиты Dr.Web для второго мобильного устройства — в подарок!

Приглашаем постоянных пользователей Dr.Web и всех, кто только выбирает антивирусную защиту для своего гаджета под управлением Android или BlackBerry, воспользоваться выгодным предложением в салонах МТС: до 30 сентября покупатели двухгодичных лицензий Dr.Web Mobile Security для одного устройства смогут бесплатно защитить второй смартфон или планшет на весь срок действия антивируса.

Покупатели, которые воспользуются этим предложением, получат один серийный номер для защиты двух мобильных устройств на 2 года, а также Dr.Web-ки за регистрацию в программе лояльности «Я + Dr.Web», которые можно обменять на подарочные сертификаты на покупку антивирусов Dr.Web со скидкой или поставить на понравившиеся лоты в ежемесячных аукционах.

Если в магазине вам предложат установить Dr.Web и активировать серийный номер к купленной лицензии, пожалуйста, предоставьте продавцу или техническому специалисту, устанавливающему ПО, принадлежащий вам действующий e-mail. Он требуется для регистрации лицензии, а также понадобится вам при обращении в службу технической поддержки и при продлении лицензии. Лицензия должна быть зарегистрирована только на адрес владельца коммерческой лицензии Dr.Web.

Торопитесь приобрести комплексную защиту мобильного устройства на выгодных условиях! Только в салонах МТС до 30 сентября стоимость акционной лицензии Dr.Web Mobile Security на два года для двух мобильных устройств составит всего 598 рублей, а выгода при покупке по сравнению с обычной ценой — 400 рублей.

3 августа 2017 года

Компания «Доктор Веб» сообщает о завершении инспекционного контроля для сертифицированной в ФСТЭК России версии Dr.Web Enterprise Security Suite (сертификат соответствия от 27 января 2016 г. № 3509). Эта процедура была направлена на исправление уязвимости Z-2016-02373, расширение перечня поддерживаемых ОС (добавлена поддержка AstraLinux 1.5), а также на оптимизацию состава модулей компонентов без изменения функциональности.

Для получения обновления необходимо в веб-интерфейсе Центра управления Dr.Web изменить зону обновления на /update/fstek2017feb. Обновленные дистрибутивы Dr.Web, а также обновленный формуляр к продукту пользователи сертифицированной версии могут получить, обратившись в службу технической поддержки «Доктор Веб».

При необходимости проверки целостности загруженных файлов вычислить контрольные суммы можно с использованием алгоритма «Уровень-1» и сравнить их с контрольными суммами, указанными в файле «КС установочных файлов после ИК».

Обновление Dr.Web Security Space, Антивируса Dr.Web и Антивируса Dr.Web для файловых серверов Windows пройдет автоматически, однако потребует перезагрузки компьютеров.

3 августа 2017 года

Компания «Доктор Веб» сообщает об обновлении бесплатного средства аварийного восстановления и лечения ПК – Dr.Web LiveDisk 9.0.

Реализовано исправление проблемы, приводившей на некоторых системах под управлением ОС Windows к невозможности запуска и установки продуктов Dr.Web.

Скачать Dr.Web LiveDisk

2 августа 2017 года

Компания «Доктор Веб» сообщает об обновлении брандмауэра Dr.Web Firewall (11.1.6.07100), драйвера Dr.Web Firewall Driver (11.01.06.07110) и агента SpIDer Agent for Windows (11.0.17.07240) в продуктах Dr.Web Security Space 11.0, Антивирус Dr.Web, Dr.Web Enterprise Security Suite 10.0 и 10.1, а также в составе интернет-сервиса Dr.Web AV-Desk 10.0 (агент также обновлен в Антивирусе Dr.Web 11.0 для файловых серверов Windows). Обновление связано с исправлением выявленных ошибок и внесением внутренних изменений.

При обновлении брандмауэра и Dr.Web Firewall Driver была устранена проблема, при которой записи в таблице правил для сетевых приложений могли дублироваться. Вместе с тем стабильность работы модулей была повышена.

