Сообщений в теме: 33

[Dr.Web.]

Вирусная рассылка для жителей Казахстана

27 июня 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о массовой вредоносной рассылке, представляющей серьезную опасность для жителей Казахстана. Получатели почтовых сообщений рискуют стать жертвами вредоносной программы BackDoor.Shell.218, открывающей удаленный доступ к инфицированному компьютеру.

Специалистами компании «Доктор Веб» 13, 17 и 23 июня 2013 года была зафиксирована массовая почтовая рассылка, ориентированная в первую очередь на жителей Казахстана. В качестве отправителя электронных сообщений значилось «Web-приложение «Кабинет налогоплательщика» <web-application-cabinet@mail.ru>», а само послание содержало следующий текст: «В целях разъяснения норм налогового законодательства и налогового администрирования Налоговый комитет МФ РК направляет Вам письмо разъясняющего характера».

Письмо содержало вложение в виде архива, при попытке открытия которого запускалось вредоносное приложение. Из ресурсов данной программы извлекалось основное тело троянца и сохранялось во временную папку под именем winlogon.exe, после чего данное приложение запускалось на исполнение и демонстрировало на экране инфицированного компьютера документ в формате .DOC.

Троянская программа детектируется антивирусным ПО «Доктор Веб» как BackDoor.Shell.218. Этот троянец относится к категории приложений, открывающих злоумышленникам возможность удаленного управления инфицированной системой: он позволяет выполнять различные команды в командной строке Windows, делать снимки экрана и даже выключать компьютер.

Особо стоит отметить, что основные адресаты рассылки — сотрудники бухгалтерий различных компаний. Именно для этой категории пользователей поступление письма из налоговых органов — безусловный повод его прочитать и не задумываясь открыть любое вложение. При этом именно бухгалтерские компьютеры чаще всего используются для проведения онлайн-платежей в системах «Банк-Клиент». Доступ к таким компьютерам — заветная мечта киберпреступников, промышляющих хищениями денежных средств со счетов предприятий. Именно такой доступ к компьютеру жертвы и открывает злоумышленникам BackDoor.Shell.218.

Специалисты компании «Доктор Веб» призывают пользователей не открывать вложения в сообщения электронной почты, полученные от подозрительных отправителей, а также поддерживать базы установленного на компьютере антивирусного ПО в актуальном состоянии.

 

Сообщение отредактировал Dr.Web.: 27 June 2013 - 15:31

[Dr.Web.]

«Доктор Веб»: обзор вирусной активности по итогам июня
 

9 июля 2013 года
 

Первый месяц лета оказался «жарким» в сфере информационной безопасности: несмотря на начало традиционного сезона отпусков количество вирусных угроз отнюдь не пошло на убыль. В начале месяца вирусные аналитики «Доктор Веб» обнаружили новую версию опасного троянца, угрожающего серверам под управлением ОС Linux, а уже к середине июня пользователей захлестнула очередная волна троянцев-шифровальщиков семейства Trojan.Encoder. Также в минувшем месяце было выявлено множество новых угроз для мобильных устройств.
Вирусная обстановка

Согласно статистическим данным, собранным в июне 2013 года с использованием лечащей утилиты Dr.Web CureIt!, одной из наиболее актуальных угроз стал троянец Trojan.Mods.2. На него приходится 3,97% процентов заражений компьютеров в прошедшем месяце. Эта вредоносная программа перенаправляет пользователя на принадлежащие злоумышленникам веб-страницы, требующие у жертвы ввести в специальное поле номер телефона и код подтверждения. Таким образом жертва оказывается подписанной на некую «информационную услугу», за оказание которой с ее счета списывается регулярная оплата.
Не слишком уступает ему в популярности и предыдущая модификация данной угрозы: Trojan.Mods.1 занимает четвертое место с показателем 1,45%, а тройку лидеров замыкают Trojan.Hosts.6815 (2,94%) и Trojan.DownLoader9.19157 (1,92%). Десять наиболее распространенных угроз, обнаруженных при помощи лечащей утилиты Dr.Web CureIt!

С полной версией новости можно ознакомиться по ссылке: http://news.drweb.co...&c=5&lng=ru&p=0

[Dr.Web.]

Trojan.Carberp: преступникам зачитан приговор

9 июля 2013 года
21 июня Печерский районный суд города Киева приговорил к пяти годам лишения свободы с отсрочкой на три года организатора и двух участников международной преступной группировки, занимавшейся созданием и распространением вредоносных компьютерных программ семейства Trojan.Carberp в России и на Украине. 19 марта 2013 года деятельность этой группировки была пресечена Службой безопасности Украины в результате спецоперации, проводившейся совместно с ФСБ России. В тот день наручники были надеты на 16 человек, причастных к разработке и распространению одной из опаснейших "банковских" троянских программ последних лет.
Последние два года Trojan.Carberp был настоящим бичом для клиентов дистанционного банковского обслуживания (ДБО) крупнейших российских и украинских банков. Разработанная несколько лет назад в России, эта вредоносная компьютерная программа была центральным элементом мощной преступной инфрастуктуры, созданной для хищения денежных средств как юридических, так и физических лиц. В нее входили разработчики, которые занимались не только совершенствованием самого троянца, но и дополнительных модулей, направленных на атаки против систем ДБО конкретных банков. Несколько тестировщиков следили за корректностью работы троянца параллельно с теми или иными системами ДБО, а также за тем, чтобы новые версии троянца были незаметны для антивирусных программ. Особая роль отводилась системному администратору, в задачу которого, помимо обеспечения безопасного общения членов группы между собой, входило также поддержание рабочей инфраструктуры, обслуживавшей всю ботсеть Trojan.Carberp.
С полной версией новости можно ознакомиться по ссылке: http://news.drweb.co...&c=5&lng=ru&p=0

[Dr.Web.]

