Вредоносный спам от имени Сбербанка получил широкое распространение

30.05.2012 [14:15], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщила о массовом распространении вредоносного спама: пользователю приходят сообщения, якобы отправленные Сбербанком. Письма содержат ссылку на архив, в котором скрывается троянец-кодировщик: при попытке открыть такое вложение файлы на компьютере жертвы оказываются зашифрованными.

Письма, в поле «отправитель» которых числится «Сбербанк ОнЛ@йн», а в поле «Тема» — «Сообщение об увеличении задолженности», за последние дни получило множество пользователей. В самом сообщении говорится о том, что получатель «превысил максимальную отсрочку платежа», и предлагается ссылка, якобы позволяющая просмотреть статистику.

По ссылке на компьютер жертвы загружается RAR или ZIP-архив, содержащий файл .SCR, либо данный файл в незапакованном виде. При попытке открыть этот файл хранящиеся на жестком диске компьютера документы и изображения оказываются зашифрованными, а на экран выводится соответствующее сообщение:

Если файлы уже зашифрованы троянцем, специалисты рекомендуют сделать следующее:

• отправьте заявление в территориальный отдел полиции по факту данного преступления. С образцом заявления можно ознакомиться здесь;
• ни в коем случае не пытайтесь переустановить операционную систему;
• не удаляйте никаких файлов на вашем компьютере;
• не пытайтесь восстановить зашифрованные файлы самостоятельно.

Материалы по теме:

• Новый IRC-бот распространяет спам в IM-сетях;
• Trojan.Hosts.5858 блокирует доступ в Интернет;
• Обнаружен новый IRC-бот, способный осуществлять DDoS-атаки.

Источник:

• news.drweb.com

Новый IRC-бот распространяет спам в IM-сетях

25.05.2012 [10:59], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщила о распространении новой модификации IRC-бота, добавленного в вирусные базы под именем BackDoor.IRC.IMBot.2. Как и другие представители данного семейства, этот бот способен рассылать спам в сетях мгновенного обмена сообщениями, загружать на инфицированный компьютер и запускать исполняемые файлы, а также осуществлять по команде с управляющего сервера DDoS-атаки.

Существует огромное количество модификаций троянских программ, использующих в своей работе IRC (Internet Relay Chat) — протокол, позволяющий реализовать обмен сообщениями в режиме реального времени. Более того, новые версии IRC-ботов появляются с завидной регулярностью. С этой точки зрения BackDoor.IRC.IMBot.2 можно было бы назвать типичным представителем данного семейства, если бы не одно отличие.

BackDoor.IRC.IMBot.2 распространяется аналогично другим известным IRC-ботам: сохраняет себя на сменные носители под именем usb_driver.com и создает в корневой директории файл autorun.inf, с помощью которого осуществляется запуск троянца при подключении устройства (если данная функция не была заранее заблокирована в настройках операционной системы).

Запускаясь в инфицированной системе, BackDoor.IRC.IMBot.2 сохраняет себя в папку установки Windows и вносит соответствующие изменения в ветвь системного реестра, отвечающую за автозапуск приложений. Также BackDoor.IRC.IMBot.2 изменяет настройки брандмауэра Windows, для того чтобы обеспечить себе соединение с Интернетом.

Наиболее интересной чертой данного бота является встроенный в него своеобразный механизм поиска процессов с именами dumpcap, SandboxStarter, tcpview, procmon, filemon. Будучи запущенным на компьютере жертвы, троянец обращается к разделу системного реестра HKEY_PERFORMANCE_DATA, отвечающего за определение производительности ПК, и ищет с помощью размещающихся в данном разделе счетчиков запущенные в операционной системе процессы. Данный алгоритм интересен тем, что ранее он не встречался в других вредоносных программах подобного типа.

BackDoor.IRC.IMBot.2 способен загружать и запускать на инфицированном компьютере исполняемые файлы, распространять спам в сетях, использующих для обмена сообщениями программы MSN Messenger, AOL Instant Messenger, Yahoo! Messenger, а также по команде с удаленного сервера организовывать DDoS-атаки.

