28 августа 2015 года
Август 2015 года был отмечен появлением новой троянской программы, заражающей роутеры, которые работают под управлением операционной системы Linux, а также троянца-майнера, способного, подобно червю, самостоятельно копировать себя по локальной сети. Помимо этого в августе зафиксировано распространение опасного троянца-загрузчика, скрывавшегося в документах Microsoft Word, установщика нежелательных программ из семейства LoadMoney, а также нескольких новых вредоносных приложений, угрожающих пользователям мобильной платформы Android.
Главные тенденции августа
- Появление вредоносной программы, заражающей роутеры под управлением Linux
- Распространение загрузчиков и установщиков нежелательных приложений для Microsoft Windows
- Рост количества троянцев для мобильной платформы Google Android
Угроза месяца
С возникновением электронных криптовалют на свет появились и троянские программы, предназначенные для их майнинга (добычи). Однако со временем объем вычислений, которые необходимо выполнить для успеха подобных операций, значительно возрос, в связи с чем популярность троянцев-майнеров стала понемногу падать. Вместе с тем в августе в вирусную лабораторию компании «Доктор Веб» поступил очередной образец такого троянца, получивший наименование Trojan.BtcMine.737.
По своей внутренней архитектуре Trojan.BtcMine.737 напоминает матрешку, состоящую из трех вложенных друг в друга установщиков: первый представляет собой дроппер — он пытается остановить процессы Trojan.BtcMine.737, если ранее они уже были запущены в системе, а затем извлекает из своего тела и помещает во временную папку исполняемый файл другого установщика, запускает его, а исходный файл удаляет. Второй установщик обладает возможностями, похожими на функционал сетевого червя: он сохраняет в одной из папок на диске атакованного компьютера и запускает исполняемый файл, затем создает свои копии в нескольких папках, к одной из которых автоматически открывает доступ из локальной сети. В целевых папках эти копии вредоносной программы отображаются в виде файла с именем Key, имеющего значок WinRAR-архива.
Затем троянец копирует себя в корневую папку всех дисков инфицированной машины, перечисляет доступные в сетевом окружении компьютеры и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка. Помимо этого, вредоносная программа пытается при наличии соответствующего оборудования организовать на инфицированном компьютере открытую точку доступа WiFi. Если вредоносной программе удалось получить доступ к одному из компьютеров в локальной сети, предпринимается попытка сохранить и запустить на нем копию троянца. Программа CNminer.exe, которую Trojan.BtcMine.737 сохраняет на диск на втором этапе своей установки, как раз и является установщиком утилиты для добычи (майнинга) криптовалюты. Более подробную информацию об этой вредоносной программе можно почерпнуть в опубликованной на нашем сайте статье.
По данным статистики лечащей утилиты Dr.Web CureIt!
Trojan.LoadMoney
Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.
Trojan.DownLoad3.35967
Один из представителей семейства троянцев-загрузчиков, скачивающих из Интернета и запускающих на атакуемом компьютере другое вредоносное ПО.
Trojan.Crossrider
Семейство троянских программ, предназначенных для демонстрации пользователям Интернета различной сомнительной рекламы.
Trojan.Click
Семейство вредоносных программ, предназначенных для накрутки посещаемости различных интернет-ресурсов путем перенаправления запросов жертвы на определенные сайты с помощью управления поведением браузера.
По данным серверов статистики «Доктор Веб»
Trojan.Siggen6.33552
Детект вредоносной программы, предназначенной для установки другого опасного ПО.
Trojan.LoadMoney
Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.
Trojan.Installmonster
Семейство вредоносных программ, созданных с использованием партнерской программы installmonster. Данные приложения устанавливают на компьютер жертвы различное нежелательное ПО.
Trojan.DownLoad3.35967
Один из представителей семейства троянцев-загрузчиков, скачивающих из Интернета и запускающих на атакуемом компьютере другое вредоносное ПО.
Trojan.Encoder.567
Один из представителей семейства троянцев-вымогателей, шифрующих файлы на дисках компьютера жертвы и требующих выкуп за их расшифровку. Этот троянец способен зашифровывать важные пользовательские файлы, в том числе следующих типов: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.