Dr.Web Security Space: проще один раз увидеть

 

Компания «Доктор Веб» представляет серию обучающих видеороликов по работе с нашим основным домашним продуктом для Windows – Dr.Web Security Space. Верно говорят: проще один раз увидеть, чем сто раз услышать. Короткие, но очень емкие ролики о самых разных аспектах работы с Dr.Web помогут пользователям разобраться с вопросом «куда нажимать» и подскажут оптимальные варианты настройки.

Ссылки на видео собраны на одной странице и разделены по темам, охватывающим все ключевые моменты работы с Dr.Web Security Space. Можно посмотреть, как активировать лицензию во время установки продукта или после нее, как настроить ключевые параметры защиты, а также обновление компонентов и вирусных баз.

Мы постарались уместить в этих видеороликах ответы на большинство животрепещущих вопросов пользователей о Dr.Web Security Space и уверены, что после их просмотра неясностей не останется! Кстати, к роликам можно оставлять комментарии.

 

[Dr.Web.]

Обзор шпионского ПО, угрожающего конфиденциальности пользователей мобильных iOS-устройств

 

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — подготовила обзор опасных шпионских приложений, предназначенных для работы в среде операционной системы iOS, которая, как принято считать, остается самой защищенной из мобильных платформ. Как и их аналоги, работающие на других ОС, такие программы позволяют злоумышленникам получать широкий спектр персональной информации пользователей: их СМС-сообщения, историю звонков, GPS-координаты, записи из телефонной книги, фотографии и т. п. Несмотря на то, что подобные продукты способны функционировать лишь на устройствах, имеющих т.н. jailbreak, исходящая от них угроза раскрытия строго конфиденциальных сведений весьма высока.

Владельцы мобильных устройств под управлением операционной системы iOS привыкли к тому, что они надежно защищены от вредоносных программ и атак киберпреступников, однако факт такой защищенности во многом справедлив лишь для тех пользователей, которые не вносили каких-либо модификаций в операционную систему. Если же на их мобильном устройстве выполнен jailbreak (разблокирован доступ к файловой системе), то им может угрожать вполне серьезная опасность раскрытия конфиденциальной информации, которая исходит от коммерческого шпионского ПО, и о такой угрозе большинство из них даже не подозревает.

Для того чтобы установить подобное приложение-монитор, злоумышленнику потребуется совсем немного времени. Все, что ему необходимо, — это получить физический доступ к мобильному iOS-устройству, загрузить программу из Интернета при помощи каталога Cydia (который практически всегда автоматически устанавливается при выполнении процедуры jailbreak) и настроить шпиона. Эти приложения работают незаметно для пользователя, скрытно отправляя все собранные данные на удаленный сервер, откуда при помощи зарегистрированной учетной записи заинтересованный в слежке человек может получить необходимую ему информацию. На представленных ниже изображениях показана процедура установки одного из таких шпионов.

 

Подробнее: http://www.drweb.kz/...-ustroystv.html

[Dr.Web.]

Более 20 000 казахстанских пользователей мобильных устройств на базе ОС Android пострадало от злоумышленников

 

01.10.2013

 

Специалисты компании «Доктор Веб» — российского производителя антивирусных средств защиты информации — обнаружили самую крупную в мире бот-сеть из инфицированных мобильных устройств на базе ОС Android. На сегодняшний день известно о более чем 200 000 смартфонах, которые были заражены вредоносными программами семейства Android.SmsSend и входят в ее состав. Основной источник заражения в этом случае – принадлежащие злоумышленникам или взломанные интернет-ресурсы. Наибольшее число инфицированных устройств принадлежит российским пользователям, на втором месте по данному показателю располагается Украина, далее следуют Казахстан и Белорусь. По предварительным оценкам ущерб, нанесенный пользователям злоумышленниками в результате данного инцидента, может исчисляться многими сотнями тысяч долларов.

Для заражения мобильных устройств и включения их в состав бот-сети злоумышленники использовали несколько вредоносных приложений: среди них новый троянец Android.SmsSend.754.origin, а также вредоносные программы Android.SmsSend.412.origin (известна с марта 2013 года, распространяется под видом мобильного браузера), Android.SmsSend.468.origin (известна с апреля 2013 года) и маскирующийся под мобильный клиент для социальной сети «Одноклассники» троянец Android.SmsSend.585.origin, известный антивирусному ПО Dr.Web с июня 2013 года. Наиболее ранняя версия троянца, замеченного в ходе расследования данного инцидента — Android.SmsSend.233.origin — была добавлена в базы Dr.Web еще в ноябре 2012 года. В большинстве случаев источниками заражения являются принадлежащие злоумышленникам, а также взломанные сайты, распространяющие вредоносные программы.

Троянец Android.SmsSend.754.origin представляет собой apk-приложение с именем Flow_Player.apk. Устанавливаясь в операционной системе, он просит пользователя запустить данную программу с привилегиями администратора устройства — это позволит вредоносному приложению осуществлять управление блокировкой дисплея. Кроме того, Android.SmsSend.754.origin в дальнейшем скрывает свой значок с главного экрана мобильного устройства.

