Выпуск Мастера Dr.Web CureNet! 10.0 для iOS Компания «Доктор Веб» сообщает о выпуске Мастера Dr.Web CureNet! 10.0 для iOS — централизованного средства проверки и лечения рабочих станций и серверов под управлением операционной системы Windows. Утилита позволяет администраторам запускать централизованное сканирование и лечение компьютеров прямо со своего iPhone или iPod touch. Она превращает мобильное устройство в пульт управления проверкой любой компьютерной сети, корпоративной или домашней. Как и в версии для Windows, Мастер Dr.Web CureNet! для iOS не требует установки антивируса для сканирования станций на наличие угроз. Проверка и лечение обнаруженных объектов производятся, даже если на компьютерах установлены антивирусы других производителей. Доступен вариант сканирования в сетях, полностью изолированных от Интернета, причем каждой удаленной машине на время сканирования можно отключить доступ к сети — с целью избежать повторного заражения и распространения инфекции. Отчеты о результатах сканирования администратор может получать независимо от своего местонахождения. Основные функции Мастера Dr.Web CureNet! для iOS: централизованная проверка станций и управление реакцией на обнаружение угроз; лечение зараженных объектов; проверка почтовых файлов и файлов в архивах и контейнерах; регулярное обновление вирусных баз и собственных компонентов. Утилита является эффективным инструментом обнаружения вирусов, пропущенных другими средствами, но не предназначена для постоянной защиты от вредоносных программ. Для обеспечения комплексной безопасности сети рекомендуется использовать другие продукты Dr.Web. На сегодняшний день утилита Мастер Dr.Web CureNet! для iOS доступна с русским, английским, французским и немецким интерфейсами, скачать ее можно в магазине приложений Apple Store. Источник
155 приложений с троянцем из Google Play скачало более 2 800 000 пользователей Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play троянца, который показывает надоедливую рекламу, а также крадет различную конфиденциальную информацию. Эта вредоносная программа встроена в более чем 150 приложений, которые в общей сложности загрузило не менее 2 800 000 пользователей. Троянец, получивший имя Android.Spy.305.origin, представляет собой очередную рекламную платформу (SDK), которую создатели ПО используют для монетизации приложений. Специалисты компании «Доктор Веб» выявили как минимум семь разработчиков, встроивших Android.Spy.305.origin в свои программы и распространяющих их через каталог Google Play. Среди них — разработчики MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps и Mothrr Mobile Apps. Среди приложений, в которых был найден троянец, встречаются «живые обои», сборники изображений, утилиты, ПО для работы с фотографиями, прослушивания интернет-радио и т. п. На данный момент вирусные аналитики «Доктор Веб» выявили 155 таких программ, суммарное число загрузок которых превысило 2 800 000. Компания Google получила информацию об этих приложениях, однако многие из них все еще доступны для загрузки. При запуске программ, в которых находится троянец, Android.Spy.305.origin соединяется с управляющим сервером, откуда получает команду на загрузку вспомогательного модуля, детектируемого какAndroid.Spy.306.origin. Этот компонент содержит основной вредоносный функционал, которыйAndroid.Spy.305.origin использует при помощи класса DexClassLoader. После этого троянец передает на сервер следующие данные: адрес электронной почты, привязанный к пользовательской учетной записи Google; список установленных приложений; текущий язык операционной системы; наименование производителя мобильного устройства; наименование модели мобильного устройства; IMEI-идентификатор; версию операционной системы; разрешение экрана; название мобильного оператора; имя приложения, в котором содержится троянец; идентификатор разработчика приложения; версию троянского рекламного SDK. Далее Android.Spy.305.origin приступает к выполнению основных функций, а