Антивирусы по производителю

• ESET (6)
• Лаборатория Касперского (8)
• Доктор Веб (26)
• Panda Security (3)
• F-Secure Corporation (2)
• ADinf (1)
• Symantec (3)
• AVG Technologies (2)
• Avira GmbH (2)
• BitDefender (0)
• McAfee (0)
• Avast (2)
• MicroWorld Tehnologies (6)
• G Data Software AG (0)

Топ 10

• антивирус (8)
• антивирус + файервол (5)
• интернет-секьюрити (4)
• глобал секьюрити (1)
• антивирус для мобильного телефона (2)
• ревизор файловой системы (0)

Лидеры продаж

• антивирус (7)
• антивирус + файервол (5)
• интернет-секьюрити (3)
• глобал секьюрити (2)
• антивирус для мобильного телефона (3)
• ревизор файловой системы (2)

Проверить аттестат

Соглашение с Webmoney

«Доктор Веб»: обзор вирусной активности в августе 2015 года

28 августа 2015 года

Август 2015 года был отмечен появлением новой троянской программы, заражающей роутеры, которые работают под управлением операционной системы Linux, а также троянца-майнера, способного, подобно червю, самостоятельно копировать себя по локальной сети. Помимо этого в августе зафиксировано распространение опасного троянца-загрузчика, скрывавшегося в документах Microsoft Word, установщика нежелательных программ из семейства LoadMoney, а также нескольких новых вредоносных приложений, угрожающих пользователям мобильной платформы Android.

Угроза месяца

С возникновением электронных криптовалют на свет появились и троянские программы, предназначенные для их майнинга (добычи). Однако со временем объем вычислений, которые необходимо выполнить для успеха подобных операций, значительно возрос, в связи с чем популярность троянцев-майнеров стала понемногу падать. Вместе с тем в августе в вирусную лабораторию компании «Доктор Веб» поступил очередной образец такого троянца, получивший наименование Trojan.BtcMine.737.

По своей внутренней архитектуре Trojan.BtcMine.737 напоминает матрешку, состоящую из трех вложенных друг в друга установщиков: первый представляет собой дроппер — он пытается остановить процессы Trojan.BtcMine.737, если ранее они уже были запущены в системе, а затем извлекает из своего тела и помещает во временную папку исполняемый файл другого установщика, запускает его, а исходный файл удаляет. Второй установщик обладает возможностями, похожими на функционал сетевого червя: он сохраняет в одной из папок на диске атакованного компьютера и запускает исполняемый файл, затем создает свои копии в нескольких папках, к одной из которых автоматически открывает доступ из локальной сети. В целевых папках эти копии вредоносной программы отображаются в виде файла с именем Key, имеющего значок WinRAR-архива.

Затем троянец копирует себя в корневую папку всех дисков инфицированной машины, перечисляет доступные в сетевом окружении компьютеры и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка. Помимо этого, вредоносная программа пытается при наличии соответствующего оборудования организовать на инфицированном компьютере открытую точку доступа WiFi. Если вредоносной программе удалось получить доступ к одному из компьютеров в локальной сети, предпринимается попытка сохранить и запустить на нем копию троянца. Программа CNminer.exe, которую Trojan.BtcMine.737 сохраняет на диск на втором этапе своей установки, как раз и является установщиком утилиты для добычи (майнинга) криптовалюты. Более подробную информацию об этой вредоносной программе можно почерпнуть в опубликованной на нашем сайте статье.

По данным статистики лечащей утилиты Dr.Web CureIt!

• Trojan.LoadMoney

  Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.

• Trojan.DownLoad3.35967

  Один из представителей семейства троянцев-загрузчиков, скачивающих из Интернета и запускающих на атакуемом компьютере другое вредоносное ПО.

• Trojan.Crossrider

  Семейство троянских программ, предназначенных для демонстрации пользователям Интернета различной сомнительной рекламы.

• Trojan.Click

  Семейство вредоносных программ, предназначенных для накрутки посещаемости различных интернет-ресурсов путем перенаправления запросов жертвы на определенные сайты с помощью управления поведением браузера.

По данным серверов статистики «Доктор Веб»

• Trojan.Siggen6.33552

  Детект вредоносной программы, предназначенной для установки другого опасного ПО.

• Trojan.LoadMoney

  Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.

