13 февраля 2017 года

Банковские троянцы представляют серьезную опасность как для бизнеса, так и для частных лиц — они способны похищать деньги непосредственно со счетов в различных кредитных организациях. Вирусные аналитики компании «Доктор Веб» исследовали нового банкера, угрожающего пользователям операционной системы Microsoft Windows.

Эта вредоносная программа, созданная вирусописателями на основе исходных кодов другого опасного банковского троянца — Zeus (Trojan.PWS.Panda), получила наименование Trojan.PWS.Sphinx.2. Основное предназначение банкера заключается в выполнении веб-инжектов. Троянец встраивает в просматриваемые пользователем веб-страницы постороннее содержимое – например, поддельные формы для ввода логина и пароля, информация из которых передается злоумышленникам. Потенциальная жертва обычно не замечает подмены: URL интернет-ресурса в адресной строке браузера и оформление сайта остаются прежними, поддельная форма или текст добавляется на веб-страницу прямо на зараженном компьютере. При этом банковские троянцы могут обворовывать клиентов множества кредитных организаций, поскольку данные для выполнения веб-инжектов они получают с управляющего сервера. Если пользователь зайдет на банковский сайт, адрес которого имеется в конфигурации троянца, тот встроит в веб-страницу заранее сформированный злоумышленниками контент. На следующей иллюстрации показан пример кода, который Trojan.PWS.Sphinx.2 встраивает в страницы сайта bankofamerica.com:

При запуске Trojan.PWS.Sphinx.2 встраивается в работающий процесс программы Проводник (explorer.exe) и расшифровывает конфигурационный блок, в котором скрыт адрес управляющего сервера и ключ для шифрования принимаемых и отправляемых данных. Trojan.PWS.Sphinx.2 имеет модульную архитектуру: по запросу троянец скачивает с сервера злоумышленников дополнительные плагины. Два из используемых банкером модулей предназначены для выполнения веб-инжектов в 32- и 64-разрядных версиях Windows, еще два — для запуска на зараженной машине VNC-сервера, с помощью которого киберпреступники могут подключаться к зараженному компьютеру. Кроме того, Trojan.PWS.Sphinx.2 скачивает и сохраняет на инфицированном компьютере набор утилит для установки корневого цифрового сертификата — киберпреступники используют его для организации атак по технологии MITM (Man in the middle, «человек посередине»). Кроме того, в составе троянца имеется так называемый граббер — функциональный модуль, перехватывающий и передающий на удаленный сервер информацию, которую пользователь вводит в формы на различных сайтах.

Примечателен оригинальный способ автоматического запуска троянца на инфицированной машине: для этого используется сценарий на языке PHP и приложение-интерпретатор этого языка. Сценарий запускается с помощью ярлыка, который банкер помещает в папку автозагрузки. Всю необходимую для своей работы информацию троянец хранит в зашифрованном виде в системном реестре Windows. Модули сохраняются в отдельном файле со случайным расширением, который тоже зашифрован.

Антивирус Dr.Web успешно детектирует и удаляет троянца Trojan.PWS.Sphinx.2, поэтому он не представляет опасности для наших пользователей.

Подробнее о троянце

6 февраля 2017 года

Linux.Mirai — самый распространенный на сегодняшний день троянец для операционных систем семейства Linux. Первая версия этой вредоносной программы была добавлена в вирусные базы Dr.Web под именем Linux.DDoS.87 еще в мае 2016 года. С тех пор она приобрела большую популярность у вирусописателей, поскольку ее исходные коды были опубликованы в свободном доступе. А в феврале текущего года специалисты компании «Доктор Веб» исследовали троянца для OC Windows, способствующего распространению Linux.Mirai.

Новая вредоносная программа получила наименование Trojan.Mirai.1. При запуске троянец соединяется со своим управляющим сервером, скачивает оттуда конфигурационный файл и извлекает из него список IP-адресов. Затем Trojan.Mirai.1 запускает сканер, который обращается к сетевым узлам по адресам из конфигурационного файла и пытается авторизоваться на них с заданным в том же файле сочетанием логина и пароля. Сканер Trojan.Mirai.1 умеет опрашивать несколько TCP-портов одновременно.

Если троянцу удается соединиться с атакуемым узлом по любому из доступных протоколов, он выполняет указанную в конфигурации последовательность команд. Исключение составляют лишь соединения по протоколу RDP — в этом случае никакие инструкции не выполняются. Помимо этого, при подключении по протоколу Telnet к устройству под управлением Linux он загружает на скомпрометированное устройство бинарный файл, который в свою очередь скачивает и запускает вредоносную программу Linux.Mirai.

Кроме того, Trojan.Mirai.1 может выполнять на удаленной машине команды, использующие технологию межпроцессного взаимодействия (inter-process communication, IPC). Троянец умеет запускать новые процессы и создавать различные файлы – например, пакетные файлы Windows с тем или иным набором инструкций. Если на атакованном удаленном компьютере работает система управления реляционными базами данных Microsoft SQL Server, Trojan.Mirai.1 создает в ней пользователя Mssqla с паролем Bus3456#qwein и привилегиями sysadmin. От имени этого пользователя при помощи службы SQL server job event автоматически выполняются различные вредоносные задачи. Таким способом троянец, например, запускает по расписанию исполняемые файлы с правами администратора, удаляет файлы или помещает какие-либо ярлыки в системную папку автозагрузки (либо создает соответствующие записи в системном реестре Windows). Подключившись к удаленному MySQL-серверу, троянец с аналогичными целями создает пользователя СУБД MySQL с именем phpminds и паролем phpgod.

Trojan.Mirai.1 добавлен в вирусные базы Dr.Web и потому не представляет опасности для наших пользователей.

Подробнее о троянце

24 января 2017 года

Еще в конце прошлого года вирусные аналитики компании «Доктор Веб» отмечали рост количества вредоносных программ для ОС Linux. А уже в январе они обнаружили несколько тысяч Linux-устройств, инфицированных новым троянцем.

Троянец, с использованием которого злоумышленники заразили множество работающих в сети устройств под управлением Linux, получил наименование Linux.Proxy.10. Как и следует из названия этой вредоносной программы, она предназначена для запуска на инфицированном устройстве SOCKS5-прокси сервера, основанного на свободно распространяемых исходных кодах утилиты Satanic Socks Server. Злоумышленники используют этого троянца для обеспечения собственной анонимности в Интернете.

Для распространения Linux.Proxy.10 киберпреступники авторизуются на уязвимых узлах по протоколу SSH, при этом список узлов, а также логин и пароль к ним хранится на их сервере. Список имеет следующий вид: «IP-адрес:login:password». Примечательно, что пользователей с такими учетными данными обычно создают в системе другие Linux-троянцы. Иными словами, Linux.Proxy.10 проникает на компьютеры и устройства, либо имеющие стандартные настройки, либо уже инфицированные вредоносными программами для Linux.

С использованием этого списка формируется сценарий, который выполняется на заражаемых устройствах при помощи утилиты sshpass. Он и заражает атакуемую систему троянцем Linux.Proxy.10.

Кроме того, на сервере злоумышленников, распространяющих Linux.Proxy.10, помимо списков уязвимых узлов аналитики «Доктор Веб» обнаружили панель управления Spy-Agent и сборку вредоносной программы для Windows, относящейся к известному семейству троянцев-шпионов BackDoor.TeamViewer.

Для подключения к запущенному с помощью Linux.Proxy.10 прокси-серверу злоумышленникам необходимо знать только IP-адрес зараженного устройства и номер порта, который сохраняется в теле троянца при его компиляции. Специалистам компании «Доктор Веб» удалось подсчитать число инфицированных Linux.Proxy.10 узлов: на 24 января 2017 года оно составляет несколько тысяч.

Чтобы обезопасить устройства от действия троянца Linux.Proxy.10, при подозрении на заражение рекомендуется выполнить их удаленную проверку по протоколу SSH с помощью Антивируса Dr.Web 11.0 для Linux.

Подробнее о троянце

13 января 2017 года

Черви — это вредоносные программы, которые умеют самостоятельно распространяться, но не могут заражать исполняемые файлы. Вирусные аналитики компании «Доктор Веб» исследовали одного из таких троянцев, который инфицирует RAR-архивы, удаляет другие опасные приложения и использует для своего распространения систему удаленного доступа VNC.

Червь, названный BackDoor.Ragebot.45, получает команды с использованием протокола для обмена текстовыми сообщениями IRC (Internet Relay Chat). Для этого он подключается к чат-каналу, по которому злоумышленники отдают троянцу управляющие директивы.

Заразив компьютер под управлением Windows, BackDoor.Ragebot.45 запускает на нем FTP-сервер, посредством которого скачивает на атакуемый ПК свою копию. Затем он сканирует доступные подсети в поисках узлов с открытым портом 5900, используемым для организации соединения при помощи системы удаленного доступа к рабочему столу Virtual Network Computing (VNC). Обнаружив такую машину, BackDoor.Ragebot.45 пытается получить к ней несанкционированный доступ путем перебора паролей по словарю.

Если взлом удался, червь устанавливает с удаленным компьютером VNC-соединение и отправляет сигналы нажатия клавиш, с помощью которых запускает интерпретатор команд CMD и выполняет в нем код для загрузки по протоколу FTP собственной копии. Так червь распространяется автоматически.

Еще одна функция BackDoor.Ragebot.45 — поиск и заражение RAR-архивов на съемных носителях. Обнаружив RAR-архив, червь помещает в него свою копию с именем setup.exe, installer.exe, self-installer.exe или self-extractor.exe. Для успешного заражения компьютера пользователь должен сам запустить извлеченный из архива исполняемый файл.

Кроме того, троянец копирует себя в папку ICQ-клиента, а также ряда программ, предназначенных для установки P2P-соединений. Получив от злоумышленников соответствующую команду, BackDoor.Ragebot.45 ищет в системе других троянцев, при обнаружении которых завершает их процессы и удаляет исполняемые файлы. Троянец располагает специальными «белыми списками», содержащими имена файлов (в основном системных файлов Windows), которые он игнорирует, позволяя им работать на инфицированной машине.