После завершения процедуры установки троянец отправляет злоумышленникам информацию об инфицированном устройстве, включая уникальный идентификатор IMEI, сведения о балансе, код страны, номер телефона жертвы, код оператора, модель мобильного телефона и версию ОС. Затем Android.SmsSend.754.origin ожидает поступления от злоумышленников соответствующей команды, по которой он может отправить СМС-сообщение с определённым текстом на заданный номер, выполнить СМС-рассылку по списку контактов, открыть заданный URL в браузере или продемонстрировать на экране мобильного устройства сообщение с определённым заголовком и текстом.

По сведениям, собранным специалистами компании «Доктор Веб», в бот-сеть на сегодняшний день входит более 200 000 мобильных устройств, работающих под управлением Google Android, при этом наибольшая их часть (128 458) принадлежит российским пользователям, на втором месте располагается Украина с показателем 39 020 случаев заражения, на третьем — Казахстан: здесь от действий злоумышленников пострадали 21 555 пользователей. Более подробная картина распространения угроз показана на следующей иллюстрации.

С полной версией новости можно ознакомиться по ссылке:http://www.drweb.kz/...ze-android.html

Сообщение отредактировал Dr.Web.: 01 October 2013 - 09:47

[Dr.Web.]

Возможна расшифровка файлов, зашифрованных Trojan.Encoder.398

 

Компания «Доктор Веб» сообщает об успешном создании алгоритма расшифровки файлов, пострадавших от действия троянца-шифровальщика Trojan.Encoder.398. Благодаря разработанному в ходе исследовательских работ инструментарию теперь полное восстановление данных, зашифрованных одной из модификаций этого опасного троянца, возможно примерно в 90% случаев. На сегодняшний день разработчик антивирусов Dr.Web является единственной компанией, способной расшифровать такие файлы.

 

Троянец-шифровальщик Trojan.Encoder.398 написан на языке Delphi и по ряду признаков представляет собой усовершенствованную версию вредоносной программы Trojan.Encoder.225. Ключи для шифрования файлов пользователя Trojan.Encoder.398 получает с сервера злоумышленников. Запустившись на атакуемом компьютере, троянец копирует себя в одну из системных папок с именем ID.exe, где ID — серийный номер жесткого диска. Затем Trojan.Encoder.398 демонстрирует на экране сообщение о повреждении архива и запускает собственную копию, которая определяет и отправляет на принадлежащий злоумышленникам сервер серийный номер жесткого диска зараженной машины. В ответ троянец получает от удаленного узла конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов, после чего начинается сама процедура шифрования.

В настоящий момент специалистам «Доктор Веб» известно несколько модификаций Trojan.Encoder.398, способных использовать до 18 различных алгоритмов шифрования. Троянец может зашифровывать файлы со следующими расширениями: .odt, *.ods, *.odp, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpeg, *.arw, *.dng, *.3fr, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.p12, *.p7b, *.pdf, *.p7c, *.pfx, *.odc, *.rar, *.zip, *.7z, *.png, *.backup, *.tar, *.eml, *.1cd, *.dt, *.md, *.dds.

Для связи злоумышленники обычно используют следующие адреса электронной почты: mrcrtools@aol.com, back_files@aol.com, backyourfile@aol.com, vernut2014@qq.com, yourfiles2014@yahoo.com, restorefiles2014@yahoo.fr, filescrypt2014@foxmail.com и некоторые другие.

До недавнего времени расшифровка файлов, пострадавших от действия троянца Trojan.Encoder.398, считалась невозможной, однако начиная с мая 2014 года специалисты компании «Доктор Веб» проводили серьезную научно-исследовательскую работу по созданию эффективных алгоритмов расшифровки. Наконец, эти усилия принесли свои плоды: на сегодняшний день «Доктор Веб» является единственной компанией, специалисты которой с вероятностью в 90% способны восстановить файлы, зашифрованные злоумышленниками с использованием вредоносной программы Trojan.Encoder.398 с дополнительным расширением *.filescrypt2014@foxmail.com_*.

Следует отметить, что в последнее время в Интернете появилось множество предложений о платной расшифровке пострадавших от действия шифровальщиков файлов, однако достоверно установлено, что большинство лиц, предлагающих подобного рода услуги, все равно обращается за помощью в службу технической поддержки компании «Доктор Веб». Обращаем ваше внимание на то, что компания «Доктор Веб» осуществляет расшифровку файлов бесплатно для пользователей своих лицензионных продуктов. Таким образом, сетевые мошенники фактически предлагают жертвам троянца приобрести услугу, которую можно получить на безвозмездной основе. По крайней мере, требуемая ими сумма вознаграждения значительно превышает стоимость лицензии на антивирусные продукты Dr.Web, приобретая которую, пользователь получает надежную защиту своих персональных компьютеров и мобильных устройств.

Если вы стали жертвой этой вредоносной программы, воспользуйтесь следующими рекомендациями:

• обратитесь с соответствующим заявлением в полицию;
• ни в коем случае не пытайтесь переустановить операционную систему;
• не удаляйте никакие файлы на вашем компьютере;
• не пытайтесь восстановить зашифрованные файлы самостоятельно;
• обратитесь в службу технической поддержки поддержки компании «Доктор Веб» (эта услуга бесплатна);
• к тикету приложите зашифрованный троянцем .DOC-файл;
• дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Проделанная специалистами компании «Доктор Веб» работа открывает новые перспективы в борьбе с троянцами-шифровальщиками и позволяет надеяться, что в будущем все больше жертв подобных вредоносных программ получат возможность вернуть свои файлы, пострадавшие от действия энкодеров.