именно показу навязчивой рекламы. Троянец может выводить поверх интерфейса работающих приложений и операционной системы различные рекламные баннеры, в том числе с видеороликами. Кроме того, он способен размещать сообщения в панели уведомлений, например, предлагая скачать то или иное ПО и даже пугая пользователя якобы обнаруженными вредоносными программами. Ниже представлен список ПО, в котором был обнаружен Android.Spy.305.origin: com.greenapp.slowmotion com.maxmitek.livewallpapernight com.asem.contactfilter com.allinOne.openquickly com.dorilradio.pe com.fusianart.takescreenshots com.maxmitek.livewallpapergod com.gigmobile.booster com.mobilescreen.recorder com.mobilescreen.capture com.fattys.automaticcallrecording com.maxmitek.livewallpaperbutterfly com.lollicontact.caller com.fusianart.doubletapscreen com.maxmitek.livewallpaperrain com.dorilradio.ru com.appworks.browser com.maxmitek.livewallpaperwinter com.sgfatty.videoplayerpro com.trueapppower.battery com.fattystudiocontacts.bassbooster com.mobiletool.rootchecker com.magicapp.reversevideo com.maxmitek.livewallpaperchristmas com.live3d.wallpaperlite com.maxmitek.flowerwallpaper com.maxmitek.livewallpaperaquariumfishfish com.maxmitek.nightwallpapers com.vmh.crackyourscreen com.nicewallpaper.s6wallpaper com.maxmitek.sunsetwallpaper com.nicewallpaper.supercar com.maxmitek.lovewallpaper com.maxmitek.livewallpaperdolphins com.nicewallpaper.beautigirl com.maxmitek.beachwallpaper com.maxmitek.livewallpapernewyear com.maxmitek.livewallpapergalaxy com.maxmitek.livewallpaper3d com.maxmitek.livewallpaperwaterfall com.maxmitek.wallpaperhalloween com.maxmitek.catwallpaper com.fattysgui.beautyfont com.fattystudioringtone.mp3cutter com.fattystudio.convertertomp3 com.fattystudio.pictureeditor com.gig.wifidoctor com.minibackup.contacttranfer com.greenapp.voicerecorder com.glade.batterysaver com.beatstudio.awcapture com.mothrrmobile.volume com.trueapplab.fastlauncher net.camspecial.clonecamera com.sunny.text2photo com.converttool.videomp3 com.foto.proeditor com.appworks.djmixonline com.appworksui.myfonts com.appworks.crackyourscreen com.appworkscontact.instadownloader com.rartool.superextract com.easytool.screenoff net.electronic.alarmclock com.finchpeach.heartrate com.finchpeach.weatherpro net.dotcom.cpuinfo com.finchpeach.wifihotspotfree net.brscreen.filter com.evin.translator com.dorilradio.ua com.dorilradio.ir com.dorilradio.pk com.dorilradio.sm com.dorilradio.me com.dorilradio.sv com.dorilradio.sr com.dorilradio.sk com.dorilradio.sl com.dorilradio.sg com.dorilradio.py com.dorilradio.pr com.dorilradio.pa com.dorilradio.mc com.dorilradio.lu com.dorilradio.lt com.dorilradio.lv com.dorilradio.li com.dorilradio.de com.dorilradio.kr com.dorilradio.is com.dorilradio.il com.dorilradio.hn com.dorilradio.ht com.dorilradio.gh com.dorilradio.hn com.dorilradio.ht com.dorilradio.gh com.dorilradio.ec com.dorilradio.fi com.dorilradio.doo com.dorilradio.cz com.dorilradio.cy com.dorilradio.cr com.dorilradio.bo com.dorilradio.th com.dorilradio.br com.dorilradio.gr com.dorilradio.es com.dorilradio.nl com.dorilradio.be com.dorilradio.id com.dorilradio.pl com.dorilradio.tr com.dorilradio.mx com.dorilradio.gt com.dorilradio.hu com.dorilradio.nz com.dorilradio.pt com.dorilradio.ch com.dorilradio.ro com.dorilradio.rs com.dorilradio.eg com.dorilradio.lk com.dorilradio.my com.dorilradio.tn com.dorilradio.tw com.dorilradio.no com.dorilradio.za com.dorilradio.ba com.dorilradio.bg com.dorilradio.hr com.dorilradio.dk com.dorilradio.in com.dorilradio.ie com.dorilradio.ph com.dorilradio.ar com.dorilradio.cl com.dorilradio.co com.dorilradio.ve com.dorilradio.sn com.dorilradio.uy com.dorilradio.ma com.dorilradio.se com.dorilradio.ng com.dorilradio.dz com.dorilradio.ke com.dorilradio.it com.dorilradio.cn com.dorilradio.ca com.dorilradio.jp com.dorilradio.fr com.dorilradio.au com.dorilradio.uk com.dorilradio.us Несмотря на то что каталог Google Play является самым надежным источником приложений для Android-смартфонов и планшетов, в него также могут проникать и различные вредоносные и нежелательные программы. В этой связи специалисты компании «Доктор Веб» рекомендуют владельцам мобильных устройств обращать внимание на отзывы других пользователей, которые могут указать на то, что от установки того или иного приложения лучше воздержаться, а также загружать ПО только от известных разработчиков. Троянец Android.Spy.305.origin успешно детектируется и удаляется антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей он опасности не представляет. Подробнее о троянце Источник