Образцы одной из старых версий BackDoor.Ragebot.45 некоторое время назад попали в свободный доступ. Можно предположить, что благодаря этому вредоносная программа будет активно распространяться и в дальнейшем. Антивирус Dr.Web обнаруживает и удаляет BackDoor.Ragebot.45, в связи с чем этот троянец не представляет опасности для наших пользователей.

Подробнее о троянце

16 декабря 2016 года

Вредоносные программы, предназначенные для несанкционированной установки других приложений, весьма популярны у злоумышленников. В Интернете действует множество так называемых «партнерских программ», выплачивающих вознаграждение за установку ПО, чем и пользуются вирусописатели. Одним из таких троянцев-установщиков является Trojan.Ticno.1537, исследованный вирусными аналитиками компании «Доктор Веб» в начале декабря 2016 года.

Trojan.Ticno.1537 скачивается на атакуемый компьютер другой вредоносной программой. После запуска троянец пытается определить наличие виртуального окружения и средств отладки, проверяя имена запущенных процессов и соответствующие ветви системного реестра Windows. Кроме того, Trojan.Ticno.1537 проверяет идентификатор продукта Windows (Product ID), имя пользователя и компьютера, количество вложенных папок в директории Program Files, наименование производителя BIOS и присутствие в системе работающих процессов perl.exe или python.exe. Если проверка завершилась успешно, вредоносная программа запускает Проводник и завершает свою работу.

Если троянец не обнаружил ничего подозрительного, он сохраняет на диск файл с именем 1.zip.

На изображении выше показано нестандартное диалоговое окно сохранения файла Microsoft Windows: в его левом нижнем углу располагается ссылка «Дополнительные параметры», при нажатии на которую Trojan.Ticno.1537 покажет список программ, которые он собирается установить на компьютере:

При нажатии кнопки Save Trojan.Ticno.1537 начинает загрузку и установку этих программ.

Среди приложений, которые Trojan.Ticno.1537 устанавливает на компьютер жертвы — браузер Amigo и программа HomeSearch@Mail.ru разработки компании Mail.Ru, а также троянцы Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 и Adware.Plugin.1400.

Упомянутый выше Trojan.ChromePatch.1 — это рекламный троянец, который проникает в систему вместе с приложением TrayCalendar, созданным в 2002 году. Сама программа и троянец упакованы в единый установочный пакет.

Одновременно с копированием на диск TrayCalendar инсталлятор сохраняет и устанавливает расширение для Google Chrome. Наиболее интересная особенность Trojan.ChromePatch.1 заключается в том, что он умеет заражать файл ресурсов браузера Chrome, — resources.pak. Злоумышленники используют этот прием как минимум с весны 2015 года, чтобы в Chrome реклама отображалась даже после того, как троянец будет удален с компьютера. При заражении размер этого файла не меняется, поскольку Trojan.ChromePatch.1 ищет в нем строки с комментариями и заменяет их собственным кодом. Назначение Trojan.ChromePatch.1 — показ в окне браузера Chrome нежелательной рекламы.

Все упомянутые в статье троянцы успешно обнаруживается и удаляются Антивирусом Dr.Web, поэтому не представляют опасности для наших пользователей.

Подробнее о троянце

12 декабря 2016 года

Вирусные аналитики компании «Доктор Веб» выявили новых троянцев, которых злоумышленники внедрили в прошивки десятков моделей мобильных устройств под управлением ОС Android. Обнаруженные вредоносные приложения располагаются в системных каталогах и незаметно для пользователей загружают и устанавливают программы.

Один из этих троянцев, который получил имя Android.DownLoader.473.origin, находится в прошивках множества моделей популярных Android-устройств, работающих на аппаратной платформе MTK. На момент публикации этого материала он был найден на 26 моделях смартфонов, среди которых:

• MegaFon Login 4 LTE
• Irbis TZ85
• Irbis TX97
• Irbis TZ43
• Bravis NB85
• Bravis NB105
• SUPRA M72KG
• SUPRA M729G
• SUPRA V2N10
• Pixus Touch 7.85 3G
• Itell K3300
• General Satellite GS700
• Digma Plane 9.7 3G
• Nomi C07000
• Prestigio MultiPad Wize 3021 3G
• Prestigio MultiPad PMT5001 3G
• Optima 10.1 3G TT1040MG
• Marshal ME-711
• 7 MID
• Explay Imperium 8
• Perfeo 9032_3G
• Ritmix RMD-1121
• Oysters T72HM 3G
• Irbis tz70
• Irbis tz56
• Jeka JK103

Однако количество моделей Android-устройств, инфицированных этим троянцем, может оказаться гораздо больше.

Android.DownLoader.473.origin представляет собой троянца-загрузчика, который начинает работу при каждом включении зараженного устройства. Вредоносная программа отслеживает активность Wi-Fi-модуля и после обнаружения сетевого подключения соединяется с управляющим сервером, откуда получает конфигурационный файл с заданием. В этом файле содержится информация о приложении, которое троянцу необходимо скачать. После загрузки указанной программы Android.DownLoader.473.origin незаметно ее устанавливает.

Фактически по команде злоумышленников троянец способен скачивать на зараженные устройства любое ПО. Это могут быть как безобидные, так и нежелательные или даже вредоносные программы. Например, Android.DownLoader.473.origin активно распространяет рекламное приложение H5GameCenter, которое было добавлено в вирусную базу Dr.Web как Adware.AdBox.1.origin. После установки оно показывает поверх всех работающих программ небольшое изображение коробки, которое невозможно убрать с экрана. Оно представляет собой ярлык, при нажатии на который Adware.AdBox.1.origin открывает встроенный в нее каталог ПО. Кроме того, эта нежелательная программа показывает рекламные баннеры.

На различных форумах владельцы Android-устройств отмечают, что вскоре после удаления приложение H5GameCenter устанавливается в систему вновь, и значок коробки опять отображается поверх всех программ. Это происходит потому, что Android.DownLoader.473.origin повторно скачивает и устанавливает Adware.AdBox.1.origin, если программа удаляется с устройства.

Другой троянец, обнаруженный в прошивках ряда Android-устройств, получил имя Android.Sprovider.7. Он был найден на смартфонах Lenovo A319 и Lenovo A6000. Эта вредоносная программа встроена в приложение Rambla, которое предоставляет доступ к одноименному каталогу ПО для ОС Android.

Основной функционал Android.Sprovider.7 сосредоточен в отдельном программном модуле (детектируется Dr.Web как Android.Sprovider.12.origin), который в зашифрованном виде хранится в ресурсах основного приложения. Каждый раз, когда пользователь выводит устройство из режима блокировки экрана, троянец проверяет, работает ли этот вспомогательный компонент. Если он неактивен, Android.Sprovider.7 извлекает его из своих ресурсов и запускает. Модуль Android.Sprovider.12.origin обладает широким набором функций. Например, он может:

• скачать apk-файл и попытаться установить его стандартным способом с запросом разрешения у пользователя;
• запустить установленное приложение;
• открыть в браузере заданную злоумышленниками ссылку;
• позвонить по определенному номеру с помощью стандартного системного приложения;
• запустить стандартное системное телефонное приложение, в котором уже будет набран определенный номер;
• показать рекламу поверх всех приложений;
• показать рекламу в панели уведомлений;
• создать ярлык на домашнем экране;
• обновить основной вредоносный модуль.

Как известно, за накрутку установок приложений, искусственное повышение их рейтингов, а также за распространение рекламного ПО интернет-жулики получают прибыль. Поэтому вероятнее всего вредоносные программы Android.DownLoader.473.origin и Android.Sprovider.7 попали в прошивки мобильных устройств по вине недобросовестных субподрядчиков, которые участвовали в создании образов ОС и решили заработать за счет пользователей.

Компания «Доктор Веб» уведомила производителей зараженных смартфонов о возникшей проблеме. Владельцам таких устройств рекомендуется обратиться в службу поддержки производителей смартфонов и планшетов, чтобы получить обновление исправленного системного ПО, как только оно будет готово.

Антивирусные продукты Dr.Web для Android успешно обнаруживают все известные версии троянцев Android.DownLoader.473.origin и Android.Sprovider.7, поэтому наши пользователи могут проверить, заражена ли их прошивка.

• Подробнее о троянце Android.DownLoader.473.origin
• Подробнее о троянце Android.Sprovider.7

Защитите ваше Android-устройство с помощью Dr.Web

9 декабря 2016 года

Вирусные аналитики компании «Доктор Веб» обнаружили нового представителя семейства опасных троянцев Android.Loki, о котором мы сообщали в феврале 2016 года. Как и предыдущие версии, выявленная вредоносная программа внедряется в процессы различных приложений, в том числе системных, однако теперь для этого она заражает библиотеки ОС Android.

Вредоносная программа, получившая имя Android.Loki.16.origin, представляет собой многокомпонентного троянца. Она незаметно загружает и устанавливает ПО на мобильные устройства под управлением ОС Android. Троянец заражает смартфоны и планшеты в несколько этапов.

На первом этапе Android.Loki.16.origin загружается на мобильные устройства и запускается другими вредоносными программами. Затем он соединяется с управляющим сервером и скачивает с него вредоносный компонент Android.Loki.28, а также несколько эксплойтов для получения root-доступа. Все эти файлы сохраняются в рабочий каталог троянца. Далее Android.Loki.16.origin поочередно выполняет эксплойты и после успешного повышения системных привилегий запускает на исполнение модуль Android.Loki.28.

