6 lipca 2017

Rosyjska firma antywirusowa Doctor Web zaktualizowała komponent Aktualizatora Dr.Web (11.0.26.06260), Dr.Web Control Service (11.0.16.06200 i 11.0.14.06070) oraz SpIDer Agent dla Windows 11.0.14.06290) w paru produktach Dr.Web. Aktualizacja rozwiązuje znane problemy z oprogramowaniem.

Zmiany wprowadzone w module aktualizacyjnym dla wszystkich produktów:

• Zoptymalizowano procedury aktualizacyjne.

Zmiany wprowadzone w module aktualizacyjnym mające wpływ na Dr.Web Enterprise Security Suite:

• Wyeliminowano problem mogący spowodować wzrost ruchu podczas odbierania aktualizacji multikastowych dla hosta.

Zmiany wprowadzone w Dr.Web Control Service dla Dr.Web Security Space, Antywirusa Dr.Web, Dr.Web dla Serwerów Windows i Dr.Web Enterprise Security Suite:

• Poprawiono integrację z Windows Security Center (Centrum Akcji);
• Usunięto również problem polegający na ignorowaniu ustawień działań SpIDer Guard podczas unieszkodliwiania potencjalnie niebezpiecznego pliku.

Zmiany wprowadzone w Dr.Web Control Service dla Dr.Web Enterprise Security Suite i Dr.Web AV-Desk:

• Aktualizacja usuwa problem uniemożliwiający odbieranie aktualizacji przez niektóre hosty, jeśli polecenie aktualizacji wszystkich komponentów zostało wydane z poziomu konsoli;
• Rozwiązano również problem uniemożliwiający wysłanie przez hosta informacji o uruchomionych zaplanowanych zadaniach, po ponownym zestawieniu połączenia z serwerem.

Zmiany wprowadzone w agencie dla Dr.Web Security Space, Antywirusa Dr.Web, Dr.Web dla Serwerów Windows, Dr.Web Enterprise Security Suite i Dr.Web AV-Desk:

• Od teraz tylko czyste pliki są przywracane po ponownym przeskanowaniu wielu elemenów w kwarantannie.

Zmiany wprowadzone w agencie Dr.Web Enterprise Security Suite:

• Wyeliminowano problem zakłócający zmianę z poziomu konsoli ustawień języka na serwerze.

Aktualizacja zostanie pobrania i zainstalowana automatycznie.

5 lipca 2017

Specjaliści Doctor Web wykryli w Google Play grę, która zawiera trojana typu downloader. Ta złośliwa aplikacja może w skrycie pobierać, instalować i uruchamiać inne oprogramowanie. Na chwilę obecną trojan został pobrany przez ponad milion posiadaczy urządzeń mobilnych.

Ta złośliwa aplikacja, nazwana Android.DownLoader.558.origin, została osadzona w popularnej grze BlazBlue, która została już pobrana przez ponad milion użytkowników. Ten trojan jest częścią specjalnego pakietu oprogramowania (SDK, Software Development Kit) nazwanego Excelliance, zaprojekowanego do skomputeryzowania i uproszczenia aktualizacji programów w Androidzie.

W przeciwieństwie do standardowej procedury aktualizacji, gdy stara wersja aplikacji jest całkowicie zamieniana na nową, SDK wskazane powyżej zezwala na oddzielne pobranie wymaganych komponentów bez ponownego instalowania całego pakietu oprogramowania. Pozwala to twórcom programów na utrzymanie bieżącej wersji oprogramowania zainstalowanego na urządzeniu mobilnym nawet w sytuacji, gdy użytkownicy nie śledzą pojawiania się nowych wersji. Jednakże Excelliance działa jako program ładujący dla trojana, ponieważ może on ładować i uruchamiać niesprawdzone komponenty aplikacji. Ta metoda aktualizacji narusza reguły Google Play ponieważ jest niebezpieczna.

Android.DownLoader.558.origin rozpoczyna swoją pracę po wstępnym uruchomieniu programu lub gry w której został osadzony. Trojan, równolegle z innymi elementami aplikacji, jest wypakowywany z katalogu z jej zasobami i jest odszyfrowywany. Następnie ładuje się on za każdym razem, gdy urządzenie mobilne łączy się z Internetem, nawet jeśli użytkownik nigdy więcej nie uruchomi już zainfekowanej aplikacji.

Moduł trojana śledzi aktywność sieciową i próbuje połączyć się ze swoim serwerem kontrolno-zarządzającym. W zależności od ustawień serwera, Android.DownLoader.558.origin może otrzymać polecenie pobrania innego komponentu programu. Na przykład, w przypadku gry BlazBlue, moduł ten oferuje pobranie brakujących plików i aktualizacji, jeśli takowe są dostępne.

Oprócz dodatkowych zasobów i aktualizacji aplikacji, Android.DownLoader.558.origin może pobierać oddzielne pliki APK, DEX i ELF. Co więcej, w niektórych przypadkach te pliki mogą być uruchamiane bez wiedzy użytkownika. Na przykład, kod pobranych plików DEX jest wykonywany automatycznie i nie wymaga żadnych działań ze strony posiadacza urządzenia mobilnego.

Do chwili obecnej podczas instalacji pobranych plików APK, użytkownik widzi standardowe okienko dialogowe, jednakże jeśli Android.DownLoader.558.origin posiada dostęp do systemu na poziomie root’a, to może instalować je niepostrzeżenie. Ta cecha jest głównym niebezpieczeństwem czyhającym ze strony SDK Excelliance. W każdym momencie jej autorzy mogą wydać polecenie załadowania obiektu nie mającego nic wspólnego z główną aplikacją, na przykład modułu reklamowego, programów firm trzecich, a nawet innych trojanów, które mogą być pobrane spoza Google Play i uruchomione bez monitu o udzielenie uprawnień.

Specjaliści Doctor Web poinformowali Google o niebezpiecznym zachowaniu się komponentu trojana w SDK użytym w grze BlazBlue, jednakże na chwilę opublikowania tego artykułu, wersja gry zawierająca Android.DownLoader.558.origin była wciąż dostępna do pobrania z Google Play.

Aplikacje zawierające tego trojana są z powodzeniem wykrywane przez produkty antywirusowe Dr.Web dla Androida jako Android.RemoteCode.81.origin; tym samym to oprogramowanie nie stanowi żadnego zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

4 lipca 2017

Analitycy bezpieczeństwa Doctor Web przebadali moduł do przeprowadzania aktualizacji M.E.Doc i wykryli, że jest odpowiedzialny za dystrybucję przynajmniej jednego innego złośliwego programu. Możesz pamiętać, że niezależni badacze wskazali w szczególności ten moduł aktualizacyjny M.E.Doc jako źródło ostatniego wybuchu epidemii robaka szyfrującego Trojan.Encoder.12544, znanego również jako NePetya, Petya.A, ExPetya i WannaCry-2. M.E.Doc to oprogramowanie do rozliczania podatków popularne na Ukrainie.

Raporty wskazują na to, że Trojan.Encoder.12544 był najpierw dystrybuowany poprzez M.E.Doc, popularną aplikację opracowaną przez ukraińską firmę Intellect Service. Analitycy bezpieczeństwa Doctor Web wykryli, że jeden z modułów aktualizacyjnych programu M.E.Doc, ZvitPublishedObjects.Server.MeCom, zawiera rekord odwołujący się do określonego klucza w rejestrze systemu Windows: HKCU\SOFTWARE\WC.

