Доктор Веб: Обзор вирусной активности в январе 2017 года


Hit WebСогласно отчету компании Доктор Веб, главные тенденции января 2017 года:

  • Распространение червя, способного заражать архивы и удалять другое вредоносное ПО
  • Обнаружение нескольких тысяч зараженных Linux-устройств
  • Появление Android-троянца, встраивающего свой модуль в программу Play Маркет
  • Распространение банковского троянца для Android, попавшего в открытый доступ

Угроза месяца

В январе 2017 года компанией Доктор Веб был обнаружен BackDoor.Ragebot.45 - новый червь, который получает команды с помощью протокола обмена текстовыми сообщениями IRC (Internet Relay Chat), а после заражения компьютера, запускает на нем FTP-сервер. С его помощью троян скачивает на атакуемый ПК свою копию.

BackDoor.Ragebot.45 Podkluchenie k IRC

Автоматическое распространение червя происходит по следующему сценарию. При помощи системы удаленного доступа к рабочему столу Virtual Network Computing (VNC), червь подключается к другим компьютерам в сети. Для подбора пароля он использует перебор по словарю - Bruteforce-атаку. При удачном взломе, BackDoor.Ragebot.45 устанавливает с удаленным компьютером VNC-соединение. После этого вредонос отправляет сигналы нажатия клавиш, с помощью которых запускает интерпретатор команд CMD и выполняет в нем код для загрузки по протоколу FTP собственной копии.

Также BackDoor.Ragebot.45 умеет искать и заражать RAR-архивы на съемных носителях и копировать себя в папки целого ряда программ. Однако основная его особенность в том,  этот зловред способен по команде злоумышленников осуществлять поиск в системе других троянов. При обнаружении таковых, завершает их процессы и удаляет исполняемые файлы.


Статистика лечащей утилиты Dr.Web CureIt!

Наиболее распространенные вредоносные программы согласно статистике утилиты Dr.Web CureIt!

Naibolee rasprostranennie vredonosnie programmi po DrWebCureIt v january 2017

  • Trojan.InstallCore - семейство установщиков нежелательных и вредоносных приложений.
  • Trojan.LoadMoney - семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.
  • Trojan.Moneyinst.31 - вредоносная программа, устанавливающая на компьютер жертвы различное ПО, в том числе других троянов.
  • Trojan.BtcMine.793 - представитель семейства вредоносных программ, который втайне от пользователя применяет вычислительные ресурсы зараженного компьютера для добычи (майнинга) различных криптовалют – например, Bitcoin.


По данным серверов статистики Доктор Веб

Наиболее распространенные вредоносные программы в январе 2017 года согласно данным серверов статистики Dr.Web

Naibolee rasprostranennie vredonosnie programmi po dannim serverov DrWeb v january 2017

  • JS.DownLoader - семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
  • Trojan.InstallCore - семейство установщиков нежелательных и вредоносных приложений.
  • Trojan.Zadved - надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.
  • Trojan.Moneyinst.31 - вредоносная программа, устанавливающая на компьютер жертвы различное ПО, в том числе других троянов.
  • BackDoor.IRC.NgrBot.42 - троян, способный выполнять на инфицированном компьютере поступающие от злоумышленников команды, а управление ими киберпреступники осуществляют с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat).


Статистика вредоносных программ в почтовом трафике

Наиболее распространенные вредоносные программы, выявленные в почтовом трафике в январе 2017 года

Naibolee rasprostranennie vredonosnie programmi v pochtovom trafike v january 2017

  • JS.DownLoader - семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
  • Trojan.InstallCore - семейство установщиков нежелательных и вредоносных приложений.
  • Trojan.Zadved - надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.
  • Trojan.PWS.Stealer - семейство троянов, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
  • W97M.DownLoader - семейство троянов-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.