Обновление пройдет автоматически, однако продукты с установленным брандмауэром потребуют перезагрузки.

2 августа 2017 года

Специалисты компании «Доктор Веб» отмечают, что в Интернете участились случаи распространения фишинговых писем, которые злоумышленники рассылают якобы от имени российского регистратора доменов, компании «Региональный Сетевой Информационный Центр» (RU-CENTER). За последние две недели такие рассылки фиксировались дважды. В них мошенники предлагают администраторам сайтов разместить на сервере специальный PHP-файл, что приведет к компрометации интернет-ресурса.

Для рассылки мошеннических писем киберпреступники используют, по всей видимости, базу контактов администраторов доменов, зарегистрированных в компании RU-CENTER. Ссылаясь на некие изменения в правилах ICANN, злоумышленники предлагают администратору домена создать в корневой директории сайта php-файл определенного содержания, якобы с целью подтвердить право использования этого домена получателем сообщения. Само письмо содержит логотип компании «Региональный Сетевой Информационный Центр» (RU-CENTER) и отправлено якобы от ее имени.

Файл, который предлагают сохранить в корневой папке сайта злоумышленники, содержит команду, способную выполнить заданный в переменной произвольный код. Этот код киберпреступники могут передать размещенному на сервере скрипту в виде GET или POST-запроса. Специалисты «Доктор Веб» предупреждают: выполнение требований злоумышленников приведет к компрометации веб-сайта. Получив подобное письмо, проигнорируйте его. Если вы предполагаете, что сообщение может быть действительно отправлено регистратором домена, уточните эту информацию в службе технической поддержки компании-регистратора.

1 августа 2017 года

Компания «Доктор Веб» сообщает о начале действия новых правил блокировки и замены пиратских ключевых файлов в отношении продуктов Dr.Web.

Обновились антипиратские правила для пользователей Dr.Web

По новым правилам лицензии без Центра Управления Dr.Web Enterprise Security Suite, признанные пиратскими, будут блокироваться незамедлительно.

Если пользователь – юридическое лицо, то восстановление лицензии осуществляется через соответствующий тикет в трекере технической поддержки, ссылка на который высылается по электронной почте на адрес регистрации серийного номера немедленно после блокировки лицензии. При этом клиенту необходимо будет пояснить, каким образом лицензия оказалась скомпрометирована и какие профилактические меры он предпримет во избежание повторения ситуации в будущем.

Как и прежде, бесплатно заменить лицензию Dr.Web для бизнес-клиента можно трижды, и только если до конца срока ее действия остается не менее 30 дней. В противном случае необходимо приобрести продление лицензии.

Бесплатная замена для домашних пользователей возможна только 1 раз.

Ознакомиться с новыми правилами блокировки и замены лицензий, признанных пиратскими, можно на этой странице.

31 июля 2017 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за июль 2017 года. В начале июля вирусные аналитики исследовали банковского троянца, который мог управлять зараженными устройствами и крал конфиденциальную информацию. Позже в каталоге Google Play был найден троянец-загрузчик. В конце месяца в прошивках нескольких моделей Android-смартфонов был выявлен предустановленный троянец.

31 июля 2017 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — и крупнейшая сеть магазинов бытовой техники и электроники «Эльдорадо» сообщают о начале совместной акции «Дважды выгодная защита». Каждый покупатель годовой лицензии Dr.Web Security Space для 1 ПК/Mac получит в подарок бесплатную защиту для второго компьютера на год.

Приглашаем пользователей Dr.Web и всех, кто выбирает антивирус, принять участие в акции «Дважды выгодная защита»: с 1 августа по 10 сентября 2017 года годовые лицензии Dr.Web Security Space для 1 ПК/Mac, приобретенные в магазинах «Эльдорадо», позволят защитить второй компьютер бесплатно на весь срок действия лицензии. Также покупателей ожидает традиционный подарок — бесплатная защита двух мобильных устройств под управлением Android или BlackBerry.