Specjaliści Doctor Web zauważyli ten klucz rejestru, ponieważ Trojan.Encoder.12703 używa podczas swojej pracy tej samej ścieżki. Analiza dziennika zdarzeń Antywirusa Dr.Web pozyskanego z jednego z komputerów klienta pokazała, że Trojan.Encoder.12703 był uruchomiony na zainfekowanej maszynie przez aplikację ProgramData\Medoc\Medoc\ezvit.exe, która jest komponentem programu M.E.Doc:

Plik ZvitPublishedObjects.dll, pozyskany z zainfekowanej maszyny, posiada ten sam hash jak próbka przebadana przez laboratorium antywirusowe Doctor Web. Tym samym nasi analitycy bezpieczeństwa doszli do wniosku, że moduł aktualizacyjny M.E.Doc, zaimplementowany pod postacią biblioteki dynamicznej ZvitPublishedObjects.dll, zawiera backdoora. Dalsze badania pokazały, że ten backdoor potrafi wykonywać następujące funkcje w zainfekowanym systemie:

• Zebranie danych do umożliwiających dostęp do serwerów poczty;
• Wykonanie dowolnych poleceń w zainfekowanym systemie;
• Załadowanie dowolnych plików na zainfekowany komputer;
• Załadowanie, zapisanie i uruchomienie dowolnych plików wykonywalnych;
• Załadowanie dowolnych plików na zdalny serwer.

Następujący fragment kodu modułu aktualizacyjnego M.E.Doc wygląda dość unikalnie — pozwala na uruchomienie „arsenału” programu z użyciem narzędzia rundll32.exe z parametrem #1:

Jest to dokładny obraz tego, w jaki sposób trojan szyfrujący znany jako NePetya, Petya.A, ExPetya i WannaCry-2 (Trojan.Encoder.12544) jest uruchamiany na komputerach ofiar.

Reuters opublikował wywiad z deweloperami programu M.E.Doc, którzy twierdzą, że ich aplikacja nie zawiera złośliwych funkcji. Ze względu na to, a także biorąc pod uwagę rezultaty statycznej analizy kodu, analitycy bezpieczeństwa Doctor Web doszli do wniosku, że jacyś niezidentyfikowani cyberprzestępcy zainfekowali jeden z komponentów oprogramowania M.E.Doc złośliwym programem. Ten komponent został dodany do baz wirusów Dr.Web pod nazwą BackDoor.Medoc.

Więcej na temat tego trojana

3 czerwca 2017

W czerwcu analitycy bezpieczeństwa Doctor Web wykryli trojana dla Androida atakującego użytkowników urządzeń mobilnych w Iranie i wykonującego polecenia wydawane przez cyberprzestępców. Również w zeszłym miesiącu wykryto w Google Play kilka nowych złośliwych aplikacji. Jedna z nich próbuje uzyskać uprawnienia root’a, przeniknąć do bibliotek systemowych i potrafi w skrycie instalować inne oprogramowanie. Inna aplikacja wysyła wiadomości SMS na numery premium i zapisuje użytkowników do kosztownych serwisów mobilnych. Również przez Google Play było dystrybuowane riskware, które, jeśli zostało użyte, mogło doprowadzić do wycieku poufnych informacji. Dodatkowo w czerwcu wykryto nowego trojana szyfrującego dla Androida.

Mobilne zagrożenie miesiąca

W czerwcu analitycy bezpieczeństwa Doctor Web wykryli wirusa Android.Spy.377.origin, rozpowszechniającego się pośród użytkowników urządzeń mobilnych w Iranie. Ten złośliwy program wykradał poufne informacje i wysyłał je do cyberprzestępców. Dodatkowo mógł wykonywać ich polecenia.

Cechy Android.Spy.377.origin:

• Jest dystrybuowany pod płaszczykiem niegroźnych programów;
• Wykrada korespondencję SMS, kontakty z listy kontaktów i dane konta Google;
• Może robić zdjęcia z użyciem przedniej kamery urządzenia;
• Cyberprzestępcy kontrolują go z użyciem protokołu aplikacji Telegram.

Aby uzyskać więcej informacji dotyczących tego trojana, zajrzyj do tego artykułu.

Najpopularniejsze zagrożenia na podstawie statystyk zebranych przez Dr.Web dla Androida

Android.HiddenAds.83.origin

Android.HiddenAds.76.origin

Android.HiddenAds.85.origin

Trojany zaprojektowane do wyświetlania na urządzeniach mobilnych niepożądanych reklam. Są dystrybuowane pod płaszczykiem popularnych aplikacji przez inne złośliwe program, które czasami w skrycie instalują je w katalogu systemowym.

Android.DownLoader.337.origin

Trojan zaprojektowany do pobierania innych aplikacji.

Android.Triada.264.origin

Android.Triada.264.origin

Wielokomponentowy trojan realizujący różne złośliwe funkcje.

Najpopularniejsze zagrożenia typu riskware na podstawie statystyk zebranych przez Dr.Web dla Androida

Adware.Jiubang.1

Adware.SalmonAds.1.origin

Adware.Batmobi.4

Adware.Avazu.8.origin

Adware.Leadbolt.12.origin

Niepożądane moduły programowe wbudowane w aplikacje dla Androida i zaprojektowane do wyświetlania denerwujących reklam na urządzeniach mobilnych.

Zagrożenia w Google Play

W zeszłym miesiącu specjaliści Doctor Web wykryli w Google Play riskware pozwalające użytkownikom na dostęp do stron serwisów społecznościowych “VK” i “Odnoklassniki”, które zostały zablokowane na Ukrainie. Te aplikacje, dodane do bazy wirusów Dr.Web jako Program.PWS.1, używały serwerów anonimizujących do ominięcia ograniczeń dostępu i nie szyfrowały loginu, hasła i innych poufnych informacji użytkownika. Aby uzyskać więcej informacji na temat tego incydentu, zajrzyj do tego artykułu opublikowanego przez Doctor Web.

Również w czerwcu i również w Google Play wykryto trojany z rodziny Android.Dvmap. Po uruchomieniu te złośliwe programy próbowały uzyskać uprawnienia root’a na zaatakowanych urządzeniach mobilnych. Jeśli im się to udało, infekowały niektóre biblioteki systemowe i instalowały dodatkowe komponenty. Te trojany potrafią wykonywać polecenia wydawane przez cyberprzestępców i pobierać oraz uruchamiać inne aplikacje bez żadnego udziału użytkownika.

Inne trojany dla Androida dystrybuowane w czerwcu poprzez Google Play zostały dodane do bazy wirusów Dr.Web jako Android.SmsSend.1907.origin i Android.SmsSend.1908.origin. Cyberprzestępcy wstrzykiwali je do niegroźnych programów. Te złośliwe aplikacje wysyłały wiadomości SMS na numery premium, tym samym subskrybując klientów operatorów mobilnych do płatnych usług sieciowych. Następnie trojany zaczynały usuwanie wszystkich wiadomości przychodzących, więc użytkownicy nie byli w stanie odebrać powiadomień informujących ich, że zostali z powodzeniem zapisani do niechcianych serwisów premium.

Trojan ransomware

W czerwcu wykryto też trojana ransomware Android.Encoder.3.origin. Zaatakował on chińskich użytkowników systemu Android szyfrując pliki na kartach SD. Autorzy tego enkodera zainspirowali się ransomware szyfrującym pliki WannaCry, który w maju 2017 zainfekował setki tysięcy komputerów na całym świecie. Twórcy tego wirusa stworzyli wiadomości z żądaniem okupu w podobnym stylu.

