Изменить размер шрифта
 
Текущее время: 28 мар 2024, 14:44



Часовой пояс: UTC + 1 час [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 98 ] 
 
Автор Сообщение
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 06 авг 2016, 17:48 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 16469
Медали: 2
Cпасибо сказано: 1518
Спасибо получено:
1301 раз в 1140 сообщениях
Dr.Web Security Space на 90 дней

Скрытый текст. Необходимо зарегистрироваться.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 09 авг 2016, 20:15 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 16469
Медали: 2
Cпасибо сказано: 1518
Спасибо получено:
1301 раз в 1140 сообщениях
Dr.Web Security Space на 90 дней

Скрытый текст +
KDS7-LGRY-M2RZ-UD55
98Y4-P27M-HXQE-4D76
722Y-5B65-8NR8-28JS
7BQ6-XHGH-36KS-X9C3
6SV8-CKA6-KN94-3QQP
RHZD-HQ8J-7WD3-LB7X
Z5NU-6429-C9PW-F678
4ERV-339L-7689-F8KZ


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 15 авг 2016, 22:17 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 16469
Медали: 2
Cпасибо сказано: 1518
Спасибо получено:
1301 раз в 1140 сообщениях
Бэкдор-шпион атакует жителей России, Великобритании, Испании и США


Компания «Доктор Веб» обнаружила бэкдора, устанавливающего на атакуемый компьютер в целях шпионажа легальные компоненты TeamViewer. Троян, получивший наименование BackDoor.TeamViewerENT.1, также имеет самоназвание Spy-Agent (так называется административный интерфейс его системы управления). Злоумышленники развивают этих троянов с 2011 г. и регулярно выпускают их новые версии, сообщили CNews в «Доктор Веб».

Как и схожий с ним по архитектуре троян BackDoor.TeamViewer.49, этот бэкдор состоит из нескольких модулей. Однако если предшественник задействовал компоненты программы удаленного администрирования компьютера TeamViewer только для того, чтобы загрузить в память атакуемой машины вредоносную библиотеку, то BackDoor.TeamViewerENT.1 использует их именно для шпионажа.

Основные вредоносные функции трояна сосредоточены в библиотеке avicap32.dll, а параметры его работы хранятся в зашифрованном конфигурационном блоке. Помимо специально созданной злоумышленниками вредоносной библиотеки, троян сохраняет на диск атакуемой машины необходимые для работы программы TeamViewer файлы и папки, а также несколько дополнительных файлов-модулей.

Если приложение в ОС Microsoft Windows требует для своей работы загрузку динамической библиотеки, система сначала пытается найти файл с таким именем в той же папке, откуда была запущена программа, и лишь потом — в системных папках Windows. Этим и воспользовались вирусописатели: приложению TeamViewer действительно необходима стандартная библиотека avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows. Но троян сохраняет вредоносную библиотеку с таким же именем прямо в папку с легитимным исполняемым файлом TeamViewer, в результате чего система загружает в память троянскую библиотеку вместо настоящей.

После запуска BackDoor.TeamViewerENT.1 отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» и «только для чтения» своим собственным файлам и файлам этой программы, а затем перехватывает в памяти процесса TeamViewer вызовы функций этого приложения и ряда системных функций. Если для нормальной работы TeamViewer на атакованном компьютере не хватает каких-либо файлов или компонентов, троян скачивает их со своего управляющего сервера. Помимо этого, если BackDoor.TeamViewerENT.1 обнаруживает попытку запуска программ «Диспетчер задач Windows» и Process Explorer, он завершает работу процесса TeamViewer на зараженной машине.

Подключившись к управляющему серверу, бэкдор может выполнять следующие команды злоумышленников: перезагрузить ПК; выключить ПК; удалить TeamViewer; перезапустить TeamViewer; начать прослушивание звука с микрофона; завершить прослушивание звука с микрофона; определить наличие веб-камеры; начать просмотр через веб-камеру; завершить просмотр через веб-камеру; скачать файл, сохранить его во временную папку и запустить; обновить конфигурационный файл или файл бэкдора; подключиться к указанному удаленному узлу, после чего запустить cmd.exe с перенаправлением ввода-вывода на удаленный хост.