Акция в «Эльдорадо» до 10.09: Dr.Web Security Space для (1 ПК / 1 год) защитит второй ПК бесплатно.

Акционная лицензия подходит для продления как электронных, так и коробочных продуктов Dr.Web Security Space и Антивирус Dr.Web. Если при регистрации купленной лицензии вы укажете серийный номер предыдущего продукта или его ключевой файл, срок действия новой лицензии будет увеличен на 150 дней.

Покупатели, которые воспользуются данным предложением, получат один серийный номер, после регистрации которого сформируется один ключевой файл, а также Dr.Web-ки за его регистрацию в программе лояльности «Я + Dr.Web». Ключевой файл начнет действовать с момента регистрации на первом компьютере.

Если в магазине вам предложат установить Dr.Web и активировать серийный номер к купленной лицензии, пожалуйста, предоставьте продавцу или техническому специалисту, устанавливающему ПО, принадлежащий вам действующий e-mail. Он требуется для регистрации лицензии, а также понадобится вам при обращении в службу технической поддержки и при продлении лицензии. Лицензия должна быть зарегистрирована только на адрес владельца коммерческой лицензии Dr.Web.

Приходите в магазины «Эльдорадо» до 10 сентября! Только в акционные дни стоимость антивирусной защиты Dr.Web Security Space для двух компьютеров и двух мобильных устройств составит 1290 руб. — на 500 руб. дешевле в сравнении с обычной ценой.

31 июля 2017 года

В июле специалисты компании «Доктор Веб» обнаружили на нескольких моделях Android-смартфонов предустановленного троянца, которого злоумышленники внедрили в системную библиотеку. Эта вредоносная программа проникала в процессы приложений и могла незаметно скачивать и запускать дополнительные модули. Кроме того, в каталоге Google Play была выявлена игра со встроенным в нее троянцем-загрузчиком. Также в июле вирусные аналитики исследовали опасного банковского троянца, получающего контроль над зараженными устройствами и крадущего конфиденциальные данные.

Мобильная угроза месяца

В июле вирусные аналитики компании «Доктор Веб» выявили троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек ОС Android. Эта вредоносная программа проникает в процессы всех работающих приложений и может незаметно скачивать и запускать дополнительные троянские модули. Троянец был обнаружен сразу на нескольких моделях Android-устройств.

Особенности Android.Triada.231:

• встраивание в системную библиотеку выполнено на уровне исходного кода;
• проникает в процессы всех запускаемых приложений и внедряет в них вредоносные модули;
• для удаления троянца с устройства требуется установка чистого образа операционной системы.

Подробнее о троянце рассказано в публикации, размещенной на сайте компании «Доктор Веб».

По данным антивирусных продуктов Dr.Web для Android

Android.DownLoader.337.origin

Android.DownLoader.526.origin

Троянские программы, предназначенные для загрузки других приложений.

Android.HiddenAds.85.origin

Android.HiddenAds.68.origin

Android.HiddenAds.83.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Avazu.8.origin

Adware.SalmonAds.1.origin

Adware.Jiubang.1

Adware.Batmobi.4

Adware.Cootek.1.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянец в Google Play

В июле специалисты компании «Доктор Веб» обнаружили в каталоге Google Play троянца Android.DownLoader.558.origin, встроенного в популярную игру BlazBlue. Эта вредоносная программа входит в состав программного модуля, предназначенного для оптимизации обновления ПО. Ее опасность заключается в том, что она способна незаметно скачивать и запускать непроверенные компоненты приложений. Подробная информация об Android.DownLoader.558.origin содержится в нашей новости.