Cyberprzestępcy żądali okupu w kwocie 20 juanów, a co każde trzy dni kwota ta ulegała podwojeniu. Jeśli cyberprzestępcy nie otrzymali okupu w ciągu jednego tygodnia od chwili gdy Android.Encoder.3.origin zainfekował urządzenie mobilne, ransomware kasowało zaszyfrowane pliki.

Złośliwe programy i riskware dla Androida infekują urządzenia mobilne nie tylko poprzez pobieranie plików z różnych stron www, ale również poprzez pobrania aplikacji z Google Play. Doctor Web zaleca posiadaczom urządzeń zachowanie ostrożności podczas instalowania nieznanych aplikacji i zainstalowanie oraz używanie antywirusa Dr.Web dla Androida.

3 czerwca 2017

Najbardziej godnym zauważenia w pierwszym miesiącu lata był wybuch epidemii wirusa Trojan.Encoder.12544, nowego robaka szyfrującego zwanego również przez różne źródła w mediach jako Petya, Petya.A, ExPetya, i WannaCry-2. Ten złośliwy program zainfekował komputery w wielu firmach i u użytkowników prywatnych w różnych krajach. W czerwcu analitycy bezpieczeństwa Doctor Web przebadali dwa nowe złośliwe programy dla Linuxa. Jeden z nich instalował na zainfekowanych przez siebie urządzeniach aplikację górniczą do pozyskiwania kryptowalut, drugi uruchamiał serwer proxy. W połowie czerwca wykryliśmy jeszcze jednego trojana górniczego, ale tym razem stanowił on zagrożenie dla użytkowników systemu Windows. Również w czerwcu wykryto kilka nowych złośliwych programów dla Androida.

Główne trendy czerwca

Zagrożenie miesiąca

Rankiem 27 czerwca pojawiły się pierwsze raporty mówiące o rozpowszechnianiu się niebezpiecznego robaka szyfrującego. Massmedia nazwały go Petya, Petya.A, ExPetya i WannaCry-2. Analitycy bezpieczeństwa Doctor Web nawali go jako Trojan.Encoder.12544. W rzeczywistości ten złośliwy program nie ma aż tak wiele wspólnego z trojanem Petya (Trojan.Ransom.369): są one podobne tylko w zakresie procedury szyfrowania tablicy plików. Trojan infekuje komputery wykorzystując te same podatności, które były użyte przez cyberprzestępców podczas ataku wirusem WannaCry. Trojan.Encoder.12544 otrzymuje listę użytkowników lokalnych i domenowych zautoryzowanych na zainfekowanym komputerze. Następnie przeszukuje foldery sieciowe dostępne do zapisu, próbuje je otworzyć używając pozyskanych danych konta i zapisuje w nich swoją kopię. Niektórzy badacze zakładają, że utworzenie pliku perfc w folderze Windows jest wystarczające do zapobieżenia uruchomieniu się enkodera, ale tak nie jest. W rzeczywistości robak sprawdza swoje drugie uruchomienie się na podstawie dostępności w folderze systemowym pliku o nazwie odpowiadającej nazwie trojana bez rozszerzenia. Jednakże, jeśli cyberprzestępcy zmienią oryginalną nazwę trojana, utworzenie pliku C:\Windows\perfc (jak doradza wielu twórców antywirusów) nie zabezpieczy komputera przed infekcją. Dodatkowo, trojan sprawdza obecność tego pliku tylko w przypadku, gdy posiada wystarczające uprawnienia do wykonania tej operacji.

Trojan.Encoder.12544 uszkadza VBR (Volume Boot Record), szyfruje oryginalny rekord rozruchowy Windows używając algorytmu XOR, a następnie kopiuje go na inną partycję dysku i zastępuje swoim własnym. Następnie tworzy zadanie ponownego uruchomienia systemu i szyfruje pliki na dyskach twardych komputera. Po ponownym uruchomieniu komputera, na ekranie zainfekowanej maszyny robak wyświetla tekst podobny do standardowego tekstu narzędzia CHKDSK.

Tymczasem Trojan.Encoder.12544 szyfruje tablicę MFT (Master File Table). Gdy Trojan.Encoder.12544 zakończy szyfrowanie, wyświetla na ekranie żądanie okupu.

Analitycy bezpieczeństwa Doctor Web są przekonani, że Trojan.Encoder.12544 został opracowany nie w celu zażądania okupu, ale po to, aby zniszczyć zainfekowane komputery: po pierwsze, cyberprzestępcy do kontaktu z ofiarami użyli jednego adresu e-mail i został on zablokowany wkrótce po wybuchu epidemii. Po drugie, klucz wyświetlany na ekranie zainfekowanego komputera to losowy zestaw symboli nie mający nic wspólnego z prawdziwym kluczem szyfrującym. Po trzecie, klucz wysłany do cyberprzestępców nie ma nic wspólnego z kluczem użytym do zaszyfrowania tabeli alokacji plików, więc cyberprzestępcy nie mają szans na zapewnienie ofierze klucza do odszyfrowania dysku. Szczegóły działania procedur wirusa Trojan.Encoder.12544 można znaleźć w artykule lub opisie technicznym.

Trojan rozpoczął swoje rozpowszechnianie się od systemu aktualizacyjnego programu MEDoc — popularnego na Ukrainie oprogramowania do zarządzania podatkami. Specjaliści Doctor Web zetknęli się już ze złośliwymi programami rozpowszechniającymi się w ten sam sposób. W 2012 roku nasi analitycy bezpieczeństwa wykryli atak skierowany na apteki i firmy farmaceutyczne w którym użyto wirusa BackDoor.Dande. Wykradał on zamówienia medykamentów ze specjalnych programów używanych w przemyśle farmaceutycznym. Trojan był pobierany ze strony http://ws.eprica.ru, należącej do “Spargo Tekhnologii” i zaprojektowanej do aktualizacji ePrica, programu do monitorowania cen medykamentów. Możesz dowiedzieć się więcej na temat tego incydentu z naszego artykułu, a szczegóły śledztwa są w opisie technicznym wirusa.

Najpopularniejsze zagrożenia na podstawie statystyk Antywirusa Dr.Web

• Trojan.InstallCore
  Rodzina programów instalujących niepożądane i złośliwe aplikacje.
• Trojan.Kbdmai.16
  Trojan reklamowy. Jedną z funkcji tego złośliwego programu jest otwieranie różnych stron www w oknie przeglądarki.
• Trojan.DownLoader
  Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.
• Trojan.Moneyinst.69
  Złośliwy program instalujący na komputerze ofiary różne oprogramowanie, włączając inne trojany.
• Trojan.Encoder.11432
  Robak sieciowy uruchamiający na komputerze ofiary niebezpiecznego trojana ransomware. Znany również jako WannaCry.

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

• JS.DownLoader
  Rodzina złośliwych skryptów JavaScript. Pobierają i instalują złośliwe oprogramowanie.
• JS.Inject.3
  Rodzina złośliwych skryptów JavaScript. Wstrzykują złośliwy skrypt do kodu HTML stron www.
• Trojan.InstallCore
  Rodzina trojanów instalujących niepożądane i złośliwe aplikacje.
• Trojan.Kbdmai.37
  Trojan reklamowy. Jedną z funkcji tego złośliwego programu jest otwieranie różnych stron www w oknie przeglądarki.
• Trojan.DownLoader
  Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.

Statystyki dotyczące złośliwych programów wykrytych w ruchu poczty e-mail

• JS.DownLoader
  Rodzina złośliwych skryptów JavaScripts. Pobierają i instalują złośliwe oprogramowanie.
• W97M.DownLoader
  Rodzina trojanów typu downloader wykorzystujących podatności w aplikacjach biurowych i potrafiących pobierać na zaatakowany komputer inne złośliwe programy.
• Trojan.PWS.Stealer
  Rodzina trojanów zaprojektowanych do wykradania haseł i innych poufnych danych zapisanych na zainfekowanym komputerze.