 

[Dr.Web.]

Присоединяйтесь к программе лояльности «Я + Dr.Web»!

Мы очень ценим лояльность наших клиентов, год за годом выбирающих высокое качество антивирусной защиты, которое гарантирует ПО Dr.Web. Такая преданность бренду заслуживает самых щедрых подарков. Разделяя с нашими пользователями любовь к антивирусу Dr.Web, мы приглашаем их присоединиться к программе лояльности «Я + Dr.Web».

 

Участие в программе даст возможность зарабатывать виртуальные награды — Dr.Web-ки, которые впоследствии можно поставить на понравившиеся лоты в ежемесячных аукционах образовательного некоммерческого проекта ВебIQметр. Чем дольше вы пользуетесь Dr.Web, чем больше компьютеров защищаете и чем больше продуктов покупаете, тем более привлекательные условия мы можем вам предложить!

 

Чтобы присоединиться к программе лояльности, необходимо создать аккаунт на сайте www.drweb.ru, приобрести коммерческую лицензию Dr.Web и зарегистрировать ее в программе «Я + Dr.Web» через свой аккаунт на сайте. В процессе регистрации необходимо ввести в специальную форму серийный номер продукта (или приложить ключевой файл), а также указать ваш регистрационный e-mail. В ответном письме участник программы получит ссылку, по которой нужно будет перейти для завершения регистрации лицензии в программе лояльности. В программе могут быть зарегистрированы как действующие, так и истекшие коммерческие лицензии.

 

Просим обратить внимание, что ведется премодерация заявленных лицензий, поэтому Dr.Web-ки не начисляются сразу после регистрации лицензии, если право владения лицензией вызывает вопросы. К участию в программе не принимаются бесплатные лицензии, лицензии, не принадлежащие участникам (владельцами которых они не являются), и лицензии, заблокированные по причине пиратства, замены, слияния или разбивки. Одну коммерческую лицензию Dr.Web можно привязать только к одному аккаунту и только один раз. Пожалуйста, не создавайте несколько аккаунтов, это может привести к путанице и потере возможности пользоваться преимуществами программы.

 

[Dr.Web.]

Опасный троянец-шифровальщик распространяется в почтовой рассылке

 

Компания «Доктор Веб» предупреждает пользователей о начавшейся массовой почтовой рассылке, с использованием которой злоумышленники распространяют опасную вредоносную программу-загрузчик. Основное предназначение этого приложения — скачивание и запуск на инфицированном компьютере троянца-шифровальщика Trojan.Encoder.686, представляющего для пользователей серьезную угрозу, поскольку пострадавшие от его действия файлы в настоящее время не поддаются расшифровке.

 

Троянец-загрузчик, добавленный в вирусную базу Dr.Web под наименованием Trojan.DownLoad3.35539, распространяется злоумышленниками при помощи массовой спам-рассылки в виде вложенного в сообщения электронной почты ZIP-архива. Специалисты «Доктор Веб» зафиксировали случаи распространения сообщений, содержащих опасное вложение, на разных языках, в том числе английском, немецком и даже грузинском.

 

 

Архив содержит .SCR-файл — к данному типу файлов по умолчанию относятся скринсейверы (заставки) Windows. Подобные файлы являются исполняемыми. При попытке запуска файла из архива Trojan.DownLoad3.35539 извлекает из своего тела, сохраняет на диск и открывает на экране атакуемого компьютера текстовый RTF-документ.

 

 

Одновременно с этим Trojan.DownLoad3.35539 устанавливает соединение с одним из принадлежащих злоумышленникам удаленных серверов, загружает оттуда архив, содержащий троянца-шифровальщикаTrojan.Encoder.686, который также известен под названием CTB-Locker, после чего распаковывает и запускает его. Успешно инициализировавшись на зараженном компьютере, Trojan.Encoder.686 выполняет шифрование пользовательских файлов, после чего демонстрирует на экране заранее сформированное злоумышленниками сообщение.

 

 

Примечательно, что вирусописатели отводят своим жертвам лишь 96 часов на оплату расшифровки файлов, угрожая при этом, что в случае отказа от сотрудничества все зашифрованные файлы будут потеряны навсегда. При этом за подробной информацией об условиях и сумме выкупа киберпреступники предлагают пострадавшим пользователям обратиться на сайт, расположенный в анонимной сети TOR.

 

 

Троянец-шифровальщик Trojan.Encoder.686 собран с использованием библиотек TOR и OpenSSL, криптографию которых активно использует. В процессе шифрования пользовательских файлов энкодер активно эксплуатирует возможности CryptoAPI с целью получения случайных данных и эллиптическую криптографию, в связи с чем расшифровка пострадавших от его действия файлов в настоящий момент не представляется возможной.

Компания «Доктор Веб» предупреждает пользователей о необходимости проявлять бдительность и не запускать присланные по e-mail исполняемые файлы, не открывать вложения в сообщениях электронной почты, полученных из сомнительных источников, а также напоминает о целесообразности своевременного резервного копирования всех представляющих ценность данных.