«Доктор Веб»: обзор вирусной активности в июле 2016 года «Доктор Веб»: обзор вирусной активности для мобильных устройств в июле 2016 года
Пользователи услуги «Антивирус Dr.Web» обеспечены новейшими технологиями Dr.Web 11 для Windows Компания «Доктор Веб» сообщает об обновлении Агента Dr.Web Для Windows в составе услуги «Антивирус Dr.Web». Пользователям услуги теперь доступны все новшества 11 версии продуктов Dr.Web для Windows, в том числе технологии, позволяющие усилить защиту от атак с использованием уязвимостей «нулевого дня». При этом скорость работы антивируса была существенно увеличена. Новшества 11 версии Агента Dr.Web для Windows Реализована система защиты от эксплойтов, предотвращающая возможность использования вредоносными объектами уязвимостей в приложениях при попытках получения контроля над операционной системой. Добавлена возможность тонкой настройки Превентивной защиты, что позволяет регулировать доступ к объектам для доверенных приложений и тем самым избегать конфликтов в работе системы. Также в настройках Превентивной защиты добавлена возможность создавать профили. Для обеспечения более быстрой проверки объектов на наличие угроз оптимизирована работа сканирующего сервиса Dr.Web Scanning Engine. Полностью был переработан графический интерфейс компонента Dr.Web Scanner SE – настройки сканера перенесены к общим настройкам антивируса, а управление им упрощено. Внедрена система сбора и хранения статистики действий антивируса. При помощи системы фильтров пользователь в любой момент может ознакомиться с событиями выбранного компонента или со списком заблокированных Родительским контролем сайтов, к которым производилась попытка доступа. В свою очередь были расширены и возможности Родительского контроля: Добавлена опция «Интервальное ограничение времени», благодаря которой родители могут указывать количество часов в дневное время, которое ребенок сможет провести за компьютером. В ночное время, которое можно задать вручную, компьютер блокируется автоматически. Расширены возможности ограничения доступа к файлам и папкам: теперь можно блокировать доступ или разрешать только чтение. Для опции «Ограничение времени» появилась возможность создавать профили. Стало возможно копировать настройки между учетными записями пользователей. Для конкретной учетной записи добавлена возможность отключать Родительский контроль. Добавлена возможность выключить ограничение доступа к файлам и папкам, не очищая список блокируемых объектов и не отключая полностью Родительский контроль. Появилась новая категория веб-сайтов, доступ к которым можно ограничить, – «Онлайн-игры». Новые возможности управления получил Менеджер карантина: обеспечена повторная проверка объекта и отображение резервных копий, что позволяет пользователю в случае необходимости восстановить удаленные или вылеченные антивирусом объекты. Усилены механизмы обнаружения и лечения угроз, а также самозащита – за счет нового компонента Dr.Web HyperVisor, который запускается и функционирует на самом низком уровне ОС, что позволяет обеспечить гарантированный перехват всех попыток вредоносных программ (в том числе неизвестных) внедриться в защищаемую систему или завершить работу антивируса. Улучшено управление белыми списками блокируемых устройств: разрешения можно настроить для конкретных пользователей или их групп. Для устройств с файловой системой теперь можно дополнительно задать