Доктор Веб: Обзор вирусной активности в феврале 2017 года


Hit WebСогласно данным отчета Доктор Веб о "вирусной активности в феврале 2017 года", последний зимний месяц ознаменовался:

  • Появлением нового банковского трояна, написанным на базе исходного кода трояна Zeus (Trojan.PWS.Panda)
  • Обнаружением опасной вредоносной программы для Linux
  • Появлением новых троянов для мобильной платформы Android


Угроза месяца

Новый банковский троян Trojan.PWS.Sphinx.2 - выполняет веб-инжекты, то есть встраивает постороннее содержимое в интернет-страницы, просматриваемые пользователем. В результате, все введенные им данные в поддельные формы (логины, пароли и др.) передаются вредоносом злоумышленникам.

Кроме того, Trojan.PWS.Sphinx.2 способен запускать на инфицированном компьютере VNC-сервер, с помощью которого киберпреступники подключаются к зараженной машине, и устанавливают в системе цифровые сертификаты для организации атак по технологии MITM (Man in the middle, "человек посередине"). В составе трояна имеется граббер — модуль, предназначенный для перехвата и передачи на удаленный сервер информации, которую жертва вводит в формы на различных сайтах. Автоматический запуск Trojan.PWS.Sphinx.2 осуществляется с помощью специального сценария на языке PHP.


По данным статистики лечащей утилиты Dr.Web CureIt!

Naibolee rasprostranennie vredonosnie programmi po statistike DrWebCureIt v fevrale 2017

  • Trojan.InstallCore - семейство установщиков нежелательных и вредоносных приложений.
  • Trojan.LoadMoney - семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.
  • Win32.Virut.5 - сложный полиморфный вирус, заражающий исполняемые файлы и содержащий функции удаленного управления инфицированным компьютером.

Naibolee rasprostranennie vredonosnie programmi v fevrale 2017 po dannim serverov DrWeb

  • Trojan.Zadved - надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Также в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.
  • Trojan.InstallCore - семейство установщиков нежелательных и вредоносных приложений.
  • JS.DownLoader - семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
  • BackDoor.IRC.NgrBot.42 - семейство троянов, способных выполнять на инфицированном компьютере поступающие от злоумышленников команды, а управление ими киберпреступники осуществляют с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat).


Статистика вредоносных программ в почтовом трафике

Naibolee rasprostranennie vredonosnie programmi v pochtovom trafike fevrale 2017

  • JS.DownLoader - семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
  • Trojan.Zadved - надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Также в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.
  • Trojan.PWS.Stealer - семейство троянов, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.


По данным бота Dr.Web для Telegram

Vredonosnie programmi obnarujennie botom DrWeb for Telegram v january 2017

  • Android.Locker.139.origin - Android-троян, предназначенный для вымогательства денег. Различные модификации представителей этих семейств могут демонстрировать навязчивое сообщение якобы о нарушении закона и о последовавшей в связи с этим блокировке мобильного устройства, для снятия которой пользователю предлагается заплатить определенную сумму.
  • Joke.Locker.1.origin - программа-шутка для ОС Android, блокирующая экран мобильного устройства и выводящая на него изображение "синего экрана смерти" ОС Windows (BSOD, Blue Screen of Death).
  • Android.HiddenAds.24 - троян, предназначенный для показа навязчивой рекламы.
  • Android.SmsSend.15044 - вредоносная программа, предназначенная для отправки СМС-сообщений с повышенной тарификацией и подписки пользователей на различные платные контент-услуги и сервисы.
  • BackDoor.Comet.2020 - вредоносная программа, способная выполнять на зараженном устройстве поступающие от злоумышленников команды и предоставлять к нему несанкционированный доступ.


Трояны-шифровальщики

Kolichestvo zaprosov na rasshifrovku v podderjku DrWeb v fevrale 2017

В феврале в службу технической поддержки компании Доктор Веб чаще всего обращались пользователи, пострадавшие от следующих модификаций троянов-шифровальщиков:

  • Trojan.Encoder.858 — 31.16% обращений;
  • Trojan.Encoder.567 — 6.70% обращений;
  • Trojan.Encoder.3953 — 4.70% обращений;
  • Trojan.Encoder.761 — 3.31% обращений;
  • Trojan.Encoder.3976 — 1.91% обращений.


В течение февраля 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 134 063 интернет-адреса. По сравнению с январем (+ 223 127) эта цифра уменьшилась на 39.9%.


Нерекомендуемые сайты

Вредоносные программы для Linux

В феврале компания Доктор Веб обнаружила необычную вредоносную программу, которая после запуска на компьютере с ОС Microsoft Windows пыталась обнаружить в сети и инфицировать различные Linux-девайсы.

Обнаруженный троян получил обозначение Trojan.Mirai.1. Скачав со своего управляющего сервера список IP-адресов, он запускает на зараженной машине сканер, который опрашивает эти адреса и пытается авторизоваться на них с заданным в конфигурационном файле сочетанием логина и пароля. При подключении по протоколу Telnet к устройству под управлением Linux троян загружает на скомпрометированный узел бинарный файл. Этот файл, в свою очередь, скачивает и запускает вредоносную программу Linux.Mirai. Trojan.Mirai.1 может выполнять поступающие от злоумышленников команды и реализует целый ряд других вредоносных функций.

Также в феврале был исследован написанный на языке Go троян Linux.Aliande.4, предназначенный для взлома удаленных узлов методом перебора паролей по словарю (брутфорс). Для своей работы Linux.Aliande.4 использует полученный с управляющего сервера список IP-адресов. Для доступа к удаленным устройствам используется протокол SSH. Перечень успешно подобранных логинов и паролей троян отсылает злоумышленникам.


Вредоносное и нежелательное ПО для мобильных устройств

В феврале исследователи обнаружили трояна Android.Click.132.origin. Вредоносная программа распространялась через каталог Google Play. На зараженном устройстве вредоносное приложение незаметно открывало веб-сайты и самостоятельно нажимало на рекламные баннеры. За эти действия вирусописатели получали вознаграждение.

Наиболее заметное событие, связанное с мобильной безопасностью в феврале:
обнаружение Android-трояна, который скрытно загружал сайты с рекламой и автоматически нажимал на рекламные баннеры.


Более подробно о вирусной обстановке для мобильных устройств в феврале 2017 года


Обновлено (04.03.2017 17:21)