Najpopularniejsze zagrożenia na podstawie danych z Bota Dr.Web dla aplikacji Telegram

• Android.Locker.139.origin, Android.Locker.1733
  Trojan ransomware dla Androida. Jego różne modyfikacje potrafią blokować urządzenie wyświetlając ostrzeżenie o pewnym naruszeniu prawa. Aby odblokować urządzenie, użytkownik musi zapłacić okup.
• Win32.HLLP.Neshta
  Wirus plikowy znany analitykom bezpieczeństwa już od 2005 roku. Infekuje pliki EXE PE o rozmiarze nie mniejszym niż 41472 bajty. Podczas procesu infekcji zapisuje siebie samego na początku zainfekowanego pliku, a oryginalny początek jest przenoszony na koniec pliku. Zawiera on następujący ciąg znaków: «Neshta 1.0 Made in Belarus».
• EICAR Test File
  Specjalny plik tekstowy zaprojektowany do testowania efektywności antywirusów. Po wykryciu tego pliku skanery antywirusowe powinny zareagować dokładnie w ten sam sposób, jakby ten plik rzeczywiście był wirusem.
• Android.Androrat.1.origin
  Program szpiegujący dla urządzeń z Androidem.

W czerwcu ze służbą wsparcia technicznego Doctor Web najczęściej kontaktowały się ofiary następujących modyfikacji ransomware szyfrującego pliki:

• Trojan.Encoder.858 — 28.51% zgłoszeń;
• Trojan.Encoder.10103 — 8.10% zgłoszeń;
• Trojan.Encoder.567 — 5.54% zgłoszeń;
• Trojan.Encoder.11432 — 4.10% zgłoszeń;
• Trojan.Encoder.10144 — 2.36% zgłoszeń.

W czerwcu 2017 dodano do bazy Dr.Web 229381 URL-i niezalecanych stron www

Malware dla Linuxa

W czerwcu analitycy bezpieczeństwa Doctor Web przebadali dwa trojany dla Linuxa. Jednym z nich był Linux.MulDrop.14. Atakuje on tylko minikomputery Raspberry Pi. Trojan ten jest skryptem zawierającym skompresowaną i zaszyfrowaną aplikację zaprojektowaną do wydobywania kryptowaluty. Drugi trojan, dodany do baz wirusów jako Linux.ProxyM, atakował użytkowników od lutego 2017, ale szczyt jego aktywności nastąpił pod koniec maja. Specjaliści Doctor Web przedstawili aktywność ataków Linux.ProxyM na poniższym diagramie:

Znacząca część zaatakowanych adresów IP jest zlokalizowana w Rosji. Drugie miejsce zajmują Chiny, a trzecie — Taiwan. Poniższa ilustracja pokazuje rozkład geograficzny lokalizacji z których uruchamiano ataki z użyciem wirusa Linux.ProxyM:

Więcej informacji o tym złośliwym programie można znaleźć w artykule opublikowanym przez Doctor Web.

Inne informacje o wydarzeniach z zakresu bezpieczeństwa

Złośliwe programy używające zasobów zainfekowanych komputerów i urządzeń do wydobywania kryptowalut pojawiły się wkrótce po samym pojawieniu się kryptowalut: pierwszy trojan z tej rodziny nazwany Trojan.BtcMine został dodany do baz wirusów Dr.Web już w 2011 roku. Trojan.BtcMine.1259, który został wykryty w czerwcu, jest kolejnym reprezentantem tej złośliwej rodziny. Trojan.BtcMine.1259 został zaprojektowany do pozyskiwania kryptowaluty Monero (XMR) i jest ładowany na komputer przez Trojan.DownLoader24.64313. Ten trojan typu downloader jest z kolei dystrybuowany przez backdoora DoublePulsar.

Dodatkowo, oprócz jego głównej funkcji, Trojan.BtcMine.1259 odszyfrowuje i ładuje do pamięci bibliotekę będącą zmodyfikowaną wersją programu do zdalnego administrowania komputerem dostępnego na zasadzie open source (z kodem źródłowym). Ten program jest znany jako Gh0st RAT (Antywirus Dr.Web wykrywa go jako BackDoor.Farfli.96). Używając tej biblioteki cyberprzestępcy mogą kontrolować zainfekowany komputer i wykonywać różne polecenia. Moduł pozyskujący jednostki Monero (XMR) może wykorzystać podczas wykonywania swoich operacji do 80% mocy obliczeniowej zainfekowanej maszyny. Trojan zawiera zarówno 32- jak i 64- bitowe wersje programu górniczego. Która implementacja trojana zostanie użyta na zainfekowanym komputerze zależy od długości słowa systemu operacyjnego. Więcej informacji o tym złośliwym programie można znaleźć w artykule opublikowanym przez Doctor Web.

Złośliwe i niepożądane programy dla urządzeń mobilnych

W czerwcu analitycy bezpieczeństwa Doctor Web wykryli wirusa Android.Spy.377.origin atakującego użytkowników urządzeń mobilnych w Iranie. Ten złośliwy program wysyłał do cyberprzestępców poufne informacje i mógł wykonywać ich polecenia. Również w czerwcu specjaliści Doctor Web wykryli w Google Play nowe programy typu riskware zaprojektowane w celu umożliwienia użytkownikom łączenia się ze stronami www serwisów “VK” i “Odnoklassniki”, które to zostały zablokowane na Ukrainie. Te aplikacje, dodane do bazy wirusów Dr.Web jako Program.PWS.1, używały serwera anonimizującego do ominięcia ograniczeń dostępu i nie robiły nic w celu ochrony przesyłanych danych użytkownika.

Również w zeszłym miesiącu i także poprzez Google Play były dystrybuowane takie trojany jak Android.SmsSend.1907.origin i Android.SmsSend.1908.origin. Wysyłały one Wiadomości SMS na numery premium i zapisywały użytkowników do kosztownych usług. Dodatkowo do bazy wirusów dodano sygnatury trojanów z rodziny Android.Dvmap. Te złośliwe aplikacje próbowały uzyskać dostęp na poziomie root’a, zainfekować biblioteki systemowe, zainstalować dodatkowe komponenty i, zarządzane przez cyberprzestępców, były zdolne do pobierania i uruchamiania oprogramowania bez wiedzy użytkownika.

Jeszcze jeden wykryty w czerwcu trojan dla Androida został nazwany Android.Encoder.3.origin. Został on zaprojektowany do atakowania użytkowników w Chinach. Gdy zainfekował urządzenie mobilne, to szyfrował pliki na karcie SD i żądał okupu za ich odszyfrowanie.

Pośród najbardziej godnych uwagi wydarzeń czerwca powiązanych z urządzeniami mobilnymi możemy wymienić:

• Wykrycie trojana dla Androida szpiegującego użytkowników w Iranie;
• Wykrycie nowych zagrożeń w Google Play;
• Dystrybucję trojana typu enkoder szyfrującego pliki na karcie SD i żądającego okupu za ich przywrócenie.

Dowiedz się więcej o złośliwych i niepożądanych programach dla urządzeń mobilnych z naszego specjalnego przeglądu.

3 czerwca 2017

Doctor Web prezentuje swój przegląd aktywności wirusów w czerwcu 2017. Pierwszy miesiąc lata odznaczył się masowym rozpowszechnianiem się niebezpiecznego robaka szyfrującego znanego jako Petya, Petya.A, ExPetya i WannaCry-2. Również w czerwcu przebadano różne złośliwe programy dla Windows i Linuxa.