Также напоминаем, что в составе Dr.Web Security Space версии 9 и 10 имеется несколько компонентов, позволяющих настроить своевременное автоматическое резервное копирование наиболее ценной информации и обезопасить компьютер от действия троянцев-энкодеров, а также других вредоносных программ.

 

Чтобы избежать потери ценных файлов, воспользуйтесь следующими советами:

 

1.     Убедитесь, что в настройках Dr.Web Security Space (версии 9 и 10) включена «Превентивная защита», которая бережет ваш ПК от угроз, еще не известных вирусной базе Dr.Web.

 

 

2.  После этого включите «Защиту от потери данных» в разделе «Инструменты» и настройте параметры хранилища резервной копии важных для вас файлов.

 

 

3.   Создайте резервную копию ценных данных и настройте их автоматическое сохранение по удобному для вас графику, выбрав подходящий временной интервал.

 

Эти действия в сочетании с определенной осмотрительностью при работе с электронной почтой позволят вам защитить вашу операционную систему от большинства современных угроз, включая троянцев-шифровальщиков.

[Dr.Web.]

Как получить усиленную защиту Dr.Web бесплатно

 

Компания «Доктор Веб» объявляет о старте нового этапа акции для пользователей Антивируса Dr.Web, по условиям которой вы можете бесплатно усилить базовую защиту до уровня комплексной с Dr.Web Security Space. Акция продлится с 16 февраля по 1 марта.

 

Как и прежде, для участия в акции необходимо обладать действующей лицензией на Антивирус Dr.Web, до конца срока действия которой остается более 3 месяцев. При переходе на Dr.Web Security Space срок лицензии будет округлен в большую сторону! Количество защищаемых объектов будет соответствовать тому, что указано в вашей лицензии на Антивирус Dr.Web.

 

Активировать лицензию не потребуется – это произойдет автоматически. Сам переход осуществляется на странице акции – здесь необходимо ввести ваш действующий серийный номер, электронный адрес, на который он был зарегистрирован, и e-mail для регистрации новой лицензии (этот адрес может остаться прежним). Вы получите письмо со ссылкой, пройдя по которой сможете завершить процесс обмена лицензии.

 

Таким образом, для усиления защиты Dr.Web вам придется потратить лишь несколько минут, в то время как деньги не придется тратить вовсе!

[Dr.Web.]

Пользуешься Dr.Web сам — порекомендуй другому!

Компания «Доктор Веб» предоставляет пользователям возможность поделиться своим положительным опытом использования антивирусных продуктов Dr.Web и рекомендовать их тем, кто только раздумывает над покупкой антивируса или выбирает тот или иной продукт. Что может быть ценнее такой рекомендации из первых рук!

 

Пользователи лицензионных антивирусных продуктов Dr.Web — самые лучшие эксперты по нашим продуктам: ведь они испытывают Dr.Web каждый день, а значит, их мнению можно доверять. Помогите менее опытным пользователям сделать работу за компьютером комфортной, а посещение Интернета — более безопасным с антивирусом Dr.Web — порекомендуйте продукт, которым вы пользуетесь!

 

Можно рекомендовать только тот продукт, на который у вас есть активная лицензия, заявленная в программе «Я + Dr.Web» (т. е. продукт, которым вы в данный момент пользуетесь). Это можно сделать на странице рекомендации, в Мастере скачиваний или в личном кабинете пользователя «Мой Dr.Web».

 

Рекомендуйте Dr.Web и зарабатывайте на каждой рекомендации 10 Dr.Web-ок! Заработанные Dr.Web-ки можно потратить в ежемесячных аукционах образовательного некоммерческого проекта ВебIQметр. Один продукт (соответствующий одной лицензии) можно рекомендовать только один раз. 

 

[Dr.Web.]

О да, Dr.Web! Конкурс ко Дню клиента

Компания «Доктор Веб» поздравляет пользователей с Днем клиента и объявляет о новом конкурсе хокку «О да, Dr.Web!». Присылайте свои трехстишия о том, почему вы пользуетесь антивирусом Dr.Web, и получайте в подарок Dr.Web-ки и свой любимый антивирус Dr.Web! По результатам конкурса будет издан сборник, в который войдут лучшие стихотворения наших клиентов.

 

Антивирус Dr.Web — старше многих своих пользователей! Вот уже 23 года зеленый паучок защищает компьютеры по всей России и за ее пределами, и на сегодняшний день количество тех, кто сказал «ДА» именно антивирусу Dr.Web, исчисляется многими миллионами.

 

19 апреля у нас праздник — День клиента, и именно в этот день мы хотели бы задать нашим пользователям вопрос: почему вы выбрали Dr.Web? А ответ пусть будет в полюбившемся многим жанре хокку. Присылайте свою «оду» в формате короткого трехстишия — и 22 апреля, в день рождения Dr.Web, мы подведем итоги конкурса.

 

Лучшие, по мнению читателей и жюри, оды войдут в книгу, которую мы подарим победителям! Также все участники конкурса, оды которых будут опубликованы в разделе «Работы конкурсантов», получат 30 Dr.Web-ок. А 23 конкурсанта, чьи работы будут отобраны жюри конкурса, станут обладателями 100 Dr.Web-ок и лицензии Dr.Web Security Space на 3 года!

 

Для участия в конкурсе необходимо войти в свой аккаунт на сайте www.drweb.ru или зарегистрироваться, если аккаунт еще не создан. Для голосования за работы других участников регистрация не требуется.

[домовой 73]

Есть просьба! Протестируйте, плз!?