Очевидно, что эти команды открывают перед злоумышленниками широкие возможности для шпионажа за пользователями инфицированных компьютеров, включая похищение конфиденциальной информации. В частности, известно, что с помощью этого трояна киберпреступники устанавливали на инфицированные компьютеры вредоносные программы семейств Trojan.Keylogger и Trojan.PWS.Stealer, указали в «Доктор Веб». Вирусные аналитики компании провели исследование, в ходе которого удалось выяснить, что злоумышленники в разное время атакуют в основном жителей ряда определенных стран и регионов. Так, в июле с использованием BackDoor.TeamViewerENT.1 киберпреступники атаковали жителей Европы, среди которых больше всего насчитывалось резидентов Великобритании и Испании, а в августе переключились на резидентов США. При этом довольно много зараженных компьютеров расположено на территории России.

Специалисты «Доктор Веб» продолжают следить за развитием ситуации, а также призывают пользователей проявлять бдительность и вовремя обновлять вирусные базы. По данным компании, троян BackDoor.TeamViewerENT.1 детектируется и удаляется антивирусом Dr.Web.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 20 авг 2016, 16:31 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 16469
Медали: 2
Cпасибо сказано: 1518
Спасибо получено:
1301 раз в 1140 сообщениях
Dr.Web Security Space на 90 дней

Скрытый текст. Необходимо зарегистрироваться.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 22 авг 2016, 13:53 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 16469
Медали: 2
Cпасибо сказано: 1518
Спасибо получено:
1301 раз в 1140 сообщениях
Самораспространяющийся троян для Linux организует ботнеты


Вирусные аналитики компании «Доктор Веб» исследовали еще одного Linux-трояна, написанного на языке Go.

Он умеет атаковать сайты, работающие под управлением различных CMS, осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети, сообщили в «Доктор Веб».
Новый троян получил наименование Linux.Rex.1. Пользователи форума Kernelmode, одними из первых сообщившие о распространении этого трояна, назвали его «вымогателем для Drupal» (Drupal ransomware), однако вирусные аналитики «Доктор Веб» считают это определение неполным. Linux.Rex.1 действительно атакует сайты, работающие на движке Drupal, но этим его возможности не ограничиваются.

Скрытый текст +
«Современные ботнеты условно делятся на два типа. Первый получает команды с управляющих серверов, второй работает без них, напрямую передавая информацию от одного зараженного узла к другому. Linux.Rex.1 организует бот-сети второго типа. Они называются одноранговыми, пиринговыми или P2P-сетями (от англ. peer-to-peer, “равный к равному”), — рассказали в «Доктор Веб». В архитектуре Linux.Rex.1 имеется собственная реализация протокола, позволяющего обмениваться информацией с другими зараженными узлами и создавать, таким образом, децентрализованный P2P-ботнет.

Сам зараженный компьютер при запуске трояна работает как один из узлов этой сети».Троян принимает от других инфицированных компьютеров управляющие директивы по протоколу HTTPS и при необходимости передает их другим узлам ботнета. По команде Linux.Rex.1 начинает или останавливает DDoS-атаку на узел с заданным IP-адресом. С помощью специального модуля троян сканирует сеть в поисках веб-сайтов, на которых установлены системы управления контентом Drupal, Wordpress, Magento, JetSpeed и другие. Также он ищет сетевое оборудование под управлением операционной системы AirOS. Linux.Rex.1 использует известные уязвимости в этих программных продуктах, чтобы получить список пользователей, закрытые SSH-ключи, логины и пароли, хранящиеся на удаленных узлах.

Хотя сделать это возможно далеко не всегда.Еще одна функция Linux.Rex.1 — рассылка сообщений по электронной почте. В этих письмах злоумышленники угрожают владельцам веб-сайтов организовать на них DDoS-атаку. Если письмо попало не по адресу, киберпреступники просят получателя переслать его ответственному сотруднику компании, которой принадлежит сайт. Чтобы избежать атаки, потенциальной жертве предлагается заплатить выкуп в криптовалюте биткойн.