Материалы по теме:

• Обнаружен новый IRC-бот, способный осуществлять DDoS-атаки;
• "Лаборатория Касперского" отметила новый виток атак на компьютеры Mac;
• Обнаружен новый червь, заражающий RAR-архивы.

Источник:

• news.drweb.com

Trojan.Hosts.5858 блокирует доступ в Интернет

24.05.2012 [09:02], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщила о широком распространении вредоносной программы Trojan.Hosts.5858, угрожающей в первую очередь немецкоязычным пользователям. Троянец перенаправляет жертву при запросе в браузере на принадлежащий злоумышленникам веб-сайт, требующий оплатить разблокировку доступа в Интернет с помощью кредитной карты.

Прежде всего, Trojan.Hosts.5858 загружается на компьютеры, уже инфицированные вредоносной программой семейства BackDoor.Andromeda, — эта угроза способна скачивать с сайтов злоумышленников исполняемые файлы. Вместе с Trojan.Hosts.5858 на зараженный компьютер могут быть также загружены другие троянцы (Trojan.Spambot.11349 и BackDoor.IRC.Aryan.1).

Запустившись в операционной системе, Trojan.Hosts.5858 модифицирует файл hosts, расположенный во вложенных папках системной директории Windows и отвечающий за трансляцию сетевых адресов сайтов в их DNS-имена. В результате при попытке перейти на один из популярных интернет-ресурсов, таких как Facebook, Google, Yahoo и т. д., браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страничку, сообщающую на немецком языке о том, что доступ в Интернет заблокирован. Для «разблокировки» пользователю предлагается передать вирусописателям реквизиты его банковской карты.

Материалы по теме:

• Обнаружен новый IRC-бот, способный осуществлять DDoS-атаки;
• "Лаборатория Касперского" отметила новый виток атак на компьютеры Mac;
• Обнаружен новый червь, заражающий RAR-архивы.

Источник:

• news.drweb.com

Обнаружен новый IRC-бот, способный осуществлять DDoS-атаки

22.05.2012 [10:26], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщила распространении вредоносной программы BackDoor.IRC.Aryan.1, способной загружать с удаленного сервера злоумышленников различные файлы и устраивать DDoS-атаки по команде с IRC-сервера (IRC (Internet Relay Chat) — протокол, позволяющий реализовать обмен сообщениями в режиме реального времени).

Вредоносное приложение BackDoor.IRC.Aryan.1 можно отнести к категории IRC-ботов. Программа распространяется самокопированием на съемные носители путем создания в корневой директории диска инфицированной папки и файла автозапуска autorun.inf. Кроме того, BackDoor.IRC.Aryan.1 применяет еще один способ заражения сменных носителей информации: бот копирует себя на съемный диск, прячет обнаруженные файлы в созданную им папку, а вместо них помещает ярлыки, ссылающиеся как на спрятанный оригинальный файл, так и на саму вредоносную программу. В результате при активизации такого ярлыка пользователем, помимо открытия искомого файла, запускается BackDoor.IRC.Aryan.1. Успешно инфицировав диск, бот отправляет соответствующее сообщение на специально созданный злоумышленниками IRC-канал.

Затем вредоносная программа копирует себя в одну из папок как svmhost.exe и помещает ссылку на данный файл в ветвь системного реестра, отвечающую за автоматический запуск приложений при загрузке Windows. Также бот пытается встроить код в процесс explorer.exe.

Помимо прочего, BackDoor.IRC.Aryan.1 обладает механизмом самозащиты: в отдельном потоке бот постоянно проверяет свое наличие на диске и, в случае отсутствия соответствующего файла в целевой папке, сохраняет его туда из оперативной памяти. Параллельно осуществляется проверка наличия соответствующей записи в системном реестре Windows. Также BackDoor.IRC.Aryan.1 пытается встроить код, задачей которого является систематический перезапуск вредоносной программы, в процессы csrss.exe, alg.exe и dwm.exe.