[Dr.Web.]

Троянец-шифровальщик распространяется в почтовой рассылке

Компания «Доктор Веб» предупреждает пользователей о распространении опасного троянца-шифровальщика Trojan.Encoder.514, которого злоумышленники массово рассылают по каналам электронной почты. В настоящий момент расшифровка файлов, пострадавших от действия троянца Trojan.Encoder.514, не представляется возможной.

 

На протяжении последних нескольких месяцев злоумышленники организовали множество спам-кампаний по распространению различных версий троянцев-шифровальщиков. Так, на текущей неделе участились случаи массовых рассылок по электронной почте посланий якобы от имени службы по передаче факсов через Интернет, имеющих заголовок «Incoming Fax Report». В приложении к письму под видом факсимильного сообщения содержится ZIP-архив, внутри которого располагается вредоносный SCR-файл, являющийся исполняемым в операционных системах семейства Microsoft Windows. Данные SCR-файлы детектируются антивирусным ПО Dr.Web как Trojan.DownLoader11.32458.

 

 

 

При попытке открытия вложения вредоносная программа Trojan.DownLoader11.32458 распаковывает и запускает на атакуемом компьютере троянца-энкодера Trojan.Encoder.514, шифрующего хранящиеся на диске пользовательские файлы и требующего выкуп за их расшифровку. Пострадавшие от действия Trojan.Encoder.514 файлы не получают отдельного расширения, но в начало их имени дописывается строка "!crypted!". Шифрование происходит с созданием промежуточных файлов, имеющих расширение *.cry, которые впоследствии удаляются.

 

В настоящий момент расшифровка файлов, зашифрованных вредоносной программой Trojan.Encoder.514, не представляется возможной. Специалисты компании «Доктор Веб» напоминают пользователям о необходимости своевременного резервного копирования наиболее ценных данных, а также рекомендуют проявлять бдительность и не открывать вложения в сообщениях электронной почты, полученных от незнакомых отправителей.

[Dr.Web.]

Есть просьба! Протестируйте, плз!?

 

Добрый день!

 

Не совсем понял ваш вопрос. Что нужно протестировать?

[Dr.Web.]

Опасный бэкдор угрожает пользователям Windows

Специалисты компании «Доктор Веб» провели исследование опасного троянца-бэкдора, способного заражать компьютеры под управлением Microsoft Windows. Вредоносная программа, получившая наименование BackDoor.Yebot, может выполнять на инфицированной машине широчайший диапазон деструктивных действий, в частности, запускать собственный FTP и прокси-сервер, искать различную информацию по команде злоумышленников, фиксировать нажатие пользователем клавиш, передавать на удаленный сервер снимки экрана и многое другое.

Троянец BackDoor.Yebot распространяется с использованием другой вредоносной программы, добавленной в вирусные базы Dr.Web под именем Trojan.Siggen6.31836. Запустившись на атакуемом компьютере, это опасное приложение встраивает собственный код в процессы svchost.exe, csrss.exe, lsass.exe и explorer.exe, после чего, отправив на удаленный сервер соответствующий запрос, загружает и расшифровывает троянца BackDoor.Yebot, настраивает его в памяти компьютера и передает ему управление. Сам Trojan.Siggen6.31836 примечателен тем, что часть используемых им функций зашифрована (причем расшифровываются они только в момент выполнения, для чего троянец резервирует память, которая автоматически освобождается после исполнения кода функции). Также эта вредоносная программа обладает механизмами проверки наличия в атакуемой системе виртуальной машины и обхода системы контроля учетных записей пользователя (User Accounts Control, UAC).

Бэкдор BackDoor.Yebot обладает следующими функциональными возможностями:

• запуск на инфицированном компьютере FTP-сервера;
• запуск на инфицированном компьютере Socks5 прокси-сервера;
• модификация протокола RDP для обеспечения удаленного доступа к инфицированному компьютеру;
• фиксация нажатий пользователем клавиш (кейлоггинг);
• возможность установки обратной связи с инфицированным ПК для FTP, RDP и Socks5, если в сети используется NAT (бэкконнект);
• перехват данных по шаблонам PCRE (Perl Compatible Regular Expressions) — библиотеки, реализующей работу регулярных выражений в среде Perl, для чего троянец перехватывает все возможные функции, связанные с работой в Интернете;
• перехват токенов SCard;
• встраивание в просматриваемые пользователем веб-страницы постороннего содержимого (веб-инжекты);
• расстановка перехватов различных системных функций в зависимости от принятого конфигурационного файла;
• модификация кода запущенного процесса в зависимости от принятого конфигурационного файла;
• взаимодействие с различными функциональными модулями (плагинами);
• создание снимков экрана;
• поиск в инфицированной системе приватных ключей.

Для обмена данными с управляющим сервером BackDoor.Yebot использует как стандартный протокол HTTP, так и собственный бинарный протокол. При этом управляющий сервер троянца обладает параноидальными настройками: например, он может занести IP-адрес в черный список при поступлении с него некорректного запроса или при поступлении слишком большого количества запросов с одного IP-адреса.

Специалисты компании «Доктор Веб» предполагают, что BackDoor.Yebot может использоваться злоумышленниками в том числе в качестве банковского троянца: фактически он универсален в силу достаточно развитого ассортимента функциональных возможностей и способности взаимодействовать с различными дополнительными модулями. Сигнатуры BackDoor.Yebot и Trojan.Siggen6.31836 добавлены в вирусные базы, потому эти вредоносные программы не представляют опасности для пользователей антивирусных продуктов Dr.Web.