Trojan.PWS.Multi.1690
Один из представителей троянцев-бэкдоров, способных похищать конфиденциальную информацию на атакованном компьютере.
Trojan.Oficla
Семейство троянцев, распространяющихся преимущественно по каналам электронной почты. При заражении компьютера они скрывают свою вредоносную активность. В дальнейшем Trojan.Oficla включает компьютер в бот-сеть и позволяет злоумышленникам загружать на него другое вредоносное ПО. После заражения системы владельцы бот-сети, формируемой Trojan.Oficla, получают возможность контролировать компьютер жертвы. В частности, они могут загружать, устанавливать и использовать на нем практически любое вредоносное ПО.
Trojan.PWS.Stealer
Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой ценной конфиденциальной информации.
Ботнеты
Как и ранее, вирусные аналитики компании «Доктор Веб» продолжают внимательно отслеживать деятельность двух подсетей ботнета, созданного злоумышленниками с использованием зараженных файловым вирусом Win32.Rmnet.12 компьютеров. Их активность показана на следующих иллюстрациях:
Rmnet — это семейство файловых вирусов, распространяющихся без участия пользователя, способных встраивать в просматриваемые пользователям веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов и выполнять различные команды, поступающие от злоумышленников.
Проявляет активность и бот-сеть, состоящая из персональных компьютеров, зараженных опасным файловым вирусом Win32.Sector, — график этой активности показан на следующей иллюстрации:
Файловый вирус Win32.Sector обладает перечисленными ниже функциональными возможностями:
- загрузка из P2P-сети и запуск на зараженной машине различных исполняемых файлов;
- встраивание в запущенные на инфицированном компьютере процессы;
- возможность останавливать работу некоторых антивирусных программ и блокировать доступ к сайтам их разработчиков;
- инфицирование файловых объектов на локальных дисках и сменных носителях (где в процессе заражения создает файл автозапуска autorun.inf), а также файлов, хранящиеся в общедоступных сетевых папках.
В августе 2015 года несколько активизировались администраторы ботнета Linux.BackDoor.Gates.5, с помощью которого злоумышленники осуществляют DDoS-атаки на различные веб-сайты. По сравнению с предыдущим месяцем количество таких атак увеличилось на 118,3% и составило 2083. При этом 86,7 % атакованных сайтов, как и прежде, расположены на территории Китая, а еще 10,7 % — в США.
Троянцы-шифровальщики
Количество запросов на расшифровку, поступивших в службу технической поддержки «Доктор Веб»
| Июль 2015 | Август 2015 | Динамика |
|---|---|---|
| 1414 | 1425 | + 0,77 % |
Наиболее распространенные шифровальщики в августе 2015 года:
- Trojan.Encoder.567;
- Trojan.Encoder.858;
- BAT.Encoder.
Dr.Web Security Space 10.0 для Windows
защищает от троянцев-шифровальщиков
Этого функционала нет в лицензии Антивирус Dr.Web для Windows
| Превентивная защита | Защита данных от потери |
|---|---|
 |  |
Вредоносные программы для Linux
В августе 2015 года специалисты компании «Доктор Веб» исследовали большую группу вредоносных программ, совместно используемых злоумышленниками для целенаправленных атак на роутеры, работающие под управлением операционных систем семейства Linux.
Троянец, добавленный в вирусные базы Dr.Web под именем Linux.PNScan.1, предположительно устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с использованием уязвимости shellshock путем запуска сценария с соответствующими параметрами, а впоследствии его загружают и устанавливают на атакованные роутеры троянцы семейства Linux.BackDoor.Tsunami, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1. Единственным назначением Linux.PNScan.1 является взлом роутера и загрузка на него вредоносного скрипта, который устанавливает на маршрутизатор бэкдоры, собранные в соответствии с используемой роутером архитектурой, — ARM, MIPS или PowerPC. Если же с использованием уязвимости shellshock злоумышленникам удастся взломать компьютер с архитектурой Intel x86, в скрипте предусмотрена загрузка бэкдора и на такой случай. Данные бэкдоры могут выполнять различные поступающие от злоумышленников команды, одной из которых, в частности, является команда загрузки утилиты Tool.Linux.BrutePma.1, — с ее помощью осуществляется взлом административных панелей систем управления реляционными базами данных PHPMyAdmin.
