20 kwiecień 2022 r.

Doctor Web świętuje 30-lecie antywirusa Dr.Web i z tej okazji wprowadza promocję: od 20 do 26 kwietnia można nabyć 3-letnią licencję na 2 komputery Dr.Web Security Space, produktu zapewniającego kompleksową ochronę, w cenie 2-letniej ochrony.

Zatem zamiast 234.14zł, koszt licencji wyniesie 172.64zł

W Dr.Web Security Space zastosowano wszystkie najlepsze praktyki twórców programu antywirusowego z trzydziestoletniej historii jego istnienia.

Pełen arsenał składników ochrony pozwala stawić czoła wszelkim zagrożeniom internetowym, niezależnie od tego, skąd pochodzą: Dr.Web chroni system plików, zwalcza spam i zapobiega odwiedzaniu niebezpiecznych stron internetowych. Dzięki naszemu antywirusowi zyskujesz zabezpieczenie przed trojanami szyfrującymi.

W ramach licencji Dr.Web Security Space ochrona dla urządzeń z systemem Android w prezencie!

Zatem zgodnie z warunkami tej promocji można za darmo chronić jednocześnie 2 urządzenia przenośne.

Przyłącz się do celebrowania naszej rocznicy - kup Dr.Web po okazyjnej cenie!

Kup teraz

31 stycznia 2022 r.

Rosyjska firma antywirusowa Doctor Web ogłasza początek antywirusowej cyberoferty: od 31 stycznia do 4 lutego będzie można otrzymać 2 lata kompleksowej ochrony Dr.Web Security Space dla 2 komputerów PC z rabatem 50%!

Zwróć szczególną uwagę na tę nową, korzystną ofertę – zwłaszcza jeśli nie udało ci się skorzystać z tego samego rabatu w Czarny Piątek.

Przypomnijmy, że Dr.Web Security Space oferuje:

• Ochronę przed wszystkimi zagrożeniami, w tym szyfrującym oprogramowaniem ransomware – dla systemów Windows, macOS i Linux.
• Bezpieczne surfowanie po internecie i ochronę przed spamem.
• Możliwość monitorowania aktywności dzieci w internecie.

W okresie promocyjnym w naszym sklepie internetowym znajdziesz nie tylko rabat 50% na kompleksową ochronę przed zagrożeniami internetowymi dla 2 komputerów PC przez 2 lata, ale także bezpłatną ochronę dla 2 urządzeń z systemem Android przez ten sam okres.

Pospiesz się, aby otrzymać rabat 50% na oprogramowanie Dr.Web – masz tylko 5 dni!

Kup Dr.Web z rabatem 50%

February 19, 2021

Russian anti-virus company Doctor Web is starting beta testing for version 13 of its Dr.Web Enterprise Security Suite—a corporate-grade anti-virus solution providing all-round end-point security and remote administration in networks of all sizes. In response to customer requests, version 13 incorporates features that allow for even better integration with process control systems, including critical infrastructures, which require a somewhat special approach to anti-virus security.

That being said, Doctor Web still strives to make its solutions as user-friendly as possible. With that in mind, public beta testing is now underway. Join the ranks of beta testers and grab this unique opportunity to interact directly with Dr.Web developers. See for yourself how the anti-virus is made and make a sizable contribution towards the creation of this flagship anti-virus solution for business.

As customers eagerly await the upcoming release of Dr.Web Enterprise Security Suite 13.0, Doctor Web welcomes inquisitive beta testers and is already preparing gifts for the biggest contributors.

Let's take a quick look at how Dr.Web Enterprise Security Suite 13.0 improves on its predecessors.

In response to customer requests, version 13 incorporates features that allow for even better integration with process control systems, including critical infrastructures:

• The ability to allocate precisely the CPU and memory usage for the anti-virus scanner;
• The option to lower the priority for tasks related to collecting additional information on protected hosts;
• The ability to lower the bandwidth for connections between a proxy server and the centralised administration server.

All these features are particularly important for systems involved in various technological processes for which it is critical that a fast response time be maintained and CPU usage and the anti-virus’s memory footprint be kept to a minimum.

Easy to use. Dr.Web Enterprise Security Suite is packed with cutting-edge technologies, and all these state-of-the art features are actually easy to control—thanks to the Control Center. Your vast network may connect computers in multiple branch offices (as is the case with Russia’s country-wide election infrastructure, which Dr.Web has been protecting for years). Version 13 also incorporates innovations that will benefit system administrators. Thanks to the new layout in the Control Center's anti-virus network view, managing a large number of objects has gotten easier.

Available across multiple platforms. Compatibility with various versions of Windows and Linux, as well as with macOS, is another major advantage of Dr.Web. A protected infrastructure may connect all sorts of computers running different operating systems. And, whereas previously Dr.Web was only easy and quick to deploy under Windows, version 13 boasts easy deployment options for Linux as well. Installing and managing the anti-virus software on protected hosts is now much easier. Dr.Web Agent can be installed on Linux machines via the Control Center or using a special utility.

Flexible settings. With the Dr.Web Control Center, protected hosts can be organised in groups matching the actual structure of your company. And then the anti-virus software can be fine-tuned for each of these groups. The system administrator can also take advantage of Office Control and determine which sites and network resources should be available to the employees in each specific group. In version 13, Office Control lets you manage settings for each user group and control which removable media are accessible on user computers. You can also take advantage of an extended list of unwanted site categories to prevent employees from visiting certain sites.

All in all, the new Dr.Web Enterprise Security Suite version is packed with new features, tweaks, and upgrades. You can find more information about version 13 here: And all these innovations are highly anticipated by users and make this solution even more appealing to prospective customers. With this in mind, Doctor Web is committed to ensuring that before the official release date, all the features work exactly as expected, the user experience is completely trouble-free, and any shortcomings are discovered and corrected. Therefore, we invite all users to test this innovative solution, and we look forward to hearing what you like and don't like about the new version and what you think Doctor Web can do to make it even better. And, as is customary, the most active contributors are in for a reward. This time around the five most active beta testers will receive Dr.Web-branded hoodies!

To beta test Dr.Web Enterprise Security Suite 13.0, follow this link:https://beta.drweb.com/?lng=en. Please note that registration is required to access the beta section of our website.

More information on Dr.Web Enterprise Security

November 26, 2018

Russian anti-virus company Doctor Web has updated its Dr.Web Security Space 12.0 and Dr.Web Anti-virus 12.0 to deliver Polish-language support to the applications.

The update will be downloaded and installed automatically.

May 28, 2018

Dear users and partners,

As you may know, the General Data Protection Regulation, also referred as GDPR, a new European law regarding personal data protection came into force on May 25, 2018.

The Regulation made it mandatory for all companies operating in the EU or working with EU citizens or residents to ensure secure data processing and storage by means of undertaking several measures and steps.

In this context, as an Antivirus vendor, we are not able to make our clients and partners compliant with the law by providing them antivirus software, but we can offer services and products that ensure safety of their data what in its turn is a step forward towards being fully compliant with the Regulation.

Doctor Web, Ltd. and its subsidiaries respect the rights of each individual to privacy and data protection and welcome the General Data Protection Regulation (GDPR).

In the light of the new Regulation, Doctor Web takes its responsibility to comply with it. We have updated our Privacy Policy and EULA in order to state it clear to our European clients and partners what data we gather and process, where it is stored and how it is processed and protected by Doctor Web, Ltd.

In case you have questions about our compliance with GDPR, ask your questions here.

24 stycznia 2018

W lipcu 2017 specjaliści Doctor Web wykryli podatność 0-day w aplikacji serwerowej Cleverence Mobile SMARTS Server. Twórcy programu opublikowali aktualizację usuwającą tą podatność, jednakże cyberprzestępcy wciąż używają jej do wydobywania kryptowalut.

Aplikacje z rodziny Cleverence Mobile SMARTS Server zostały stworzone do zautomatyzowania sklepów, magazynów, różnych usług i produkcji. Są zaprojektowane do działania na komputerach PC z systemem Microsoft Windows. W lipcu 2017 specjaliści Dr.Web wykryli krytyczną podatność w jednym z komponentów Cleverence Mobile SMARTS Server. Cyberprzestępcy używali jej do nieautoryzowanego dostępu do serwerów i instalowania trojanów z rodziny Trojan.BtcMine zaprojektowanych do wydobywania kryptowalut. Niezwłocznie poinformowaliśmy twórców oprogramowania Cleverence o tej podatności.

Początkowo cyberprzestępcy używali kilku wersji trojana górniczego wykrywanych przez Dr.Web jako Trojan.BtcMine.1324, Trojan.BtcMine.1369 i Trojan.BtcMine.1404. Cyberprzestępcy wysyłają specjalne żądanie do serwera z uruchomionym oprogramowaniem Cleverence Mobile SMARTS Server, co skutkuje wykonaniem polecenia zawartego w tym żądaniu. Agresorzy używają tej komendy do stworzenia w systemie nowego użytkownika z uprawnieniami administratora i wykorzystują to konto użytkownika do uzyskania nieautoryzowanego dostępu do serwera z użyciem protokołu RDP. W niektórych przypadkach, cyberprzestępcy używają narzędzia Process Hacker do zamknięcia procesów antywirusów uruchomionych na serwerze. Gdy uzyskają dostęp do systemu, instalują w nim trojana górniczego.