Для взлома сайтов, работающих под управлением Drupal, используется известная уязвимость этой CMS. С помощью SQL-инъекции троян авторизуется в системе. Если взлом удался, Linux.Rex.1 загружает на скомпрометированный сайт собственную копию и запускает ее. Таким образом в Linux.Rex.1 реализована саморепликация — возможность автоматического распространения без участия пользователей, отметили в «Доктор Веб».

По мнению экспертов компании, Linux.Rex.1 представляет серьезную опасность для владельцев веб-сайтов, а также пользователей устройств под управлением Linux. Сигнатура Linux.Rex.1 добавлена в базы «Антивируса Dr.Web для Linux», этот троян детектируется и удаляется антивирусными продуктами «Доктор Веб».


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 14 сен 2016, 20:31 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 16469
Медали: 2
Cпасибо сказано: 1518
Спасибо получено:
1301 раз в 1140 сообщениях
«Мега-Мечта» защитилась от вирусов с помощью Dr.Web

Компания «Доктор Веб» объявила об установке продуктов Dr.Web Enterprise Security Suite в компьютерной сети строительной компании «Мега-Мечта», обеспечивающей строительство ЖК «Мечта» в Дмитровском районе Московской области. Поставку лицензий выполнил партнер «Доктор Веб» — компания «Финтэк».

Опробовав ряд антивирусных решений различных вендоров, ИТ-специалисты компании пытались найти оптимальное соотношение уровня защиты, удобства использования и адекватности лицензирования. Такое соотношение было найдено в лице продуктов Dr.Web, которые и встали на защиту рабочих станций и файловых серверов.

Одной из дополнительных функций, ставшей востребованной в сетевой инфраструктуре, оказалось управление защитой внешних устройств, отметили в компании.

«Dr.Web обеспечивает бесперебойную антивирусную защиту, и при этом эксплуатация и настройка продукта требует минимального вмешательства персонала. А функционал антивируса вполне адекватен желаемому уровню информационной безопасности, со всеми угрозами справляется», — прокомментировал работу Dr.Web Анатолий Рагулин, руководитель ИТ-отдела компании СЭР, осуществляющего ИТ-аутсорсинг компьютерной сети «Мега-Мечта».


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 18 сен 2016, 18:36 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 16469
Медали: 2
Cпасибо сказано: 1518
Спасибо получено:
1301 раз в 1140 сообщениях
Dr.Web Security Space на 90 дней
Скрытый текст. Необходимо зарегистрироваться.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 13 окт 2016, 21:49 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 16469
Медали: 2
Cпасибо сказано: 1518
Спасибо получено:
1301 раз в 1140 сообщениях
«Доктор Веб» выпустил Dr.Web Katana Business Edition 1.0

Компания «Доктор Веб» объявила о выпуске несигнатурного антивируса Dr.Web Katana Business Edition версии 1.0, предназначенного для централизованного контроля защиты рабочих станций от новейших угроз, еще не известных средствам защиты других разработчиков, установленным в сети.

Об этом говорится в заявлении «Доктор Веб».Система защиты Dr.Web Katana основана на проактивных технологиях без использования вирусных баз: решение о необходимости нейтрализации той или иной вредоносной программы принимается только исходя из интеллектуального анализа поведения запущенных на компьютере приложений.

В своей работе продукт, помимо предустановленных правил, может использовать облачные технологии поиска угроз.

Новый программный продукт Dr.Web Katana Business Edition имеет возможности централизованной установки на защищаемые станции, тем самым позволяя администратору с удобством осуществлять настройку защиты со своего рабочего места. Статистика работы продукта также централизована, рассказали в компании.

Dr.Web Katana Business Edition позволит корпоративным пользователям противостоять современным троянам-шифровальщикам, а также вредоносным программам, пытающимся проникнуть в систему через уязвимости (в том числе «нулевого дня»), станет преградой на пути целевых атак и попыток проникновения в сеть компании, утверждают разработчики.