тип доступа: «Разрешать все» и «Только чтение». Для обновления управляющего сервиса Dr.Web Control Service и компонента SpIDer Agent for Windows теперь не требуется перезагрузка. Реализована отдельная всплывающая нотификация о необходимости перезагрузки после нейтрализации угроз – она отображается только после лечения сложных типов угроз, которые невозможно удалить без перезагрузки. Также добавлена нотификация о блокировании устройств, добавленных в настройки опции «Блокировать использование указанных устройств». Для удобства пользователей настройки Антиспама были перемещены в настройки компонента SpIDer Mail. Добавлена защита от BadUSB-уязвимости для устройств, имитирующих клавиатуру. В мобильном режиме пользователь теперь может вручную запустить обновление баз. Источник
Обнаруженный «Доктор Веб» троянец заражает POS-терминалы Злоумышленники традиционно проявляют интерес к POS-терминалам, предназначенным для оплаты товаров и услуг с помощью банковских карт. Специалистам по информационной безопасности известно множество троянцев, позволяющих киберпреступникам перехватывать обрабатываемые подобными устройствами данные. Одна из таких вредоносных программ, являющаяся модификацией другого известного POS-троянца, была недавно исследована вирусными аналитиками компании «Доктор Веб». Троянец, добавленный в вирусные базы под именем Trojan.Kasidet.1, является модификацией вредоносной программы Trojan.MWZLesson, о которой компания «Доктор Веб» уже рассказывала в сентябре 2015 года в одной из своих публикаций. Помимо функций троянца для POS-терминалов Trojan.MWZLesson обладает возможностью перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome, Internet Explorer и Maxthon. Исследованный специалистами «Доктор Веб» образец Trojan.Kasidet.1 распространяется в виде ZIP-архива, внутри которого расположен файл с расширением .SCR, представляющий собой самораспаковывающийся SFX-RAR-архив. Этот файл извлекает и запускает на атакуемом компьютере саму вредоносную программу. В первую очередь троянец проверяет наличие в инфицированной системе собственной копии, а также пытается обнаружить в своем окружении виртуальные машины, эмуляторы и отладчики. Если Trojan.Kasidet.1 найдет программу, которую сочтет для себя опасной, он завершит свою работу. Если таких программ нет, Trojan.Kasidet.1пытается запуститься на зараженном компьютере с правами администратора. При этом на экране демонстрируется предупреждение системы Контроля учетных записей пользователей (User Accounts Control, UAC), однако издателем запускаемого приложения wmic.exe является корпорация Microsoft, что должно усыпить бдительность потенциальной жертвы: В свою очередь, утилита wmic.exe запускает исполняемый файл Trojan.Kasidet.1. Как и Trojan.MWZLesson, этот троянец умеет сканировать оперативную память инфицированного устройства на наличие в ней треков банковских карт, полученных с помощью POS-устройства, и передавать их на управляющий сервер. Кроме того, он может похищать пароли от почтовых программ Outlook, Foxmail или Thunderbird и внедряться в процессы браузеров Mozilla Firefox, Google Chrome, Microsoft Internet Explorer и Maxthon с целью перехвата GET- и POST-запросов. Также эта вредоносная программа по команде с управляющего сервера может скачать и запустить на зараженном ПК другое приложение или вредоносную библиотеку, найти на дисках и передать злоумышленникам заданный файл, либо сообщить им список работающих на компьютере процессов. Ключевым отличием Trojan.Kasidet.1 от Trojan.MWZLesson является то, что адреса его управляющих серверов расположены в децентрализованной доменной зоне .bit (Namecoin) — системе альтернативных корневых DNS-серверов, основанной на технологии Bitcoin. К подобным сетевым ресурсам обычные веб-браузеры доступа не имеют, однако Trojan.Kasidet.1 использует собственный алгоритм получения IP-адресов командных серверов. Вредоносные программы, использующие в качестве управляющих серверов узлы в зоне .bit, известны как минимум с 2013 года, однако вирусописатели нечасто используют домены Namecoin в качестве адресов командных серверов. Антивирус Dr.Web успешно обнаруживает и удаляет этого троянца, поэтому он не представляет опасности для наших пользователей. Подробнее о троянце Источник