Trojan ma postać biblioteki dynamicznej. Cyberprzestępcy zapisują go w folderze tymczasowym, a następnie uruchamiają. Złośliwy program zamienia jedną z legalnych usług systemu Windows, wybierając “ofiarę” na podstawie liczby parametrów i usuwa oryginalny plik usługi. Złośliwa usługa uzyskuje następnie kilka uprawnień systemowych i ustawia dla swojego procesu flagę krytyczności. Następnie trojan zapisuje na dysku pliki wymagane do jego działania i rozpoczyna wydobywanie kryptowalut używając potencjału sprzętowego zainfekowanego serwera.

Mimo że deweloperzy Cleverence Mobile SMARTS Server dość szybko opublikowali aktualizację likwidującą tą podatność w oprogramowaniu, to liczni administratorzy serwerów nie spieszyli się z jej instalacją, przez co cyberprzestępcy uzyskali nad nimi przewagę. Twórcy wirusa kontynuują instalowanie na zhakowanych serwerach trojanów górniczych, które są wciąż modyfikowane. Pod koniec listopada 2017 cyberprzestępcy rozpoczęli używanie zupełnie nowego trojana, modyfikowanego do dnia dzisiejszego. Ten złośliwy program został nazwany jako Trojan.BtcMine.1978. Jest on zaprojektowany do wydobywania kryptowalut Monero (XMR) i Aeon.

Ten trojan górniczy jest uruchamiany jako proces o krytycznej ważności i wyświetlanej nazwie “Plug-and-Play Service”. Jeśli ktoś spróbuje zamknąć ten proces, Windows przeprowadza awaryjne zamknięcie systemu i wyświetla “niebieski ekran śmierci” (BSOD). Uruchomiony, Trojan.BtcMine.1978 próbuje usunąć usługi antywirusów Dr.Web, Windows Live OneCare, Kaspersky Anti-virus, ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security i Windows Defender. Następnie trojan górniczy wyszukuje na zaatakowanym komputerze uruchomione procesy programów antywirusowych. Jeśli mu się to powiedzie, trojan odszyfrowuje, zapisuje na dysku i uruchamia sterownik używany do przeprowadzenia prób zamknięcia tych procesów. Dr.Web z powodzeniem wykrywa i blokuje sterownik Process Hacker używany przez Trojan.BtcMine.1978. Ten sterownik został dodany do baz wirusów Dr.Web jako narzędzie hakerskie.

Gdy pozyska listę portów ze swojej własnej konfiguracji, Trojan.BtcMine.1978 przeszukuje sieć w celu wykrycia routera. Następnie, używając protokołu UPnP, przekierowuje port TCP routera na porty z pozyskanej listy i łączy się po nich oczekując na połączenia poprzez protokół HTTP. Złośliwy program zapisuje ustawienia wymagane do jego normalnej pracy w rejestrze systemu Windows.

W kodzie trojana górniczego znajduje się lista adresów IP serwerów kontrolno-zarządzających. Trojan sprawdza je w celu znalezienia aktywnego serwera. Następnie trojan konfiguruje na zainfekowanej maszynie serwery proxy. Będą one używane do wydobywania kryptowalut. Również, na polecenie odebrane od cyberprzestępców, Trojan.BtcMine.1978 uruchamia powłokę PowerShell i przekierowuje jej kanały wejścia-wyjścia na zdalnego użytkownika podłączonego do zaatakowanego hosta. Pozwala to agresorom na wykonywanie różnych poleceń na zainfekowanym serwerze.

Gdy te działania zostaną wykonane, trojan osadza swój moduł we wszystkich uruchomionych procesach. Jest on zaprojektowany do wydobywania kryptowalut. Pierwszy proces, w którym ten moduł rozpocznie swoje działanie, będzie wykorzystywany do wydobywania jednostek Monero (XMR) i Aeon.

Mimo że Trojan.BtcMine.1978 posiada mechanizm pozwalający na wymuszenie zamknięcia procesów antywirusów, nasi użytkownicy mogą czuć się bezpieczni, ponieważ mechanizm samoochrony antywirusów Dr.Web nie pozwala trojanowi na zakłócenie działania komponentów o krytycznej ważności. Specjaliści Dr.Web zalecają, aby administratorzy serwerów używający Cleverence Mobile SMARTS Server zainstalowali wszystkie aktualizacje bezpieczeństwa wydane przez twórców oprogramowania.

23 stycznia 2018

Rosyjska firma antywirusowa Doctor Web rozpoczęła publiczne testy beta swojego Dr.Web Enterprise Security Suite 11.0. Reprezentując szczyt możliwości Doctor Web w zakresie bezpieczeństwa hostów sieci korporacyjnej, nowa wersja zawiera najbardziej zaawansowane funkcje do neutralizacji zagrożeń i oferuje narzędzia usprawniające administrowanie siecią antywirusową. Wszyscy użytkownicy chcący jako pierwsi wypróbować nowe funkcjonalności flagowego rozwiązania Dr.Web przeznaczonego dla firm, mogą uzyskać link do pobrania dystrybucji i plik klucza licencyjnego. Najbardziej aktywni beta-testerzy otrzymają upominki od Doctor Web!

Nowości w Dr.Web Enterprise Security Suite 11.0:

• Poprawiona wydajność Centrum Zarządzania (włączając przyśpieszenie wyświetlania danych sieci antywirusowej);
• Możliwość zcentralizowanego administrowania Firewallem Dr.Web na chronionych hostach;
• Możliwość zcentralizowanego instalowania i administrowania serwerem proxy (część Agenta Dr.Web);
• Dodanie nowych rodzajów powiadomień dla Agenta (Agent Dr.Web) i możliwości do wysyłania wiadomości użytkownika poprzez Agenta;
• Całkowicie przeprojektowany interfejs autoryzacji LDAP/ADS i wsparcie dla LDAP-RFC-4515;
• Przeprojektowana Kontrola Biura w Centrum Zarządzania zawiera:
  • Rozszerzone opcje pracy z urządzeniami;
  • Możliwość tworzenia preferencji użytkownika dla chronionych hostów;
• Przeprojektowane i rozszerzone funkcje do administrowania komponentami agenta z poziomu Centrum Zarządzania;
• Informacje o konfiguracji oprogramowania i sprzętu na chronionym hoście są teraz przesyłane szybciej i nie wpływają na wydajność serwera;
• Skrypty Windows Script Host i PowerShell są od teraz skanowane na komputerach z systemem Windows 10;
• Nowe narzędzia w sekcji Administracja w Centrum Zarządzania zawierają:
  • Narzędzie do zdalnej diagnostyki serwera antywirusowego;
  • Generator kluczy cyfrowych i certyfikatów;
  • Narzędzie do zdalnej diagnostyki serwera Dr.Web (skrypty);
• Narzędzia są od teraz dostępne dla wszystkich wspieranych systemów operacyjnych;
• Nowy status hosta (wymagana jest interwencja administratora) został dodany do drzewa sieci antywirusowej;
• Opcje dla menu Połączenia są teraz dostępne w oknie drzewa sieci antywirusowej; Jeśli wcześniej nie zestawiono żadnych połączeń, to opcja wyświetlania ukrytych grup w ustawieniach widoku drzewa może być użyta do wyszukania grupy;
• W repozytorium serwera można znaleźć nowe produkty: Dr.Web Server Security Data (dane systemowe i certyfikaty używane przez środowisko) oraz Serwer Proxy Dr.Web;
• Zmiany w sekcji Administracja w Centrum Zarządzania:
  • Sekcja Monitor Portów Sieciowych zapewnia opcję skanowania ruchu powiązanego z Agentami według portu;
  • Wprowadzono opcje kopii zapasowej Serwera;
  • Dodano do menu nowy element, "dziennik czasu rzeczywistego".

Zapraszamy użytkowników chcących wziąć udział w testach beta Dr.Web Enterprise Security Suite 11.0 do odwiedzenia beta odpowiedniej sekcji forum Dr.Web. Proszę zauważyć, że do uzyskania dostępu do sekcji testów beta w ramach forum wymagana jest rejestracja.

16 stycznia 2018

Analitycy wirusów Doctor Web wykryli w Google Play „kilka” gier zawierających wirusa Android.RemoteCode.127.origin. Został on zaprojektowany do skrytego pobierania i uruchamiania dodatkowych modułów przeprowadzających różne złośliwe operacje. Na przykład, symulują one działania użytkownika otwierając w skrycie strony www i klikając na ich elementach.

Android.RemoteCode.127.origin jest częścią pakietu SDK (Software Development Kit) nazwanego 呀呀云 (Ya Ya Yun). Twórcy oprogramowania używali go do rozszerzania funkcjonalności swoich aplikacji. W szczególności, pozwala on realizację komunikacji pomiędzy graczami, jednakże oprócz wykazanych możliwości, platforma ta realizuje funkcje trojana – w skrycie pobiera złośliwe moduły ze zdalnego serwera.

Gdy programy z wbudowanym SDK zostaną uruchomione, Android.RemoteCode.127.origin wysyła żądanie do serwera kontrolno-zarządzającego (C&C). W odpowiedzi może odebrać polecenie pobrania i uruchomienia złośliwych modułów zdolnych do wielu działań. Specjaliści Doctor Web przechwycili i przebadali jeden taki moduł i nazwali go Android.RemoteCode.126.origin. Uruchomiony, łączy się on ze swoim serwerem C&C i otrzymuje link do pobrania pozornie niegroźnego obrazka.