Материалы по теме:

• Обнаружен новый червь, заражающий RAR-архивы;
• Symantec: масштабы киберпреступности на Украине увеличились;
• "Лаборатория Касперского": спамеры нацелились на геймеров и пользователей Facebook.

Источник:

• news.drweb.com

Обнаружен новый червь, заражающий RAR-архивы

17.05.2012 [14:27], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщила о распространении вредоносной программы-червя Win32.HLLW.Autoruner.64548, способной заражать RAR-архивы. Червь «умеет» загружать с удаленного сервера злоумышленников исполняемые файлы, которые могут нести вредоносный функционал.

Вредоносная программа Win32.HLLW.Autoruner.64548 распространяется так же, как и многие другие черви: создает свою копию на диске и размещает в корневой папке файл autorun.inf, запускающий червя при подключении устройства. Начав свою работу на инфицированном компьютере, Win32.HLLW.Autoruner.64548 ищет на дисках RAR-архивы и записывает себя в них, используя одно из следующих имен: secret.exe, AVIRA_License.exe, Warcraft_money.exe, CS16.exe, Update.exe, private.exe, Autoruns.exe, Tutorial.exe, Autorun.exe, Readme.exe, Real.exe, readme.exe, Keygen.exe, Avast_keygen.exe. В некоторых случаях после подобной модификации архивы повреждаются.

Кроме того, червь имеет модуль полезной нагрузки. Также в его теле содержится исполняемый файл, который Win32.HLLW.Autoruner.64548 сохраняет в папку установки Windows в виде библиотеки mssys.dll. Ссылку на эту библиотеку вредоносная программа записывает в системный реестр. Полезную нагрузку червь встраивает в копию собственного процесса. Затем вредоносная программа соединяется с удаленным сервером злоумышленников и ожидает команд на загрузку и запуск исполняемых файлов.

Win32.HLLW.Autoruner.64548 — представитель достаточно редкой категории вредоносных программ, способных заражать RAR-архивы. При распаковке RAR-архивов обращайте внимание, не появились ли внутри подозрительные исполняемые файлы: их случайный запуск может нанести вред вашему компьютеру.

Материалы по теме:

• "Лаборатория Касперского": начало года запомнилось ботнетами;
• "Лаборатория Касперского": антивирус срабатывал более чем у половины российских пользователей.

Источник:

• news.drweb.com

Profile Visitor — новое мошенническое приложение в Facebook

09.05.2012 [10:33], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщила о появлении в социальной сети Facebook новой схемы мошенничества. Злоумышленники взяли на вооружение схему, печально известную участникам российских социальных сетей «ВКонтакте» и «Одноклассники», и создали для Facebook специальное приложение Profile Visitor, которое запрашивает у пользователя доступ к его стене, обещая показать список тех, кто посещал его страницу. На самом деле на стене пользователя публикуется картинка со ссылкой на мошеннический веб-сайт. В свою очередь друзья жертвы в Facebook получают уведомления, что они якобы были отмечены на этой картинке, что расширяет зону распространения вредоносной ссылки.

Ссылка, как правило, опубликована от имени одного из друзей пользователя и ведет на страничку встроенного приложения Facebook, для активации которого требуется разрешить программе публиковать контент от имени пользовательской учетной записи. Как только ничего не подозревающая жертва нажмет на кнопку «Разрешить», на стене ее профиля и в новостной ленте всех ее друзей появится ссылка на данное приложение, размещенная от ее имени. Однако даже если пользователь не разрешит программе Profile Visitor какие-либо публикации от его имени, все, кто зарегистрирован в списке его друзей, будут автоматически отмечены на «фотографии», представляющей собой рекламный баннер-ссылку приложения Profile Visitor. Уведомление об этом будет автоматически разослано по списку контактов в Facebook.