Лицензия на Dr.Web Katana включена в комплекс продуктов Dr.Web Enterprise Security Suite.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 26 ноя 2016, 12:44 
Не в сети
Ветеран форума
Ветеран форума
Аватара пользователя

Зарегистрирован: 14 янв 2014, 18:58
Сообщения: 3988
Медали: 2
Cпасибо сказано: 1628
Спасибо получено:
1518 раз в 1181 сообщениях
имя пользователя: dkflbvbh
«Доктор Веб» обеспечит информационную безопасность Универсиады-2017 в Алматы

«Доктор Веб» объявил о планах обеспечить безопасность работы персональных компьютеров, мобильных устройств и серверов, задействованных в проведении Универсиады 2017 г.

Как рассказали в компании, для этих целей «Доктор Веб» предоставит новейшие продукты для защиты информации. Ведущие специалисты «Доктор Веб» будут следить за IT-инфраструктурой мероприятия с целью обеспечения её бесперебойной работы. Соответствующий договор о сотрудничестве между компанией «Доктор Веб – Центральная Азия» и Дирекцией по подготовке и проведению Универсиады-2017 г. в г. Алматы был подписан 7 октября 2016 г.

Скрытый текст +
«Информационная безопасность, защита данных – это важнейшая часть общей системы безопасности Универсиады в Алматы. Мы надеемся, что благодаря сотрудничеству с «Доктор Веб» вся IT-инфраструктура предстоящих игр в городе Алматы будет надежно защищена», - подчеркнул в ходе пресс-конференции руководитель Дирекции Универсиады-2017 Наиль Нуров.

Компания «Доктор Веб» предоставит лицензии Dr.Web для защиты ПК, серверов и мобильных телефонов, а также программно-аппаратный комплекс Dr.Web Office Shield для защиты IT-инфраструктуры на период проведения игр. Во время подготовки и проведения Универсиады будут использоваться последние разработки компании для комплексной защиты рабочих станций, серверов и мобильных устройств от вирусных атак.

«Для компании «Доктор Веб» быть официальным партнером 28-й Всемирной зимней Универсиады 2017 года – огромная честь. Мы осознаем свою ответственность и понимаем, что любые мероприятия такого уровня – это скопление информационных технологий. Практически все, что связано с соревнованиями и их освещением в СМИ, обеспечивается компьютерной техникой. Мы надеемся, что с помощью наших технологий и опыта в организации систем информационной безопасности удастся поставить надежный заслон против любых интернет-угроз», - сказал заместитель генерального директора «Доктор Веб – Центральная Азия» Виталий Бугаев.

«Доктор Веб» имеет успешный опыт защиты информационных ресурсов в ходе проведения крупных спортивных мероприятий. В 2011 г. компания обеспечивала информационную безопасность персональных компьютеров и мобильных устройств, задействованных в проведении 7-х зимних Азиатских игр в Казахстане.


Вернуться к началу
 Профиль  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 17 дек 2016, 20:52 
Не в сети
Ветеран форума
Ветеран форума
Аватара пользователя

Зарегистрирован: 14 янв 2014, 18:58
Сообщения: 3988
Медали: 2
Cпасибо сказано: 1628
Спасибо получено:
1518 раз в 1181 сообщениях
имя пользователя: dkflbvbh
«Доктор Веб» исследовал установщик нежелательного ПО и «неудаляемой» рекламы

«Доктор Веб» представил отчет об исследовании троянца-установщика Trojan.Ticno.1537, предназначенного для несанкционированной установки других приложений. Как рассказали CNews в компании, в интернете действует множество так называемых «партнерских программ», выплачивающих вознаграждение за установку ПО, чем и пользуются вирусописатели.

Trojan.Ticno.1537 скачивается на атакуемый компьютер другой вредоносной программой. После запуска троянец пытается определить наличие виртуального окружения и средств отладки, проверяя имена запущенных процессов и соответствующие ветви системного реестра Windows.

Скрытый текст +
Trojan.Ticno.1537 также проверяет идентификатор продукта Windows (Product ID), имя пользователя и компьютера, количество вложенных папок в директории Program Files, наименование производителя BIOS и присутствие в системе работающих процессов perl.exe или python.exe. Если проверка завершилась успешно, вредоносная программа запускает Проводник и завершает свою работу.

