Przegląd aktywności wirusów w grudniu 2016 według Doctor Web

26 grudnia 2016

W ostatnim miesiącu 2016 roku specjaliści Doctor Web wykryli trojana dla Androida potrafiącego infekować biblioteki systemowe w urządzeniach. Wykryli również trojana dla Windows zaprojektowanego do instalowania niepożądanych aplikacji. A pod koniec miesiąca wykryli kilka trojanów dla Androida w firmware wielu popularnych urządzeń mobilnych.

Zagrożenie miesiąca

Wiele współczesnych trojanów pobiera i instaluje na komputerze różne aplikacje, robiąc to bez wiedzy użytkownika: twórcy wirusów korzystają z usług programów partnerskich aby uzyskać opłatę za każde pobranie. Te trojany są zwykle bardzo proste, w przeciwieństwie do Trojan.Ticno.1537. Uruchomiony, próbuje wykryć obecność środowiska wirtualnego i narzędzi debugujących i rozpoczyna swoje działanie tylko wtedy, gdy nie wykryje nic podejrzanego. Trojan zapisuje na dysku plik nazwany 1.zip i otwiera okienko dialogowe podobne do standardowego okna “Zapisz” w Microsoft Windows:

W lewym dolnym rogu okna znajduje się link “Dodatkowe parametry”. Gdy zostanie kliknięty, Trojan.Ticno.1537 wyświetla listę programów które zamierza zainstalować. Pośród nich znajduje się przeglądarka Amigo, aplikacja HomeSearch@Mail.ru i trojany Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 oraz Adware.Plugin.1400. Aby uzyskać więcej informacji o Trojan.Ticno.1537 zajrzyj do tego artykułu.

Najpopularniejsze zagrożenia na podstawie statystyk zebranych przez Dr.Web CureIt!

• Trojan.InstallCore
  Rodzina trojanów potrafiących instalować niepożądane i złośliwe aplikacje.
• Trojan.BtcMine.793
  Trojan zaprojektowany do skrytego wykorzystania zasobów zainfekowanego komputera w celu generowania kryptowaluty, na przykład Bitcoinów.
• Trojan.LoadMoney
  Rodzina trojanów typu downloader generowana przez serwery przynależne do programu partnerskiego LoadMoney. Te aplikacje pobierają i instalują na komputerze ofiary różne niechciane programy.
• Trojan.Triosir.687
  Wtyczka dla przeglądarek www zaprojektowana do wyświetlania denerwujących reklam podczas przeglądania stron www przez użytkowników.

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

• JS.DownLoader
  Rodzina złośliwych skryptów napisanych w JavaScript i zaprojektowanych do pobierania i instalowania na komputerze innych złośliwych programów.
• Trojan.InstallCore
  Rodzina trojanów potrafiących instalować niepożądane i złośliwe aplikacje.
• JS.Redirector
  Rodzina złośliwych skryptów napisanych w JavaScript i zaprojektowanych do automatycznego przekierowywania użytkowników na inne strony www.
• BackDoor.IRC.NgrBot.42
  Dość powszechny trojan, znany analitykom bezpieczeństwa informacji od 2011 roku. Złośliwe programy z tej rodziny są zdolne do wykonywania na zainfekowanym komputerze poleceń wydawanych przez intruzów, a sama maszyna jest kontrolowana przez cyberprzestępców poprzez protokół wiadomości tekstowych IRC (Internet Relay Chat).

Statystyki dotyczące złośliwych programów wykrytych w ruchu poczty elektronicznej

• JS.DownLoader
  Rodzina złośliwych skryptów napisanych w JavaScript i zaprojektowanych do pobierania i instalowania na komputerze innych złośliwych programów.
• W97M.DownLoader
  Rodzina trojanów typu downloader wykorzystujących podatności w aplikacjach biurowych i potrafiących pobierać na zaatakowany komputer inne złośliwe programy.

Najpopularniejsze zagrożenia na podstawie statystyk zebranych przez Dr.Web Bot dla Telegram

• Android.Locker.139.origin
  Trojan ransomware dla Androida. Jego różne modyfikacje potrafią blokować urządzenie wyświetlając ostrzeżenie o pewnym naruszeniu prawa. Aby odblokować urządzenie, użytkownik musi zapłacić okup.
• Joke.Locker.1.origin
  Program-żart dla Androida blokujący ekran domowy urządzenia i wyświetlający ekran błędu BSOD (Blue Screen of Death – “niebieski ekran”) Microsoft Windows.
• BackDoor.Bifrost.29284
  Trojan typu backdoor wykonujący polecenia odebrane od cyberprzestępców.
• Trojan.PWS.Spy.11887
  Trojan dla Windows wykradający prywatne informacje użytkownika, włączając hasła.
• Android.HiddenAds.24
  Trojan wyświetlający denerwujące reklamy.

Ransomware szyfrujące pliki

W grudniu inżynierowie wsparcia technicznego Doctor Web zarejestrowali przypadki infekcji wywołane przez następujące modyfikacje ransomware:

• Trojan.Encoder.858 — 37,99% zgłoszeń;
• Trojan.Encoder.761 — 12,27% zgłoszeń;
• Trojan.Encoder.567 — 4,11% zgłoszeń;
• Trojan.Encoder.3976 — 3,89% zgłoszeń;
• Trojan.Encoder.3953 — 1,70% zgłoszeń.

Dr.Web Security Space 11.0 dla Windows
chroni przed ransomware szyfrującym pliki

Ta funkcjonalność nie jest dostępna w Antywirusie Dr.Web dla Windows

Zapobieganie Utracie Danych

Niebezpieczne strony www

W grudniu 2016 do bazy Dr.Web dodano 226744 adresy URL niezalecanych stron www.

Złośliwe i niepożądane programy dla urządzeń mobilnych

W grudniu analitycy bezpieczeństwa Doctor Web wykryli wirusa Android.Loki.16.origin infekującego biblioteki systemowe Androida, wstrzykującego swój kod w procesy aplikacji i w skrycie instalującego inne programy. Dodatkowo grudzień odznaczył się pojawieniem się trojanów Android.DownLoader.473.origin i Android.Sprovider.7, które były preinstalowane na wielu modelach urządzeń z Androidem. Te trojany również pobierały i instalowały niechciane aplikacje.

Pośród najbardziej wartych zauważenia wydarzeń grudnia dotyczących urządzeń mobilnych możemy wymienić:

• Pojawienie się aplikacji dla Androida infekujących biblioteki systemowe i przeprowadzających wstrzykiwanie złośliwego kodu w procesy działających aplikacji;
• Wykrycie złośliwych programów preinstalowanych na wielu urządzeniach z Androidem.

Dowiedz się więcej na temat złośliwych i niepożądanych programów dla urządzeń mobilnych z naszego specjalnego przeglądu.

Dowiedz się więcej razem z Dr.Web

Statystyki wirusów Opisy wirusów Comiesięczne przeglądy wirusów