Помимо перечисленных выше опасных приложений, вирусные аналитики компании «Доктор Веб» обнаружили на принадлежащих злоумышленникам серверах и другие вредоносные программы: среди них — еще одна модификация троянца Linux.PNScan.2, вредоносная программа Trojan.Mbot, предназначенная для взлома веб-сайтов, троянец Perl.Ircbot.13, который служит для поиска уязвимостей на сайтах, работающих с различными системами управления контентом и ПО для организации интернет-магазинов, а также некоторые другие. Всего вирусным аналитикам компании «Доктор Веб» известно о 1439 случаях заражения устройств с использованием перечисленных выше инструментов, при этом в 649 случаях выявлено географическое положение инфицированных устройств:
Более полную информацию об обнаруженных специалистами компании «Доктор Веб» вредоносных программах и сведения о данном инциденте можно получить, ознакомившись с опубликованной на нашем сайте подробной статьей.
Другие вредоносные программы
В августе 2015 года вирусные аналитики компании «Доктор Веб» исследовали опасного троянца-загрузчика, распространявшегося в виде вложенного в сообщения электронной почты документа Word и получившего наименование W97M.DownLoader.507. Для ознакомления с якобы зашифрованным содержимым документа злоумышленники предлагают потенциальной жертве включить в редакторе Word использование макросов.
Если жертва соглашается выполнить это действие, ей демонстрируется полный текст документа, а в это время троянец загружает с удаленного сервера и собирает из фрагментов несколько вредоносных сценариев, которые, в свою очередь, скачивают с принадлежащего злоумышленникам узла и запускают опасного банковского троянца. Подробнее об этой угрозе читайте в опубликованной на сайте нашей компании обзорной статье.
Другая вредоносная программа, тщательно исследованная вирусными аналитиками «Доктор Веб» в августе, Trojan.LoadMoney.336, встречается на компьютерах пользователей достаточно часто и представляет собой установщик нежелательных приложений. Распространяется он следующим образом: при обращении жертвы к созданному злоумышленниками файлообменному ресурсу происходит автоматическое перенаправление на промежуточный сайт, с которого на компьютер осуществляется загрузка троянца Trojan.LoadMoney.336. После запуска троянец обращается на другой сервер, откуда получает зашифрованный конфигурационный файл. В этом файле содержатся ссылки на различные партнерские приложения, которые тоже загружаются из Интернета и запускаются на инфицированном компьютере, — среди них могут оказаться не только безобидные программы, но и опасные вредоносные приложения.
Более полная информация об этом троянце изложена в опубликованной нами тематической статье.
Опасные сайты
В течение августа 2015 года в базу нерекомендуемых и вредоносных сайтов было добавлено 834 753 интернет-адреса.
| Август 2015 | Динамика | |
|---|---|---|
| + 821 409 | + 834 753 | + 1,62 % |
Вредоносное и нежелательное ПО для Android
В августе активность вредоносных приложений, предназначенных для работы на мобильных устройствах под управлением ОС Android, в целом была заметно ниже по сравнению с предыдущими месяцами наблюдений. Тем не менее, пользователи Android-смартфонов и планшетов по-прежнему оставались основной целью ориентированных на мобильный сегмент киберпреступников. Так, специалисты по информационной безопасности выявили очередного опасного Android-троянца, предназначенного для кибершпионажа. Кроме этого, вирусные аналитики «Доктор Веб» отметили рост числа новых Android-вымогателей, вредоносных программ-банкеров, а также СМС-троянцев. Наиболее заметные тенденции в сфере безопасности ОС Android в августе:
- применение злоумышленниками Android-троянцев для слежки за пользователями;
- угроза со стороны вредоносных программ-банкеров;
- распространение новых Android-вымогателей;
- увеличение числа СМС-троянцев.
Более подробно о вирусной обстановке для мобильных Android-устройств в августе читайте в специально подготовленном обзоре.
Узнайте больше с Dr.Web
Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live
