- «Доктор Веб»: огляд вірусної активності в липні 2015 року 30 липня 2015 року У липні 2015 року...
- За даними статистики лечащей утиліти Dr.Web CureIt!
- Trojan.DownLoad3.35967
- Trojan.Click
- За даними серверів статистики «Доктор Веб»
- Trojan.Siggen6.33552
- Trojan.Kbdmai.8
- Trojan.DownLoad3.35967
- Trojan.PWS.Multi.911
- Trojan.DownLoader
- Троянці-шифрувальники
- Найбільш поширені шифрувальники в липні 2015 року:
- небезпечні сайти
- Шкідливе і небажане ПО для Android
- Дізнайтеся більше з Dr.Web
«Доктор Веб»: огляд вірусної активності в липні 2015 року
30 липня 2015 року
У липні 2015 року знову активізувалися вирусописатели, що створюють шкідливі програми для операційних систем сімейства Linux. Також вірусні бази Dr.Web поповнилися новими записами для троянців, що загрожують користувачам ОС Windows. Чи не сидять склавши руки і зловмисники, що створюють небезпечне ПО для мобільної платформи Google Android: в липні вірусні аналітики компанії «Доктор Веб» виявили безліч подібних троянців, а одного з них користувачі навіть скачали з різних інтернет-ресурсів більше 1,5 млн. Разів.
Головні тенденції липня
- Поява нових троянців для операційних систем сімейства Linux
- Зростання кількості шкідливих програм для Microsoft Windows
- Поширення троянців для мобільної платформи Google Android
загроза місяці
Шкідливі програми, призначені для демонстрації жертвам настирливої реклами при відкритті у вікні браузера різних веб-сторінок, поступово вдосконалюються, які вживали алгоритми - ускладнюються, а асортимент таких троянців поступово зростає. Так, в липні 2015 року вірусними аналітиками компанії «Доктор Веб» був виявлений троянець Trojan.Ormes.186 , Що використовує технологію веб-Інжект для впровадження в веб-сторінки сторонньої реклами.
Trojan.Ormes.186 реалізований у вигляді розширення для браузерів Mozilla Firefox, Chrome і Opera, поширюється він з використанням програм-Дроппер. У тілі шкідливої програми міститься список, що складається з близько 200 адрес інтернет-ресурсів, при зверненні до яких Trojan.Ormes.186 виконує веб-Інжект. Серед них - різні сайти для пошуку і розміщення вакансій, а також адреси популярних пошукових систем і соціальних мереж.
Крім вбудовування в веб-сторінки рекламних банерів, троянець має можливість емулювати клацання мишею по різних елементів веб-сторінок з метою підтвердження підписок для абонентів мобільних операторів «Мегафон» і «Білайн». Можна сміливо сказати, що ця шкідлива програма має значною кількістю функціональних можливостей:
- вбудовування в веб-сторінки реклами з використанням веб-Інжект;
- при відкритті у вікні браузера сайтів «Яндекс», Youtube, а також соціальних мереж «ВКонтакте», «Однокласники» і Facebook перенаправлення користувача через ланцюжок редиректів на сайти різних файлообмінних систем, що використовують для монетизації платні підписки;
- підміна видачі в популярних пошукових системах;
- установка відміток «Like» ( «мені подобається») різних сайтів в соціальній мережі Facebook;
- автоматичний вхід на сайти деяких онлайн-казино і автоматична установка додатки казино для соціальних мереж.
Більш детальна інформація про дану загрозу приведена в опублікованій на сайті компанії «Доктор Веб» оглядовій статті .
За даними статистики лечащей утиліти Dr.Web CureIt!
Trojan.DownLoad3.35967
Один з представників сімейства троянців-завантажувачів, які скачують з Інтернету і запускають на комп'ютері, що атакується інше шкідливе ПЗ.
Trojan.LoadMoney
Сімейство програм-завантажувачів, що генеруються серверами партнерської програми LoadMoney. Дані програми завантажують і встановлюють на комп'ютер жертви різне небажане ПО.
Trojan.Click
Сімейство шкідливих програм, призначених для накрутки відвідуваності різних інтернет-ресурсів шляхом перенаправлення запитів жертви на певні сайти за допомогою управління поведінкою браузера.
Trojan.Crossrider1.31615
Троянська програма, призначена для демонстрації користувачам Інтернету різної сумнівною реклами.
Trojan.Siggen6.33552
Детект шкідливої програми, призначеної для установки іншого небезпечного ПЗ.
За даними серверів статистики «Доктор Веб»
Trojan.Siggen6.33552
Детект шкідливої програми, призначеної для установки іншого небезпечного ПЗ.
Trojan.Installmonster
Сімейство шкідливих програм, створених з використанням партнерської програми installmonster. Дані програми встановлюють на комп'ютер жертви різне небажане ПО.
Trojan.Kbdmai.8
Представник сімейства шкідливих програм, призначених для завантаження з Інтернету і запуску на інфікованому комп'ютері інших небезпечних програм.
Trojan.LoadMoney
Сімейство програм-завантажувачів, що генеруються серверами партнерської програми LoadMoney. Дані програми завантажують і встановлюють на комп'ютер жертви різне небажане ПО.
Trojan.DownLoad3.35967
Один з представників сімейства троянців-завантажувачів, які скачують з Інтернету і запускають на комп'ютері, що атакується інше шкідливе ПЗ.
Статистика шкідливих програм в поштовому трафіку
Trojan.PWS.Multi.911
Представник сімейства банківських троянців, призначених для крадіжки на інфікованому комп'ютері різної конфіденційної інформації, в тому числі даних, необхідних для доступу до систем дистанційного банківського обслуговування.