По данным бота Dr.Web для Telegram

Вредоносные программы, обнаруженные ботом Dr.Web для Telegram в январе 2017 года

Vredonosnie programmi obnarujennie botom DrWeb for Telegram v january 2017

  • Android.Locker.139.origin - Android-троян, предназначенный для вымогательства денег. Различные модификации этих вредоносных программ могут демонстрировать навязчивое сообщение якобы о нарушении закона и о последовавшей в связи с этим блокировке мобильного устройства, для снятия которой пользователям предлагается заплатить определенную сумму.
  • Joke.Locker.1.origin - программа-шутка для ОС Android, блокирующая экран мобильного устройства и выводящая на него изображение "синего экрана смерти" ОС Windows (BSOD, Blue Screen of Death).
  • Android.HiddenAds.24 - троян, предназначенный для показа навязчивой рекламы.
  • Android.Spy.178.origin - представитель семейства троянов для ОС Windows, способных похищать конфиденциальную информацию, в том числе пользовательские пароли.
  • Trojan.DownLoader - семейство троянов, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.


Трояны-шифровальщики

Количество запросов на расшифровку, поступивших в службу поддержки Доктор Веб в январе 2017 года

Kol-vo zaprosov na rasshifrovku ot trojanov-shifrovalshikov v january 2017

В январе в службу технической поддержки компании "Доктор Веб" чаще всего обращались пользователи, пострадавшие от следующих модификаций троянов-шифровальщиков:

  • Trojan.Encoder.858 — 36.71% обращений;
  • Trojan.Encoder.3953 — 5.00% обращений;
  • Trojan.Encoder.567 — 3.97% обращений;
  • Trojan.Encoder.761 — 3.33% обращений;
  • Trojan.Encoder.3976 — 2.88% обращений.


Нерекомендуемые и вредоносные сайты

В январе 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 223 127 интернет-адресов. Данный показатель меньше на 1.59%, чем был в декабре 2016 года (226 744).

Вредоносные программы для Linux

В январе 2017 года, специалистами Доктор Веб было зафиксировано массовое распространение вредоносных программ для операционных систем семейства Linux. В частности, был обнаружен троян Linux.Proxy.10, предназначенный для запуска на инфицированном устройстве SOCKS5-прокси сервера. Злоумышленники используют такие скомпрометированные устройства для обеспечения собственной анонимности в Интернете. По имеющейся информации, на 24 января 2017 года число зараженных Linux-девайсов составило несколько тысяч.

Распространяется Linux.Proxy.10, авторизуясь на уязвимых узлах с заданным сочетанием логина и пароля - пользователей с такими учетными данными обычно создают в системе другие Linux-троянцы (либо они установлены на устройстве по умолчанию). Другими словами, Linux.Proxy.10 атакует в основном устройства, уже зараженные другим вредоносным ПО.

Другой представитель вредоносных программ для Linux - Linux.Lady.4. В данной модификации трояна разработчики удалили функцию скачивания и запуска утилиты для добычи (майнинга) криптовалют, однако добавили возможность осуществления атак на сетевые хранилища данных Redis. Также в трояне появился дополнительный модуль, способный общаться с удаленными серверами с использованием технологии RPC (Remote Procedure Call), отправлять на них информацию об инфицированной системе и выполнять shell-команды.


Вредоносное и нежелательное ПО для мобильных устройств

В январе-месяце 2017 года специалистами компании был обнаружен троян Android.Skyfin.1.origin, который внедрялся в активный процесс приложения Play Маркет и незаметно загружал приложения из каталога Google Play, искусственно увеличивая их популярность. Чуть позже вирусные аналитики выявили Android-банкера Android.BankBot.149.origin, исходный код которого вирусописатели опубликовали в Интернете. Еще один вредонос, обнаруженный в январе - Android-банкер Android.BankBot.140.origin. Зловред распространялся под видом игры Super Mario Run, еще недоступной для Android-устройств. Также в прошедшем месяце в каталоге Google Play был найден троян-вымогатель Android.Locker.387.origin, блокировавший смартфоны и планшеты.

Наиболее заметные события, связанные с мобильной безопасностью в январе:

  • обнаружение Android-трояна, способного внедрялся в работающий процесс программы Play Маркет и незаметно скачивающего приложения из каталога Google Play;
  • распространение банковских троянов;
  • появление трояна-вымогателя в каталоге приложений Google Play.


Полный "Обзор вирусной активности для мобильных устройств в январе 2017 года".


Обновлено (05.02.2017 20:20)