После этого в браузере жертвы автоматически откроется созданная злоумышленниками веб-страница, содержащая динамически меняющийся массив ссылок. По нажатию на любую из них пользователь будет перенаправлен на различные мошеннические сайты, содержание которых зависит от IP-адреса посетителя странички. Так, некоторые из них для доступа к информации требуют указать реквизиты банковской карты, другие предлагают пользователю ввести в специальную форму собственный номер мобильного телефона и набрать в соответствующем поле код, полученный в ответном СМС. Этот метод практикуется, в основном, в отношении русскоязычных посетителей: таким образом мошенники подписывают жертву на некую платную «информационную услугу», за оказание которой с ее счета будет ежемесячно списываться определенная сумма.

Среди демонстрируемых по нажатию на ссылки мошеннических ресурсов были замечены псевдолотереи с различными призами, онлайн-казино, психологические тесты, сервисы по подбору индивидуальных диет и т. д.

Материалы по теме:

• Обновлена утилита для расшифровки файлов, зараженных Trojan.Encoder.102;
• Выпущена бесплатная утилита для расшифровки файлов после Trojan.Matsnu.1;
• Выпущен бесплатный Dr.Web Light 7 для Android.

Источник:

• news.drweb.com

Новые троянцы заражают Android-устройства с root-доступом

04.05.2012 [16:57], Сергей и Марина Бондаренко

Компания «Доктор Веб» выявила новые вредоносные программы для операционной системы Android. Под ударом находятся владельцы мобильных устройств, использующие систему с повышенными привилегиями.

Новые троянцы распространяются злоумышленниками вместе с легитимными приложениями через популярные сайты-сборники программного обеспечения и используют довольно интересный механизм работы. Вредоносные программы реализуют принцип «матрешки»: модифицированное приложение (детектируется Dr.Web как Android.MulDrop.origin.3) содержит другой программный пакет (apk-файл), который зашифрован. Фактически первое приложение является дроппером — своеобразным контейнером, служащим для доставки других вредоносных программ.

Немаловажной деталью является то, что создатели троянца в качестве основы для дроппера выбрали определенный тип приложений: системные утилиты, конфигураторы и т. д. Подобная разборчивость легко объясняется тем, что для работы большинства из них требуются права администратора, поэтому, когда после запуска такое приложение запрашивает root-доступ, пользователь может ничего не заподозрить.

В случае успешного получения необходимых привилегий Android.MulDrop.origin.3 расшифровывает скрытый в нем apk-файл и помещает его в системный каталог (/system/app/ под именем ComAndroidSetting.apk). Как это ни удивительно, но данное приложение, добавленное в вирусные базы как Android.MulDrop.origin.4, также является дроппером. Как и Android.MulDrop.origin.3, он содержит зашифрованный apk-пакет. Троянец активируется после очередного запуска системы, расшифровывает и устанавливает скрытый внутри него программный пакет, который, в свою очередь, является троянцем-загрузчиком и детектируется как Android.DownLoader.origin.2.

Android.DownLoader.origin.2 также имеет функцию автозапуска. После старта системы он соединяется с удаленным сервером и получает список приложений, которые ему необходимо загрузить и установить. В этом списке могут находиться как другие вредоносные программы, так и вполне безобидные приложения. Все зависит лишь от фантазии злоумышленников и преследуемых ими целей.

Материалы по теме:

• Защитная экипировка: обзор антивирусных решений для Android;
• На всякий пожарный: загрузочные диски скорой антивирусной помощи.

Источник:

• news.drweb.com

Нашествие троянцев-шифровальщиков — одно из главных вирусных событий апреля

04.05.2012 [14:48], Сергей и Марина Бондаренко

Компания "Доктор Веб" опубликовала отчет о вирусной активности в апреле этого года. Специалисты отмечают, что прошлый месяц был отмечен нашествием троянцев-шифровальщиков, обеспокоивших сначала жителей западноевропейских стран, а чуть позже — и пользователей по всему миру.