[Dr.Web.]

Антивирусы Dr.Web прошли сертификацию «1С Совместимо!»

 

Компания «Доктор Веб» сообщает о том, что Dr.Web Enterprise Security Suite версии 10, а также Антивирус Dr.Web и Dr.Web Security Space успешно прошли сертификацию на совместимость с платформой «1С: Предприятие» и получили сертификат «1С: Совместимо!»

 

Сертификация программных продуктов и оборудования на совместимость с системой программ «1С: Предприятие», которую проводит фирма «1С», помогает потребителям программных продуктов сориентироваться на рынке специализированного ПО и безошибочно выбирать работающие решения по автоматизации предприятия. Логотип «Совместимо! Система программ 1С: Предприятие», который компания «Доктор Веб» теперь имеет право использовать на упаковке антивирусов, является официальным подтверждением того, что Dr.Web Enterprise Security Suite версии 10, а также Антивирус Dr.Web и Dr.Web Security Space прошли в «1С» тщательное тестирование на корректность совместной работы и удобство применения с платформой «1С: Предприятие».

 

Сообщение отредактировал Dr.Web.: 30 April 2015 - 09:57

[Dr.Web.]

Нежелательное приложение-установщик угрожает пользователям Mac OS X

 

Специалистам компании «Доктор Веб» хорошо известны вредоносные и нежелательные программы, предназначенные для «тихой» установки, а также навязывания различных ненужных приложений и надстроек браузеров без ведома владельца компьютера – в последние годы такое ПО получило чрезвычайно широкое распространение, его жертвами в основном становятся пользователи Microsoft Windows. Однако с недавних пор все больше таких программ появляется и для операционной системы Mac OS X. Одна из них была добавлена в вирусные базы Dr.Web под именем Adware.Mac.InstallCore.1.

 

Нежелательное приложение Adware.Mac.InstallCore.1 представляет собой установщик, пакет которого содержит три значимые папки: bin, MacOS и Resources. В первой из них располагается приложение, детектируемое Dr.Web под именем Tool.Mac.ExtInstaller, предназначенное для инсталляции расширений браузеров, замены стартовой страницы и используемой браузерами по умолчанию поисковой системы. Папка MacOS традиционно содержит двоичный файл установщика, а в папке Resources хранится основная часть SDK в виде сценариев на языке JavaScript. Эти сценарии могут быть представлены как в открытом виде, так и в зашифрованном с использованием алгоритма AES.

 

В частности, среди файлов SDK располагается конфигурационный файл config.js, содержащий специальный раздел, который определяет, какие именно приложения будут предложены пользователю для установки. В этом разделе указано, сколько приложений следует инсталлировать на компьютер, при обнаружении каких программ или виртуальных машин пользователю не будут навязываться дополнительные программы, и, собственно, приведен сам список устанавливаемых компонентов. При этом имеющийся в составе приложения конфигурационный файл — не единственный, используемый данной программой в процессе ее работы: еще один она получает с удаленного сервера, адрес которого указан в локальном файле конфигурации. Загружаемые из сети данные зашифрованы с использованием алгоритма XOR и сжаты при помощи GZIP. Расшифрованный файл содержит различные языковые параметры, необходимые для отображения элементов интерфейса установщика, а также иные данные.

 

 

 

В другом файле, scripts.js, реализована основная логика работы установщика, в том числе — проверка наличия на компьютере виртуальных машин и некоторых ранее проинсталлированных приложений. Программа не будет навязывать пользователю установку посторонних компонентов, если она запущена в виртуальных машинах VirtualBox, VMWare Fusion или Parallels, либо если на «маке» удается выявить присутствие пакета среды разработки XCode или приложения Charles, используемого для отладки. Также известны случаи, когда пользователю не предлагалась установка посторонних программ при обнаружении антивирусов AVG, Avast, BitDefender, Comodo, ESET, Kaspersky, Sophos, Symantec, Intego, ClamAV и F-Secure. Помимо этого, в «черном списке»Adware.Mac.InstallCore.1 имеется ряд других приложений.

Среди программ и утилит, устанавливаемых на компьютер Adware.Mac.InstallCore.1, можно перечислить следующие:

• Yahoo Search;
• MacKeeper (Program.Unwanted.MacKeeper);
• ZipCloud;
• WalletBee;
• MacBooster 2;
• PremierOpinion (Mac.BackDoor.OpinionSpy);
• RealCloud;
• MaxSecure;
• iBoostUp;
• ElmediaPlayer.

Запись для нежелательного приложения Adware.Mac.InstallCore.1 была добавлена в базы Антивируса Dr.Web для Mac OS X, поэтому наши пользователи защищены от действий этой программы.

[Dr.Web.]

Как защититься от троянцев-шифровальщиков – скорая видеопомощь!

 

Сервис поддержки пользователей Dr.Web пополнился новым обучающим видео, посвященным борьбе с троянцами-шифровальщиками, превращающими данные пользователя в нечитаемые файлы. Всего за несколько минут вы узнаете, что конкретно нужно предпринять, чтобы не стать жертвой шифровальщика-вымогателя, и получите практические советы по восстановлению зашифрованных файлов.