Банковский троянец

В прошедшем месяце был обнаружен опасный банковский троянец Android.BankBot.211.origin, который пытался получить доступ к специальным возможностям (Accessibility Service) в ОС Android. С их помощью он мог управлять зараженными устройствами и красть всю вводимую на клавиатуре информацию, в том числе пароли. Кроме того, Android.BankBot.211.origin показывал фишинговые формы для ввода конфиденциальных данных поверх запускаемых банковских программ, ПО для работы с платежными сервисами и других приложений. С особенностями работы этого троянца можно ознакомиться, прочитав соответствующий материал на нашем сайте.

Вирусописатели по-прежнему атакуют пользователей мобильных Android-устройств. Они постоянно расширяют функционал троянцев и стараются распространять их всеми доступными способами. Для защиты от вредоносных приложений владельцам смартфонов и планшетов рекомендуется установить антивирусные продукты Dr.Web для Android.

31 июля 2017 года

Главное

Как правило, в середине лета редко происходят значительные события в сфере информационной безопасности, однако нынешний июль стал исключением из этого правила. В начале месяца специалисты компании «Доктор Веб» обнаружили в приложении для организации электронного документооборота M.E.Doc полноценный бэкдор. Чуть позже вирусные аналитики установили источник распространения троянца BackDoor.Dande, воровавшего информацию о закупках медикаментов у фармацевтических компаний. В конце месяца был установлен факт компрометации портала государственных услуг Российской Федерации (gosuslugi.ru). Также в июле было выявлено несколько опасных вредоносных программ для мобильной платформы Android.

Угроза месяца

Популярное на территории Украины приложение для организации электронного документооборота M.E.Doc было разработано компанией Intellect Service. В одном из компонентов этого приложения, ZvitPublishedObjects.Server.MeCom, вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.

Этот же ключ реестра использовал в своей работе троянец-шифровальщик Trojan.Encoder.12703. Вирусные аналитики исследовали файл журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, и установили, что этот энкодер был запущен на пострадавшей машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc:

Дальнейшее исследование программы показало, что в одной из ее библиотек — ZvitPublishedObjects.dll — содержится бэкдор, который может выполнять следующие функции:

• сбор данных для доступа к почтовым серверам;
• выполнение произвольных команд в инфицированной системе;
• загрузка на зараженный компьютер произвольных файлов;
• загрузка, сохранение и запуск любых исполняемых файлов;
• выгрузка произвольных файлов на удаленный сервер.

Кроме того, модуль обновления M.E.Doc позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1 — именно так на инфицированных компьютерах и был запущен Trojan.Encoder.12544. Подробнее о расследовании «Доктор Веб» читайте в опубликованной на нашем сайте статье.

Статистика

По данным статистики Антивируса Dr.Web

• Trojan.DownLoader
  Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
• Trojan.InstallCore
  Семейство установщиков нежелательных и вредоносных приложений.
• Trojan.BtcMine
  Семейство вредоносных программ, которые втайне от пользователя применяют вычислительные ресурсы зараженного компьютера для добычи (майнинга) различных криптовалют – например, Bitcoin.

По данным серверов статистики «Доктор Веб»

• JS.DownLoader
  Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
• JS.Inject.3
  Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
• Trojan.InstallCore
  Семейство установщиков нежелательных и вредоносных приложений.
• Trojan.DownLoader
  Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
• Trojan.PWS.Stealer
  Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Статистика вредоносных программ в почтовом трафике

• JS.DownLoader
  Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
• JS.Inject.3
  Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
• Trojan.PWS.Stealer
  Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
• Trojan.Encoder.6218
  Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
• Trojan.InstallCore
  Семейство установщиков нежелательных и вредоносных приложений.