Обнаруженный «Доктор Веб» бэкдор-шпион атакует жителей России, Великобритании, Испании и США Компания «Доктор Веб» уже рассказывала о троянце, использующем популярную программу удаленного администрирования компьютеров TeamViewer. Теперь наши вирусные аналитики обнаружили еще одного бэкдора, устанавливающего на атакуемый компьютер в целях шпионажа легальные компоненты TeamViewer. Троянец, получивший наименование BackDoor.TeamViewerENT.1, также имеет самоназвание Spy-Agent (так называется административный интерфейс его системы управления). Злоумышленники развивают этих троянцев с 2011 года и регулярно выпускают их новые версии. Об одной из них мы и расскажем в этом материале. Как и схожий с ним по архитектуре троянец BackDoor.TeamViewer.49, этот бэкдор состоит из нескольких модулей. Однако если предшественник задействовал компоненты популярной программы удаленного администрирования компьютера TeamViewer только для того, чтобы загрузить в память атакуемой машины вредоносную библиотеку, тоBackDoor.TeamViewerENT.1 использует их именно для шпионажа. Основные вредоносные функции троянца сосредоточены в библиотеке avicap32.dll, а параметры его работы хранятся в зашифрованном конфигурационном блоке. Помимо специально созданной злоумышленниками вредоносной библиотеки троянец сохраняет на диск атакуемой машины необходимые для работы программы TeamViewer файлы и папки, а также несколько дополнительных файлов-модулей. Если приложение в ОС Microsoft Windows требует для своей работы загрузку динамической библиотеки, система сначала пытается найти файл с таким именем в той же папке, откуда была запущена программа, и лишь потом — в системных папках Windows. Этим и воспользовались вирусописатели: приложению TeamViewer действительно необходима стандартная библиотека avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows. Но троянец сохраняет вредоносную библиотеку с таким же именем прямо в папку с легитимным исполняемым файлом TeamViewer, в результате чего система загружает в память троянскую библиотеку вместо настоящей. После запуска BackDoor.TeamViewerENT.1 отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» и «только для чтения» своим собственным файлам и файлам этой программы, а затем перехватывает в памяти процесса TeamViewer вызовы функций этого приложения и ряда системных функций. Если для нормальной работы TeamViewer на атакованном компьютере не хватает каких-либо файлов или компонентов, троянец скачивает их со своего управляющего сервера. Помимо этого, еслиBackDoor.TeamViewerENT.1 обнаруживает попытку запуска программ «Диспетчер задач Windows» и Process Explorer, он завершает работу процесса TeamViewer на зараженной машине. Подключившись к управляющему серверу, бэкдор может выполнять следующие команды злоумышленников: перезагрузить ПК; выключить ПК; удалить TeamViewer; перезапустить TeamViewer; начать прослушивание звука с микрофона; завершить прослушивание звука с микрофона; определить наличие веб-камеры; начать просмотр через веб-камеру; завершить просмотр через веб-камеру; скачать файл, сохранить его во временную папку и запустить; обновить конфигурационный файл или файл бэкдора; подключиться к указанному удаленному узлу, после чего запустить cmd.exe с перенаправлением ввода-вывода на удаленный хост. Очевидно, что эти команды открывают перед злоумышленниками широкие возможности для шпионажа за пользователями инфицированных компьютеров, включая похищение конфиденциальной информации. В частности, известно, что с помощью этого троянца киберпреступники устанавливали на инфицированные компьютеры вредоносные программы семейств Trojan.Keylogger и Trojan.PWS.Stealer. Вирусные аналитики компании «Доктор Веб» провели исследование, в ходе которого удалось