Ближе к середине месяца в антивирусную лабораторию компании «Доктор Веб» стали поступать сообщения от иностранных пользователей, пострадавших в результате действия троянцев-энкодеров и прежде всего вредоносной программы Trojan.Encoder.94. Как и другие представители данного семейства шифровальщиков, Trojan.Encoder.94 отыскивает на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифрует их. Зашифровав пользовательские файлы, троянец выводит на экран сообщение, требующее выплатить злоумышленникам сумму в размере 50 евро или фунтов стерлингов с помощью платежных систем Ukash или Paysafecard.

Троянец имеет англоязычный интерфейс, однако случаи заражения уже были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Вскоре стали поступать сообщения от жителей Бразилии, Аргентины, других государств Латинской Америки. География заражений троянцем охватила практически всю Европу, включая такие страны, как Хорватия, Швейцария, Нидерланды, Словения и Бельгия, Франция, Венгрия и Румыния.

В начале месяца специалистами компании «Доктор Веб» также была обнаружена первая в истории масштабная бот-сеть, состоящая из компьютеров, работающих под управлением операционной системы Mac OS X. Чуть позже компания «Доктор Веб» сообщила об установлении контроля над ботнетом Win32.Rmnet.12, численность которого превысила миллион инфицированных компьютеров.

Материалы по теме:

• Обновлена утилита для расшифровки файлов, зараженных Trojan.Encoder.102;
• Выпущена бесплатная утилита для расшифровки файлов после Trojan.Matsnu.1;
• Выпущен бесплатный Dr.Web Light 7 для Android.

Источник:

• news.drweb.com

Обновлены Антивирус Dr.Web для Mac OS X и Dr.Web для файловых серверов Mac OS X Server

02.05.2012 [05:17], Сергей и Марина Бондаренко

Выпущена новая версия продуктов Антивирус Dr.Web для Mac OS X и Антивирус Dr.Web для файловых серверов Mac OS X Server. В обновленные сборки включены антивирусное ядро Dr.Web Virus Finding Engine и вирусные базы версии 7.0, добавлена поддержка многопоточного сканирования и другие улучшения, повысились надежность и стабильность работы программ.

В антивирусном ядре Dr.Web Virus Finding Engine 7.0 реализованы новые технологии для обнаружения вредоносного ПО, такие как анализ структурной энтропии файлов и ScriptHeuristic, позволяющая искать и анализировать угрозы в документах HTML и PDF. Другое ключевое преимущество нового ядра – многократное увеличение скорости сканирования. Проверка по вирусным базам теперь выполняется с учетом синтаксиса языка JavaScript.

Приложения версии 6.0.3 поддерживают многопоточное сканирование, что также значительно увеличивает скорость проверки на вирусы. Процедура лечения при нейтрализации активных угроз включает остановку вредоносного процесса и удаление файла, необходимого для его автозапуска. Кроме того, антивирус умеет обезвреживать вредоносное ПО, обходящее ограничения системы на доступ к файлам. Удаление, перемещение и восстановление файлов в Карантине теперь происходит быстрее. Появилась возможность исключать почтовые файлы из перечня проверяемых объектов. Благодаря устранению выявленных недочетов, установщик работает стабильнее. Файловый монитор Dr.Web SpIDer Guard потребляет меньше системных ресурсов. Кроме того, программа оповещает пользователя о доступности новой версии. Оптимизация архитектуры приложений позволила повысить стабильность работы продуктов.

Чтобы обновить Антивирус Dr.Web для Mac OS X и Антивирус Dr.Web для файловых серверов Mac OS X Server до версии 6.0.3, необходимо скачать соответствующий дистрибутив и установить приложение поверх существующей установки или предварительно удалив предыдущую версию.

Материалы по теме:

• Вышла новая версия антивируса Microsoft Security Essentials;
• Почта Mail.Ru полностью перешла на безопасный протокол HTTPS.