Trojan.PWS.Stealer
Сімейство троянців, призначених для розкрадання на інфікованому комп'ютері паролів та іншої цінної конфіденційної інформації.
BackDoor.Andromeda
Сімейство троянців-завантажувачів, призначених для скачування з віддалених серверів зловмисників і запуску на інфікованому комп'ютері інших шкідливих програм.
Trojan.DownLoader
Сімейство троянців, призначених для завантаження на атакується комп'ютер інших шкідливих додатків.
ботнети
У липні, як і раніше, продовжують функціонувати бот-мережі, за діяльністю яких уважно стежать вірусні аналітики компанії «Доктор Веб». Серед них - ботнет, що складається із заражених файловим вірусом Win32.Rmnet.12 комп'ютерів, активність двох підмереж якого показана на наступних діаграмах:
Rmnet - це сімейство файлових вірусів, що поширюються без участі користувача, здатних вбудовувати в Популярні користувачам веб-сторінки стороннє вміст (це теоретично дозволяє кіберзлочинцям отримувати доступ до банківської інформації жертви), а також красти файли cookies і паролі від найбільш популярних FTP-клієнтів і виконувати різні команди, що надходять від зловмисників.
Також продовжує своє існування бот-мережу, що складається з заражених вірусом Win32.Sector комп'ютерів - її середньодобова активність показана на наступній ілюстрації. Дана шкідлива програма має наступні деструктивними функціями:
- завантаження з P2P-мережі і запуск на зараженій машині різних виконуваних файлів;
- вбудовування в запущені на інфікованому комп'ютері процеси;
- можливість зупиняти роботу деяких антивірусних програм і блокувати доступ до сайтів їх розробників;
- інфікування файлових об'єктів на локальних дисках і змінних носіях (де в процесі зараження створює файл автозапуску autorun.inf), а також файлів, що зберігаються в загальнодоступних мережевих папках.
У порівнянні з попереднім місяцем ще помітніше знизилося число DDoS-атак на веб-сайти, зроблених зловмисниками з використанням шкідливої програми Linux.BackDoor.Gates.5 . Число цілей цих атак в липні склало 954, що на 25,7% менше червневих показників. Скоротилися і географічні масштаби використання ботнету: 74.8% атак припадає на веб-сайти, розташовані на території Китаю, ще 20.4% атакованих сайтів знаходиться в США.
Троянці-шифрувальники
Кількість запитів на розшифровку, що надійшли до служби технічної підтримки «Доктор Веб»
Червень 2015 Липень 2015 Динаміка 1417 1414 - 0,2%
Найбільш поширені шифрувальники в липні 2015 року:
- Trojan.Encoder.567;
- Trojan.Encoder.858.
Шкідливі програми для Linux
Зловмисники продовжують створювати все нові і нові шкідливі програми для операційних систем сімейства Linux. У липні 2015 року вірусні аналітики компанії «Доктор Веб» виявили ще одного троянця для цієї платформи, що одержав назву Linux.BackDoor.Dklkt.1 .
Цей бекдор за задумом авторів повинен реалізовувати досить широкий вибір функцій, однак на поточний момент велика частина передбачених в його архітектурі команд ігнорується. Фактично троянець в змозі виконувати такі команди зловмисників: директиву початку DDoS-атаки, запуску SOCKS proxy-сервера, запуску зазначеного в прийшла команді додатки, перезавантаження або виключення комп'ютера. Вихідні компоненти бекдора були створені таким чином, щоб виконуваний файл можна було зібрати для архітектури Linux, так і для Windows. Більш докладно функціональні можливості і особливості цієї шкідливої програми описані в опублікованій нами статті .
небезпечні сайти
Протягом липня 2015 року в базу не рекомендованих і шкідливих сайтів було додано 821 409 інтернет-адрес.
Червень 2015 Липень 2015 Динаміка + 978 982 + 821 409 - 16% Нерекомендовані сайти
Шкідливе і небажане ПО для Android
Минулий липень виявився вельми насиченим на події вірусної тематики в мобільному сегменті: протягом усього місяця фахівці компанії «Доктор Веб» фіксували появу чергових шкідливих Android-додатків, а також відзначали різні атаки на користувачів Android-смартфонів і планшетів. Зокрема, в кінці місяця вірусними аналітиками був виявлений троянець Android.DownLoader.171.origin , Що поширювався в офіційному каталозі додатків Google Play. Загальна кількість його завантажень з урахуванням альтернативних майданчиків склало близько 1,5 млн. Цей троянець уміє не тільки встановлювати програми по команді зловмисників, але так само непомітно для користувача видаляти їх. Крім того, він здатний демонструвати користувачеві повідомлення в панелі нотифікацій Android, при натисканні на яке відкривається вікно браузера і виконується перехід на вказаний зловмисниками веб-сайт. Додаткову інформацію про цю шкідливу програму можна отримати, ознайомившись з відповідною статтею .
Найбільш помітні тенденції в сфері безпеки ОС Android в липні:
- використання зловмисниками для власного збагачення різних рекламних платформ в складі Android-троянців;
- поява в каталозі Google play нових шкідливих програм;
- поширення нових Android-вимагачів;
- поява чергових небезпечних троянців-бекдор, що виконують шкідливі дії по команді вірусів;
- збільшення числа СМС-троянців.
Дізнайтеся більше з Dr.Web
вірусна статистика бібліотека описів Всі огляди про віруси Лабораторія-live