W rzeczywistości ten plik graficzny zawiera inny moduł trojana, będący zaktualizowaną wersją Android.RemoteCode.126.origin. Analitycy wirusów zetknęli się już z tą metodą maskowania złośliwych obiektów w obrazkach (steganografią). Na przykład, była ona stosowana przez trojana wykrytego w 2016 roku i nazwanego Android.Xiny.19.origin.

Po odszyfrowaniu i uruchomieniu nowa wersja modułu trojana (wykrywana przez Dr.Web jako Android.RemoteCode.125.origin) rozpoczyna swoje działanie równolegle ze starą, duplikując jej funkcje. Następnie tenże moduł pobiera kolejny obrazek z ukrytym złośliwym komponentem. Został on nazwany jako Android.Click.221.origin.

Jego głównym celem jest skryte otwieranie stron www i klikanie na ich elementach, takich jak linki i bannery. W tym celu Android.Click.221.origin pobiera skrypt z adresu wskazanego przez serwer C&C. Trojan wykonuje ten skrypt z możliwością przeprowadzania różnych działań na stronie www, włączając symulację kliknięć na wskazanych elementach. Tym samym, jeśli zadanie dla trojana zawiera stosowne linki i reklamy, cyberprzestępcy będą czerpać korzyści ze zwiększania statystyk ruchu na stronie www i z klikania tychże bannerów. Jednakże nie jest to jedyna funkcjonalność Android.RemoteCode.127.origin, ponieważ twórcy wirusa są zdolni do stworzenia dodatkowych modułów trojana, które będą przeprowadzać inne złośliwe działania. Na przykład, mogą wyświetlać okienka phishingowe do wykradania poświadczeń logowania, wyświetlania reklam, jak i skrytego pobierania i instalowania aplikacji.

Specjaliści Doctor Web wykryli w Google Play 27 gier, które używały SDK trojana. Zostały one pobrane przez ponad 4500000 posiadaczy urządzeń mobilnych. Aplikacje z wbudowanym Android.RemoteCode.127.origin zostały wymienione w poniższej tabeli:

Analitycy wirusów poinformowali Google o wykryciu komponentu trojana w wykazanych aplikacjach, jednakże na chwilę opublikowania tego artykułu były one wciąż dostępne do pobrania. Zaleca się, aby posiadacze smartfonów i tabletów z Androidem usunęli zainstalowane gry zawierające Android.RemoteCode.127.origin. Dr.Web dla Androida z powodzeniem wykrywa programy zawierające Android.RemoteCode.127.origin, dzięki czemu ten trojan nie stanowi żadnego zagrożenia dla naszych użytkowników.

29 grudnia 2017

Doctor Web prezentuje swój przegląd aktywności wirusów w grudniu 2017. Ostatni miesiąc roku odznaczył się pojawieniem się backdoora zdolnego do infekowania 64 bitowych wersji Microsoft Windows i licznymi próbami hakowania stron www przeprowadzanymi przez cyberprzestępców z użyciem trojana dla Linuxa infekującego urządzenia typu “smart”.

29 grudnia 2017

Ostatni miesiąc tego roku odznaczył się pojawieniem się nowego backdoora dla komputerów i urządzeń pracujących pod kontrolą Microsoft Windows. W grudniu analitycy Doctor wykryli również, że cyberprzestępcy rozpoczęli hakowanie stron www z użyciem trojana dla Linuxa o nazwie Linux.ProxyM. W ciągu miesiąca bazy wirusów Dr.Web zostały też zaktualizowane sygnaturami nowych złośliwych programów dla Androida.

Zagrożenie miesiąca

W grudniu analitycy wirusów przebadali kolejnego reprezentanta rodziny trojanów Anunak, zdolnego do wykonywania na zainfekowanym komputerze poleceń cyberprzestępców. Nowy backdoor został opracowany do pracy na 64-bitowych wersjach Windows i został nazwany BackDoor.Anunak.142. Trojan może przeprowadzać na zainfekowanym komputerze następujące działania:

• Pobieranie plików z określonego zdalnego serwera;
• Ładowanie plików na zdalny serwer;
• Uruchamianie pliku na zainfekowanym urządzeniu;
• Wykonywanie poleceń w konsoli cmd.exe;
• Przekierowywanie ruchu pomiędzy portami;
• Pobieranie i instalowanie swoich własnych modułów.

Więcej informacji o tym złośliwym programie można znaleźć w artykule opublikowanym na naszej stronie www.

Najpopularniejsze zagrożenia na podstawie statystyk Antywirusa Dr.Web

Trojan.Starter.7394

Trojan którego głównym celem jest uruchamianie w zainfekowanym systemie pliku wykonywalnego posiadającego określony zestaw złośliwych funkcji.

Trojan.Encoder.11432

Robak szyfrujący znany jako WannaCry.

Trojan.Zadved

Ten trojan wyświetla fałszywe wyniki wyszukiwania w oknie przeglądarki i imituje wiadomości wyskakujące (pop-up) ze stron sieci społecznościowych. Dodatkowo, malware potrafi zamieniać reklamy wyświetlane w różnych zasobach Internetu.

JS.BtcMine.2

JavaScript zaprojektowany do skrytego wydobywania kryptowalut.

Trojan.BPlug

Te wtyczki do popularnych przeglądarek wyświetlają denerwujące reklamy podczas przeglądania stron www przez użytkowników.

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

JS.BtcMine.2

JavaScript zaprojektowany do skrytego wydobywania kryptowalut (program górniczy).

JS.Inject

Rodzina złośliwych skryptów JavaScript, które wstrzykują złośliwy skrypt w kod HTML stron www.

Trojan.Inject

Rodzina złośliwych programów wstrzykujących złośliwy kod w procesy innych programów.

Trojan.Starter.7394

Trojan którego głównym celem jest uruchamianie w zainfekowanym systemie pliku wykonywalnego posiadającego określony zestaw złośliwych funkcji.

Trojan.PWS.Stealer

Rodzina trojanów zaprojektowanych do wykradania haseł i innych poufnych informacji zapisanych na zainfekowanym komputerze.

Trojan.DownLoader

Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.

Statystyki dotyczące złośliwych programów wykrytych w ruchu poczty elektronicznej

Trojan.DownLoader

Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.

JS.Inject

Rodzina złośliwych skryptów JavaScript, które wstrzykują złośliwy skrypt w kod HTML stron www.

JS.DownLoader

Rodzina złośliwych skryptów JavaScript. Pobierają one i instalują na komputerze różne złośliwe oprogramowanie.

VBS.DownLoader

Rodzina złośliwych plików napisanych w formie skryptów VBScript (Visual Basic). Pobierają one i instalują na komputerze różne złośliwe oprogramowanie.

JS.BtcMine.2

JavaScript zaprojektowany do skrytego wydobywania kryptowalut (program górniczy).

Ransomware szyfrujące pliki

W grudniu do wsparcia technicznego Doctor Web najczęściej docierały zgłoszenia pochodzące od ofiar następujących modyfikacji ransomware szyfrującego pliki:

• Trojan.Encoder.858 — 27,29% zgłoszeń;
• Trojan.Encoder.11539 — 12,55% zgłoszeń;
• Trojan.Encoder.3953 — 4,09% zgłoszeń;
• Trojan.Encoder.11464 — 3,41% zgłoszeń;
• Trojan.Encoder.2667 — 2,59% zgłoszeń;
• Trojan.Encoder.567 — 2,05% zgłoszeń.

Niebezpieczne strony www

W grudniu 2017 do bazy Dr.Web dodano 241274 adresów URL niezalecanych stron www.

Malware dla Linuxa

Linux.ProxyM jest znany analitykom wirusów od maja 2017. Jest to dość prosty złośliwy program uruchamiający na zainfekowanym urządzeniu serwer proxy SOCKS. Cyberprzestępcy użyli go do wysłania do 400 wiadomości typu spam z każdego z zainfekowanych hostów I szybko zaczęli dystrybuować phishingowe wiadomości email, w szczególności w imieniu DocuSign, które pozwalało im pracować z dokumentami elektronicznymi. Tym samym cyberprzestępcy pozyskiwali dane konta użytkowników tej aplikacji.

W grudniu, korzystając z serwera proxy zaimplementowanego w trojanie, cyberprzestępcy dokonali licznych prób zhakowania stron www. Używali wstrzyknięć SQL (wstrzykiwania złośliwego kodu SQL w zapytania do bazy danych strony www), XSS (Cross-Site Scripting) — metody ataku wykorzystującej dodawanie złośliwego skryptu do strony www, który następnie był wykonywany na komputerze po otwarciu takiej strony i Local File Inclusion (LFI) — metody ataku pozwalającej cyberprzestępcom na zdalny odczyt plików na zaatakowanym serwerze z użyciem specjalnie wygenerowanych poleceń. Więcej informacji o tym incydencie można znaleźć w przeglądzie opublikowanym przez Doctor Web.