• Trojan.Installmonster

  Семейство вредоносных программ, созданных с использованием партнерской программы installmonster. Данные приложения устанавливают на компьютер жертвы различное нежелательное ПО.

• Trojan.DownLoad3.35967

  Один из представителей семейства троянцев-загрузчиков, скачивающих из Интернета и запускающих на атакуемом компьютере другое вредоносное ПО.

• Trojan.Encoder.567

  Один из представителей семейства троянцев-вымогателей, шифрующих файлы на дисках компьютера жертвы и требующих выкуп за их расшифровку. Этот троянец способен зашифровывать важные пользовательские файлы, в том числе следующих типов: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.

• Trojan.PWS.Multi.1690

  Один из представителей троянцев-бэкдоров, способных похищать конфиденциальную информацию на атакованном компьютере.

• Trojan.Oficla

  Семейство троянцев, распространяющихся преимущественно по каналам электронной почты. При заражении компьютера они скрывают свою вредоносную активность. В дальнейшем Trojan.Oficla включает компьютер в бот-сеть и позволяет злоумышленникам загружать на него другое вредоносное ПО. После заражения системы владельцы бот-сети, формируемой Trojan.Oficla, получают возможность контролировать компьютер жертвы. В частности, они могут загружать, устанавливать и использовать на нем практически любое вредоносное ПО.

• Trojan.PWS.Stealer

  Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой ценной конфиденциальной информации.

Ботнеты

Как и ранее, вирусные аналитики компании «Доктор Веб» продолжают внимательно отслеживать деятельность двух подсетей ботнета, созданного злоумышленниками с использованием зараженных файловым вирусом Win32.Rmnet.12 компьютеров. Их активность показана на следующих иллюстрациях:

Rmnet — это семейство файловых вирусов, распространяющихся без участия пользователя, способных встраивать в просматриваемые пользователям веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов и выполнять различные команды, поступающие от злоумышленников.

Проявляет активность и бот-сеть, состоящая из персональных компьютеров, зараженных опасным файловым вирусом Win32.Sector, — график этой активности показан на следующей иллюстрации:

Файловый вирус Win32.Sector обладает перечисленными ниже функциональными возможностями:

• загрузка из P2P-сети и запуск на зараженной машине различных исполняемых файлов;
• встраивание в запущенные на инфицированном компьютере процессы;
• возможность останавливать работу некоторых антивирусных программ и блокировать доступ к сайтам их разработчиков;
• инфицирование файловых объектов на локальных дисках и сменных носителях (где в процессе заражения создает файл автозапуска autorun.inf), а также файлов, хранящиеся в общедоступных сетевых папках.

В августе 2015 года несколько активизировались администраторы ботнета Linux.BackDoor.Gates.5, с помощью которого злоумышленники осуществляют DDoS-атаки на различные веб-сайты. По сравнению с предыдущим месяцем количество таких атак увеличилось на 118,3% и составило 2083. При этом 86,7 % атакованных сайтов, как и прежде, расположены на территории Китая, а еще 10,7 % — в США.

Троянцы-шифровальщики

Количество запросов на расшифровку, поступивших в службу технической поддержки «Доктор Веб»

Наиболее распространенные шифровальщики в августе 2015 года:

• Trojan.Encoder.567;
• Trojan.Encoder.858;
• BAT.Encoder.

Dr.Web Security Space 10.0 для Windows
защищает от троянцев-шифровальщиков

Этого функционала нет в лицензии Антивирус Dr.Web для Windows

Превентивная защита	Защита данных от потери

Подробней Смотрите видео о настройке

Вредоносные программы для Linux

В августе 2015 года специалисты компании «Доктор Веб» исследовали большую группу вредоносных программ, совместно используемых злоумышленниками для целенаправленных атак на роутеры, работающие под управлением операционных систем семейства Linux.

