8 апреля всем миром пишем Тотальный диктант с Dr.Web. Подробнее
Добавить в библиотеку

RU RU CN DE EN ES FR JP PL UA

«Доктор Веб»: обзор вирусной активности в августе 2015 года

28 августа 2015 года

Август 2015 года был отмечен появлением новой троянской программы, заражающей роутеры, которые работают под управлением операционной системы Linux, а также троянца-майнера, способного, подобно червю, самостоятельно копировать себя по локальной сети. Помимо этого в августе зафиксировано распространение опасного троянца-загрузчика, скрывавшегося в документах Microsoft Word, установщика нежелательных программ из семейства LoadMoney, а также нескольких новых вредоносных приложений, угрожающих пользователям мобильной платформы Android.

Главные тенденции августа

Угроза месяца

С возникновением электронных криптовалют на свет появились и троянские программы, предназначенные для их майнинга (добычи). Однако со временем объем вычислений, которые необходимо выполнить для успеха подобных операций, значительно возрос, в связи с чем популярность троянцев-майнеров стала понемногу падать. Вместе с тем в августе в вирусную лабораторию компании «Доктор Веб» поступил очередной образец такого троянца, получивший наименование Trojan.BtcMine.737.

По своей внутренней архитектуре Trojan.BtcMine.737 напоминает матрешку, состоящую из трех вложенных друг в друга установщиков: первый представляет собой дроппер — он пытается остановить процессы Trojan.BtcMine.737, если ранее они уже были запущены в системе, а затем извлекает из своего тела и помещает во временную папку исполняемый файл другого установщика, запускает его, а исходный файл удаляет. Второй установщик обладает возможностями, похожими на функционал сетевого червя: он сохраняет в одной из папок на диске атакованного компьютера и запускает исполняемый файл, затем создает свои копии в нескольких папках, к одной из которых автоматически открывает доступ из локальной сети. В целевых папках эти копии вредоносной программы отображаются в виде файла с именем Key, имеющего значок WinRAR-архива.

screen

Затем троянец копирует себя в корневую папку всех дисков инфицированной машины, перечисляет доступные в сетевом окружении компьютеры и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка. Помимо этого, вредоносная программа пытается при наличии соответствующего оборудования организовать на инфицированном компьютере открытую точку доступа WiFi. Если вредоносной программе удалось получить доступ к одному из компьютеров в локальной сети, предпринимается попытка сохранить и запустить на нем копию троянца. Программа CNminer.exe, которую Trojan.BtcMine.737 сохраняет на диск на втором этапе своей установки, как раз и является установщиком утилиты для добычи (майнинга) криптовалюты. Более подробную информацию об этой вредоносной программе можно почерпнуть в опубликованной на нашем сайте статье.

По данным статистики лечащей утилиты Dr.Web CureIt!

screen

По данным серверов статистики «Доктор Веб»

screen

screen

Ботнеты

Как и ранее, вирусные аналитики компании «Доктор Веб» продолжают внимательно отслеживать деятельность двух подсетей ботнета, созданного злоумышленниками с использованием зараженных файловым вирусом Win32.Rmnet.12 компьютеров. Их активность показана на следующих иллюстрациях:

screen

screen

Rmnet — это семейство файловых вирусов, распространяющихся без участия пользователя, способных встраивать в просматриваемые пользователям веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов и выполнять различные команды, поступающие от злоумышленников.

Проявляет активность и бот-сеть, состоящая из персональных компьютеров, зараженных опасным файловым вирусом Win32.Sector, — график этой активности показан на следующей иллюстрации:

screen

Файловый вирус Win32.Sector обладает перечисленными ниже функциональными возможностями:

В августе 2015 года несколько активизировались администраторы ботнета Linux.BackDoor.Gates.5, с помощью которого злоумышленники осуществляют DDoS-атаки на различные веб-сайты. По сравнению с предыдущим месяцем количество таких атак увеличилось на 118,3% и составило 2083. При этом 86,7 % атакованных сайтов, как и прежде, расположены на территории Китая, а еще 10,7 % — в США.

Троянцы-шифровальщики

Количество запросов на расшифровку, поступивших в службу технической поддержки «Доктор Веб»

Июль 2015Август 2015Динамика
14141425+ 0,77 %

Наиболее распространенные шифровальщики в августе 2015 года:

Dr.Web Security Space 10.0 для Windows
защищает от троянцев-шифровальщиков

Этого функционала нет в лицензии Антивирус Dr.Web для Windows

Превентивная защитаЗащита данных от потери
Превентивная защитаЗащита данных от потери

Подробней Смотрите видео о настройке

Вредоносные программы для Linux

В августе 2015 года специалисты компании «Доктор Веб» исследовали большую группу вредоносных программ, совместно используемых злоумышленниками для целенаправленных атак на роутеры, работающие под управлением операционных систем семейства Linux.