Złośliwe i niepożądane programy dla urządzeń mobilnych

W grudniu wykryto w Google Play trojany bankowe Android.BankBot.243.origin i Android.BankBot.255.origin. Wykradały one poświadczenia logowania do kont klientów organizacji kredytowych. Podobny trojan był również dystrybuowany poza oficjalnym katalogiem z oprogramowaniem dla Androida. Został on nazwany jako Android.Packed.15893. Również w grudniu baza wirusów Dr.Web została uzupełniona o Android.Spy.410.origin, wirusa który szpiegował włoskich użytkowników Androida.

Pośród najbardziej godnych zauważenia wydarzeń grudnia powiązanych z malware dla urządzeń mobilnych możemy wymienić:

• Dystrybucję nowych trojanów bankowych;
• Wykrycie spyware wykradającego poufne informacje.

Dowiedz się więcej o złośliwych i niepożądanych programach dla urządzeń mobilnych z naszego specjalnego przeglądu.

29 grudnia 2017

Doctor Web prezentuje swój przegląd aktywności wirusów dla urządzeń mobilnych w grudniu 2017. W zeszłym miesiącu smartfony i tablety z Androidem były zagrożone atakami nowych trojanów bankowych. Niektóre z nich były dystrybuowane poprzez Google Play. Dodatkowo w grudniu wykryto trojana szpiegującego włoskich użytkowników Androida.

29 grudnia 2017

W ostatnim miesiącu 2017 roku wykryto w Google Play kilka nowych trojanów. Były one ukryte w niegroźnych aplikacjach. Te złośliwe programy to trojany bankowe wykradające poufne informacje od klientów organizacji kredytowych. Z kolei inny “grudniowy” trojan dla Androida stanowił zagrożenie dla posiadaczy urządzeń z tym systemem i był dystrybuowany poza oficjalnym katalogiem oprogramowania. Wykradał on również poświadczenia logowania wymagane do uzyskania dostępu do rekordów konta bankowego. Dodatkowo w zeszłym miesiącu cyberprzestępcy rozpowszechniali złośliwy program szpiegujący włoskich użytkowników Androida.

Mobilne zagrożenie miesiąca

W grudniu do bazy wirusów Dr.Web dodano sygnaturę wirusa Android.Spy.410.origin. Ten trojan szpiegował włoskich posiadaczy urządzeń z Androidem i wykradał poufne informacje. Wysyłał cyberprzestępcom przechwyconą korespondencję z popularnych komunikatorów i aplikacji dla sieci społecznościowych, takich jak Skype, WhatsApp, Telegram, itd. Przechwytywał również wiadomości SMS i połączenia telefoniczne, oraz potrafił także wykradać obrazy zapisane w pamięci zainfekowanego urządzenia mobilnego.

Najpopularniejsze zagrożenia miesiąca na podstawie statystyk zebranych przez Dr.Web dla Androida

Android.HiddenAds.171.origin

Trojan zaprojektowany do wyświetlania niepożądanych reklam na urządzeniach mobilnych.

Android.RemoteCode.71

Trojan pobierający i uruchamiający różne moduły programowe, w tym te złośliwe.

Android.Packed.15893

Trojan wykradający poświadczenia logowania w celu uzyskania dostępu do kont bankowości online.

Android.DownLoader.653.origin

Android.DownLoader.573.origin

Złośliwe programy pobierające inne trojany i niepożądane oprogramowanie.

Adware.Jiubang.2

Adware.Jiubang.1

Adware.Saturn.1.origin

Adware.Adviator.6.origin

Adware.Leadbolt.12.origin

Niepożądane moduły programowe wbudowane w aplikacje dla Androida i zaprojektowane do wyświetlania denerwujących reklam na urządzeniach mobilnych.

Trojany bankowe

W grudniu wykryto w Google Play więcej nowych trojanów bankowych. Zgodnie z klasyfikacją Dr.Web zostały one nazwane jako Android.BankBot.243.origin i Android.BankBot.255.origin. Cyberprzestępcy wstrzykiwali je do niegroźnych programów, więc nie budziły one podejrzeń potencjalnych ofiar. Te trojany przeszukiwały zainfekowane smartfony i tablety pod kątem aplikacji bankowych wykazanych przez cyberprzestępców i wyświetlały fałszywe formularze logowania w celu uzyskania dostępu do konta. W następnym kroku opisywane trojany bankowe wysyłały pozyskane informacje do cyberprzestępców.

Dodatkowo pod koniec miesiąca użytkownicy Androida zostali zaatakowani przez wirusa Android.Packed.15893. Również i on wyświetlał fałszywe okna z żądaniem podania poświadczeń logowania dla bankowości online i wysyłał wszystkie wprowadzane dane do cyberprzestępców.

Trojany bankowe stanowią poważne zagrożenie ponieważ cyberprzestępcy używają ich do wykradania pieniędzy z kont posiadaczy urządzeń mobilnych. Cyberprzestępcy rozpowszechniają te złośliwe programy zarówno poprzez Google Play, jak i inne sklepy z aplikacjami, a także poprzez zhakowane i fałszywe strony www. Aby zabezpieczyć smartfony i tablety z Androidem przed tymi i innymi zagrożeniami, zalecamy użytkownikom zainstalowanie produktów Dr.Web dla Androida.

22 grudnia 2017

Rodzina backdoor’ów Anunak to cała gama złośliwych programów zdolnych do wykonywania na zainfekowanym urządzeniu poleceń cyberprzestępców. Specjaliści ds. bezpieczeństwa Doctor Web przebadali reprezentanta tej rodziny infekującego 64-bitowe wersje Microsoft Windows i szyfrującego wszystkie dane wymieniane z serwerem kontrolno-zarządzającym (serwerem C&C).

Trojan nazwany BackDoor.Anunak.142 wymienia informacje ze swoim serwerem C&C generując zaszyfrowane pakiety danych. Dodatkowo nagłówek każdego pakietu i blok wysyłanych danych są szyfrowane osobno. Ten nowy backdoor potrafi infekować urządzenia działające pod kontrolą 64-bitowych wersji Windows. Istnieje również 32-bitowa modyfikacja tego trojana. Posiada ona numer 124.

BackDoor.Anunak.142 może przeprowadzać na zainfekowanym urządzeniu następujące działania:

• Pobieranie plików z określonego zdalnego serwera;
• Ładowanie plików na zdalny serwer;
• Uruchomienie pliku na zainfekowanym urządzeniu;
• Wykonywanie poleceń w konsoli cmd.exe;
• Przekierowywanie ruchu pomiędzy portami;
• Pobieranie i instalowanie swoich własnych modułów.

Sygnatura BackDoor.Anunak.142 została już dodana do baz wirusów Dr.Web, tym samym ten złośliwy program nie stanowi zagrożenia dla naszych użytkowników.

22 grudnia 2017

Doctor Web ogłasza promocję na produkty dla użytkowników domowych (e-licencje). W promocji biorą udział produkty: Dr.Web Security Space, Dr.Web Antiwirus oraz Dr.Web Mobile Security. Promocja trwa do 31.01.2018r.

Warunki promocji.

Promocją objęte są licencje na produkty: Dr.Web Security Space, Dr.Web Antiwirus, Dr.Web Mobile Security na 1 stację roboczą. W ramach zakupu rocznej licencji klient otrzymuje sześć miesięcy dodatkowej ochrony, czyli za zakup licencji na rok klient otrzymuje licencję na 1,5 roku.

Zamówienia licencji można dokonać poprzez linki wybierając odpowiedni produkt, bądź bezpośrednio poprzez sklep internetowy:

• Dr.Web Security Space
• Dr.Web Antywirus
• Dr.Web Mobile Security

14 grudnia 2017

Rosyjska firma antywirusowa Doctor Web zapewniła darmowe licencje na oprogramowanie Dr.Web instytucjom Czerwonego Krzyża w Meksyku po tragicznym trzęsieniu ziemi we wrześniu 2017.

19 września silne trzęsienie ziemi uderzyło w centralną część Meksyku, powodując wielkie zniszczenia i ofiary w ludziach. Meksykański Czerwony Krzyż był głównym uczestnikiem akcji pomocy po tej katastrofie. Aby zapewnić stabilne działanie infrastruktury informatycznej szpitali i biur organizacji i w celu uniknięcia w tym trudnym czasie incydentów powiązanych z malware, Doctor Web i jego meksykański partner Auditoría y Seguridad Informática zaopatrzyły Czerwony Krzyż w darmowe licencje na Dr.Web Enterprise Security Suite. To oprogramowanie antywirusowe zapewniło bezpieczeństwo całej infrastrukturze i pomogło w ochronie życia i zdrowia ludzi dotkniętych kataklizmem.

"W imieniu Czerwonego Krzyża w Meksyku chciałabym wyrazić naszą głęboką wdzięczność dla Doctor Web za dostarczenie darmowych licencji Dr.Web. Jesteśmy bardzo wdzięczni, w szczególności Menedżerowi d.s. Relacji z Partnerami, Pani Galinie Berdnik i Kierownictwu Doctor Web w Moskwie, za udzielone nam wsparcie operacyjne", napisała Angelly Cabrera, Dyrektor ds. pozyskiwania środków w biurze Czerwonego Krzyża w Meksyku.