В свою очередь, Android.Loki.28 после запуска монтирует раздел /system на запись, получая возможность вносить изменения в системные файлы. Затем он извлекает из себя дополнительные вредоносные компоненты Android.Loki.26 и Android.Loki.27 и помещает их в системные каталоги /system/bin/ и /system/lib/ соответственно. Далее вредоносная программа внедряет в одну из системных библиотек зависимость от троянского компонента Android.Loki.27. После модификации библиотеки вредоносный модуль Android.Loki.27 привязывается к ней и запускается каждый раз, когда ее задействует операционная система. На изображениях ниже представлен пример изменений, которые выполняет вредоносная программа:

После того как Android.Loki.27 начинает работу, он запускает на исполнение вредоносный модуль Android.Loki.26. Его старт выполняется только из системных процессов, работающих с правами root. Таким образом, Android.Loki.26 получает root-полномочия и может незаметно загружать, устанавливать и удалять приложения. С помощью этого модуля киберпреступники загружают на Android-устройства не только другие вредоносные программы, но и рекламные модули или безобидное ПО, получая доход от показа назойливой рекламы или накрутки счетчика установок определенных приложений.

Поскольку вредоносный модуль Android.Loki.27 изменяет системные компоненты, его удаление приведет к поломке зараженного мобильного устройства. При последующих включениях ОС Android не сможет нормально загрузиться, потому что не найдет в модифицированной библиотеке зависимость, соответствующую троянцу. Чтобы восстановить работу системы, устройство придется перепрошить. Поскольку все персональные файлы при этом будут удалены, перед прошивкой рекомендуется создать резервные копии важных данных и по возможности обратиться к специалисту.

Антивирусные продукты Dr.Web для Android успешно распознают все известные модификации троянцев семейства Android.Loki, поэтому для наших пользователей они опасности не представляют.

Подробнее о троянце

28 ноября 2016 года

Некоторые коммерсанты считают, что борьба за потенциального клиента сродни войне, в которой «все средства хороши». Именно поэтому они используют порой не совсем добросовестные методы рекламы, вводящие потребителей в заблуждение. Компания «Доктор Веб» расскажет об одном из таких методов, получивших в последнее время широкое распространение в Интернете.

В некоторых жизненных ситуациях возникает необходимость очень срочно найти официальный сайт ряда государственных организаций – таких как, например, прокуратура, комитет по защите прав потребителей или служба судебных приставов. Обратившись к поисковой системе и набрав соответствующий запрос, в верхней части списка выдачи пользователь получает ссылки на якобы официальные интернет-ресурсы соответствующих учреждений. Веб-страница, на которую он попадает по ссылке, внешне действительно очень напоминает сайт госструктуры: на ней, как правило, присутствуют изображения, неотличимые от государственной символики, а сама страница может быть оформлена в цветах флага Российской Федерации. Некоторые подобные ресурсы используют домены, очень похожие на адреса официальных учреждений или содержащие отсылки к ним, – например, rfpotrebnadzor.ru или кириллические домены «госорган.москва», «роспотнадзор.рф», «защита-прав-потребителей.онлайн», и т. д.

Такие сайты предлагают своим посетителям якобы бесплатную юридическую консультацию, для чего следует оставить в соответствующей форме свои контактные данные, — адрес электронной почты или номер телефона. После этого на посетителя обрушивается шквал звонков и писем, в которых ему настойчиво предлагают платные юридические услуги.

На самом деле подобные веб-страницы не имеют к государственным организациям ни малейшего отношения – они принадлежат небольшим частным юридическим фирмам. Ссылки на интернет-ресурсы, пытающиеся замаскироваться под официальные сайты государственных структур, оказываются первыми в поисковой выдаче просто потому, что представляют собой оплаченные рекламные объявления, которые демонстрируются выше результатов органического поиска.

Безусловно, создание таких страниц, служащих для сбора клиентской базы, с точки зрения закона не является мошенничеством. Однако их оформление, использование похожих на официальную символику изображений, а в некоторых случаях и прямые заявления о том, что эта компания является официальным партнером прокуратуры, службы судебных приставов или других госструктур, вводят посетителя в заблуждение.

В результате клиенту подобной компании могут быть навязаны различные дорогостоящие услуги, например, пересылка обращения в орган государственной власти, которое можно отправить с настоящего сайта этого органа совершенно бесплатно, или составление жалобы, для которой в Интернете можно отыскать типовые образцы. Как минимум, пользователь просто потеряет время, общаясь с назойливыми менеджерами частной юридической фирмы. Существуют ли способы отличить поддельную веб-страницу госструктуры или органа государственной власти от настоящей? Специалисты компании «Доктор Веб» рекомендуют обращать внимание на следующие аспекты:

• ссылки в поисковой выдаче, ведущие на страницы коммерческих организаций, как правило, имеют пометку «Реклама» (даже если ссылка содержит словосочетание «официальный сайт»);
• на самих веб-страницах, пытающихся маскироваться под официальные сайты госструктур, вместо полного названия организации обычно указаны неточные или расплывчатые наименования: «защита прав потребителей», «общественная приемная», «прием обращений граждан», «рассмотрение обращений граждан», «общество защиты прав», «горячая линия» и т. д.;
• коммерческие организации обещают посетителям рассмотреть их обращение в течение нескольких часов или немедленно перезвонить на указанный телефон;
• постарайтесь заранее выяснить адрес расположения интересующей вас организации и сравнить его с тем, который указан на сайте. Если они не совпадают, это повод насторожиться.

Компания «Доктор Веб» добавляет адреса подобных веб-страниц в базу нерекомендуемых сайтов, поскольку они вводят пользователей в заблуждение с применением методов и средств, в целом аналогичных тем, которые используют создатели фишинговых интернет-ресурсов.

17 ноября 2016 года

Вредоносные программы для узкоспециализированных, или, как их еще называют, таргетированных атак, встречаются нечасто. В 2011 году компания «Доктор Веб» рассказывала о распространении троянца BackDoor.Dande, целенаправленно крадущего информацию у аптек и фармацевтических компаний. Спустя четыре года был обнаружен троянец BackDoor.Hser.1, атаковавший оборонные предприятия. А в ноябре 2016 года специалисты «Доктор Веб» исследовали бэкдор, нацеленный на российские компании, занимающиеся строительными кранами.

Windows-троянца, получившего наименование BackDoor.Crane.1, злоумышленники использовали в ходе целенаправленной атаки на два крупнейших российских предприятия, занимающихся производством портальных и грузоподъемных кранов, а также сопутствующего оборудования. Это один из немногих случаев таргетированной атаки с применением вредоносного ПО, зафиксированных специалистами «Доктор Веб» за последнее время. Аналитики компании установили, что этот бэкдор и две другие вредоносные программы, которые он загружал на зараженные машины, в течение некоторого времени похищали с инфицированных компьютеров конфиденциальную информацию. Основной целью злоумышленников были финансовые документы, договоры и деловая переписка сотрудников. Кроме того, троянцы с определенной периодичностью делали снимки экранов зараженных ПК и отправляли их на принадлежащий злоумышленникам управляющий сервер. Эти факты позволяют предположить, что российские производители строительных подъемных кранов стали жертвами недобросовестной конкурентной борьбы.

Далее мы кратко рассмотрим технические аспекты работы BackDoor.Crane.1.

В ресурсах троянца вирусные аналитики обнаружили окно «О проекте Bot», которое при работе вредоносной программы не отображается на экране, — вероятно, вирусописатели забыли его удалить при заимствовании кода. Оно содержит строку «Copyright © 2015», однако текущая версия бэкдора была скомпилирована вирусописателями 21 апреля 2016 года.

После запуска троянец проверяет наличие на диске атакуемого компьютера конфигурационного файла и в случае отсутствия создает его. Вслед за этим BackDoor.Crane.1 загружает в память зараженной машины собственные модули и с определенными интервалами начинает обращаться к управляющему серверу за заданиями. Примечательно, что в процессе обмена информацией с командным центром троянец использует в качестве значения параметра User-Agent строку «RSDN HTTP Reader» — исходя из этого можно сделать вывод, что вирусописатели копировали фрагменты кода с сайта для разработчиков ПО rsdn.org.

BackDoor.Crane.1 имеет несколько модулей, которые могут быть установлены по команде злоумышленников. Каждый из них выполняет какую-либо конкретную задачу. Среди них:

• выполнение переданной с управляющего сервера команды с использованием интерпретатора команд cmd;
• скачивание файла по заданной ссылке и сохранение его в указанную папку на инфицированном компьютере;
• составление и передача на управляющий сервер перечня содержимого заданной директории;
• создание и передача на управляющий сервер снимка экрана;
• загрузка файла на указанный злоумышленниками сервер с использованием протокола FTP;
• загрузка файла на указанный злоумышленниками сервер с использованием протокола HTTP.

Специалисты «Доктор Веб» установили, что некоторые модули BackDoor.Crane.1 скачивали и устанавливали на зараженные компьютеры двух написанных на языке Python троянцев, добавленных в вирусные базы Dr.Web под именами Python.BackDoor.Crane.1 и Python.BackDoor.Crane.2. Бэкдор Python.BackDoor.Crane.1 обменивается с управляющим сервером информацией с использованием протокола HTTP и может выполнять практически тот же набор команд, что и BackDoor.Crane.1. К этому списку добавилось несколько новых функций:

• получить список файлов и каталогов по заданному пути;
• удалить указанные файлы;
• прекратить работу указанных процессов;
• скопировать заданные файлы;
• передать на управляющий сервер список запущенных процессов, информацию об операционной системе и дисках зараженного ПК;
• завершить собственную работу.

Вторая вредоносная программа — Python.BackDoor.Crane.2 — предназначена для выполнения на инфицированном компьютере полученного с управляющего сервера шелл-кода.

Сигнатуры этих вредоносных программ добавлены в вирусные базы Dr.Web, поэтому не представляют опасности для наших пользователей.

Подробнее о троянце

14 ноября 2016 года

Специалисты компании «Доктор Веб» зафиксировали серию DDoS-атак на сайты российских банков «Росбанк» и «Росэксимбанк». Для этого злоумышленники используют троянца BackDoor.IRC.Medusa.1.