По данным бота Dr.Web для Telegram

• Android.Locker.139.origin
  Представитель семейства Android-троянцев, предназначенных для вымогательства. Они показывают навязчивое сообщение якобы о нарушении закона и о последовавшей в связи с этим блокировке мобильного устройства, для снятия которой пользователю предлагается заплатить определенную сумму.
• EICAR Test File
  Специальный текстовый файл, предназначенный для тестирования работоспособности антивирусов. Все антивирусные программы при обнаружении такого файла должны реагировать на него в точности таким же образом, как в случае выявления какой-либо реальной компьютерной угрозы.
• Joke.Locker.1.origin
  Программа-шутка для ОС Android, блокирующая экран мобильного устройства и выводящая на него изображение «синего экрана смерти» ОС Windows (BSOD, Blue Screen of Death).
• Android.SmsSend.20784
  Представитель семейства вредоносных программ, предназначенных для отправки СМС-сообщений с повышенной тарификацией и подписки пользователей на различные платные контент-услуги и сервисы.
• Trojan.PWS.Stealer
  Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Шифровальщики

В июле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 34,80% обращений;
• Trojan.Encoder.567 — 8,21% обращений;
• Trojan.Encoder.761 — 3,19% обращений;
• Trojan.Encoder.5342 — 3,04% обращений;
• Trojan.Encoder.11423 — 2,13% обращений;
• Trojan.Encoder.11432 — 1,98% обращений.

Опасные сайты

В течение июля 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 327 295 интернет-адресов.

В середине июля потенциально опасным для пользователей неожиданно стал портал государственных услуг Российской Федерации (gosuslugi.ru), на котором вирусные аналитики компании «Доктор Веб» обнаружили потенциально вредоносный код. Этот код заставлял браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо, как минимум 5 из которых принадлежали нидерландским компаниям. В процессе динамической генерации страницы сайта, к которой обращается пользователь, в код разметки веб-страниц добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. Все уязвимости сайта gosuslugi.ru были устранены администрацией ресурса спустя несколько часов после публикации новости об этом инциденте.

Другие события в сфере информационной безопасности

В 2011 году компания «Доктор Веб» сообщила о появлении троянца BackDoor.Dande, шпионящего за фармацевтическими компаниями и аптеками. Исследовав жесткий диск, предоставленный одной из пострадавших организаций, вирусные аналитики установили, что троянца скачивал и запускал в целевых системах один из компонентов приложения ePrica, которое используют руководители аптек для анализа цен на лекарства и выбора наиболее подходящих поставщиков. Этот модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал бэкдор на атакуемых компьютерах. При этом указанный модуль имел цифровую подпись «Спарго».

Проведенный компанией «Доктор Веб» анализ показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica. Среди модулей троянца присутствует установщик бэкдора, а также компоненты для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы 1C. Важно отметить, что даже после удаления ПО ePrica бэкдор оставался в системе и продолжал шпионить за пользователями. Подробности проведенного специалистами «Доктор Веб» исследования ПО ePrica изложены в опубликованной на нашем сайте статье.

Вредоносное и нежелательное ПО для мобильных устройств

В начале месяца специалисты компании «Доктор Веб» обнаружили троянца-загрузчика Android.DownLoader.558.origin в популярной игре BlazBlue, доступной в каталоге Google Play. Эта вредоносная программа могла незаметно скачивать и запускать непроверенные компоненты приложений. Позже вирусные аналитики исследовали опасного троянца Android.BankBot.211.origin. Он мог управлять зараженными мобильными устройствами, похищал конфиденциальную банковскую информацию и другие секретные сведения, в частности пароли. В конце месяца вирусные аналитики выявили троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек ОС Android и поместили в прошивку нескольких моделей мобильных устройств. Эта вредоносная программа внедрялась в процессы всех запускаемых программ и незаметно запускала троянские модули.

Наиболее заметные события, связанные с «мобильной» безопасностью в июле:

• обнаружение Android-троянца в прошивке нескольких моделей мобильных устройств;
• выявление в каталоге Google Play троянца-загрузчика;
• появление банковского троянца, который мог управлять зараженными устройствами и крал конфиденциальную информацию.

Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.

31 июля 2017 года

Компания «Доктор Веб» объявляет об акции «12+6 – выгода есть!» для покупателей в Республике Беларусь. Специальное предложение таково: при покупке годовой лицензии Dr.Web Security Space для защиты 1 ПК еще полгода защиты пользователи получают в подарок.