"Nowoczesne malware, w szczególności ransomware szyfrujące pliki, może sparaliżować całą sieć w bardzo krótkim czasie. Jeśli tego typu incydent zdarzy się w szpitalu w sytuacji zagrożenia życia i zdrowia pacjentów, to konsekwencje takiego zdarzenia mogą być straszliwe. Dlatego, w ramach naszych możliwości, postaraliśmy się wnieść nasz niewielki wkład i mamy nadzieję, że okazał się on przydatny", powiedziała Galina Berdnik, Menedżer d.s. Relacji z Partnerami w Doctor Web.

14 grudnia 2017

Doctor Web opublikował wersję 10.1 swojej usługi internetowej Dr.Web AV-Desk. Zaktualizowana wersja zawiera liczne ulepszenia, a znane problemy zostały usunięte.

Ulepszenia i nowości w serwerze Dr.Web AV-Desk 10.1:

• Dodano możliwość wyszukiwania hostów na podstawie konta użytkownika;
• Ustawienia Agenta i Ochrony Zapobiegawczej są teraz zlokalizowane w różnych sekcjach Centrum Zarządzania Dr.Web;
• Rekordy Agentów w Sieci antywirusowej mogą być teraz sortowane według różnych kryteriów;
• Od teraz można wyeksportować niektóre dane z drzewa Sieci antywirusowej;
• Od teraz Dziennik zdarzeń Serwera Dr.Web może być konfigurowany poprzez Centrum Zarządzania Dr.Web;
• W przypadku użycia Menedżera Licencji, plik klucza licencyjnego może być automatycznie przypisany do grupy Everyone;
• Harmonogram Serwera Dr.Web wspiera od teraz zadania asynchroniczne. Pojawiła się również możliwość przesyłania zadań z domyślnego harmonogramu;
• Zadania na chronionych hostach mogą być od teraz uruchamiane zgodnie z UTC lub z użyciem lokalnej strefy czasowej danego hosta;
• Administratorzy operujący tylko na określonych grupach nie mogą od teraz zatwierdzać nowych hostów sieci antywirusowej;
• Zmodernizowano procedurę zliczania hostów dla instalatora grupowego;
• Procedury generowania pakietów instalacyjnych dla Linuxa i macOS zostały zaktualizowane w celu zredukowania czasu generowania pakietu i ilości danych przechowywanych w pamięci podręcznej;
• Zoptymalizowano procedury interakcji z bazą danych Serwera Dr.Web;
• Rozmiar zamapowanego w pamięci pliku bazy danych może być od teraz regulowany z poziomu Centrum Zarządzania Dr.Web;
• Zoptymalizowano zapytania Web API pod kątem pracy z administratorami, hostami i grupami hostów;
• Przeprojektowano sekcję z uprawnieniami administratora;
• Grupa podstawowa może być przypisana do hosta w zgodności z zasadami członkostwa;
• Zaktualizowano sekcję Pomocy Centrum Zarządzania Dr.Web.

Rozwiązane problemy serwera Dr.Web AV-Desk 10.1:

• Błąd zezwalający administratorowi o ograniczonych uprawnieniach na przywrócenie poprzedniej wersji oprogramowania serwera z użyciem kopii zapasowej;
• Problem powodujący pojawienie się w tabelach Zagrożenia i Błędy nieprawidłowych informacji o rodzajach błędów i działaniach;
• Problem który mógł wpływać na wydajność Serwera Dr.Web i Centrum Zarządzania Dr.Web jeśli zadania były przetwarzane w trybie wielowątkowym;
• Problem z “kurczeniem się” bazy danych pojawiający się podczas operacji czyszczenia w systemie Windows;
• Błąd który mógł uniemożliwiać zatwierdzenie nowych hostów do łączenia się z Serwerem Dr.Web;
• Problem skutkujący wystąpieniem błędu podczas ładowania i wyładowywania dużych plików w sekcjach Zawartość Repozytorium i Kwarantanna Centrum Zarządzania Dr.Web;
• Błąd pojawiający się podczas określania liczby hostów w sieci antywirusowej jeśli stosowne żądanie zostało wysłane poprzez API Dr.Web — szczególnie gdy dane były przesyłane do Mobilnego Centrum Zarządzania Dr.Web;
• Defekt zakłócający możliwość sprawdzenia statusu baz wirusów na chronionych hostach;
• Problem który mógł skutkować wystąpieniem błędu w sekcji Kwarantanny Centrum Zarządzania Dr.Web.

Zmiany wprowadzone w oprogramowaniu Agenta:

• Agent Dr.Web AV-Desk (11.0.1.12060) i moduł Dr.Web AVD Agent dla Windows ze wsparciem dla Active Directory (11.00.12060) zostały zaktualizowane do wersji zgodnej z bieżącą wersją Serwera.
• Rozwiązano również problem w Dr.Web AV-Desk Proxy (REL-1000-AV 201711250) uniemożliwiający instalację oprogramowania Agenta bez przypisanego ID jeśli serwer proxy był mocno obciążony.

Dostawcy usługi powinni skonsultować się ze specjalistami Doctor Web w celu zaktualizowania ich usługi internetowej. Oprogramowanie Usługi Antywirusowej Dr.Web zostanie zaktualizowane automatycznie.

7 grudnia 2017

Doctor Web opublikował już artykuł na temat trojana Linux.ProxyM zdolnego do infekowania urządzeń typu “smart” z systemem Linux. We wrześniu cyberprzestępcy użyli go do wysyłania wiadomości typu spam, a ostatnio użyli go do hakowania stron www.

Linux.ProxyM to złośliwy program dla Linuxa który uruchamia na zainfekowanym urządzeniu serwer proxy SOCKS. Cyberprzestępcy mogą używać go do anonimowego przeprowadzania destrukcyjnych działań. Znane implementacje tego trojana istnieją dla urządzeń posiadających następujące architektury: x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 i SPARC. Oznacza tom że Linux.ProxyM potrafi zainfekować praktycznie każde urządzenie z systemem Linux, włączając routery, tunery telewizyjne i inny, podobny sprzęt.

We wrześniu analitycy bezpieczeństwa Doctor Web dowiedzieli się o wykorzystaniu przez cyberprzestępców wirusa Linux.ProxyM do wysyłania ponad 400 wiadomości typu spam dziennie z każdego zainfekowanego urządzenia. Te e-maile reklamowały zasoby zawierające treści tylko dla dorosłych i podejrzane usługi finansowe. Wkrótce cyberprzestępcy rozpoczęli używanie urządzeń “Internetu rzeczy” do dystrybucji wiadomości phishingowych. E-maile były prawdopodobnie wysyłane w imieniu DocuSign—usługi pozwalającej użytkownikom na pobieranie, przeglądanie, podpisywanie i śledzenie statusu dokumentów elektronicznych.

Jeśli użytkownik kliknął na link umieszczony w e-mailu, mógł zostać przeniesiony na fałszywą stronę www DocuSign zawierającą formularz autoryzacyjny. Po wprowadzeniu hasła, ofiara mogła być przekierowana na prawdziwą stronę autoryzacyjną DocuSign, a zawartość z formularza phishingowego była wysyłana do cyberprzestępców.

W grudniu cyberprzestępcy wykryli kolejne zastosowanie dla urządzeń zainfekowanych przez Linux.ProxyM: użyli serwera proxy uruchomionego przez trojana do zapewnienia sobie anonimowości i przeprowadzili liczne próby hakowania stron www. Cyberprzestępcy używali różnych metod hakowania. Były to wstrzykiwania SQL (wstrzyknięcie złośliwego kodu SQL w zapytanie do bazy danych strony www), XSS (Cross-Site Scripting)—metoda ataku polegająca na dodaniu złośliwego skryptu do strony www, który jest następnie wykonywany na komputerze, na którym otworzono tą stronę www i Local File Inclusion (LFI). Ten rodzaj ataku pozwala agresorom na zdalne odczytywanie plików na zaatakowanym serwerze z użyciem specjalnie utworzonych poleceń. Pośród zaatakowanych stron www znalazły się serwery gier, fora i zasoby dotyczące innej tematyki, włączając rosyjskie strony www.

Analitycy bezpieczeństwa Doctor Web kontynuują monitorowanie aktywności botnetu wirusa Linux.ProxyM. Poniższy diagram prezentuje liczbę zarejestrowanych ataków tego trojana.

Jakkolwiek Linux.ProxyM posiada tylko jedną funkcję—serwer proxy—cyberprzestępcy kontynuują poszukiwania nowych możliwości użycia go do nielegalnych działań i wykazują rosnące zainteresowanie “Internetem rzeczy”.

Więcej na temat tego trojana

30 listopada 2017

W listopadzie specjaliści Doctor Web przeanalizowali nowego reprezentanta rodziny trojanów bankowych Trojan.Gozi. W odróżnieniu od swoich poprzedników, nowy trojan w całości składa się z zestawu modułów i nie posiada już mechanizmu służącego do generowania nazw domenowych serwera zarządzającego. Adresy serwera są teraz zakodowane bezpośrednio w konfiguracji złośliwego programu.

Również w listopadzie wykryto nowego backdoora dla Linuxa i kilka „oszukańczych” stron www. Cyberprzestępcy używali tych stron www do wyłudzania pieniędzy od użytkowników Internetu w imieniu nieistniejącego funduszu publicznego.