Если троянец не обнаружил ничего подозрительного, он сохраняет на диск файл с именем 1.zip. В открывающемся нестандартном диалоговом окне сохранения файла Microsoft Windows в левом нижнем углу располагается ссылка «Дополнительные параметры», при нажатии на которую Trojan.Ticno.1537 покажет список программ, которые он собирается установить на компьютере:

При нажатии кнопки Save Trojan.Ticno.1537 начинает загрузку и установку этих программ.

Среди приложений, которые Trojan.Ticno.1537 устанавливает на компьютер жертвы — браузер Amigo и программа HomeSearch@Mail.ru разработки компании Mail.Ru, а также троянцы Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 и Adware.Plugin.1400.

Упомянутый выше Trojan.ChromePatch.1 — это рекламный троянец, который проникает в систему вместе с приложением TrayCalendar, созданным в 2002 году. Сама программа и троянец упакованы в единый установочный пакет.

Одновременно с копированием на диск TrayCalendar инсталлятор сохраняет и устанавливает расширение для Google Chrome. Наиболее интересная особенность Trojan.ChromePatch.1 заключается в том, что он умеет заражать файл ресурсов браузера Chrome, — resources.pak. Злоумышленники используют этот прием как минимум с весны 2015 г., чтобы в Chrome реклама отображалась даже после того, как троянец будет удален с компьютера. При заражении размер этого файла не меняется, поскольку Trojan.ChromePatch.1 ищет в нем строки с комментариями и заменяет их собственным кодом. Назначение Trojan.ChromePatch.1 — показ в окне браузера Chrome нежелательной рекламы.

Все упомянутые в статье троянцы обнаруживается и удаляются «Антивирусом Dr.Web».


Вернуться к началу
 Профиль  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 13 май 2017, 19:58 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 16469
Медали: 2
Cпасибо сказано: 1518
Спасибо получено:
1301 раз в 1140 сообщениях
«Доктор Веб» обнаружила новый бэкдор для Mac

Специалисты компании «Доктор Веб» обнаружили и исследовали троянца для операционной системы Apple macOS, способного выполнять поступающие от злоумышленников команды.

Троянец-бэкдор был добавлен в вирусные базы Dr.Web под именем Mac.BackDoor.Systemd.1. В момент старта он выводит в консоль сообщение с опечаткой «This file is corrupted and connot be opened» и перезапускает себя в качестве демона с именем systemd. При этом Mac.BackDoor.Systemd.1 пытается скрыть собственный файл, установив для него соответствующие флаги. Затем троянец регистрирует себя в автозагрузке, для чего создает файл с командами sh и файл .plist.

Зашифрованная конфигурационная информация хранится в самом файле троянца. В зависимости от нее Mac.BackDoor.Systemd.1 либо сам устанавливает связь с управляющим сервером, либо ожидает входящего запроса на соединение. После установки связи бэкдор выполняет поступающие команды и периодически отсылает злоумышленникам следующую информацию: наименование и версия операционной системы; имя пользователя; наличие у пользователя привилегии администратора (root); MAC-адреса всех доступных сетевых интерфейсов; IP-адреса всех доступных сетевых интерфейсов; внешний IP-адрес; тип процессора; объем оперативной памяти; данные о версии вредоносной программы и ее конфигурации.

Троянец имеет собственный файловый менеджер, с использованием которого киберпреступники могут выполнять различные действия с файлами и папками на зараженном компьютере. Бэкдор способен выполнять следующие команды: получить список содержимого заданной директории; прочитать файл; записать в файл; получить содержимое файла; удалить файл или папку; переименовать файл или папку, изменить права для файла или папки (команда chmod); изменить владельца файлового объекта (команда chown); создать папку; выполнить команду в оболочке bash; обновить троянца; переустановить троянца; сменить IP-адрес управляющего сервера; установить плагин.