3 lipca 2017

Doctor Web prezentuje swój przegląd aktywności malware dla urządzeń mobilnych odnotowanego w czerwcu 2017. W zeszłym miesiącu wykryto Google Play mniej więcej w tym samym czasie kilka nowych trojanów i riskware dla Androida. Również w czerwcu cyberprzestępcy dystrybuowali niebezpieczne ransomware szyfrujące pliki na kartach SD.

29 czerwca 2017

Zgodnie z niektórymi źródłami internetowymi pojawiły się raporty mówiące o tym, że Trojan.Encoder.12544 penetruje system operacyjny używając programu do aktualizacji aplikacji MEDoc, zaprojektowanej do zarządzania opodatkowaniem. Ten robak szyfrujący jest również znany jako Petya, Petya.A, ExPetya i WannaCry-2. Specjaliści Doctor Web zetknęli się już wcześniej z podobną metodą dystrybucji złośliwych programów i wiedzą jak uniknąć takich incydentów w przyszłości.

Analitycy bezpieczeństwa, którzy przebadali Trojan.Encoder.12544, informują, że oryginalnym źródłem trojana był zaktualizowany system programu MEDoc. Ten program pomaga ukraińskim użytkownikom w zarządzaniu opodatkowaniem. Analitycy bezpieczeństwa wykryli, że narzędzie nazwane EzVit.exe, zawarte w pakiecie dystrybucyjnym programu MEDoc i zaprojektowane do aktualizacji głównej aplikacji, w jednym punkcie wykonywało komendę CMD. Ta komenda uruchamiała pobieranie złośliwej biblioteki. Główna funkcjonalność Trojan.Encoder.12544 została zaimplementowana właśnie w tej bibliotece. Biorąc pod uwagę, że ransomware szyfrujące pliki samodzielnie rozpowszechniało się w sieci używając podatności protokołu SMB i wykradając dane konta użytkownika w Windows, to dalsza dystrybucja infekcji jest sprawą dotyczącą na początku tylko tej jednej, zainfekowanej maszyny.

W 2012 roku analitycy bezpieczeństwa Doctor Web wykryli atak skierowany na apteki i firmy farmaceutyczne z użyciem złośliwego programu nazwanego BackDoor.Dande. Ten trojan szpiegujący wykradał informacje o zaopatrzeniu w medykamenty ze specjalnych programów używanych przez przemysł farmaceutyczny. Po uruchomieniu backdoor sprawdzał system pod kątem obecności stosownych aplikacji do zamawiania i ewidencjonowania zakupu leków i wyrobów medycznych i, jeśli nie znalazł żadnej z nich, kończył swoją pracę. Ofiarami tej infekcji zostało ponad 2800 aptek i rosyjskich firm farmaceutycznych. Tym samym, z dużą dozą pewności możemy powiedzieć, że BackDoor.Dande był używany do szpiegostwa biznesowego.

Specjaliści Doctor Web prowadzili śledztwo trwające przez 4 lata. Jedna z zaatakowanych firm udostępniła swoje dyski twarde zaatakowane przez BackDoor.Dande. Nasi analitycy określili datę utworzenia sterownika który uruchamiał wszystkie pozostałe komponenty backdoora. Ten sterownik był wymieniony w pliku stronicowania Windows i w logu antywirusa Avast, który był zainstalowany na zainfekowanej maszynie. Analiza tych plików pokazała, że złośliwy sterownik został stworzony tuż po uruchomieniu aplikacji zwanej ePrica (D:\ePrica\App\PriceCompareLoader.dll). Ta aplikacja była opracowana przez firmę o nazwie “Spargo Tekhnologii”. Pozwalała ona kierownikom aptek na analizę cen medykamentów i na wybór najlepszego dostawcy. Badania programu ePrica pozwoliło na określenie, że to on ładuje złośliwą bibliotekę do systemu. Biblioteka ta w skrycie pobierała, deszyfrowała i uruchamiała BackDoor.Dande. Trojan był pobierany ze strony http://ws.eprica.ru. Ta strona www należała do “Spargo Tekhnologii” i była zaprojektowana do aktualizowania programu ePrica. Dodatkowo, moduł, który w skrycie pobierał złośliwy program posiadał ważny podpis cyfrowy “Spargo”. Trojan ładował wykradzione dane na serwery zlokalizowane poza Rosją. Innymi słowy, tak jak Trojan.Encoder.12544, ten backdoor był “ukryty” w module aktualizacyjnym programu.

Podobieństwo tych przypadków pokazuje, że infrastruktura do rozwoju oprogramowania wymaga podwyższonego poziomu świadomości użytkowników w zakresie bezpieczeństwa informacji. Poczynając od tego, że proces aktualizacji każdego oprogramowania komercyjnego musi być dokonywany ze wzmożoną uwagą zarówno samych deweloperów, jak i użytkowników. Niektóre narzędzia do aktualizacji różnych programów mają uprawnienia do instalowania i uruchamiania plików wykonywalnych w samym systemie operacyjnym. Może to być niespodziewanym źródłem infekcji. W przypadku MEDoc infekcja była spowodowana zhakowaniem i zmodyfikowaniem przez cyberprzestępców serwera aktualizacji. W przypadku BackDoor.Dande specjaliści przypuszczają, że rozpowszechnianie się infekcji było spowodowane przez zamierzone działania dobrze poinformowanych osób. Ta metoda może być używana przez cyberprzestępców do przeprowadzania efektywnych ataków wymierzonych w użytkowników praktycznie każdego oprogramowania.

28 czerwca 2017

Trojan.Encoder.12544 rozpowszechnia się wykorzystując podatność SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148), która może być wykorzystana z użyciem exploita NSA "ETERNAL_BLUE". Do rozpowszechniania trojana używane są porty TCP 139 i 445. Ta podatność “zdalnego wykonywania kodu” zezwala agresorom na zdalne infekowanie zaatakowanych komputerów.

1. Aby odzyskać dostęp do Windows, musisz przywrócić główny rekord rozruchowy - MBR (możesz użyć standardowej procedury w Konsoli Przywracania i uruchomić bootrec.exe /FixMbr).

   Możesz też przywrócić rekord rozruchowy używając Dr.Web LiveDisk — stwórz startową płytę CD lub napęd USB, uruchom system z tego nośnika, uruchom skaner Dr.Web, sprawdź zaatakowany dysk twardy pod kątem wirusów i wybierz Wylecz dla wszystkich zainfekowanych plików.

2. Następnie odłącz swój PC od sieci, uruchom go i zastosuj poprawkę MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

   Dla komputerów pracujących pod kontrolą przestarzałych wersji Windows XP i Windows 2003, musisz zainstalować aktualizacje bezpieczeństwa w sposób ręczny. Mogą być one pobrane z następujących źródeł:

   Windows XP SP3:

   download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

   Windows Server 2003 x86:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

   Windows Server 2003 x64:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

3. Następnie zainstaluj Dr.Web, zestaw połączenie z Internetem, zaktualizuj bazy wirusów i uruchom pełne skanowanie systemu.