BackDoor.IRC.Medusa.1 — вредоносная программа, относящаяся к категории IRC-ботов. Так называют троянцев, которые способны объединяться в ботнеты и получать команды с помощью протокола обмена текстовыми сообщениями IRC (Internet Relay Chat). Подключаясь к определенному чат-каналу, IRC-боты ожидают от злоумышленников специальных директив. Основное предназначение BackDoor.IRC.Medusa.1 заключается в выполнении атак на отказ в обслуживании (DDoS-атак). Вирусные аналитики компании «Доктор Веб» предполагают, что именно эта вредоносная программа использовались в ходе массированных атак на Сбербанк России, о которых различные СМИ сообщали в последнее время.

BackDoor.IRC.Medusa.1 может выполнять несколько типов DDoS-атак, а также по команде злоумышленников загружать и запускать на зараженной машине исполняемые файлы. На иллюстрации ниже представлено опубликованное вирусописателями руководство оператора бот-сети, созданной с использованием троянца BackDoor.IRC.Medusa.1, которое содержит перечень поддерживаемых троянцем команд:

В настоящее время киберпреступники активно продвигают BackDoor.IRC.Medusa.1 на подпольных форумах. Создатели троянца утверждают, что ботнет из 100 зараженных компьютеров способен генерировать до 20 000-25 000 запросов в секунду с пиковым значением в 30 000. В качестве доказательства они приводят график тестовой атаки на http-сервер NGNIX:

На данный момент на одном из IRC-каналов, контролирующих ботнет BackDoor.IRC.Medusa.1, зарегистрировано 314 активных подключений. Анализ журнала переданных бот-сети команд показывает, что с 11 по 14 ноября 2016 года злоумышленники неоднократно атаковали веб-сайты rosbank.ru («Росбанк»), eximbank.ru («Росэксимбанк»), а также fr.livraison.lu и en.livraison.lu (сеть ресторанов Livraison) и korytov-photographer.ru (частный веб-сайт).

Сигнатура BackDoor.IRC.Medusa.1 добавлена в вирусные базы Dr.Web. Специалисты компании «Доктор Веб» продолжают следить за развитием ситуации.

Подробнее о троянце

10 ноября 2016 года

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play очередного троянца. Эта вредоносная программа, добавленная в вирусную базу как Android.MulDrop.924, без ведома пользователей скачивает приложения и предлагает их установить. Кроме того, она показывает навязчивую рекламу.

Android.MulDrop.924 распространяется через каталог Google Play в виде приложения с именем «Multiple Accounts: 2 Accounts», которое скачали уже более 1 000 000 владельцев Android-смартфонов и планшетов. Программа позволяет одновременно использовать несколько учетных записей в играх и другом ПО, установленном на мобильном устройстве. Однако это внешне безобидное и даже полезное приложение скрывает троянский функционал, о котором разработчик забыл сообщить потенциальным жертвам. Компания «Доктор Веб» передала корпорации Google информацию о троянце, однако на момент публикации этой новости Android.MulDrop.924 все еще был доступен для загрузки.

Эта троянская программа имеет необычную модульную архитектуру. Часть ее функционала расположена в двух вспомогательных программных модулях, которые зашифрованы и спрятаны внутри PNG-изображения, расположенного в каталоге ресурсов Android.MulDrop.924. При запуске троянец извлекает и копирует эти модули в свою локальную директорию в разделе /data, после чего загружает их в память.

Один из этих компонентов помимо безобидных функций содержит несколько рекламных плагинов, которые авторы Android.MulDrop.924 используют для получения прибыли. Среди них – троянский модуль Android.DownLoader.451.origin, без разрешения пользователя скачивающий игры и приложения и предлагающий установить их. Кроме того, он показывает навязчивую рекламу в панели уведомлений мобильного устройства.

Помимо каталога Google Play, Android.MulDrop.924 распространяется и через сайты–сборники ПО. Одна из модификаций троянца встроена в более раннюю версию приложения Multiple Accounts: 2 Accounts. Она подписана сторонним сертификатом и наряду с вредоносным модулем Android.DownLoader.451.origin содержит дополнительный троянский плагин Android.Triada.99, который скачивает эксплойты, чтобы получить на зараженном устройстве root-права, а также способен незаметно загружать и устанавливать программы. Использование стороннего сертификата может говорить о том, что указанную версию Android.MulDrop.924 модифицировала и распространяет другая группа вирусописателей, не связанная с создателями оригинального приложения.

Все известные версии троянца Android.MulDrop.924 и его вредоносных компонентов успешно детектируются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей они опасности не представляют.

Защитите ваше Android-устройство с помощью Dr.Web

20 октября 2016 года

Большинство троянцев-бэкдоров представляет угрозу для ОС Windows, однако некоторые могут работать на устройствах под управлением Linux. Именно такого троянца исследовали в октябре 2016 года специалисты компании «Доктор Веб».

Вредоносная программа получила наименование Linux.BackDoor.FakeFile.1, и распространяется она, судя по ряду признаков, в архиве под видом PDF-файла, документа Microsoft Office или Open Office.

При запуске троянец сохраняет себя в папку .gconf/apps/gnome-common/gnome-common, расположенную в домашней директории пользователя. Затем в папке, из которой был запущен, он ищет скрытый файл с именем, соответствующим своему имени, после чего перемещает его на место исполняемого файла. Например, если ELF-файл Linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf. Если документ отсутствует, Linux.BackDoor.FakeFile.1 создает его и затем открывает в программе gedit.

После этого троянец проверяет имя дистрибутива Linux, который используется на атакуемом устройстве: если оно отличается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы <HOME>/.profile или <HOME>/.bash_profile команду для собственного автоматического запуска. Затем он извлекает из собственного файла и расшифровывает конфигурационные данные, после чего запускает два потока: один обменивается информацией с управляющим сервером, второй следит за длительностью соединения. Если троянцу не поступало команд более 30 минут, соединение разрывается.

Linux.BackDoor.FakeFile.1 может выполнять следующие команды:

• передать на управляющий сервер количество сообщений, отправленных в ходе текущего соединения;
• передать список содержимого заданной папки;
• передать на управляющий сервер указанный файл или папку со всем содержимым;
• удалить каталог;
• удалить файл;
• переименовать указанную папку;
• удалить себя;
• запустить новую копию процесса;
• закрыть текущее соединение;
• организовать backconnect и запустить sh;
• завершить backconnect;
• открыть исполняемый файл процесса на запись;
• закрыть файл процесса;
• создать файл или папку;
• записать переданные значения в файл;
• получить имена, разрешения, размеры и даты создания файлов в указанной директории;
• установить права 777 на указанный файл;
• завершить выполнение бэкдора.

Для своей работы Linux.BackDoor.FakeFile.1 не требует привилегий root, он может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого он был запущен. Сигнатура троянца добавлена в вирусные базы Dr.Web, поэтому он не представляет опасности для наших пользователей.

Подробнее о троянце

17 октября 2016 года

Под управлением Linux работает множество различных бытовых устройств: телевизионных приставок, сетевых хранилищ, роутеров, камер видеонаблюдения, многие из которых используются с настройками по умолчанию, что делает их легко доступными для взлома. Компания «Доктор Веб» собрала статистику по наиболее распространенным сегодня Linux-угрозам, в том числе представляющим опасность для Интернета вещей. Это исследование показывает, что чаще всего киберпреступники устанавливают на скомпрометированные девайсы троянцев для проведения DDoS-атак.

На данный момент основной задачей киберпреступников, распространяющих троянцев для Интернета вещей, является создание ботнетов для осуществления DDoS-атак, однако некоторые троянцы применяются для использования инфицированного устройства в качестве прокси-сервера. С середины сентября 2016 года специалисты «Доктор Веб» зафиксировали 11 636 атак на различные Linux-устройства, из них 9 582 осуществлялось по протоколу SSH и 2054 — по протоколу Telnet. Наиболее часто злоумышленники загружали на взломанные устройства 15 различных видов вредоносных программ, большинство из которых относится к семействам Linux.DownLoader, Linux.DDoS и Linux.BackDoor.Fgt. Пропорциональное соотношение этих троянцев показано на диаграмме ниже.

Наиболее распространенной вредоносной программой согласно этой статистике оказался троянец Linux.Downloader.37, предназначенный для проведения DDoS-атак. Среди Linux-угроз встречаются также представители семейств Linux.Mrblack, Linux.BackDoor.Gates, Linux.Mirai, Linux.Nyadrop, Perl.Flood и Perl.DDoS – с их помощью злоумышленники тоже могут выполнять атаки на отказ в обслуживании. Больше всего на атакованных Linux-устройствах было обнаружено различных модификаций Linux.BackDoor.Fgt. Существуют версии этого троянца для архитектур MIPS, SPARC, m68k, SuperH, PowerPC и других. Linux.BackDoor.Fgt также предназначен для организации DDoS-атак.

Все эти вредоносные программы киберпреступники загружают на устройства, подобрав к ним логин и пароль и подключившись по протоколам Telnet или SSH. Так, по Telnet злоумышленники чаще всего пытаются соединиться с атакуемым узлом с использованием логина ‘root’, а по SSH — ‘admin’:

В таблице ниже показаны некоторые стандартные сочетания логинов и паролей, используемых злоумышленниками при взломе различных устройств под управлением Linux. Эти сочетания киберпреступники применяли при проведении реальных атак.

Количество уникальных IP-адресов, с которых злоумышленники атакуют отслеживаемые компанией «Доктор Веб» Linux-устройства, в среднем составляет 100:

Число уникальных вредоносных файлов, загружаемых киберпреступниками на взломанные устройства, также меняется со временем – от нескольких единиц до нескольких десятков:

Весьма интересно выглядит статистика загрузок на уязвимые устройства троянца Linux.Mirai: после того как исходные коды этой вредоносной программы появились в публичном доступе, она сразу же стала пользоваться популярностью у злоумышленников. Об этом наглядно свидетельствует растущее число уникальных IP-адресов, с которых загружается этот троянец:

В октябре для установки Linux.Mirai начал использоваться троянец семейства Linux.Luabot. Также во второй половине сентября аналитики «Доктор Веб» фиксировали атаки с использованием троянца Linux.Nyadrop.1, об обнаружении которого сообщили авторы блога MalwareMustDie. Исходя из используемых при проведении атак сочетаний логина и пароля можно сделать вывод, что одной из целей злоумышленников были роутеры производства компании TP-Link. Троянец Linux.Nyadrop.1. имеет размер всего лишь 621 байт и предназначен для установки на скомпрометированное устройство других троянцев.