Zagrożenie miesiąca

Rodzina trojanów bankowych Gozi jest dobrze znana analitykom bezpieczeństwa: jeden z jej reprezentantów jest sławny z przyczyny użycia pliku tekstowego pobranego z serwera NASA jako słownika do generowania adresów serwera zarządzającego. Nowa wersja trojana bankowego nazwana Trojan.Gozi.64, potrafi infekować komputery działające w 32- i 64-bitowych wersjach Windows 7 i nowszych systemów Microsoftu. Ten złośliwy program nie działa na wcześniejszych wersjach Windows.

Głównym celem wirusa Trojan.Gozi.64 jest dokonywanie wstrzyknięć kodu w strony www, co oznacza, że potrafi on wstrzykiwać samodzielną zawartość w strony www aktualnie przeglądane przez użytkowników— na przykład, fałszywe formularze autoryzacyjne na stronach www banków i w systemach bankowości online.

Dodatkowo, z przyczyny faktu, że modyfikacja strony www jest dokonywana bezpośrednio na zainfekowanym komputerze, URL zaatakowanej strony www widoczny w pasku adresowym przeglądarki pozostaje nietknięty. Może to zapobiec zorientowaniu się użytkownika w tym, że coś jest nie w porządku. Wszystkie dane, które użytkownik wprowadzi do fałszywego formularza, są wysyłane do cyberprzestępców, co skutkuje możliwym naruszeniem stanu i bezpieczeństwa konta ofiary trojana.

Aby uzyskać więcej informacji na temat działania Trojan.Gozi.64 I jego procedur operacyjnych, zajrzyj do tego artykułu na naszej stronie www.

Najpopularniejsze zagrożenia na podstawie statystyk z Antywirusa Dr.Web

Trojan.DownLoader

Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.

Trojan.Starter.7394

Trojan którego głównym celem jest uruchamianie w zainfekowanym systemie pliku wykonywalnego posiadającego określony zestaw złośliwych funkcji.

Trojan.Encoder.11432

Wielokomponentowy robak sieciowy znany jako WannaCry. Potrafi infekować komputery pracujące pod kontrolą Microsoft Windows bez żadnego udziału użytkownika. Malware szyfruje pliki na zainfekowanym komputerze i żąda okupu. Pliki testowe i pozostałe pliki na dysku są odszyfrowywane z użyciem różnych kluczy, tym samym nie ma gwarancji, że dane zmienione przez enkoder będą mogły być z powodzeniem przywrócone, nawet jeśli okup zostanie zapłacony.

Trojan.Zadved

Ten trojan wyświetla fałszywe wyniki wyszukiwania w oknie przeglądarki i imituje wiadomości wyskakujące (pop-up) ze stron sieci społecznościowych. Dodatkowo, malware potrafi zamieniać reklamy wyświetlane w różnych zasobach Internetu.

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

Trojan.DownLoader25.54584, Trojan.DownLoad3.46852

Reprezentanci rodzin trojanów zaprojektowanych do pobierania na zaatakowany komputer innego malware.

JS.Inject

Rodzina złośliwych skryptów JavaScript, które wstrzykują złośliwy skrypt w kod HTML stron www.

Trojan.Inject

Rodzina złośliwych programów wstrzykujących złośliwy kod w procesy innych programów.

PowerShell.DownLoader

Rodzina złośliwych plików napisanych jako skrypty PowerShell i zaprojektowanych do pobierania i instalowania na komputerze innych złośliwych programów.

Statystyki dotyczące złośliwych programów wykrytych w ruchu poczty elektronicznej

Trojan.DownLoader

Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.

PowerShell.DownLoader

Rodzina złośliwych plików napisanych jako skrypty PowerShell i zaprojektowanych do pobierania i instalowania na komputerze innych złośliwych programów.

JS.Inject

Rodzina złośliwych skryptów JavaScript, które wstrzykują złośliwy skrypt w kod HTML stron www.

Trojan.Inject

Rodzina złośliwych programów wstrzykujących złośliwy kod w procesy innych programów.

Najpopularniejsze zagrożenia na podstawie danych z Bota Dr.Web dla aplikacji Telegram

Android.HiddenAds.200.origin

Trojan zaprojektowany do wyświetlania reklam. Jest dystrybuowany pod płaszczykiem popularnych aplikacji przez inne złośliwe programy, które w niektórych przypadkach w skrycie instalują go w katalogu systemowym.

Android.Locker

Rodzina trojanów ransomware dla Androida. Potrafią one zablokować urządzenie po wyświetleniu na ekranie ostrzeżenia zarzucającego jego posiadaczowi dokonanie czynów kolidujących z prawem. Aby odblokować urządzenie, jego właściciel musi zapłacić okup.

Android.Spy.337.origin

Rodzina trojanów ransomware dla Androida. Potrafią one zablokować urządzenie po wyświetleniu na ekranie ostrzeżenia zarzucającego jego posiadaczowi dokonanie czynów kolidujących z prawem. Aby odblokować urządzenie, jego właściciel musi zapłacić okup.

Joke.Locker.1.origin

Program-żart dla Androida blokujący ekran urządzenia i wyświetlający na nim “niebieski ekran śmierci” systemu Windows (BSOD – Blue Screen of Death).

Ransomware szyfrujące pliki

W listopadzie do wsparcia technicznego Doctor Web najczęściej docierały zgłoszenia pochodzące od ofiar następujących modyfikacji ransomware szyfrującego pliki:

• Trojan.Encoder.3953 — 17,88% zgłoszeń;
• Trojan.Encoder.858 — 8,39% zgłoszeń;
• Trojan.Encoder.11539 — 6,39% zgłoszeń;
• Trojan.Encoder.567 — 5,66% zgłoszeń;
• Trojan.Encoder.3976 — 2,37% zgłoszeń;
• Trojan.Encoder.761 — 2,37% zgłoszeń.

Niebezpieczne strony www

W listopadzie 2017 do bazy Dr.Web dodano 331895 adresów URL niezalecanych stron www.

W listopadzie Doctor Web opisał nowy, złośliwy schemat, który rozpowszechnił się w rosyjskim segmencie Internetu. Cyberprzestępcy rozsyłali wiadomości typu spam z linkiem do strony www rzekomo należącej do pewnego “Międzyregionalnego funduszu rozwoju społecznego”. Odwołując się do nieistniejącego Dekretu Rządu Federacji Rosyjskiej, cyberprzestępcy oferowali odwiedzającym stronę możliwość sprawdzenia, czy przysługują im jakieś należności od różnych firm ubezpieczeniowych. W tym celu odwiedzający musieli podać numer swojej osobistej polisy ubezpieczeniowej (SNILS) lub numer paszportu. Niezależnie od tego, jakie dane zostały wprowadzone przez ofiary (mogła to być dowolna sekwencja cyfr), to otrzymywały one wiadomość mówiącą o tym, że przyznano im płatności z tytułu ubezpieczenia w dość dużej sumie—kilkaset rubli. Jednakże, za wycofanie tych oszczędności, cyberprzestępcy żądali niewielkiej wpłaty.

Analitycy wirusów wykryli wiele innych fałszywych projektów na serwerach zawierających strony www “Międzyregionalnego funduszu rozwoju społecznego”. Aby uzyskać więcej szczegółów na ten temat, proszę zajrzyj do przeglądu na naszej stronie www.

Malware dla Linuxa

Pod koniec listopada analitycy bezpieczeństwa Doctor Web przeanalizowali nowego backdoora dla Linuxa nazwanego Linux.BackDoor.Hook.1.Trojan ten potrafi pobierać pliki wskazane w poleceniu otrzymanym od cyberprzestępców, uruchamiać aplikacje, lub łączyć się z określonym zdalnym hostem. Wszystkie funkcjonalności Linux.BackDoor.Hook.1 zostały opisane w naszym przeglądzie.

Złośliwe i niepożądane programy dla urządzeń mobilnych

W listopadzie analitycy bezpieczeństwa Doctor Web wykryli w Google Play trojana Android.RemoteCode.106.origin. Trojan ten pobiera dodatkowe złośliwe moduły ładujące strony www i naciskające na reklamy i linki. Dodatkowo w tym katalogu wykryto złośliwe programy z rodziny Android.SmsSend. Trojan ten pobiera dodatkowe złośliwe moduły ładujące strony www i naciskające na reklamy i linki. Dodatkowo w tym katalogu wykryto złośliwe programy z rodziny Android.CoinMine.3. Używał on zainfekowanych urządzeń mobilnych do pozyskiwania kryptowaluty Monero. Co więcej, w Google Play wykryto też dużą liczbę trojanów bankowych z rodziny Android.Banker. Trojany te zostały zaprojektowane do wykradania prywatnych wiadomości użytkownika i pieniędzy z kont bankowych należących do użytkownika urządzenia z Androidem.

Pośród najbardziej godnych uwagi wydarzeń listopada powiązanych z mobilnym malware możemy wymienić:

• wykrycie dużej liczby trojanów w Google Play.

Dowiedz się więcej na temat złośliwych i niepożądanych programów dla urządzeń mobilnych z naszego specjalnego przeglądu.

30 listopada 2017

Doctor Web prezentuje swój przegląd aktywności wirusów mobilnych w listopadzie 2017. W zeszłym miesiącu analitycy bezpieczeństwa Doctor Web wykryli trojana w Google Play. Trojan ten ładował strony www i naciskał na reklamy i linki. Dodatkowo, specjaliści wykryli złośliwy program, który wykorzystywał zainfekowane urządzenia mobilne do wydobywania kryptowaluty. Poza tym wykryto dystrybucję trojanów bankowych dla Androida i trojanów SMS, która miała miejsce również z wykorzystaniem Google Play.