Wersja próbna dla użytkowników domowych Wersja próbna dla firm

Trojan podmienia główny sektor rozruchowy – MBR (Master Boot Record) i planuje oraz wykonuje zadanie ponownego uruchomienia systemu. Po takiej operacji system operacyjny nie uruchomi się, ponieważ główny sektor rozruchowy został zaatakowany i zmieniony. Dane będą szyfrowane jak tylko ponowne uruchomienie systemu zostanie zaplanowane i wykonane. Dla każdego dysku generowany jest oddzielny klucz AES. Klucz pozostaje w pamięci tak długo, zanim dysk nie zostanie w całości zaszyfrowany. Jest on zaszyfrowany z użyciem publicznego klucza RSA, a następnie jest usuwany. Jeśli MBR zostanie podmieniony z powodzeniem, z chwilą restartu systemu szyfrowany jest też plik MFT. Plik ten zawiera informacje o wszystkich plikach na dysku NTFS. Gdy wszystkie te procedury zostaną zakończone, dane mogą być odzyskane wyłącznie przy użyciu klucza prywatnego. Tym samym, bez tego klucza żaden plik nie będzie odzyskany.

Na chwilę obecną odszyfrowanie plików nie jest możliwe. Nasi analitycy badają problem i poszukują rozwiązania. Poinformujemy Was o tym z chwilą, gdy ostateczne ustalenia będą już znane.

28 czerwca 2017

Specjaliści Doctor Web przebadali wirusa Trojan.Encoder.12544, nowego trojana ransomware, zwanego również w niektórych mass-medialnych źródłach jako Petya, Petya.A, ExPetya lub WannaCry-2. Opierając się na wstępnej analizie tego złośliwego programu, Doctor Web prezentuje zalecenia mówiące o tym, jak uniknąć infekcji, porady o tym, co zrobić, jeśli do infekcji już doszło i przedstawia szczegóły techniczne tego ataku.

Trojan.Encoder.12544 stanowi poważne zagrożenie dla komputerów z systemem Windows. Różne źródła nazywają go modyfikacją trojana znanego jako Petya (Trojan.Ransom.369), jednakże Trojan.Encoder.12544 tylko nieznacznie przypomina wymienionego trojana. Ten złośliwy program zainfekował systemy informacyjne instytucji rządowych, banków i organizacji komercyjnych. Zainfekował również komputery użytkowników w kilku krajach.

Na chwilę obecną wiemy, że trojan zainfekował komputery wykorzystując te same podatności, które wcześniej były użyte przez cyberprzestępców w trakcie ataku wirusem WannaCry. Rozpowszechnianie się Trojan.Encoder.12544 rozpoczęło się rankiem 27 czerwca. Uruchomiony na zaatakowanym komputerze, trojan wyszukuje dostępne komputery w sieci lokalnej, używając kilku metod. Następnie trojan rozpoczyna skanowanie portów 445 i 139. Gdy wykryje maszyny z otwartymi portami, Trojan.Encoder.12544 próbuje zainfekować je poprzez powszechnie znaną podatność protokołu SMB (MS17-10).

W swoim pliku trojan zawiera cztery skompresowane zasoby. Dwa z nich to 32- i 64-bitowe wersje narzędzia Mimikatz, zaprojektowanego do przechwytywania haseł do otwartych sesji Windows. W zależności od długości słowa systemu operacyjnego, trojan rozpakowuje potrzebną wersję narzędzia Mimikatz, zapisuje ją w folderze tymczasowym i uruchamia narzędzie Mimikatz. Trojan.Encoder.12544 używając narzędzia Mimikatz i kilku innych metod uzyskuje listę lokalnych i domenowych użytkowników zautoryzowanych na zainfekowanym komputerze. Następnie trojan wyszukuje foldery sieciowe dostępne do zapisu, próbuje je otworzyć używając otrzymanych danych i zapisuje swoją kopię w tych folderach. Aby zainfekować komputery do których uzyskał dostęp, Trojan.Encoder.12544 wykorzystuje narzędzie PsExec zaprojektowane do zdalnego zarządzania komputerem lub standardowe narzędzie konsoli w celu wywołania obiektów Wmic.exe.

Enkoder sprawdza swoje drugie uruchomienie się korzystając z pliku, który zapisuje w folderze C:\Windows\. Nazwa pliku odpowiada nazwie trojana bez rozszerzenia. Ponieważ nazwa próbki robaka na chwilę jego rozpowszechniania się to perfc.dat, to plik zapobiegający jego uruchomieniu to C:\Windows\perfc. Jednakże, jeśli cyberprzestępcy zmienią oryginalną nazwę trojana, utworzenie pliku C:\Windows\perfc (jak doradza wielu twórców antywirusów) nie zabezpieczy komputera przed infekcją. Dodatkowo trojan sprawdza obecność tego pliku tylko wtedy, jeśli ma wystarczające uprawnienia, aby to zrobić.

Uruchomiony, trojan ustawia swoje uprawnienia, ładuje swoją kopię do pamięci i przekazuję kontrolę swojej kopii. Następnie enkoder nadpisuje swój własny plik “śmieciowymi” danymi i usuwa ten plik. Najpierw Trojan.Encoder.12544 uszkadza VBR (Volume Boot Record) dysku C, a pierwszy sektor dysku jest wypełniany “śmieciowymi” danymi. Następnie enkoder kopiuje oryginalny rekord rozruchowy systemu Windows zaszyfrowany algorytmem XOR w inną część dysku i nadpisuje oryginalny rekord swoim własnym rekordem rozruchowym. Następnie tworzy zadanie ponownego uruchomienia komputera i rozpoczyna szyfrowanie wszystkich plików z następującymi rozszerzeniami: .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

Trojan szyfruje pliki tylko na dyskach twardych. Dane na każdym dysku są szyfrowane w osobnych wątkach. Pliki są szyfrowane z użyciem algorytmu AES-128-CBC; dla każdego dysku tworzony jest oddzielny klucz szyfrujący (cecha charakterystyczna tego trojana, która nie została zauważona przez innych specjalistów). Klucz szyfrujący jest zaszyfrowany z użyciem algorytmu RSA-2048 (inni badacze mówią, że użyto klucza o długości 800-bitów) i zapisany do pliku o nazwie README.TXT w głównym folderze dysku systemowego. Do zaszyfrowanych plików nie jest dodawane dodatkowe rozszerzenie.

Po ponownym uruchomieniu komputera zgodnie z utworzonym zadaniem, kontrola jest przekazywana do rekordu rozruchowego trojana. Na ekranie zainfekowanego komputera wyświetla on tekst podobny do tekstu standardowego narzędzia CHKDSK.

W międzyczasie Trojan.Encoder.12544 szyfruje MFT (Master File Table). Gdy Trojan.Encoder.12544 zakończy szyfrowanie, wyświetla na ekranie żądanie okupu.

Gdy zobaczysz tekst polecenia CHKDSK podczas uruchamiania systemu natychmiast wyłącz zasilanie komputera. W tym przypadku rekordy rozruchowe będą uszkodzone, ale można je naprawić z użyciem narzędzia do odzyskiwania systemu Windows lub Konsoli Przywracania, jeśli uruchomisz komputer używając dysku instalacyjnego systemu. Zazwyczaj przywrócenie rekordu rozruchowego w Windows 7 i późniejszych wersjach systemu operacyjnego jest możliwe, jeśli na dysku obecna jest ukryta część z krytyczną kopią zapasową danych systemu. Możesz również użyć Dr.Web LiveDisk; utworzyć dysk startowy lub startowy napęd USB, uruchomić system operacyjny z tego startowego nośnika wymiennego, uruchomić Skaner Dr.Web, sprawdzić zainfekowany dysk i wybrać działanie Neutralizuj w odniesieniu do wykrytych zagrożeń.

Zgodnie z niektórymi źródłami, jedyny adres e-mail użyty przez cyberprzestępców którzy użyli Trojan.Encoder.12544 został zablokowany. To dlatego cyberprzestępcy nie mogą skomunikować się ze swoimi ofiarami (na przykład w celu zaoferowania odszyfrowania plików).