Троянец, добавленный в вирусные базы Dr.Web под именем Linux.PNScan.1, предположительно устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с использованием уязвимости shellshock путем запуска сценария с соответствующими параметрами, а впоследствии его загружают и устанавливают на атакованные роутеры троянцы семейства Linux.BackDoor.Tsunami, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1. Единственным назначением Linux.PNScan.1 является взлом роутера и загрузка на него вредоносного скрипта, который устанавливает на маршрутизатор бэкдоры, собранные в соответствии с используемой роутером архитектурой, — ARM, MIPS или PowerPC. Если же с использованием уязвимости shellshock злоумышленникам удастся взломать компьютер с архитектурой Intel x86, в скрипте предусмотрена загрузка бэкдора и на такой случай. Данные бэкдоры могут выполнять различные поступающие от злоумышленников команды, одной из которых, в частности, является команда загрузки утилиты Tool.Linux.BrutePma.1, — с ее помощью осуществляется взлом административных панелей систем управления реляционными базами данных PHPMyAdmin.

Помимо перечисленных выше опасных приложений, вирусные аналитики компании «Доктор Веб» обнаружили на принадлежащих злоумышленникам серверах и другие вредоносные программы: среди них — еще одна модификация троянца Linux.PNScan.2, вредоносная программа Trojan.Mbot, предназначенная для взлома веб-сайтов, троянец Perl.Ircbot.13, который служит для поиска уязвимостей на сайтах, работающих с различными системами управления контентом и ПО для организации интернет-магазинов, а также некоторые другие. Всего вирусным аналитикам компании «Доктор Веб» известно о 1439 случаях заражения устройств с использованием перечисленных выше инструментов, при этом в 649 случаях выявлено географическое положение инфицированных устройств:

screen

Более полную информацию об обнаруженных специалистами компании «Доктор Веб» вредоносных программах и сведения о данном инциденте можно получить, ознакомившись с опубликованной на нашем сайте подробной статьей.

Другие вредоносные программы

В августе 2015 года вирусные аналитики компании «Доктор Веб» исследовали опасного троянца-загрузчика, распространявшегося в виде вложенного в сообщения электронной почты документа Word и получившего наименование W97M.DownLoader.507. Для ознакомления с якобы зашифрованным содержимым документа злоумышленники предлагают потенциальной жертве включить в редакторе Word использование макросов.

Если жертва соглашается выполнить это действие, ей демонстрируется полный текст документа, а в это время троянец загружает с удаленного сервера и собирает из фрагментов несколько вредоносных сценариев, которые, в свою очередь, скачивают с принадлежащего злоумышленникам узла и запускают опасного банковского троянца. Подробнее об этой угрозе читайте в опубликованной на сайте нашей компании обзорной статье.

Другая вредоносная программа, тщательно исследованная вирусными аналитиками «Доктор Веб» в августе, Trojan.LoadMoney.336, встречается на компьютерах пользователей достаточно часто и представляет собой установщик нежелательных приложений. Распространяется он следующим образом: при обращении жертвы к созданному злоумышленниками файлообменному ресурсу происходит автоматическое перенаправление на промежуточный сайт, с которого на компьютер осуществляется загрузка троянца Trojan.LoadMoney.336. После запуска троянец обращается на другой сервер, откуда получает зашифрованный конфигурационный файл. В этом файле содержатся ссылки на различные партнерские приложения, которые тоже загружаются из Интернета и запускаются на инфицированном компьютере, — среди них могут оказаться не только безобидные программы, но и опасные вредоносные приложения.

Более полная информация об этом троянце изложена в опубликованной нами тематической статье.

Опасные сайты

В течение августа 2015 года в базу нерекомендуемых и вредоносных сайтов было добавлено 834 753 интернет-адреса.

Июль 2015
Август 2015Динамика
+ 821 409+ 834 753+ 1,62 %
Нерекомендуемые сайты

Вредоносное и нежелательное ПО для Android

В августе активность вредоносных приложений, предназначенных для работы на мобильных устройствах под управлением ОС Android, в целом была заметно ниже по сравнению с предыдущими месяцами наблюдений. Тем не менее, пользователи Android-смартфонов и планшетов по-прежнему оставались основной целью ориентированных на мобильный сегмент киберпреступников. Так, специалисты по информационной безопасности выявили очередного опасного Android-троянца, предназначенного для кибершпионажа. Кроме этого, вирусные аналитики «Доктор Веб» отметили рост числа новых Android-вымогателей, вредоносных программ-банкеров, а также СМС-троянцев. Наиболее заметные тенденции в сфере безопасности ОС Android в августе:

Более подробно о вирусной обстановке для мобильных Android-устройств в августе читайте в специально подготовленном обзоре.

Узнайте больше с Dr.Web

Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live