Акция действует с 1 августа по 31 сентября 2017 года: если купить акционную лицензию в течение этих двух месяцев, то все преимущества защиты Dr.Web Security Space будут работать для вас на 6 месяцев дольше. Сделать это можно в интернет-магазине allsoft.by, а также у всех партнеров «Доктор Веб» на территории Беларуси.

Покупатели, которые воспользуются данным предложением, получат один серийный номер, а также Dr.Web-ки за регистрацию в программе лояльности «Я + Dr.Web».

Комплексная защита Dr.Web Security Space должна быть долгой – и выгодной. 12+6 – выгода есть!

Официальный дистрибьютор продуктов Dr.Web в Республике Беларусь: ООО «Мартлет» УНП 192591385.

31 июля 2017 года

За индивидуальный вклад в развитие информационного проекта «Антивирусная правДА!» несколько участников отмечены эксклюзивными трофеями.

Каждый выпуск информационного проекта «Антивирусная правДА!» вызывает отклик у пользователей. В сообществе Dr.Web есть люди, которые сталкивались с ситуациями, описываемыми в том или ином выпуске, хотели бы знать больше о противодействии цифровым угрозам и даже имеют успешный опыт решения проблем, связанных с информационной безопасностью. Но среди наших читателей есть несколько людей, которые вносят в развитие проекта свой особенный, индивидуальный вклад, и за него мы хотели бы присудить этим участникам эксклюзивные трофеи проекта.

Читатели проекта «Антивирусная правДА!» получили эксклюзивные трофеи.

Обладателем персонального трофея «Острослов» становится участник Шалтай Александр Болтай из Тюмени, который на протяжении многих выпусков радует читателей проекта уместными анекдотами и шутками.

Участнику под псевдонимом SGES из Улан-Удэ присуждается персональный трофей «Мудрослов» — за сопровождение всех выпусков проекта «Антивирусная правДА!» подходящими по смыслу русскими пословицами.

Такое неравнодушие бесценно.

31 июля 2017 года

Компания «Доктор Веб» представляет обзор вирусной активности в июле 2017 года. В этом месяце специалисты «Доктор Веб» обнаружили бэкдор в программе для организации электронного документооборота M.E.Doc, установили источник распространения троянца Dande и выявили факт компрометации портала государственных услуг.

28 июля 2017 года

Компания «Доктор Веб» подвела итоги июльского аукциона и сообщает имена победителей. По результатам розыгрыша призов лицензии на антивирусные продукты Dr.Web отправляются в 20 городов России, Украины и Беларуси — поздравляем обладателей лицензий и сувениров Dr.Web! Все результаты аукциона представлены в сводной таблице.

Объявлены победители июльского аукциона Dr.Web.

Трое участников июльского розыгрыша получают МР3-плееры с логотипом Dr.Web: это Alexalexger (г. Толбазы), zzzrrr1979 (г. Железнодорожный) и Arti (г. Новосибирск). Настенные часы отправляются к участникам MACTEP_COHUK (г. Ожерелье) и vitnikon (г. Гомель), а пылесосы для клавиатуры — к Oleg (г. Благовещенск) и Ca1mGame (г. Тюмень).

«Котом в мешке» оказалась термокружка, она достается участнику аукциона под псевдонимом Cyril (г. Южноуральск). Полный список победителей и выигранных призов представлен в таблице ниже. Поздравляем обладателей июльских лотов и желаем всем участникам сообщества Dr.Web удачи в новых аукционах!

27 июля 2017 года

Вирусные аналитики компании «Доктор Веб» обнаружили вредоносную программу, встроенную в прошивку нескольких мобильных устройств под управлением ОС Android. Троянец, получивший имя Android.Triada.231, внедрен в одну из системных библиотек. Он проникает в процессы всех работающих приложений и способен незаметно скачивать и запускать дополнительные модули.