Источник:

• news.drweb.com

Выпущена бесплатная утилита для расшифровки файлов после Trojan.Matsnu.1

01.05.2012 [18:00], Сергей и Марина Бондаренко

Компания «Доктор Веб» выпустила специальную утилиту, с помощью которой пользователи смогут самостоятельно расшифровать файлы, поврежденные троянцем Trojan.Matsnu.1. Утилита доступна для бесплатного скачивания.

Троян попадает на компьютеры через электронную почту. Рассылаемое злоумышленниками письмо написано на немецком языке и имеет заголовок вида Ute Lautensack Vertrag Nr 46972057. Послание содержит вложенный zip-архив с именем Abrechnung или Rechnung. Попытка запустить вложенную в эти архивы программу приводит к тому, что все файлы на дисках компьютера жертвы будут зашифрованы.

Если расшифровать файлы с использованием данной утилиты не удалось либо данный процесс завершился с ошибками, пользователи могут обратиться за помощью в антивирусную лабораторию компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна.

Материалы по теме:

• Обнаружен новый ботнет из миллиона компьютеров на базе Windows;
• Новая мошенническая схема нацелена на тех, кто ищет работу в Интернете.

Источник:

• news.drweb.com

Обнаружен новый ботнет из миллиона компьютеров на базе Windows

23.04.2012 [07:55], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщила о широком распространении файлового вируса Win32.Rmnet.12, c помощью которого злоумышленники создали бот-сеть, насчитывающую более миллиона инфицированных компьютеров. Вирус Win32.Rmnet.12 заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей (от популярных FTP-клиентов), которые могут быть использованы для организации сетевых атак или заражения сайтов. Обрабатывая поступающие от удаленного центра злоумышленников указания, Win32.Rmnet.12 также может дать команду на уничтожение операционной системы.

Вирус проникает на компьютеры разным путем: через инфицированные флеш-накопители, зараженные исполняемые файлы, а также при помощи специальных скриптов, интегрированных в html-документы — они сохраняют на диск компьютера вирус при открытии вредоносной веб-страницы в окне браузера.

Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению (умеет копировать сам себя и бесконтрольно распространяться без участия пользователя). Запустившись в операционной системе, Win32.Rmnet.12 проверяет, какой браузер установлен по умолчанию (если таковой не обнаружен, вирус выбирает в качестве цели Microsoft Internet Explorer) и встраивается в процессы браузера. Затем, сгенерировав имя собственного файла на основе серийного номера жесткого диска, вирус сохраняется в папку автозагрузки текущего пользователя и устанавливает для вредоносного файла атрибут «скрытый». В ту же папку сохраняется и конфигурационный файл, в который записываются необходимые для работы вредоносной программы данные. Затем на основе заложенного в него алгоритма вирус определяет имя управляющего сервера и пытается установить с ним соединение.

Распространение вируса происходит несколькими путями: во-первых, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съемные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.

Первоначально количество составляющих сеть Win32.Rmnet.12 инфицированных машин было относительно невелико и насчитывало несколько сотен тысяч ботов, однако это число постепенно увеличивалось. По данным на 15 апреля 2012 года, ботнет Win32.Rmnet.12 состоит из 1400520 зараженных узлов и продолжает уверенно расти. Динамика изменения численности сети показана на представленном ниже графике.

Материалы по теме:

• Обнаружено поддельное приложение Instagram для Android;
• ESET: Java-зловреды остаются популярными среди киберпреступников.

Источник:

• news.drweb.com

Обновлены однопользовательские продукты Dr.Web 7.00 для Windows

21.04.2012 [11:05], Сергей и Марина Бондаренко

Компания "Доктор Веб" обновила сканирующий сервис Scanning Engine, сканер с графическим интерфейсом, языковые модули и антируткит-компонент Dr.Web Anti-rootkit Service, входящие в состав седьмой версии продуктов Dr.Web Security Space и Антивирус Dr.Web для Windows. Обновление добавляет несколько новых функций и исправляет выявленные ошибки.