Aby uniknąć zainfekowania wirusem Trojan.Encoder.12544, Doctor Web zaleca tworzenie kopii zapasowych wszystkich krytycznych danych na niezależnym przenośnym nośniku danych i używanie funkcji Zapobiegania Utracie Danych w Dr.Web Security Space. Dodatkowo zaleca się zainstalowanie wszystkich aktualizacji bezpieczeństwa dla Twojego systemu operacyjnego. Tymczasem specjaliści Doctor Web kontynuują badanie enkodera Trojan.Encoder.12544.

Instrukcja dla ofiar wirusa Trojan.Encoder.12544

27 czerwca 2017

Pojawiła się informacja o nowym wybuchu aktywności ransomware szyfrującego pliki. Trojan zaatakował firmy z rynku paliw, telekomunikacyjne i finansowe w Rosji i na Ukrainie. Doctor Web informuje użytkowników, że nowy enkoder jest wykrywany przez produkty Dr.Web.

Na podstawie danych od naszych specjalistów z zakresu bezpieczeństwa informacji, trojan dystrybuuje się samodzielnie, tak jak niesławny WannaCry. Nie ma jeszcze precyzyjnych danych, czy wykorzystuje ten sam mechanizm dystrybucji, co jego poprzednik. Na chwilę obecną nasi analitycy bezpieczeństwa badają nowego trojana; szczegóły tych prac przekażemy nieco później. Niektóre źródła z kręgu massmediów wykazują podobieństwa do ransomware Petya (w szczególności, Dr.Web wykrywa je jako Trojan.Ransom.369) głównie z przyczyny zewnętrznych objawów działania ransomware. Jednakże, metoda dystrybucji nowego zagrożenia różni się od standardowych wzorców dla wirusa Petya.

Dziś, 27 czerwca o 16.30 to ransomware szyfrujące pliki zostało dodane do baz wirusów Dr.Web jako Trojan.Encoder.12544. Doctor Web zaleca wszystkim użytkownikom zachowanie szczególnej ostrożności i zaniechanie otwierania podejrzanych wiadomości e-mail (ten krok jest konieczny, ale nie w pełni wystarczający). Niezbędne jest wykonywanie kopii zapasowych ważnych i krytycznych danych oraz instalowanie aktualizacji bezpieczeństwa wykorzystywanego oprogramowania. Dostępność i aktualność zainstalowanego antywirusa również jest tu kluczowym zagadnieniem.

23 czerwca 2017

Specjaliści Doctor Web wykryli w Google Play kilka potencjalnie niebezpiecznych aplikacji stanowiących zagrożenie głównie dla użytkowników na Ukrainie. Te programy pozwalają na uniknięcie zablokowania stron www serwisów “VK” i “Odnoklassniki”, ale robią to w niebezpieczny sposób. Przesyłają poprzez serwery firm trzecich niezaszyfrowane loginy do kont i hasła, oraz cały ruch powstały podczas korzystania z sieci społecznościowych, co może prowadzić do wycieków poufnych danych użytkowników.

W maju 2017, na Ukrainie, Dekretem Prezydenta ograniczono dostęp do serwisów kilku rosyjskich firm. Pośród tych firm znalazły się sieci społecznościowe “VK” i “Odnoklassniki”. Doprowadziło to do wzrostu popularności metod pozwalających ludziom na ominięcie mechanizmów blokujących — na przykład przeglądarek Tor, usług VPN i anonimizerów. Dodatkowo zaczęły pojawiać się nowe programy, oferujące podobną funkcjonalność. Jednakże, bez wątpienia, nie wszystkie te najnowsze programy są bezpieczne dla swoich użytkowników.

Specjaliści Doctor Web wykryli w Google Play kilka aplikacji pozwalających ludziom na pracę z zablokowanymi stronami www serwisów “VK” i “Odnoklassniki”. Aby uzyskać dostęp do tych sieci społecznościowych, posiadacze urządzeń z Androidem są proszeni o wprowadzenie ich poświadczeń logowania; następnie programy logują się na konta użytkowników, omijając mechanizmy blokujące. Analitycy bezpieczeństwa Doctor Web wykryli osiem takich programów, dystrybuowanych przez następujących deweloperów: JDX Studio, Soukaina Bousfiha, Zikolabs, Boubakri yassir, affzakanab, i simon faiz.

Wszystkie te aplikacje wyglądają nadzwyczaj podobnie. Są instalowane na urządzeniach mobilnych jako programy o nazwach «ВК В Украина», «ВК Украина», «ВК Украина 2», «ОК Украина», «Украина ОК», «ВК VPN Украина.», «ВК Украiна» i «ВК Украина VPN» i mają podobne skróty. Co najmniej 122000 użytkowników pobrało te aplikacje, a każdy z nich ryzykuje wyciek swoich osobistych danych.

Problemem jest to, że aby ominąć mechanizmy blokujące zastosowane przez strony www portali społecznościowych, opisywane oprogramowanie przekierowuje ruch poprzez anonimizery online. Anonimizery to specjalne serwery, które przetwarzają odwołania sieciowe, a także ukrywają informacje o komputerze lub urządzeniu mobilnym w celu ominięcia ograniczeń zapobiegających odwiedzeniu zablokowanych zasobów Internetu. Takie usługi są poszukiwane, na przykład przez użytkowników sieci korporacyjnych w których administratorzy systemów ograniczyli dostęp do domen sieci społecznościowych na poziomie bram internetowych.

Niezaszyfrowane poświadczenia logowania wprowadzane przez użytkowników są wysyłane na serwery anonimizujące, więc nie ma tu żadnych mechanizmów zapobiegających wykorzystaniu przez posiadaczy tychże serwerów pozyskanych w ten sposób informacji do nielegalnych celów. Na przykład, właściciele tych serwerów mogą logować się do sieci społecznościowych jako zwykli użytkownicy i wysyłać wiadomości bez ich wiedzy; mogą dodawać znajomych, zapisywać się do grup, czytać korespondencję, przeglądać zdjęcia, itp. Użytkownicy nawet nie wiedzą, że zalogowali się do sieci społecznościowych poprzez domenę „strony trzeciej”, ponieważ te aplikacje nie wyświetlają paska adresu. Każda późniejsza aktywność przeprowadzona przez to oprogramowanie na stronach www serwisów “VK” i “Odnoklassniki” również nie jest szyfrowana, co pozwala na łatwe monitorowanie wszystkich działań podejmowanych w tychże sieciach lokalnych.

Nawet przypuszczając, że posiadacze serwerów anonimizujących wykazali się tak nieodpowiedzialnym podejściem do ochrony poufnych danych z przyczyny zwykłego błędu, lub elementarnej niewiedzy w zakresie podstaw bezpieczeństwa informacji, nie możemy mieć gwarancji, że cyberprzestępcy nie zechcą przechwycić niezaszyfrowanego ruchu sieciowego.

Ponieważ użytkowanie opisywanych programów może prowadzić do wycieku osobistych informacji użytkowników, Antywirus Dr.Web wykrywa je jako potencjalnie niebezpieczne aplikacje o nazwie Program.PWS.1. Analitycy bezpieczeństwa Doctor Web poinformowali Google o tym, że wymienione oprogramowanie może prowadzić do wyeksponowania poufnych danych; jednakże, na chwilę opublikowania tego artykułu, te aplikacje są wciąż dostępne do pobrania.