 

Шифровальщики семейства Trojan.Encoder не только зашифровывают данные, но и требуют выкуп за расшифровку. Эта угроза известна давно, но в последние годы приобрела катастрофические масштабы. Жертвой «энкодеров» может стать каждый пользователь – ежесуточно в вирусную лабораторию «Доктор Веб» поступает более 40 заявок на расшифровку! Но гарантию возвращения файлов дать невозможно, поэтому важно быть готовым к отражению атаки шифровальщика заранее и знать, что делать в случае поражения данных.

В новом видео подробно рассказано о мерах, которые нужно предпринять, чтобы не стать жертвой шифровальщика-вымогателя и не потерять свои файлы. Если троянец все-таки зашифровал ваши данные, вы можете самостоятельно восстановить их – в видео даны подробные рекомендации по восстановлению зашифрованных файлов.

 

Избежать встречи с троянцами-шифровальщиками вам поможет и одна из основных функций десятой версии Dr.Web, которая позволяет эффективно бороться с последствиями заражения Trojan.Encoder – «Защита от потери данных». Включив эту функцию (по умолчанию она отключена), вы можете создать резервную копию ценных файлов и папок, назначив их сохранение по нужному вам графику, а также выбрав подходящий временной интервал.

[Dr.Web.]

Опасный банковский троянец угрожает пользователям Android

 

Специалисты компании «Доктор Веб» обнаружили нового троянца, предназначенного для кражи денег с банковских счетов пользователей мобильных Android-устройств. Основная особенность этой вредоносной программы, получившей имя Android.BankBot.65.origin, заключается в том, что злоумышленники встроили ее в одно из официальных приложений-клиентов для доступа к онлайн-банкингу и распространяют в Интернете под видом оригинального ПО.

 

Внедрение троянского функционала в легитимные приложения с последующим размещением их на различных сайтах – сборниках ПО и файлообменных сервисах – весьма популярный среди вирусописателей и давно известный специалистам по информационной безопасности способ доставки вредоносных программ на мобильные Android-устройства. Подобный механизм распространения троянцев значительно увеличивает шансы на то, что потенциальные жертвы успешно установят и будут использовать скомпрометированное приложение на своих смартфонах или планшетах – ведь они скачивают внешне безобидное ПО, которое обладает всеми функциональными возможностями оригинала. В действительности же вместе с искомой программой пользователи получают «подарок» в виде троянца, который работает незаметно для них и выполняет выгодные для вирусописателей действия.

 

Одним из последних таких случаев, зафиксированных компанией «Доктор Веб», стало распространение киберпреступниками банковского троянца Android.BankBot.65.origin, внедренного в официальное приложение для доступа к мобильному банкингу от Сбербанка России. Предприимчивые вирусописатели модифицировали эту программу, добавив к ней вредоносную надстройку, после чего разместили на одном из популярных веб-порталов, посвященных мобильным устройствам. Главная опасность данной ситуации заключается в том, что скомпрометированная версия банковского клиентского ПО сохраняет все свои оригинальные функции, в результате чего у беспечных пользователей нет причины ожидать подвоха. На момент публикации этой новости более 70 владельцев Android-устройств уже успели загрузить модифицированную злоумышленниками версию приложения.

 

 

Сразу после установки скомпрометированной версии программы и ее запуска неосторожным пользователемAndroid.BankBot.65.origin создает специальный конфигурационный файл, в котором заданы основные параметры работы троянца. В соответствии с данными настройками вредоносное приложение соединяется с управляющим сервером, куда при помощи POST-запроса отправляет следующую информацию:

• IMEI-идентификатор устройства;
• наименование мобильного оператора;
• MAC-адрес встроенного Bluetooth-адаптера;
• установлено ли приложение платежной системы QIWI;
• версия API операционной системы;
• версия троянского приложения;
• название пакета троянского приложения;
• текущая выполняемая команда.

Если в ответ от удаленного узла Android.BankBot.65.origin успешно получает команду «hokkei», то сразу после этого он отправляет на сервер зашифрованный список контактов пользователя, а также по команде злоумышленников обновляет конфигурационной файл.

По своему основному вредоносному функционалу данный троянец мало чем отличается от большинства аналогичных банкеров. В частности, Android.BankBot.65.origin способен выполнять типичные для троянцев данного семейства действия, а именно – по команде с управляющего сервера перехватывать входящие СМС и отправлять различные сообщения на заданные злоумышленниками телефонные номера. Кроме того,Android.BankBot.65.origin «умеет» внедрять специально сформированные СМС в список входящих сообщений мобильного устройства. Все эти действия могут использоваться киберпреступниками как в процессе хищения денег с банковских счетов пользователей (отправка СМС-команд для банковского перевода в пользу вирусописателей и перехват проверочных сообщений с кодами подтверждения), так и для реализации различных мошеннических схем. Так, злоумышленники могут разместить специально сформированные СМС среди сообщений жертв, например, о блокировке банковской карты с требованием позвонить в «банк» по указанному номеру, с просьбой пополнить баланс «попавшего в беду родственника» и т. п.

Специалисты компании «Доктор Веб» настоятельно рекомендуют владельцам Android-устройств загружать приложения для онлайн-банкинга только из надежных источников, таких как каталог Google play или веб-сайты соответствующих кредитных организаций, а также использовать для защиты Антивирус Dr.Web для Android Light или Антивирус Dr.Web для Android. Запись для детектирования троянца Android.BankBot.65.origin добавлена в вирусную базу Dr.Web, поэтому для наших пользователей он не представляет опасности.