В частности, при поиске руткитов антивирусный сканер теперь учитывает указанные пользователем исключения. Список пользовательских файлов и директорий для выборочной проверки можно очистить нажатием одной кнопки, а в диалоговом окне сканера для добавления объектов на проверку – выбирать сразу несколько элементов. В компоненте Dr.Web Anti-rootkit Service были улучшены процедуры поиска и нейтрализации активных угроз, увеличилась скорость проверки системы на руткиты. Решена проблема сканирования объектов, пути к которым содержат диакритические знаки и символы, не входящие в латинский алфавит. Кроме того, в обновленных компонентах были исправлены выявленные недочеты.

Для пользователей обновление пройдет автоматически, однако потребует перезагрузки компьютера.

Материалы по теме:

• Обнаружено поддельное приложение Instagram для Android;
• ESET: Java-зловреды остаются популярными среди киберпреступников.

Источник:

• news.drweb.com

Новая модификация троянца Android.Gongfu скрывается в дистрибутиве Angry Birds Space

10.04.2012 [18:32], Сергей и Марина Бондаренко

Компания "Доктор Веб" сообщила о распространении новой модификации Android.Gongfu. Злоумышленники встраивают этот троянец в различные программы и игры, распространяющиеся через неофициальные сайты-сборники программного обеспечения. Новый Android.Gongfu способен не только передавать злоумышленникам информацию об инфицированном устройстве и выполнять поступающие от удаленного сервера команды, но также загружать и устанавливать другие приложения без ведома пользователя. В частности, этот троянец был выявлен в модифицированном злоумышленниками дистрибутиве популярной игры Angry Birds Space.

Вредоносные программы семейства Android.Gongfu отличаются способностью установить на зараженном мобильном устройстве другое приложение, которое добавляется в инфицированную систему в качестве фонового сервиса. Установленный троянцем сервис запускается автоматически без участия пользователя и собирает данные об устройстве, включая версию операционной системы, модель телефона, наименование мобильного оператора, номер IMEI и телефонный номер пользователя. Впоследствии вся эта информация передается злоумышленникам. Помимо этого, Android.Gongfu может выступать в роли бэкдора, способного выполнять получаемые от злоумышленников команды.

В отличие от первых реализаций Android.Gongfu, новые модификации троянца не используют уязвимость Android, позволявшую им без участия пользователя повысить собственные привилегии в системе до уровня root. Вместо этого в комплекте с инфицированным приложением пользователю предлагается специальная пошаговая инструкция, позволяющая запустить ОС с полномочиями администратора. В инструкции утверждается, что это, якобы, необходимо для корректной работы программы или ее обновления. После запуска с администраторскими привилегиями Android.Gongfu получает возможность встраиваться в системные процессы Android, включая процессы, критичные для стабильной работы ОС. Троянец способен не только передавать злоумышленникам информацию об инфицированном устройстве и выполнять поступающие от удаленного узла команды, но также загружать и устанавливать в ОС другие приложения без ведома пользователя.

Материалы по теме:

• Защитная экипировка: обзор антивирусных решений для Android;
• На всякий пожарный: загрузочные диски скорой антивирусной помощи.

Источник:

• news.drweb.com

"Доктор Веб" сообщает о новых мобильных угрозах

05.04.2012 [00:17], Сергей и Марина Бондаренко

Компания "Доктор Веб" опубликовала отчет о вирусной активности в марте этого года. Специалисты отмечают, что в сети появились новые вредоносные приложения для мобильной платформы Android.

Злоумышленники не преминули воспользоваться тем, что  Android Market был переименован в Google Play. В сети стали один за другим появляться веб-сайты, копирующие своим оформлением официальный Google Play. Некоторые из них были замечены в распространении вредоносного ПО для мобильной платформы Android. Существуют специально разработанные партнерские программы, позволяющие создавать сайты-подделки, с которых посетителям раздаются различные вредоносные приложения, в том числе троянцы семейства Android.SmsSend.