Троянец Mac.BackDoor.Systemd.1 обнаруживается и удаляется продуктами Dr.Web для Mac и потому не представляет опасности для пользователей Dr.Web.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 27 июн 2017, 21:48 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 16469
Медали: 2
Cпасибо сказано: 1518
Спасибо получено:
1301 раз в 1140 сообщениях
Dr.Web сообщил о новом шифровальщике, атакующем компании России и Украины

«Доктор Веб» сообщила о о новой эпидемии шифровальщика, которой подверглись нефтяные, телекоммуникационные и финансовые компании России и Украины. Как рассказали CNews в компании, новый энкодер детектируется продуктами Dr.Web.

По имеющейся у специалистов Dr.Web информации, троянец распространяется самостоятельно, как и нашумевший WannaCry. Точных данных о том, используется ли тот же самый механизм распространения, пока нет.

В настоящее время аналитики исследуют нового троянца. Некоторые источники в СМИ проводят параллели с вымогателем Petya (детектируется Dr.Web в частности как Trojan.Ransom.369) в связи с внешними проявлениями работы вымогателя, однако способ распространения новой угрозы отличается от использовавшейся Petya стандартной схемы.

Сегодня, 27 июня, в 16:30 по московскому времени, этот шифровальщик был добавлен в вирусные базы Dr.Web как Trojan.Encoder.12544.

«Доктор Веб» призывает всех пользователей быть внимательными и не открывать подозрительные письма (эта мера необходима, но не достаточна). Следует также создавать резервные копии критически важных данных и устанавливать все обновления безопасности для ПО. Наличие антивируса в системе также обязательно.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 05 июл 2017, 20:39 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 16469
Медали: 2
Cпасибо сказано: 1518
Спасибо получено:
1301 раз в 1140 сообщениях
«Доктор Веб» выявил в Google Play очередного Android-троянца

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play игру со встроенным троянцем-загрузчиком. Это вредоносное приложение может без ведома пользователей загружать, устанавливать и запускать другое ПО. Троянца скачали более 1 000 000 владельцев мобильных устройств.

Вредоносное приложение, получившее имя Android.DownLoader.558.origin, встроено в популярную игру BlazBlue, которую загрузили более 1 000 000 пользователей. Этот троянец является частью специализированного программного комплекса (SDK, Software Development Kit) под названием Excelliance, предназначенного для автоматизации и упрощения обновления Android-программ.

В отличие от стандартной процедуры обновления, когда старая версия приложения полностью заменяется новой, указанный SDK позволяет загружать необходимые компоненты по отдельности без переустановки всего программного пакета. Это дает разработчикам возможность поддерживать версию установленного на мобильных устройствах ПО в актуальном состоянии даже если пользователи самостоятельно не следят за выходом его новых версий. Однако платформа Excelliance работает как троянец-загрузчик, поскольку может скачивать и запускать непроверенные компоненты приложений. Такой способ обновления нарушает правила каталога Google Play, т. к. он представляет опасность.

Android.DownLoader.558.origin начинает работу при первом старте программы или игры, в которую он встроен. Троянец вместе с другими элементами приложения извлекается из каталога с его ресурсами и расшифровывается. После этого он самостоятельно загружается при каждом подключении мобильного устройства к Интернету, даже если пользователь больше не запускает зараженное приложение.

Троянский модуль отслеживает сетевую активность и пытается соединиться с управляющим сервером. В зависимости от настроек сервера в ответ Android.DownLoader.558.origin может получить команду на загрузку того или иного программного компонента. Например, в случае с игрой BlazBlue модуль предлагает скачать недостающие файлы, а также обновления, если они доступны.

Помимо дополнительных ресурсов приложения и его обновлений Android.DownLoader.558.origin способен загружать отдельные apk-, dex- и elf-файлы. При этом их запуск в некоторых случаях может выполняться без ведома пользователя. Например, исполнение кода загруженных dex-файлов происходит автоматически и не требует каких-либо действий со стороны владельца устройства.

В то же время при установке скачиваемых apk-файлов пользователь видит стандартное диалоговое окно, однако при наличии root-доступа в системе Android.DownLoader.558.origin может устанавливать их совершенно незаметно. В этом и заключается главная опасность SDK Excelliance. Его авторы в любое время могут отдать команду на загрузку объектов, никак не связанных с основным приложением, – например, рекламных модулей, сторонних программ и даже других троянцев, которые могут быть скачаны в обход каталога Google Play и запущены без разрешения.