Ниже представлено географическое распределение IP-адресов, с которых на уязвимые Linux-устройства загружалось вредоносное ПО:

Специалисты компании «Доктор Веб» продолжают следить за распространением вредоносных программ для ОС Linux и будут своевременно информировать пользователей об актуальных тенденциях в этой сфере.

11 октября 2016 года

Вирусные аналитики компании «Доктор Веб» обнаружили первого шифровальщика, написанного на языке Go. Этот троянец, присваивающий зашифрованным файлам расширение .enc, получил название Trojan.Encoder.6491. Специалисты «Доктор Веб» разработали технологию расшифровки поврежденных этой вредоносной программой файлов.

Новые версии троянцев-энкодеров появляются ежемесячно. Trojan.Encoder.6491 интересен тем, что он написан на разработанном компанией Google языке программирования Go: до этого вирусным аналитикам не встречались шифровальщики, созданные с использованием этой технологии. При запуске Trojan.Encoder.6491 устанавливает себя в систему под именем Windows_Security.exe. Затем троянец начинает шифровать хранящиеся на дисках файлы с помощью алгоритма AES. В процессе работы вредоносная программа пропускает файлы, в имени которых содержатся следующие строки:

tmp
winnt
Application Data
AppData
Program Files (x86)
Program Files
temp
thumbs.db
Recycle.Bin
System Volume Information
Boot
Windows
.enc
Instructions
Windows_Security.exe

Троянец шифрует файлы 140 различных типов, определяя их по расширению. Trojan.Encoder.6491 кодирует оригинальные имена файлов методом Base64, а затем присваивает зашифрованным файлам расширение .enc. В результате, например, файл с именем Test_file.avi получит имя VGVzdF9maWxlLmF2aQ==.enc.

Затем шифровальщик открывает в окне браузера файл Instructions.html с требованием выкупа в криптовалюте Bitcoin:

Примечательно, что Trojan.Encoder.6491 с определенным интервалом проверяет баланс Bitcoin-кошелька, на который жертва должна перевести средства. Зафиксировав денежный перевод, энкодер автоматически расшифровывает все зашифрованные ранее файлы с использованием встроенной функции.

Специалисты компании «Доктор Веб» разработали специальную методику, позволяющую расшифровывать пострадавшие от этого троянца файлы. Если вы стали жертвой вредоносной программы Trojan.Encoder.6491, воспользуйтесь следующими рекомендациями:

• обратитесь с соответствующим заявлением в полицию;
• ни в коем случае не пытайтесь переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит;
• не удаляйте никакие файлы на вашем компьютере;
• не пытайтесь восстановить зашифрованные файлы самостоятельно;
• обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
• к тикету приложите любой зашифрованный троянцем файл;
• дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех пострадавших от действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.

5 октября 2016 года

Люди, мечтающие быстро разбогатеть, не прикладывая для этого никаких усилий, — наиболее желанная аудитория для сетевых мошенников всех мастей. Об одном из популярных видов жульничества в Интернете, получившем название «бинарные опционы», компания «Доктор Веб» уже рассказывала в 2014 году. Теперь кибермошенники усовершенствовали эту методику обмана и предлагают пользователям принять участие в тестировании некой уникальной программы, якобы позволяющей всем желающим стать миллионерами, не вставая с дивана.

Сетевые жулики рекламируют свой новый проект с помощью спам-рассылок. Их письма информируют получателя о том, что срок действия некоего счета, открытого на его имя, подходит к концу, и на этом счете удивительным образом зависла круглая сумма в несколько тысяч долларов. Для получения денег потенциальной жертве предлагается перейти по указанной в письме ссылке и зарегистрироваться на сайте с названием «Детектор Миллионера».

Владельцы сайта, называющие себя ведущими мировыми трейдерами, сообщают посетителям о том, что они изобрели чудо-программу, с помощью которой заработали уже более $ 3 000 000 и не собираются останавливаться на достигнутом. Они даже прошли испытание на полиграфе, поэтому никого не обманывают — на сей счет трейдеры дают свое честное-пречестное слово. Однако волшебная и революционная программа, уже принесшая своим создателям миллионы долларов, евро и фунтов стерлингов, почему-то все еще нуждается в бета-тестировании. В связи с этим посетителю сайта несказанно повезло: ведь он попал в число 50 счастливчиков, которые смогут протестировать программу «Детектор Миллионера» и уже через пару дней купить себе персональный вертолет и виллу во Флориде. Естественно, для этого необходимо зарегистрироваться на сайте прямо сейчас, ведь число вакантных мест с каждой минутой сокращается. Правда, после перезагрузки страницы в браузере счетчик чудесным образом перезапускается заново, и количество свободных мест внезапно возвращается к своему первоначальному значению.

После регистрации в системе пользователю предоставляется доступ к интерфейсу чудесной программы, которая, по словам разработчиков, является роботом для автоматической торговли на площадке бинарных опционов superbinary.com. На сайте периодически появляются сообщения о том, что некие участники системы только что заработали крупную сумму денег, — все эти уведомления генерируются статичным сценарием на языке JavaScript, внедренным в веб-страницу.

Чтобы использовать «Детектор Миллионера», потенциальной жертве нужно всего лишь активировать счет, переведя на него некую денежную сумму. Через несколько минут после завершения регистрации на указанный доверчивым пользователем телефонный номер обязательно перезвонит персональный менеджер, причем звонок выполняется с использованием IP-телефонии, а номер вызывающего абонента для пущей убедительности имеет телефонный код Великобритании. Задача менеджера — под видом помощи в активации программы уговорить потенциальную жертву внести денежный депозит. Сетевые жулики очень убедительно рассказывают по телефону о том, что на счет потенциального клиента вскоре хлынет неудержимый поток денег, а прибыль от каждой вложенной сотни долларов составит от 60 до 100%. Нужно только раскошелиться.

В телефонном разговоре жулики даже называют имя разработчика программы «Детектор Миллионера» — Григорий Александрович Королев. А на самом сайте предусмотрительные дельцы разместили лицензионное соглашение и предупреждение о рисках, в котором прямо говорится о том, что эта программа предоставляет пользователю смоделированные данные, не имеющие никакого отношения к реальности. В этих же документах мошенники отказываются от любой ответственности за возможные убытки, которые может понести пользователь.

Разумеется, все деньги, внесенные жертвой на так называемый депозит, будут неизбежно проиграны. Кроме того, простой поиск в базе данных регистратора показывает, что администратором домена detektor-millionera.com является некто Bob Douglas, которому принадлежит множество других интернет-ресурсов откровенно мошеннического характера, в частности сайт sport-millionerov.com, предлагающий за плату информацию о договорных матчах, ресурс «Цепная реакция», рекламирующий заработки от $ 1000 в день, и другие сомнительные проекты.

Сайт detektor-millionera.com внесен в базы данных веб-антивируса Dr.Web SpIDer Gate как нерекомендуемый. Компания «Доктор Веб» призывает пользователей скептически относиться к различным интернет-ресурсам, предлагающим легкий заработок, и ни в коем случае не доверять сетевым мошенникам.

27 сентября 2016 года

Аналитики «Доктор Веб» исследовали троянца Linux.Mirai, который используется для организации DDoS-атак. Более ранние модификации этой вредоносной программы уже были изучены, поэтому в обновленной версии Linux.Mirai специалисты смогли найти признаки предыдущих версий и даже характерные черты троянцев других семейств.

Первая версия вредоносной программы для Linux, которая впоследствии получила название Linux.Mirai, появилась еще в мае 2016 года и была добавлена в вирусные базы Dr.Web под именем Linux.DDoS.87. Этот троянец, способный работать на устройствах с архитектурой х86, ARM, MIPS, SPARC, SH-4 и M68K, предназначен для организации атак на отказ в обслуживании, то есть DDoS-атак.

Linux.DDoS.87 содержит в своем коде ряд ошибок, которые были устранены вирусописателями в последующих версиях. Этот троянец имеет определенное сходство с вредоносными программами семейства Linux.BackDoor.Fgt, об одном из представителей которого мы уже писали в ноябре 2014 года. После запуска на зараженном устройстве Linux.DDoS.87 ищет в памяти процессы других троянских программ и прекращает их выполнение. Чтобы избежать случайной остановки собственного процесса, троянец создает в своей папке файл с именем .shinigami и периодически проверяет его наличие. Затем Linux.DDoS.87 пытается установить соединение со своим управляющим сервером для получения дальнейших инструкций. На сервер отправляется идентификатор, определяющий архитектуру инфицированного компьютера, и сведения о MAC-адресе сетевой карты.

По команде злоумышленников Linux.DDoS.87 способен выполнять следующие виды DDoS-атак:

• UDP flood;
• UDP flood over GRE;
• DNS flood;
• TCP flood (несколько разновидностей);
• HTTP flood.

Максимальный срок непрерывной работы Linux.DDoS.87 на инфицированной машине составляет одну неделю, по истечении которой троянец завершает собственный процесс.

В начале августа 2016 года вирусные аналитики компании «Доктор Веб» обнаружили новую версию этого опасного троянца, получившую наименование Linux.DDoS.89. Эта вредоносная программа имеет множество общих черт со своей предшественницей, однако прослеживаются и характерные отличия от Linux.DDoS.87. Например, в обновленной версии изменился порядок действий при запуске троянца. Механизм защиты от выгрузки собственного процесса также претерпел изменения: теперь вредоносная программа не пытается определить наличие специального файла в собственной папке, а выполняет проверку на основе идентификатора процесса (PID). Среди отсылаемой Linux.DDoS.89 на управляющий сервер информации отсутствует МАС-адрес сетевого адаптера. Кроме того, из списка поддерживаемых типов атак исчез HTTP flood. В то же время формат получаемых от злоумышленников команд остался прежним. Кроме того, в Linux.DDoS.89 появился новый компонент — telnet-сканнер, который ранее использовался во всех версиях Linux.BackDoor.Fgt. Этот сканер предназначен для поиска в сети уязвимых устройств и несанкционированного подключения к ним по протоколу telnet.