Например, в рамках партнерской программы владельцам веб-сайтов предлагается добавить на свои страницы специальный скрипт, осуществляющий переадресацию посетителей, использующих мобильные устройства, на «партнерский» ресурс — для этого обычно используется язык JavaScript или специальные директивы в файле .htaccess.

Вместе с тем далеко не все пользователи Android в курсе, что ресурса под названием Android Market больше не существует. В Интернете опубликовано огромное количество статей, написанных различными экспертами, в которых владельцам мобильных устройств рекомендуется скачивать ПО только с официального сайта Android Market. Пользователи обращаются с соответствующими запросами к поисковым системам и получают в выдаче ссылки на веб-сайты, подражающие своим оформлением оригинальному порталу Android Market. Часть из них предлагает для загрузки вполне безопасные программы и игры, однако встречаются среди подобных ресурсов и сайты, распространяющие вредоносное ПО.

Кроме того, в последнее время чрезвычайно широкое распространение получила программа I-Girl, активно рекламируемая в социальных сетях, на форумах и в многочисленных спам-рассылках. Программа представляет собой чат-бота, демонстрируемого на экране мобильного устройства в образе симпатичной девушки.

Программа позволяет вести с виртуальной собеседницей переписку в режиме реального времени, пользователь даже может ее раздеть. Однако спустя некоторое время неожиданно обнаруживается, что абонентский счет владельца мобильного устройства «похудел» на некоторую сумму, зависящую от продолжительности «разговора» — от нескольких сотен до нескольких тысяч рублей. Кроме того, случается, что девушка на экране «молчит», а деньги с мобильного счета пользователя тем временем активно списываются. Оказывается, для общения с ботом требуется платить за каждое сообщение специальной виртуальной валютой — «голосами», и в целях пополнения баланса программа незаметно для пользователя рассылает платные СМС на премиум-номера. Кроме того, I-Girl передает на сайт разработчиков программы ID мобильного устройства, на котором она установлена.

Материалы по теме:

• "Лаборатория Касперского" дополнила Android и Apple iOS средствами родительского контроля;
• Обнаружен новый бэкдор для смартфонов с Android.

Источник:

• news.drweb.com

Обнаружен ботнет из более чем 550 тысяч «маков»

04.04.2012 [21:00], Сергей и Марина Бондаренко

Компания "Доктор Веб" провела специальное исследование, позволившее оценить картину распространения троянской программы BackDoor.Flashback, заражающей компьютеры, работающие под управлением операционной системы Mac OS X. Сейчас в ботнете BackDoor.Flashback действует более 550 тысяч инфицированных рабочих станций, большая часть которых расположена на территории США и Канады. Это в очередной раз опровергает заявления некоторых экспертов об отсутствии угроз для пользователей «маков».

Заражение троянцем BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Таких страниц специалистами «Доктор Веб» было выявлено достаточно много — все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт. 

По информации из некоторых источников, на конец марта в выдаче Google присутствовало более 4 млн. зараженных веб-страниц. Кроме того, на форумах пользователей Apple сообщалось о случаях заражения троянцем BackDoor.Flashback.39 при посещении сайта dlink.com.

Начиная с февраля 2012 года злоумышленники начали использовать для распространения вредоносного ПО уязвимости CVE-2011-3544 и CVE-2008-5353, а после 16 марта они стали применять другой эксплойт (CVE-2012-0507). Исправление для данной уязвимости корпорация Apple выпустила только 3 апреля 2012 года.

Эксплойт сохраняет на жесткий диск инфицируемого «мака» исполняемый файл, предназначенный для скачивания полезной нагрузки с удаленных управляющих серверов и ее последующего запуска.

Материалы по теме:

• Обновлена утилита для расшифровки файлов, зараженных Trojan.Encoder.102;
• Вредоносные программы "вешают" игровые серверы Counter-Strike и Half-Life;
• Выпущен бесплатный Dr.Web Light 7 для Android.

Источник:

• news.drweb.com