30 listopada 2017

W listopadzie wykryto w Google Play wiele nowych złośliwych aplikacji.

Na początku listopada specjaliści d/s bezpieczeństwa wykryli trojana górniczego wykorzystującego moc obliczeniową urządzeń mobilnych do wydobywania kryptowaluty. Później specjaliści wykryli trojany SMS zapisujące użytkowników do płatnych usług. W połowie listopada specjaliści Doctor Web wykryli złośliwy program, który pobierał dodatkowe moduły trojana. Te moduły ładowały strony www i naciskały na reklamy i linki. Oprócz tego w Google Play rozprzestrzeniał się trojan zaprojektowany do pobierania różnych aplikacji. Co więcej, w tym katalogu wykryto również nowe trojany bankowe. Te wykryte tym razem były zaprojektowane do wykradania prywatnych informacji i pieniędzy z kont bankowych użytkowników.

Mobilne zagrożenie miesiąca

W listopadzie specjaliści d/s bezpieczeństwa Doctor Web wykryli w Google Play dziewięć aplikacji zawierających trojana Android.RemoteCode.106.origin. Sumarycznie te aplikacje zostały pobrane co najmniej 2370000 razy. Tuż po uruchomieniu, Android.RemoteCode.106.origin pobiera i uruchamia dodatkowe złośliwe moduły. Są one używane do automatycznego ładowania stron www określonych przez serwer zarządzający i naciskania bannerów reklamowych oraz linków w przeglądanych stronach www. Aby uzyskać więcej szczegółów o Android.RemoteCode.106.origin, zajrzyj do artykułu na naszej stronie www.

Najpopularniejsze zagrożenia na podstawie statystyk zabranych przez Dr.Web dla Androida

Android.HiddenAds.238

Trojany zaprojektowane do wyświetlania na urządzeniach mobilnych niechcianych reklam.

Android.Triada.63

Android.Triada.152

Trojan realizujący różne złośliwe funkcje.

Android.DownLoader.653.origin

Trojan pobierający inne złośliwe programy.

Android.Click.171.origin

Trojan, który okresowo odwołuje się do określonych stron www i może być używany do zwiększania ich popularności i śledzenia linków reklamowych.

Adware.Jiubang.2

Adware.Jiubang.1

Adware.Adviator.6.origin

Adware.Airpush.31.origin

Adware.SalmonAds.1.origin

Niepożądane moduły programowe wbudowane w aplikacje dla Androida i zaprojektowane do wyświetlania denerwujących reklam na urządzeniach mobilnych.

Trojan górniczy

Na początku listopada wykryto w Google Play trojana Android.CoinMine.3. Używa on mocy obliczeniowej urządzeń mobilnych z Androidem do wydobywania kryptowaluty Monero. To malware ukrywało się w aplikacji nazwanej XCOOEEP, zaprojektowanej do dostępu do czatu on line o nazwie Club Cooee.

W oknie WebView, niewidocznym dla użytkownika, Android.CoinMine.3 ładuje stronę www zawierającą skrypt górniczy uruchamiany automatycznie. Intensywny proces wydobywczy może powodować odczuwalne zmniejszenie wydajności i przegrzewanie się zainfekowanych urządzeń mobilnych, a ich baterie będą rozładowywane w o wiele szybszym tempie.

Trojany SMS

W zeszłym miesiącu pomiędzy różnymi złośliwymi aplikacjami wykryto kilka trojanów SMS dystrybuowanych poprzez Google Play. Były one wbudowane w aplikacje Secret Notepad, Delicate Keyblard i Super Emotion i wykrywane przez Dr.Web jako Android.SmsSend.23371, Android.SmsSend.23373 i Android.SmsSend.23374. Te złośliwe programy próbują wysyłać kosztowne wiadomości i zapisywać numery użytkowników do niepożądanych usług.

Trojan typu downloader

W listopadzie wykryto w Google Play nową wersję trojana Android.DownLoader.658.origin. Zarządzany przez cyberprzestępców, oferuje użytkownikom urządzeń mobilnych możliwość pobrania i instalacji różnych aplikacji. Może również niezależnie pobierać oprogramowanie. Cechy Android.DownLoader.658.origin to:

• wbudowany w niegroźne aplikacje;
• aktywuje złośliwe funkcjonalności tylko jeśli spełnione jest kilka warunków (na przykład, jeśli nie został uruchomiony w emulatorze lub gdy funkcje dla deweloperów w urządzeniu mobilnym są wyłączone);
• wyświetla powiadomienia proponujące użytkownikom pobranie i zainstalowanie kilku programów;
• aby zapobiec wykryciu i analizie kodu, autorzy trojana użyli specjalnego programu pakującego, wykrywanego przez Dr. Web jako Android.Packed.1.

Trojany bankowe

W zeszłym miesiącu wykryto w Google Play trojana Android.Banker.202.origin. Był on ukryty w niegroźnych aplikacjach. Uruchomiony wypakowywał kilka złośliwych komponentów z swojego folderu z zasobami i uruchamiał złośliwy program Android.Banker.1426. Ten trojan pobierał z serwera zarządzającego trojana bankowego dla Androida z rodziny Android.BankBot. Z kolei ten złośliwy program został zaprojektowany do wykradania loginów, poświadczeń i innych poufnych informacji.

Podobny schemat został użyty w wielu trojanach z rodziny Android.Banker, które również zostały wykryte w listopadzie w katalogu Google Play. Rozpakowywały one i uruchamiały ukryty złośliwy komponent, który również mógł wypakowywać zasoby ze swojego pliku i uruchamiać komponent innego trojana. Z kolei ten drugi trojan pobierał jednego z trojanów bankowych ze zdalnej lokacji i próbował go zainstalować.

Wykrycie dużej liczby złośliwych aplikacji w Google Play wskazuje, że cyberprzestępcy wciąż szukają nowych sposobów ominięcia mechanizmów ochronnych tego serwisu. Doctor Web zaleca posiadaczom smartfonów i tabletów zainstalowanie Dr.Web dla Androida w celu ochrony ich urządzeń mobilnych przed trojanami i innymi niepożądanymi programami.

30 listopada 2017

Doctor Web prezentuje swój przegląd aktywności wirusów w listopadzie 2017. W listopadzie analitycy bezpieczeństwa Doctor Web przebadali kolejnego reprezentanta rodziny trojanów bankowych Gozi, wykryli backdoora dla maszyn z systemem Linux i odkryli fałszywe strony www używane przez cyberprzestępców do oszukiwania użytkowników Internetu.

24 listopada 2017

Trojany zaprojektowane do wykradania pieniędzy z kont bankowych stanowią poważne zagrożenie. Ponieważ trojany bankowe są zazwyczaj dość złożonymi, wielokomponentowymi złośliwymi programami, to nie pojawiają się zbyt często. Specjaliści Doctor Web przebadali nową wersję złośliwego programu z dobrze znanej rodziny Trojan.Gozi.

Nowy trojan bankowy nazwany Trojan.Gozi.64, jest oparty na kodzie źródłowym poprzedniej wersji Trojan.Gozi; której kod został upubliczniony dość dawno temu. Tak jak inni reprezentanci tej rodziny, Trojan.Gozi.64 potrafi infekować komputery pracujące w 32- i 64-bitowych wersjach Windows. Trojan posiada modułową architekturę, jednakże w odróżnieniu od poprzednich modyfikacji, w całości składa się z oddzielnie pobieranych wtyczek. Trojan.Gozi.64 nie posiada również algorytmów do generowania serwerów zarządzających. Adresy serwera są zakodowane w jego konfiguracji, natomiast jako słownika, jedna z pierwszych wersji Gozi używa pliku tekstowego pobranego z serwera NASA.

Twórcy trojana wbudowali ograniczenie w złośliwym programie które pozwala mu na działanie w Microsoft Windows 7 i nowszych. Złośliwy program nie działa na wcześniejszych wersjach Windows. Dodatkowe moduły są pobierane z serwera kontrolno-zarządzającego z użyciem specjalnej biblioteki ładującej. Dodatkowo, protokół wymiany danych wirusa używa szyfrowania. Program ładujący wirusa Trojan.Gozi.64 potrafi wykonywać na zainfekowanej maszynie następujące złośliwe funkcje:

• Sprawdzanie dostępności aktualizacji trojana;
• Pobieranie ze zdalnego serwera wtyczek dla przeglądarek używanych do wstrzykiwania kodu w strony www;
• Pobieranie ze zdalnego serwera konfiguracji dla operacji wstrzykiwania kodu w strony www;
• Pozyskiwanie osobistych zadań, włączając te wymagające pobierania dodatkowych wtyczek;
• Zdalne zarządzanie komputerem.