Троянцы семейства Android.Triada внедряются в системный процесс компонента ОС Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря заражению Zygote они встраиваются в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое. После этого они незаметно скачивают и запускают различные вредоносные модули.

В отличие от других представителей этого семейства, которые для выполнения вредоносных действий пытаются получить root-привилегии, обнаруженный вирусными аналитиками «Доктор Веб» троянец Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Ее модифицированная версия была найдена сразу на нескольких мобильных устройствах, среди которых Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. Библиотека libandroid_runtime.so используется всеми Android-приложениями, поэтому вредоносный код в зараженной системе присутствует в памяти всех запускаемых приложений.

Внедрение Android.Triada.231 в эту библиотеку было выполнено на уровне исходного кода. Можно предположить, что к распространению троянца причастны инсайдеры либо недобросовестные партнеры, которые участвовали в создании прошивок зараженных мобильных устройств.

Android.Triada.231 встроен в libandroid_runtime.so таким образом, что он получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Поскольку служба Zygote начинает работу раньше других программ, первоначальный запуск троянца происходит именно через нее.

После инициализации вредоносная программа выполняет предварительную настройку ряда параметров, создает рабочий каталог и проверяет, в каком окружении она работает. Если троянец функционирует в среде Dalvik, он перехватывает один из системных методов, что позволяет ему отслеживать старт всех приложений и начинать вредоносную деятельность сразу после их старта.

Основная функция Android.Triada.231 — незаметный запуск дополнительных вредоносных модулей, которые могут загружать другие компоненты троянца. Для их запуска Android.Triada.231 проверяет наличие в созданной им ранее рабочей директории специального подкаталога. Его имя должно содержать значение MD5 имени программного пакета приложения, в процесс которого внедрился троянец. Если Android.Triada.231 находит такой каталог, он ищет в нем файл 32.mmd или 64.mmd (для 32- и 64-битных версий операционной системы соответственно). При наличии такого файла троянец расшифровывает его, сохраняет под именем libcnfgp.so, после чего загружает его в оперативную память с использованием одного из системных методов и удаляет расшифрованный файл с устройства. Если же вредоносная программа не находит нужный объект, она ищет файл 36.jmd. Android.Triada.231 расшифровывает его, сохраняет под именем mms-core.jar, запускает при помощи класса DexClassLoader, после чего также удаляет созданную копию.

В результате Android.Triada.231 способен внедрять самые разнообразные троянские модули в процессы любых программ и влиять на их работу. Например, вирусописатели могут отдать троянцу команду на скачивание и запуск вредоносных плагинов для кражи конфиденциальной информации из банковских приложений, модулей для кибершпионажа и перехвата переписки из клиентов социальных сетей и интернет-мессенджеров и т. п.

Кроме того, Android.Triada.231 может извлекать из библиотеки libandroid_runtime.so троянский модуль Android.Triada.194.origin, который хранится в ней в зашифрованном виде. Его основная функция — загрузка из Интернета дополнительных вредоносных компонентов, а также обеспечение их взаимодействия друг с другом.

Поскольку Android.Triada.231 встроен в одну из библиотек операционной системы и расположен в системном разделе, удаление его стандартными методами невозможно. Единственным надежным и безопасным способом борьбы с этим троянцем является установка заведомо чистой прошивки ОС Android. Специалисты «Доктор Веб» уведомили производителей скомпрометированных смартфонов об имеющейся проблеме, поэтому пользователям рекомендуется установить все возможные обновления, которые будут выпущены для таких устройств.

Подробнее о троянце

24 июля 2017 года

Компания «Доктор Веб» и интернет-магазин программного обеспечения Allsoft проводят акцию для российских и белорусских пользователей: с 24 по 31 июля при покупке годовой лицензии на Dr.Web Security Space для одного или двух ПК/Mac срок действия комплексной антивирусной защиты будет бесплатно увеличен в два раза.

Два года защиты Dr.Web по цене одного — только в estore.drweb.ru, allsoft.ru и allsoft.by до 31.07.