В конце августа – начале сентября была обнаружена еще одна обновленная версия этого троянца, получившая название Linux.Mirai. В некоторых образцах вредоносной программы появилась функция самоудаления. Троянец научился отключать предотвращающий зависание операционной системы сторожевой таймер watchdog (чтобы исключить перезагрузку устройства), а в перечень выполняемых типов атак вернулся HTTP flood. Тем не менее, Linux.Mirai во многом похож на своих предшественников. Для сравнения на иллюстрации ниже показан фрагмент кода Linux.DDoS.87 (слева) и Linux.Mirai (справа).

Некоторые исследователи сообщили в своих публикациях, что если Linux.Mirai удается обнаружить в сети уязвимое telnet-устройство, троянец выполняет зашитый в его тело bash-сценарий. Такое поведение действительно характерно для Linux.BackDoor.Fgt, однако ни в одном из образцов Linux.Mirai, имеющихся в распоряжении вирусных аналитиков «Доктор Веб», подобного сценария обнаружить не удалось. Наши специалисты были бы благодарны коллегам за предоставленные образцы Linux.Mirai, в которых вирусописатели предусмотрели такую функцию.

Специалисты компании «Доктор Веб» подготовили подробный технический обзор этого семейства вредоносных программ, который можно загрузить с нашего сайта в формате PDF.

• Подробнее о троянце Linux.BackDoor.Fgt
• Подробнее о троянце Linux.DDoS.87
• Подробнее о троянце Linux.DDoS.89
• Подробнее о троянце Linux.Mirai

20 сентября 2016 года

Вирусные аналитики компании «Доктор Веб» обнаружили новые версии троянцев семейства Android.Xiny, которые предназначены для незаметной загрузки и удаления программ. Теперь эти троянцы могут внедряться в процессы системных приложений и загружать в атакуемые программы различные вредоносные плагины.

Троянцы семейства Android.Xiny известны с марта 2015 года. Вирусописатели активно распространяют их через различные сайты – сборники ПО для мобильных устройств и даже через официальные каталоги приложений, такие как Google Play, о чем компания «Доктор Веб» сообщала ранее.

Попадая на Android-смартфоны и планшеты, троянцы Android.Xiny пытаются получить root-доступ, чтобы незаметно загружать и устанавливать различное ПО. Кроме того, они могут показывать надоедливую рекламу. Одной из особенностей этих вредоносных приложений является впервые использованный механизм защиты от удаления. Он основан на том, что троянским apk-файлам присваивается атрибут «неизменяемый» (immutable). Однако злоумышленники продолжили совершенствовать троянцев Xiny и добавили в них возможность внедряться (выполнять инжект) в процессы системных программ, чтобы запускать от их имени различные вредоносные плагины.

Один из таких обновленных троянцев, исследованный вирусными аналитиками «Доктор Веб», получил имя Android.Xiny.60. Он устанавливается в системный каталог мобильных устройств другими представителями семейства Android.Xiny. После запуска Android.Xiny.60 извлекает из своих файловых ресурсов несколько вспомогательных троянских компонентов и копирует их в системные каталоги:

• /system/xbin/igpi;
• /system/lib/igpld.so;
• /system/lib/igpfix.so;
• /system/framework/igpi.jar.

Далее при помощи модуля igpi (добавлен в вирусную базу Dr.Web как Android.Xiny.61) троянец выполняет инжект библиотеки igpld.so (детектируется Dr.Web как Android.Xiny.62) в процессы системных приложений Google Play (com.android.vending) и Сервисы Google Play (com.google.android.gms, co.google.android.gms.persistent). Кроме того, внедрение этого вредоносного модуля может выполняться и в системный процесс zygote, однако в текущей версии троянца эта функция не используется.

При заражении процесса zygote Android.Xiny.62 начинает отслеживать запуск новых приложений. В результате, если троянец обнаруживает вновь запущенный процесс, он внедряет в него вредоносный модуль igpi.jar (Android.Xiny.60). Этот же модуль внедряется и после заражения процессов системных приложений Google Play и Сервисы Google Play.

Основная задача модуля igpi.jar – загрузка заданных злоумышленниками вредоносных плагинов и их запуск в контексте зараженных программ. Он отслеживает состояние мобильного устройства и при наступлении определенных системных событий (например, включение или выключение экрана, изменение состояния подключения к сети, подключение или отключение зарядного устройства и ряд других) соединяется с управляющим сервером, куда отправляет следующую информацию об инфицированном смартфоне или планшете:

• IMEI-идентификатор;
• IMSI-идентификатор;
• MAC-адрес сетевого адаптера;
• версию ОС;
• название модели мобильного устройства;
• язык системы;
• имя программного пакета, внутри процесса которого работает троянец.

В ответ Android.Xiny.60 может загрузить и запустить вредоносные плагины, которые после скачивания будут работать как часть того или иного атакованного приложения. Вирусные аналитики пока не зафиксировали распространение таких вредоносных модулей, однако если злоумышленники их создадут, Android.Xiny.60 будет способен атаковать пользователей многих программ. Например, если троянец внедрится в процесс Google Play, он сможет загрузить в него модуль для установки ПО. Если будет заражен процесс какого-либо мессенджера, Android.Xiny.60 получит возможность перехватывать и отправлять сообщения. А если троянец внедрится в процесс банковской программы, после запуска необходимого плагина он сможет красть конфиденциальные данные (логины, пароли, номера кредитных карт и т. п.) и даже незаметно переводить деньги на счета злоумышленников.

Специалисты компании «Доктор Веб» продолжают отслеживать активность троянцев семейства Android.Xiny. Для защиты мобильных устройств от заражения рекомендуется установить антивирусные продукты Dr.Web для Android, которые успешно детектируют все известные модификации этих вредоносных программ.

Подробнее о троянце

13 сентября 2016 года

DDoS (англ. Distributed Denial of Service, распределенная атака, приводящая к отказу в обслуживании) — наиболее распространенный способ атак на сетевые ресурсы. Злоумышленники направляют на целевой сервер большой поток запросов, с которым тот не в состоянии справиться, что вызывает его отказ. Часто для таких атак используются специальные вредоносные программы. Одну из них, получившую название Linux.DDoS.93, исследовали аналитики компании «Доктор Веб».

Троянец Linux.DDoS.93 создан вирусописателями для заражения устройств под управлением операционных систем семейства Linux. Предположительно эта вредоносная программа распространяется при помощи набора уязвимостей ShellShock в программе GNU Bash.

При запуске Linux.DDoS.93 пытается изменить содержимое ряда системных папок Linux, чтобы обеспечить собственную автозагрузку. Затем троянец ищет на атакуемом компьютере другие экземпляры Linux.DDoS.93 и, если таковые нашлись, прекращает их работу.

Успешно запустившись в инфицированной системе, Linux.DDoS.93 создает два дочерних процесса. Первый обменивается информацией с управляющим сервером, а второй в непрерывном цикле проверяет, работает ли родительский процесс, и в случае остановки перезапускает его. В свою очередь родительский процесс тоже следит за дочерним и перезапускает его при необходимости — так троянец поддерживает свою непрерывную работу на зараженной машине.

Linux.DDoS.93 умеет выполнять следующие команды:

• обновить вредоносную программу;
• скачать и запустить указанный в команде файл;
• самоудалиться;
• начать атаку методом UDP flood на указанный порт;
• начать атаку методом UDP flood на случайный порт;
• начать атаку методом Spoofed UDP flood;
• начать атаку методом TCP flood;
• начать атаку методом TCP flood (в пакеты записываются случайные данные длиной 4096 байт);
• начать атаку методом HTTP flood с использованием GET-запросов;
• начать атаку методом HTTP flood с использованием POST-запросов;
• начать атаку методом HTTP flood с использованием HEAD-запросов;
• отправить на 255 случайных IP-адресов HTTP-запросы с указанными параметрами;
• завершить выполнение;
• отправить команду “ping”.

Когда троянец получает команду начать DDoS-атаку или отправить случайные запросы, он сначала прекращает все дочерние процессы, а затем запускает 25 новых процессов, которые и выполняют атаку указанным злоумышленниками методом. Сигнатура Linux.DDoS.93 добавлена в вирусные базы Dr.Web, поэтому он не представляет опасности для наших пользователей.

Подробнее о троянце

8 сентября 2016 года

Вирусные аналитики компании «Доктор Веб» исследовали нового Linux-троянца, получившего наименование Linux.BackDoor.Irc.16. Его особенность заключается в том, что он написан на языке Rust, — раньше аналитики не встречали троянцев, созданных с использованием этой технологии.

Linux.BackDoor.Irc.16 представляет собой бэкдор — эта вредоносная программа выполняет поступающие от злоумышленников команды. Для их получения троянец использует протокол обмена текстовыми сообщениями IRC (Internet Relay Chat). Подключаясь к заданному в его конфигурации публичному чат-каналу, Linux.BackDoor.Irc.16 ожидает управляющих сообщений.

Троянец способен выполнять лишь четыре команды — присоединиться к указанному чат-каналу, отправить киберпреступникам информацию об инфицированном компьютере, передать данные о запущенных в системе приложениях или удалить самого себя с зараженной машины.

Linux.BackDoor.Irc.16 отличает от других IRC-ботов то, что этот троянец написан на языке Rust. Rust — язык программирования, спонсируемый организацией Mozilla Research, первая стабильная версия которого появилась совсем недавно, в 2015 году. Троянец является кроссплатформенным: чтобы запустить его на Windows, вирусописателям нужно просто перекомпилировать эту вредоносную программу. Вирусные аналитики «Доктор Веб» предполагают, что Linux.BackDoor.Irc.16 представляет собой созданный кем-то прототип (Proof of Concept), поскольку он не содержит каких-либо механизмов самораспространения, а на IRC-канале, с помощью которого троянец получает команды, в настоящее время отсутствует активность.