выяснить, что злоумышленники в разное время атакуют в основном жителей ряда определенных стран и регионов. Так, в июле с использованиемBackDoor.TeamViewerENT.1 киберпреступники атаковали жителей Европы, среди которых больше всего насчитывалось резидентов Великобритании и Испании, а в августе переключились на резидентов США. Довольно много зараженных компьютеров расположено на территории России: Специалисты компании «Доктор Веб» продолжают следить за развитием ситуации, а также призывают пользователей проявлять бдительность и вовремя обновлять вирусные базы. Троянец BackDoor.TeamViewerENT.1 успешно детектируется и удаляется Антивирусом Dr.Web, поэтому не представляет опасности для наших пользователей. Подробнее о троянце Источник
«Доктор Веб» предупреждает: самораспространяющийся троянец для Linux организует ботнеты Операционные системы семейства Linux все чаще подвергаются заражению вредоносными программами. Вирусные аналитики компании «Доктор Веб» исследовали еще одного Linux-троянца, написанного на языке Go. Он умеет атаковать сайты, работающие под управлением различных CMS, осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети. Новый троянец получил наименование Linux.Rex.1. Пользователи форума Kernelmode, одними из первых сообщившие о распространении этого троянца, назвали его «вымогателем для Drupal» (Drupal ransomware), однако вирусные аналитики «Доктор Веб» считают это определение неполным. Linux.Rex.1 действительно атакует сайты, работающие на популярном движке Drupal, но этим его возможности не ограничиваются. Современные ботнеты условно делятся на два типа. Первый получает команды с управляющих серверов, второй работает без них, напрямую передавая информацию от одного зараженного узла к другому. Linux.Rex.1 организует бот-сети второго типа. Они называются одноранговыми, пиринговыми или P2P-сетями (от англ. peer-to-peer, «равный к равному»). В архитектуре Linux.Rex.1 имеется собственная реализация протокола, позволяющего обмениваться информацией с другими зараженными узлами и создавать таким образом децентрализованный P2P-ботнет. Сам зараженный компьютер при запуске троянца работает как один из узлов этой сети. Троянец принимает от других инфицированных компьютеров управляющие директивы по протоколу HTTPS и при необходимости передает их другим узлам ботнета. По команде Linux.Rex.1 начинает или останавливает DDoS-атаку на узел с заданным IP-адресом. С помощью специального модуля троянец сканирует сеть в поисках веб-сайтов, на которых установлены системы управления контентом Drupal, Wordpress, Magento, JetSpeed и другие. Также он ищет сетевое оборудование под управлением операционной системы AirOS. Linux.Rex.1 использует известные уязвимости в этих программных продуктах, чтобы получить список пользователей, закрытые SSH-ключи, логины и пароли, хранящиеся на удаленных узлах. Хотя сделать это возможно далеко не всегда. Еще одна функция Linux.Rex.1 — рассылка сообщений по электронной почте. В этих письмах злоумышленники угрожают владельцам веб-сайтов организовать на них DDoS-атаку. Если письмо попало не по адресу, киберпреступники просят получателя переслать его ответственному сотруднику компании, которой принадлежит сайт. Чтобы избежать атаки, потенциальной жертве предлагается заплатить выкуп в криптовалюте биткойн. Для взлома сайтов, работающих под управлением Drupal, используется известная уязвимость этой CMS. С помощью SQL-инъекции троянец авторизуется в системе. Если взлом удался, Linux.Rex.1 загружает на скомпрометированный сайт собственную копию и запускает ее. Таким образом в Linux.Rex.1 реализована саморепликация — возможность автоматического распространения без участия пользователей. Linux.Rex.1 представляет серьезную опасность для владельцев веб-сайтов, а также пользователей устройств под управлением Linux. Сигнатура Linux.Rex.1 добавлена в базы Антивируса Dr.Web для Linux, этот троянец детектируется и удаляется антивирусными продуктами «Доктор Веб». Подробнее о троянце Источник