Приглашаем пользователей в России и Беларуси принять участие в выгодной акции: только с 24 по 31 июля каждый купивший годовую лицензию Dr.Web Security Space для одного или двух ПК/Mac в интернет-магазине «Доктор Веб» или на сайтах allsoft.ru и allsoft.by получит вместо одного целых два года комплексной антивирусной защиты. Приятным подарком к лицензии с увеличенным вдвое сроком действия будут два года бесплатной защиты мобильных устройств под управлением Android или BlackBerry по числу защищаемых систем в купленной лицензии.

Акционные лицензии подходят для продления как электронных, так и коробочных продуктов Dr.Web Security Space и Антивирус Dr.Web. Если при регистрации купленной лицензии вы укажете серийный номер предыдущего продукта или его ключевой файл, срок действия новой лицензии будет увеличен на 150 дней. Если лицензия куплена для продления нескольких лицензий с разными сроками действия, при активации акционного серийного номера необходимо указать серийный номер или ключевой файл только одной вашей лицензии, выбрав ту, срок действия которой заканчивается позже всех других.

Покупатели, которые воспользуются данным предложением, получат один серийный номер для защиты оплаченного числа ПК/Мас, а также Dr.Web-ки за регистрацию в программе лояльности «Я + Dr.Web».

Не упустите возможность сэкономить на антивирусной защите и приобрести два года защиты Dr.Web по цене одного!

24 июля 2017 года

Специалисты компании «Доктор Веб» раскрывают новые детали расследования атаки троянца BackDoor.Dande на сети аптек и фармацевтических компаний. Вирусные аналитики установили, что бэкдор не только загружался на целевые рабочие станции компонентом приложения ePrica, но и был встроен в одну из ранних версий установщика этой программы.

Об атаке троянца BackDoor.Dande на фармацевтические компании и аптеки компания «Доктор Веб» впервые сообщила в 2011 году. Этот бэкдор похищал у пользователей систем электронного заказа информацию о закупках медикаментов. Такие программы применяются в фармацевтической отрасли, поэтому распространение вредоносного приложения носило узкоспециализированный характер. Наши специалисты уже на протяжении нескольких лет изучают этот бэкдор и его методы заражения компьютеров.

Недавние результаты исследования показали, что троянца скачивал и запускал в целевых системах один из компонентов приложения ePrica, которое используют руководители аптек для анализа цен на лекарства и выбора наиболее подходящих поставщиков. Этот модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал бэкдор на атакуемых компьютерах. При этом указанный модуль имел цифровую подпись «Спарго».

Дальнейший анализ приложения показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica, что может свидетельствовать о серьезном подрыве систем безопасности разработчика данного ПО. Программа ePrica имеет плагины .nlb и .emd, которые представляют собой зашифрованные приватным ключом динамические dll-библиотеки. Среди них присутствует установщик бэкдора, а также модули для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы 1C.

Старт этих плагинов выполняет модуль runmod.exe, который при получении команды сервера расшифровывает и запускает их в памяти. После этого они копируют информацию из баз данных, которая затем передается на удаленный сервер. Указанный компонент приложения подписан сертификатом «Протек» — группы компаний, в которую входит разработчик ePrica «Спарго Технологии».

Важно отметить, что даже после удаления ПО ePrica бэкдор оставался в системе и продолжал шпионить за пользователями. Существует вероятность того, что на компьютерах пользователей, удаливших ПО ePrica, до сих пор присутствует BackDoor.Dande.

Установщик ePrica версии 4.0.14.6, в котором были найдены троянские модули, был выпущен 18 ноября 2013 года, в то время как некоторые файлы бэкдора в нем датированы еще далеким 2010 годом. Таким образом, копирование информации о закупках аптек и фармацевтических компаний могло начаться как минимум за год до первого обнаружения бэкдора.

Более подробная информация об установщике ePrica с троянцем BackDoor.Dande доступна в нашей вирусной библиотеке.

Подробнее о программе ePrica