W celu przeprowadzania wstrzyknięć kodu w strony www, Trojan.Gozi.64 używa swojej własnej konfigurowalnej wtyczki. Na chwilę obecną nasi analitycy bezpieczeństwa posiadają wiedzę o istnieniu wtyczek dla Microsoft Internet Explorer, Microsoft Edge, Google Chrome i Mozilla Firefox. Gdy zainstaluje ona stosowny moduł, trojan odbiera z serwera kontrolno-zarządzającego archiwum ZIP zawierające konfigurację dla operacji wstrzykiwania kodu w strony www. W rezultacie, Trojan.Gozi.64 potrafi wstrzykiwać niezależny kontent w strony www przeglądane przez użytkownika. Ten kontent potrafi, na przykład, działać jako fałszywy formularze autoryzacyjne na stronach www banków i systemów bankowości on-line. Dodatkowo, z przyczyny faktu, że ta modyfikacja strony www jest dokonywana bezpośrednio na zainfekowanym komputerze, to URL zmienionej strony www widoczny w pasku adresowym przeglądarki pozostaje nietknięty, coś, co mogłoby powstrzymać użytkownika przed realizowaniem pewnych kroków tu nie występuje. Wszystkie dane wprowadzane przez użytkownika w fałszywym formularzu są wysyłane do cyberprzestępców, co skutkuje naruszeniem bezpieczeństwa konta bankowego ofiary trojana.

Co więcej, na zainfekowanym komputerze mogą być pobierane i instalowane dodatkowe moduły; te moduły mogą zawierać wtyczkę keylogger’a, moduł do zdalnego dostępu do zainfekowanej maszyny (VNC), komponent serwera proxy SOCKS, wtyczkę do wykradania danych autoryzacyjnych z klientów poczty i parę innych.

Sygnatury trojana bankowego Trojan.Gozi.64 i jego modułów zostały dodane do bazy wirusów Dr.Web I tym samym nie stanowią one zagrożenia dla komputerów chronionych przez programy Dr.Web.

22 listopada 2017

Oszuści wciąż szukają nowych sposobów oszukiwania łatwowiernych użytkowników Internetu. W zeszłym tygodniu cyberprzestępcy byli zajęci wysyłaniem wiadomości typu spam oferujących ludziom możliwość otrzymania nieistniejących płatności z firm ubezpieczeniowych i dodatkowych środków do budżetu. Specjaliści Doctor Web szczegółowo przebadali ten złośliwy schemat i w trakcie tych prac wykryli kilka powiązanych z nim zagrożeń.

Wiadomości email wysyłane przez cyberprzestępców stanowią, co następuje:

“Dzień Dobry. Zdecydowałem się napisać do Ciebie ponieważ przypadkowo dowiedziałem się o Twojej delikatnej sytuacji finansowej. Doświadczyłem tych samych problemów, jednakże udało mi się ich uniknąć z użyciem pewnego, niezbyt oczywistego, rozwiązania. Ta nieoczywistość nie wynika ze złożoności tego rozwiązania (wprost przeciwnie, nie ma w nim nic skomplikowanego). Jest ono tylko trudne do znalezienia. Z łatwością podzielę się z Tobą wiedzą na jego temat i nie będę oczekiwał za to żadnej gratyfikacji. Skorzystaj z niej. Mam nadzieję, że to pomoże Ci w trudnej sytuacji, tak jak pomogło mnie. Moje rozwiązanie Twoich problemów znajdziesz tutaj.
Wszystkiego najlepszego!”

Link w wiadomości e-mail prowadzi do strony www która rzekomo jest własnością “Międzyregionalnego funduszu rozwoju społecznego”. Cyberprzestępcy używając tej strony odwoływali się do nieistniejącego Dekretu Rządu Federacji Rosyjskiej o numerze 192n. Ten “fundusz rozwoju nie-wiadomo-czego” zapewniał odwiedzających stronę, że wszyscy obywatele Federacji Rosyjskiej, a nawet obcokrajowcy tymczasowo przebywający na terenie Federacji Rosyjskiej są uprawnieni do otrzymywania wypłat z prywatnych funduszy ubezpieczeniowych, które to organizacje ukrywają posiadane środki przed obywatelami. W celu zweryfikowania jaka suma przysługuje danemu obywatelowi, cyberprzestępcy proszą ufnych mieszkańców o wprowadzenie numeru osobistej polisy ubezpieczeniowej (SNILS) lub numeru paszportu do odpowiedniego formularza.

Nie ma znaczenia jaki rodzaj danych jest wpisywany przez ofiary (może to być dowolna sekwencja cyfr), ale w odpowiedzi otrzymają oni wiadomość mówiącą o tym, że została im przyznana płatność z tytułu ubezpieczenia opiewająca na całkiem sporą kwotę—kilkaset rubli.

Jednakże, aby wypłacić te oszczędności, cyberprzestępcy żądają opłaty za “dostęp do baz danych”; żądana kwota nie jest wielka w zestawieniu z wypłatą z tytułu ubezpieczenia. Jeśli ufna osoba odwiedzająca stronę www zapłaci cyberprzestępcom, to w zamian, rzecz jasna, nie dostanie żadnych pieniędzy.

Przedstawiciele Funduszu Emerytalnego Federacji Rosyjskiej wystosowali już oświadczenie prasowe mówiące o tym, że te schematy działania są oszustwem. Organizacja ta opublikowała notkę mówiącą, że: “Fundusz Emerytalny prosi Cię o zignorowanie tych stron www i o zachowanie ostrożności podczas udostępniania swoich danych osobistych. Powinieneś zaufać tylko informacjom pochodzącym od Funduszu Emerytalnego, które otrzymałeś w ramach Twojego osobistego konta na stronie www Funduszu, w aplikacji mobilnej Funduszu Emerytalnego i na stronie www usług rządowych”. Chcemy przypomnieć, że strona www Funduszu Emerytalnego znajduje się pod adresem pfrf.ru.

Specjaliści Doctor Web wykryli kilka serwerów lustrzanych “Międzyregionalnego funduszu rozwoju społecznego” i więcej niż kilkanaście domen zarejestrowanych przez autorów tego oszukańczego schematu. Wiele z tych domen zawiera skrót “snils”. Możliwe jest, że cyberprzestępcy planowali użycie wskazanych adresów do przyszłego oszukiwania użytkowników. Co więcej, na tych serwerach, zawierających strony www “Międzyregionalnego funduszu rozwoju społecznego”, nasi analitycy wirusów wykryli wiele innych złośliwych projektów, zaczynając od sprzedaży podejrzanych medykamentów do wróżb z kart tarota. W szczególności, pośród tych projektów wykryto “Usługę Royal Point”, która rzekomo gwarantowała swoim uczestnikom dochód ze sprzedaży pewnych “Punktów”. Znajdowała się tam również strona www oferująca odwiedzającym okazję do zarobienia 100.000 rubli dziennie za sprzedawanie domen, których termin delegacji zbliżał się ku końcowi.

“Na tej stronie www nie znajdziesz oszustw i nonsensownych treści”,—takie jest oświadczenie cyberprzestępców, mimo że ich strona www nie zawiera nic więcej, poza najprawdziwszymi oszustwami, fałszywą stroną www i bezsensownymi treściami.

Jeszcze jeden rodzaj oszustwa, który stał się ostatnio coraz to bardziej popularnym, jest powiązany z zamieszaniem wokół kryptowalut i technologii block chain. Cyberprzestępcy oferują użytkownikom możliwość “wynajęcia zasobów ich komputera” do wydobywania kryptowalut i, jeśli użytkownik rozpocznie te działania, zarabiania kilku bitcoinów w ciągu paru minut. Oczywiście, we wszystkich wymienionych wyżej przypadkach, aby ludzie mogli otrzymać pieniądze które „zarobili”, muszą wpłacić zadatek cyberprzestępcom. Gdy ofiara dokona tej płatności, to nigdy nie otrzyma obiecanych profitów.

Analitycy bezpieczeństwa Doctor Web dodali wszystkie wykryte adresy fałszywych zasobów internetowych do baz danych Kontroli Rodzicielskiej z niezalecanymi stronami www. Jednakże jeszcze raz chcemy przypomnieć naszym użytkownikom, że nie powinni ufać cyberprzestępcom obiecującym im otrzymanie płatności w imieniu dowolnych funduszy socjalnych i organizacji, oraz osiąganie fantastycznych dochodów bez żadnego wysiłku.

20 listopada 2017

Specjaliści Doctor Web wykryli nowego backdoora dla Linuxa, będącego bezpośrednim dowodem na to, że cyberprzestępcy utrzymują swoje zainteresowanie systemami operacyjnymi z rodziny Linux.

Trojan, nazwany Linux.BackDoor.Hook.1, został wykryty przez naszych analityków bezpieczeństwa w bibliotece libz, używanej przez kilka programów do kompresji i rozpakowywania plików. Działa on tylko razem z plikami binarnymi zapewniającymi przesyłanie danych poprzez protokół SSH. Cyberprzestępcy używają wysoce niespotykanej metody łączenia się z backdoorem: w odróżnieniu od innych podobnych programów, Linux.BackDoor.Hook.1 nie używa aktualnie otwartego gniazda. Zamiast tego wykorzystuje pierwsze otwarte gniazdo z 1024 dostępnych, a pozostałe 1023 zamyka.

Backdoor Linux.BackDoor.Hook.1 potrafi pobierać pliki wskazane w poleceniu otrzymanym od cyberprzestępców, uruchamiać aplikacje, lub łączyć się z określonym zdalnym hostem. Ten trojan nie stanowi zagrożenia dla naszych użytkowników. Jego sygnatura została już dodana do bazy Antywirusa Dr.Web dla Linuxa.

Więcej na temat tego trojana