Троянец, добавленный в вирусные базы Dr.Web под именем Linux.PNScan.1, предположительно устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с использованием уязвимости shellshock путем запуска сценария с соответствующими параметрами, а впоследствии его загружают и устанавливают на атакованные роутеры троянцы семейства Linux.BackDoor.Tsunami, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1. Единственным назначением Linux.PNScan.1 является взлом роутера и загрузка на него вредоносного скрипта, который устанавливает на маршрутизатор бэкдоры, собранные в соответствии с используемой роутером архитектурой, — ARM, MIPS или PowerPC. Если же с использованием уязвимости shellshock злоумышленникам удастся взломать компьютер с архитектурой Intel x86, в скрипте предусмотрена загрузка бэкдора и на такой случай. Данные бэкдоры могут выполнять различные поступающие от злоумышленников команды, одной из которых, в частности, является команда загрузки утилиты Tool.Linux.BrutePma.1, — с ее помощью осуществляется взлом административных панелей систем управления реляционными базами данных PHPMyAdmin.

Помимо перечисленных выше опасных приложений, вирусные аналитики компании «Доктор Веб» обнаружили на принадлежащих злоумышленникам серверах и другие вредоносные программы: среди них — еще одна модификация троянца Linux.PNScan.2, вредоносная программа Trojan.Mbot, предназначенная для взлома веб-сайтов, троянец Perl.Ircbot.13, который служит для поиска уязвимостей на сайтах, работающих с различными системами управления контентом и ПО для организации интернет-магазинов, а также некоторые другие. Всего вирусным аналитикам компании «Доктор Веб» известно о 1439 случаях заражения устройств с использованием перечисленных выше инструментов, при этом в 649 случаях выявлено географическое положение инфицированных устройств:

Более полную информацию об обнаруженных специалистами компании «Доктор Веб» вредоносных программах и сведения о данном инциденте можно получить, ознакомившись с опубликованной на нашем сайте подробной статьей.

Другие вредоносные программы

В августе 2015 года вирусные аналитики компании «Доктор Веб» исследовали опасного троянца-загрузчика, распространявшегося в виде вложенного в сообщения электронной почты документа Word и получившего наименование W97M.DownLoader.507. Для ознакомления с якобы зашифрованным содержимым документа злоумышленники предлагают потенциальной жертве включить в редакторе Word использование макросов.

Если жертва соглашается выполнить это действие, ей демонстрируется полный текст документа, а в это время троянец загружает с удаленного сервера и собирает из фрагментов несколько вредоносных сценариев, которые, в свою очередь, скачивают с принадлежащего злоумышленникам узла и запускают опасного банковского троянца. Подробнее об этой угрозе читайте в опубликованной на сайте нашей компании обзорной статье.

Другая вредоносная программа, тщательно исследованная вирусными аналитиками «Доктор Веб» в августе, Trojan.LoadMoney.336, встречается на компьютерах пользователей достаточно часто и представляет собой установщик нежелательных приложений. Распространяется он следующим образом: при обращении жертвы к созданному злоумышленниками файлообменному ресурсу происходит автоматическое перенаправление на промежуточный сайт, с которого на компьютер осуществляется загрузка троянца Trojan.LoadMoney.336. После запуска троянец обращается на другой сервер, откуда получает зашифрованный конфигурационный файл. В этом файле содержатся ссылки на различные партнерские приложения, которые тоже загружаются из Интернета и запускаются на инфицированном компьютере, — среди них могут оказаться не только безобидные программы, но и опасные вредоносные приложения.

Более полная информация об этом троянце изложена в опубликованной нами тематической статье.

Опасные сайты

В течение августа 2015 года в базу нерекомендуемых и вредоносных сайтов было добавлено 834 753 интернет-адреса.

Вредоносное и нежелательное ПО для Android

В августе активность вредоносных приложений, предназначенных для работы на мобильных устройствах под управлением ОС Android, в целом была заметно ниже по сравнению с предыдущими месяцами наблюдений. Тем не менее, пользователи Android-смартфонов и планшетов по-прежнему оставались основной целью ориентированных на мобильный сегмент киберпреступников. Так, специалисты по информационной безопасности выявили очередного опасного Android-троянца, предназначенного для кибершпионажа. Кроме этого, вирусные аналитики «Доктор Веб» отметили рост числа новых Android-вымогателей, вредоносных программ-банкеров, а также СМС-троянцев. Наиболее заметные тенденции в сфере безопасности ОС Android в августе:

• применение злоумышленниками Android-троянцев для слежки за пользователями;
• угроза со стороны вредоносных программ-банкеров;
• распространение новых Android-вымогателей;
• увеличение числа СМС-троянцев.

Узнайте больше с Dr.Web

Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live