Сигнатура Linux.BackDoor.Irc.16 добавлена в вирусные базы Dr.Web, поэтому он не представляет опасности для наших пользователей.

Подробнее о троянце

29 августа 2016 года

Вирусные аналитики компании «Доктор Веб» исследовали нового троянца – Trojan.Mutabaha.1. Он устанавливает на компьютер жертвы поддельную версию браузера Google Chrome, которая подменяет рекламу в просматриваемых веб-страницах.

Ключевая особенность троянца Trojan.Mutabaha.1 — оригинальная технология обхода встроенного в Windows защитного механизма User Accounts Control (UAC). Информация об этой технологии обхода UAC была впервые опубликована в одном из интернет-блогов 15 августа, и спустя всего лишь три дня в вирусную лабораторию «Доктор Веб» поступил первый образец эксплуатирующего именно этот способ троянца, который и получил название Trojan.Mutabaha.1. Указанная технология заключается в использовании одной из ветвей системного реестра Windows для запуска вредоносной программы с повышенными привилегиями. Троянец содержит характерную строку, включающую имя проекта:

В первую очередь на атакуемом компьютере запускается дроппер, который сохраняет на диск и запускает программу-установщик. Одновременно с этим на зараженной машине запускается .bat-файл, предназначенный для удаления дроппера. В свою очередь, программа-установщик связывается с принадлежащим злоумышленникам управляющим сервером и получает оттуда конфигурационный файл, в котором указан адрес для скачивания браузера.

Этот браузер имеет собственное имя — Outfire — и представляет собой специальную сборку Google Chrome. В процессе установки он регистрируется в реестре Windows, а также запускает несколько системных служб и создает задачи в Планировщике заданий, чтобы загрузить и установить собственные обновления. При этом Outfire подменяет собой уже установленный в системе браузер Google Chrome — модифицирует имеющиеся ярлыки (или удаляет их и создает новые), а также копирует в новый браузер существующий профиль пользователя Chrome. Так как злоумышленники используют стандартные значки Chrome, потенциальная жертва может и не заметить подмены. Напоследок Trojan.Mutabaha.1 проверяет наличие в системе других версий браузеров, аналогичных своей собственной, генерируя их имена с помощью комбинации значений из двух списков-словарей. Всего таких вариантов насчитывается 56. Обнаружив другую версию браузера, Trojan.Mutabaha.1 сравнивает его имя с собственным (чтобы случайно не удалить самого себя), а потом при помощи системных команд останавливает процессы этого браузера, удаляет его записи из Планировщика заданий Windows и вносит соответствующие изменения в системный реестр.

Установленный таким способом в системе поддельный браузер при запуске демонстрирует стартовую страницу, изменить которую в его настройках невозможно. Кроме того, он содержит неотключаемую надстройку, подменяющую рекламу в просматриваемых пользователем веб-страницах. Помимо этого, браузер Outfire использует по умолчанию собственную службу поиска в Интернете, но ее при желании можно изменить в настройках приложения.

Антивирус Dr.Web детектирует и удаляет Trojan.Mutabaha.1, поэтому троянец не представляет опасности для наших пользователей.

Подробнее об угрозе

19 августа 2016 года

Операционные системы семейства Linux все чаще подвергаются заражению вредоносными программами. Вирусные аналитики компании «Доктор Веб» исследовали еще одного Linux-троянца, написанного на языке Go. Он умеет атаковать сайты, работающие под управлением различных CMS, осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети.

Новый троянец получил наименование Linux.Rex.1. Пользователи форума Kernelmode, одними из первых сообщившие о распространении этого троянца, назвали его «вымогателем для Drupal» (Drupal ransomware), однако вирусные аналитики «Доктор Веб» считают это определение неполным. Linux.Rex.1 действительно атакует сайты, работающие на популярном движке Drupal, но этим его возможности не ограничиваются.

Современные ботнеты условно делятся на два типа. Первый получает команды с управляющих серверов, второй работает без них, напрямую передавая информацию от одного зараженного узла к другому. Linux.Rex.1 организует бот-сети второго типа. Они называются одноранговыми, пиринговыми или P2P-сетями (от англ. peer-to-peer, «равный к равному»). В архитектуре Linux.Rex.1 имеется собственная реализация протокола, позволяющего обмениваться информацией с другими зараженными узлами и создавать таким образом децентрализованный P2P-ботнет. Сам зараженный компьютер при запуске троянца работает как один из узлов этой сети.

Троянец принимает от других инфицированных компьютеров управляющие директивы по протоколу HTTPS и при необходимости передает их другим узлам ботнета. По команде Linux.Rex.1 начинает или останавливает DDoS-атаку на узел с заданным IP-адресом. С помощью специального модуля троянец сканирует сеть в поисках веб-сайтов, на которых установлены системы управления контентом Drupal, Wordpress, Magento, JetSpeed и другие. Также он ищет сетевое оборудование под управлением операционной системы AirOS. Linux.Rex.1 использует известные уязвимости в этих программных продуктах, чтобы получить список пользователей, закрытые SSH-ключи, логины и пароли, хранящиеся на удаленных узлах. Хотя сделать это возможно далеко не всегда.

Еще одна функция Linux.Rex.1 — рассылка сообщений по электронной почте. В этих письмах злоумышленники угрожают владельцам веб-сайтов организовать на них DDoS-атаку. Если письмо попало не по адресу, киберпреступники просят получателя переслать его ответственному сотруднику компании, которой принадлежит сайт. Чтобы избежать атаки, потенциальной жертве предлагается заплатить выкуп в криптовалюте биткойн.

Для взлома сайтов, работающих под управлением Drupal, используется известная уязвимость этой CMS. С помощью SQL-инъекции троянец авторизуется в системе. Если взлом удался, Linux.Rex.1 загружает на скомпрометированный сайт собственную копию и запускает ее. Таким образом в Linux.Rex.1 реализована саморепликация — возможность автоматического распространения без участия пользователей.

Linux.Rex.1 представляет серьезную опасность для владельцев веб-сайтов, а также пользователей устройств под управлением Linux. Сигнатура Linux.Rex.1 добавлена в базы Антивируса Dr.Web для Linux, этот троянец детектируется и удаляется антивирусными продуктами «Доктор Веб».

Подробнее о троянце

15 августа 2016 года

Компания «Доктор Веб» уже рассказывала о троянце, использующем популярную программу удаленного администрирования компьютеров TeamViewer. Теперь наши вирусные аналитики обнаружили еще одного бэкдора, устанавливающего на атакуемый компьютер в целях шпионажа легальные компоненты TeamViewer.

Троянец, получивший наименование BackDoor.TeamViewerENT.1, также имеет самоназвание Spy-Agent (так называется административный интерфейс его системы управления). Злоумышленники развивают этих троянцев с 2011 года и регулярно выпускают их новые версии. Об одной из них мы и расскажем в этом материале.

Как и схожий с ним по архитектуре троянец BackDoor.TeamViewer.49, этот бэкдор состоит из нескольких модулей. Однако если предшественник задействовал компоненты популярной программы удаленного администрирования компьютера TeamViewer только для того, чтобы загрузить в память атакуемой машины вредоносную библиотеку, то BackDoor.TeamViewerENT.1 использует их именно для шпионажа.

Основные вредоносные функции троянца сосредоточены в библиотеке avicap32.dll, а параметры его работы хранятся в зашифрованном конфигурационном блоке. Помимо специально созданной злоумышленниками вредоносной библиотеки троянец сохраняет на диск атакуемой машины необходимые для работы программы TeamViewer файлы и папки, а также несколько дополнительных файлов-модулей.

Если приложение в ОС Microsoft Windows требует для своей работы загрузку динамической библиотеки, система сначала пытается найти файл с таким именем в той же папке, откуда была запущена программа, и лишь потом — в системных папках Windows. Этим и воспользовались вирусописатели: приложению TeamViewer действительно необходима стандартная библиотека avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows. Но троянец сохраняет вредоносную библиотеку с таким же именем прямо в папку с легитимным исполняемым файлом TeamViewer, в результате чего система загружает в память троянскую библиотеку вместо настоящей.

После запуска BackDoor.TeamViewerENT.1 отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» и «только для чтения» своим собственным файлам и файлам этой программы, а затем перехватывает в памяти процесса TeamViewer вызовы функций этого приложения и ряда системных функций. Если для нормальной работы TeamViewer на атакованном компьютере не хватает каких-либо файлов или компонентов, троянец скачивает их со своего управляющего сервера. Помимо этого, если BackDoor.TeamViewerENT.1 обнаруживает попытку запуска программ «Диспетчер задач Windows» и Process Explorer, он завершает работу процесса TeamViewer на зараженной машине. Подключившись к управляющему серверу, бэкдор может выполнять следующие команды злоумышленников:

• перезагрузить ПК;
• выключить ПК;
• удалить TeamViewer;
• перезапустить TeamViewer;
• начать прослушивание звука с микрофона;
• завершить прослушивание звука с микрофона;
• определить наличие веб-камеры;
• начать просмотр через веб-камеру;
• завершить просмотр через веб-камеру;
• скачать файл, сохранить его во временную папку и запустить;
• обновить конфигурационный файл или файл бэкдора;
• подключиться к указанному удаленному узлу, после чего запустить cmd.exe с перенаправлением ввода-вывода на удаленный хост.

Очевидно, что эти команды открывают перед злоумышленниками широкие возможности для шпионажа за пользователями инфицированных компьютеров, включая похищение конфиденциальной информации. В частности, известно, что с помощью этого троянца киберпреступники устанавливали на инфицированные компьютеры вредоносные программы семейств Trojan.Keylogger и Trojan.PWS.Stealer. Вирусные аналитики компании «Доктор Веб» провели исследование, в ходе которого удалось выяснить, что злоумышленники в разное время атакуют в основном жителей ряда определенных стран и регионов. Так, в июле с использованием BackDoor.TeamViewerENT.1 киберпреступники атаковали жителей Европы, среди которых больше всего насчитывалось резидентов Великобритании и Испании, а в августе переключились на резидентов США.