Специалисты «Доктор Веб» уведомили компанию Google об опасном поведении троянского компонента в SDK, который используется в игре BlazBlue, однако на момент выхода этого материала в каталоге Google Play для скачивания все еще была доступна ее версия с Android.DownLoader.558.origin.

Приложения, в которые встроен этот троянец, детектируются как Android.RemoteCode.81.origin и успешно удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей опасности не представляют.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 16 июл 2017, 16:01 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 16469
Медали: 2
Cпасибо сказано: 1518
Спасибо получено:
1301 раз в 1140 сообщениях
«Доктор Веб»: портал госуслуг заражен и опасен

Специалисты «Доктора Веб» обнаружили на портале госуслуг сторонний потенциально опасный код, но не смогли добиться от техподдержки ресурса подтверждения принятых мер по устранению проблемы.

Портал госуслуг заражен

Российская антивирусная компания «Доктор Веб» опубликовала сообщение о том, что портал государственных услуг России (gosuslugi.ru) скомпрометирован и может в любой момент начать заражать посетителей или красть их информацию

В компании утверждают, что ее специалисты обнаружили на ресурсе внедренный в него неизвестными потенциально вредоносный код, сообщили об этом в техническую поддержку сайта, но какой-либо адекватной реакции не дождались.

На момент публикации данного материала портал госуслуг, по заверению представителей антивирусной компании, остается скомпрометированным, в чем предлагается убедиться всем желающим, использовав поисковый сервис и задав в нем запрос содержания «site:gosuslugi.ru "A1996667054"», — поисковики, действительно, «видят» этот код на страницах сайта.

В компании «Ростелеком», отвечающей за техподдержку портала госуслуг, сообщили CNews что в контексте заявлений «Доктора Веб» оперативно был проведен комплекс мероприятий по устранению уязвимости. «Интересы пользователей портала не нарушены, то есть потенциальная уязвимость не была реализована, — утверждает руководитель направления b2b/b2g департамента внешних коммуникаций «Ростелекома» Инна Губарева.
По данным RNS, в пресс-службе Минкомсвязи назвали угрозу от уязвимости на портале госуслуг незначительной, заверив, что она сейчас ликвидируется и в ближайшее время будет закрыта. «Никаких отрицательных последствий для пользователей не предвидится», — сказали в министерстве.

Технические подробности

Дату начала компрометации, а также прошлую активность по этому вектору атаки, установить на данный момент не представляется возможным, сообщают в «Докторе Веб». Вредоносный код заставляет браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.

В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. На текущий момент специалистами «Доктора Веб» обнаружено не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие адреса намеренно неинформативных наименований. Как минимум для пяти из них диапазон адресов принадлежит компаниям, зарегистрированным в Голландии.

«За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен либо не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код», — заверяют в компании.

Изображение


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 
 Заголовок сообщения: Re: Dr.WEB
СообщениеДобавлено: 13 авг 2017, 10:49 
Не в сети
Зам.админа
Аватара пользователя

Зарегистрирован: 20 сен 2012, 18:31
Сообщения: 16469
Медали: 2
Cпасибо сказано: 1518
Спасибо получено:
1301 раз в 1140 сообщениях
Dr.Web Security Space на 3 месяца (демо).
Серийный номер:

Скрытый текст. Необходимо зарегистрироваться.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 98 ] 

Часовой пояс: UTC + 1 час [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Template made by DEVPPL -
Рекомендую создать свой форум бесплатно на http://4admins.ru

Русская поддержка phpBB
 
Яндекс.Метрика Материалы, находящиеся на форуме, были взяты из сети Интернет как свободно распространяемые и добавлены на форум посетителями форума исключительно в ознакомительных целях. Администрация ресурса не несет ответственности за использование материалов, размещенных на форуме пользователями. Если Вы являетесь правообладателем и Вас не устраивают условия, на которых Ваш продукт представлен на данном ресурсе, просьба немедленно сообщить с целью устранения правонарушения. Использование материалов сайта возможно только с разрешения администрации. Copyright © Aiwan. Kolobok smiles

Наверх