Довольно много зараженных компьютеров расположено на территории России:

Специалисты компании «Доктор Веб» продолжают следить за развитием ситуации, а также призывают пользователей проявлять бдительность и вовремя обновлять вирусные базы. Троянец BackDoor.TeamViewerENT.1 успешно детектируется и удаляется Антивирусом Dr.Web, поэтому не представляет опасности для наших пользователей.

Подробнее о троянце

8 августа 2016 года

Вирусные аналитики компании «Доктор Веб» обнаружили и исследовали нового троянца для операционных систем семейства Linux, способного запускать на зараженном компьютере программу для добычи криптовалют. Особенность этой вредоносной программы заключается в том, что она написана на разработанном корпорацией Google языке программирования Go.

Троянец, получивший наименование Linux.Lady.1, способен выполнять ограниченный ряд функций: определять внешний IP-адрес инфицированной машины, атаковать другие компьютеры, скачивать и запускать на зараженной машине программу для добычи (майнинга) криптовалют. Linux.Lady.1 написан на разработанном корпорацией Google языке программирования Go. Опасные приложения, созданные с использованием этого языка, попадались вирусным аналитикам и ранее, но пока встречаются относительно нечасто. В своей архитектуре троянец использует множество библиотек, опубликованных на популярнейшем сервисе хранения и совместной разработки приложений GitHub.

После запуска Linux.Lady.1 передает на управляющий сервер информацию об установленной на компьютере версии Linux и наименовании семейства ОС, к которой она принадлежит, данные о количестве процессоров, имени, числе запущенных процессов и иные сведения. В ответ троянец получает конфигурационный файл, с использованием которого скачивается и запускается программа-майнер, предназначенная для добычи криптовалют. Полученные таким образом деньги троянец зачисляет на принадлежащий злоумышленникам электронный кошелек.

Linux.Lady.1 умеет определять внешний IP-адрес инфицированной машины с помощью специальных сайтов, ссылки на которые вредоносная программа получает в файле конфигурации, и атаковать другие компьютеры из этой сети. Троянец пытается подключиться к удаленным узлам через порт, используемый журналируемым хранилищем данных Redis (remote dictionary server), без пароля, в расчете на то, что системный администратор атакуемой машины неправильно настроил систему. Если соединение удалось установить, троянец записывает в планировщик задач cron удаленного компьютера скрипт-загрузчик, детектируемый Антивирусом Dr.Web под именем Linux.DownLoader.196, а тот, в свою очередь, скачивает и устанавливает на скомпрометированном узле копию Linux.Lady.1. Затем вредоносная программа добавляет в список авторизованных ключей ключ для подключения к атакуемой машине по протоколу SSH.

Антивирус Dr.Web успешно детектирует и удаляет вредоносные программы Linux.Lady.1 и Linux.DownLoader.196, поэтому они не представляют опасности для наших пользователей.

Подробнее о троянце

4 августа 2016 года

Среди вредоносных приложений для ОС Android широкое распространение получили троянцы, показывающие навязчивую рекламу. Некоторые из них могут выполнять и другие нежелательные действия – например, загружать и устанавливать программы, а также красть конфиденциальную информацию. Один из таких троянцев, которого обнаружили вирусные аналитики компании «Доктор Веб», при определенных условиях способен самостоятельно покупать и устанавливать программы из каталога Google Play.

Троянец, добавленный в вирусные базы Dr.Web как Android.Slicer.1.origin, устанавливается на мобильные устройства другими вредоносными приложениями. Он обладает характерными для популярных сервисных утилит и программ-оптимизаторов функциями. В частности, Android.Slicer.1.origin может показывать информацию об использовании оперативной памяти и «очищать» ее, завершая работу активных процессов, а также позволяет включать и отключать беспроводные модули Wi-Fi и Bluetooth. Вместе с тем это приложение не имеет собственного ярлыка в графической оболочке операционной системы, и пользователь не может запустить его самостоятельно.

Несмотря на то, что у этой программы есть относительно полезные функции, ее основное предназначение – показ навязчивой рекламы. Через некоторое время после запуска, а также при включении или отключении экрана и Wi-Fi-модуля Android.Slicer.1.origin передает на управляющий сервер информацию об IMEI-идентификаторе зараженного смартфона или планшета, MAC-адресе Wi-Fi-адаптера, наименовании производителя мобильного устройства и версии операционной системы. В ответ вредоносное приложение получает задания, необходимые для показа рекламы, а именно:

• добавить ярлык на домашний экран ОС;
• показать рекламный баннер;
• открыть ссылку в браузере или в каталоге Google Play.

При этом в определенных случаях Android.Slicer.1.origin способен не просто открывать заданные разделы каталога Google Play, рекламируя программы, но и самостоятельно устанавливать соответствующие приложения, в том числе и платные. В этом ему «помогает» другой троянец, представляющий аналог утилиты su для работы с root-привилегиями и детектируемый Dr.Web как Android.Rootkit.40. Если эта вредоносная программа присутствует в системном разделе /system/bin, Android.Slicer.1.origin может автоматически покупать и загружать программы из Google Play.

Для этого Android.Slicer.1.origin открывает раздел приложения в каталоге и с использованием Android.Rootkit.40 от имени root запускает стандартную системную утилиту uiautomator. С ее помощью троянец получает информацию обо всех окнах и элементах управления, видимых на экране в данный момент. Затем Android.Slicer.1.origin ищет сведения о кнопках с идентификатором com.android.vending:id/buy_button (кнопки «Купить» и «Установить») и com.android.vending:id/continue_button (кнопка «Продолжить»), находит координаты середины соответствующих кнопок и нажимает на них, пока элементы управления с необходимыми идентификаторами присутствуют на экране. Таким образом, Android.Slicer.1.origin может автоматически покупать платные, а также загружать бесплатные версии заданных злоумышленниками приложений без ведома пользователя.

Вместе с тем возможности для незаметных покупок и установок ПО из Google Play у троянца ограничены. Во-первых, идентификаторы кнопок, которые использует Android.Slicer.1.origin, представлены в ОС Android версии 4.3 и выше. Во-вторых, вредоносная программа Android.Rootkit.40, используемая троянцем, не может работать на устройствах с активным SELinux, т. е. в ОС Android версии 4.4 и выше. Таким образом, Android.Slicer.1.origin может самостоятельно приобретать и устанавливать программы из Google Play лишь на устройствах, работающих под управлением Android 4.3.

Троянец Android.Slicer.1.origin успешно детектируется и удаляется антивирусными продуктами Dr.Web для Android, поэтому не представляет опасности для наших пользователей.

Подробнее о троянце

2 августа 2016 года

Злоумышленники традиционно проявляют интерес к POS-терминалам, предназначенным для оплаты товаров и услуг с помощью банковских карт. Специалистам по информационной безопасности известно множество троянцев, позволяющих киберпреступникам перехватывать обрабатываемые подобными устройствами данные. Одна из таких вредоносных программ, являющаяся модификацией другого известного POS-троянца, была недавно исследована вирусными аналитиками компании «Доктор Веб».

Троянец, добавленный в вирусные базы под именем Trojan.Kasidet.1, является модификацией вредоносной программы Trojan.MWZLesson, о которой компания «Доктор Веб» уже рассказывала в сентябре 2015 года в одной из своих публикаций. Помимо функций троянца для POS-терминалов Trojan.MWZLesson обладает возможностью перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome, Internet Explorer и Maxthon.

Исследованный специалистами «Доктор Веб» образец Trojan.Kasidet.1 распространяется в виде ZIP-архива, внутри которого расположен файл с расширением .SCR, представляющий собой самораспаковывающийся SFX-RAR-архив. Этот файл извлекает и запускает на атакуемом компьютере саму вредоносную программу.

В первую очередь троянец проверяет наличие в инфицированной системе собственной копии, а также пытается обнаружить в своем окружении виртуальные машины, эмуляторы и отладчики. Если Trojan.Kasidet.1 найдет программу, которую сочтет для себя опасной, он завершит свою работу. Если таких программ нет, Trojan.Kasidet.1 пытается запуститься на зараженном компьютере с правами администратора. При этом на экране демонстрируется предупреждение системы Контроля учетных записей пользователей (User Accounts Control, UAC), однако издателем запускаемого приложения wmic.exe является корпорация Microsoft, что должно усыпить бдительность потенциальной жертвы:

В свою очередь, утилита wmic.exe запускает исполняемый файл Trojan.Kasidet.1. Как и Trojan.MWZLesson, этот троянец умеет сканировать оперативную память инфицированного устройства на наличие в ней треков банковских карт, полученных с помощью POS-устройства, и передавать их на управляющий сервер. Кроме того, он может похищать пароли от почтовых программ Outlook, Foxmail или Thunderbird и внедряться в процессы браузеров Mozilla Firefox, Google Chrome, Microsoft Internet Explorer и Maxthon с целью перехвата GET- и POST-запросов. Также эта вредоносная программа по команде с управляющего сервера может скачать и запустить на зараженном ПК другое приложение или вредоносную библиотеку, найти на дисках и передать злоумышленникам заданный файл, либо сообщить им список работающих на компьютере процессов.

Ключевым отличием Trojan.Kasidet.1 от Trojan.MWZLesson является то, что адреса его управляющих серверов расположены в децентрализованной доменной зоне .bit (Namecoin) — системе альтернативных корневых DNS-серверов, основанной на технологии Bitcoin. К подобным сетевым ресурсам обычные веб-браузеры доступа не имеют, однако Trojan.Kasidet.1 использует собственный алгоритм получения IP-адресов командных серверов. Вредоносные программы, использующие в качестве управляющих серверов узлы в зоне .bit, известны как минимум с 2013 года, однако вирусописатели нечасто используют домены Namecoin в качестве адресов командных серверов.

Антивирус Dr.Web успешно обнаруживает и удаляет этого троянца, поэтому он не представляет опасности для наших пользователей.

Подробнее о троянце