Aby zabezpieczyć się, użytkownicy zablokowanych zasobów online powinni unikać używania podejrzanych aplikacji i usług wykorzystywanych do omijania ograniczeń dostępu. Na rynku dostępne są bezpieczniejsze rozwiązania zapewniające wystarczający poziom bezpieczeństwa. Pośród nich znajdują się komercyjne i darmowe usługi VPN (Dostawcy Sieci Wirtualnych lub prywatne sieci wirtualne) oraz serwery Proxy.

Wszystkie znane wersje Program.PWS.1 są z powodzeniem wykrywane przez produkty antywirusowe Dr.Web dla Androida. Ponieważ te programy są potencjalnie niebezpieczne, Doctor Web zaleca usunięcie ich i nie korzystanie z nich tak długo, dopóki ich deweloperzy nie dokonają wymaganych zmian w sposobie ich działania.

Więcej na temat Program.PWS.1

20 czerwca 2017

Ostatnimi czasy często zapewniano nas o tym, że usługi w chmurze są bardzo pewnym i praktycznym rozwiązaniem i że nie ma nic bardziej bezpiecznego, niż Linux. Wyglądało na to, że zdecydowanie się na jedną z tych usług sprowadza się do dokonania wyboru pomiędzy przyjaznym interfejsem użytkownika i jeszcze bardziej przyjaznym interfejsem użytkownika. Nagle, jak to zwykle bywa, stało się jednak coś niezbyt przyjemnego.

Specjaliści d/s bezpieczeństwa przyjrzeli się temu przypadkowi jak zwykłemu atakowi ransomware. Stwierdzili zaniedbania w aktualizacji oprogramowania, błędy w konfiguracji, itp. Tym niemniej była to największa suma okupu kiedykolwiek wypłacona na rzecz szantażystów i zarazem najbardziej udany atak na system Linux.

Kto zawinił?

1. Dostawca usługi hostingowej nie oferował swoim klientom tworzenia kopii zapasowych i nie stworzył systemu na który mógłby się przełączyć w przypadku awarii istniejącej infrastruktury.
2. Jego klienci oparli się na infrastrukturze firmy hostingowej i nie robili kopii zapasowych swoich danych.

Udane ataki na dostawców usług chmurowych były już przeprowadzane wcześniej, ale jak dotąd żaden z nich nie przyciągnął tak dużej uwagi jak ten.

Specjaliści z Doctor Web oczekują szybkiego wzrostu liczby podobnych incydentów, głównie dlatego, że zakończone sukcesem historie tego typu prowokują pojawienie się licznych naśladowców. Być może nieco później ta fala ataków na dostawców różnych usług w Sieci ulegnie zmniejszeniu — lub, być może, stanie się nowym trendem, jakim stały się ataki na urządzenia z systemem Linux. Jest za wcześnie na jakiekolwiek przewidywania.

Zalecenia Dr.Web

1. Jeśli przechowujesz swoje dane w chmurze i nie robisz kopii zapasowych, zacznij je robić już teraz i upewnij się, że zapisujesz je na serwerach należących do różnych dostawców, w domu lub w różnych lokalizacjach.
2. Jeśli wynajmujesz serwer, stronę www, lub usługę oparte na rozwiązaniach chmurowych, nie oznacza to, że jesteś zwolniony z ochrony swoich danych. Bezpieczeństwo to Twoja sprawa. Oprócz wykonywania kopii zapasowych, potrzebujesz co najmniej antywirusa. Jednego dla Twojego PC i drugiego dla zasobów w chmurze.

Dr.Web Server Security Suite (chroni serwery przed malware) i Dr.Web Gateway Security Suite (skanuje ruch przychodzący i blokuje dostęp do podejrzanych stron www w Internecie) mogą zapewnić ochronę infrastruktury dostawców usług sieciowych.

Produkty Dr.Web Enterprise Security Suite zapewniają ochronę dla wszystkich klientów korporacyjnych niezależnie od rozmiaru firmy. Proszę zwrócić szczególną uwagę na fakt, że ochrona antywirusowa jest niezbędna zarówno po stronie dostawcy, jak i po stronie klienta (w sieci korporacyjnej i na komputerach pracowników). Jest to jedyny sposób zabezpieczenia się przed atakami typu man-in-the-middle.

19 czerwca 2017

Analitycy bezpieczeństwa Doctor Web wykryli trojana dla Androida zarządzanego przez cyberprzestępców poprzez protokół aplikacji Telegram. Ten złośliwy program wykrada poufne informacje i wykonuje polecenia wydawane przez cyberprzestępców.

Trojan, nazwany Android.Spy.377.origin, to narzędzie do zdalnej administracji (RAT) dystrybuowane pod płaszczykiem niegroźnych aplikacji. Zostało użyte do zaatakowania irańskich użytkowników Androida. Narzędzie może być instalowane na smartfonach i tabletach jako program nazwany “ینستا پلاس” (“Insta Plus”), “پروفایل چکر” (“Profile Checker”) i “Cleaner Pro”.

Uruchomiony, trojan oferuje sprawdzenie jaka jest popularność posiadacza urządzenia mobilnego wśród innych użytkowników aplikacji Telegram. W tym celu prosi on użytkownika o jego osobiste ID. Gdy ofiara wprowadzi informacje do stosownych pól w formularzu, Android.Spy.377.origin wyświetla “liczbę odwiedzających” jego profil, jednakże w rzeczywistości trojan niczego nie sprawdza, a jedynie generuje losową liczbę, wyświetlaną jako prawdziwy wynik. Ta funkcja zapewnia wykluczenie złośliwego programu z kręgu podejrzeń i pozostawienie wrażenia, że nie stanowi on żadnego zagrożenia. Czasami po swoim uruchomieniu Android.Spy.377.origin usuwa swój skrót z ekranu domowego urządzenia i zamyka swoje okno próbując ukryć swoją obecność w systemie.

Android.Spy.377.origin to klasyczny program szpiegujący zdolny do wykonywania poleceń wydawanych przez cyberprzestępców. Główną cechą odróżniającą tą złośliwą aplikację od innych trojanów dla Androida jest sposób w jaki cyberprzestępcy go kontrolują: poprzez protokół wymiany wiadomości komunikatora online – aplikacji Telegram. Jest to pierwszy trojan dla Androida z taką funkcjonalnością na który natknęli się analitycy bezpieczeństwa Doctor Web.

Po usunięciu skrótu Android.Spy.377.origin kopiuje listę kontaktów, przychodzące i wychodzące wiadomości SMS i dane konta Google posiadacza urządzenia mobilnego. Następnie zapisuje te dane do plików tekstowych w swoim katalogu roboczym. Dodatkowo trojan robi zdjęcie z użyciem przedniej kamery aby uzyskać obraz twarzy właściciela urządzenia. Następnie spyware ładuje to zdjęcie i pliki ze skradzionymi danymi na serwer kontrolno-zarządzający i wysyła sygnał do bota aplikacji Telegram kontrolowanego przez cyberprzestępców informujący o tym, że urządzenie zostało pomyślnie zainfekowane.

Poniżej przedstawione są próbki plików przesyłanych do cyberprzestępców przez trojana Android.Spy.377.origin.

Gdy poufne informacje zostaną wykradzione, Android.Spy.377.origin łączy się ponownie z botem i czeka aż bot wyśle wiadomości zawierające komendy sterujące pracą wirusa. Trojan potrafi odbierać następujące rozkazy:

• call — wykonaj połączenie telefoniczne;
• sendmsg — wyślij wiadomość SMS;
• getapps — przekaż na serwer informacje o zainstalowanych aplikacjach;
• getfiles — przekaż na serwer informacje o wszystkich dostępnych plikach;
• getloc — przekaż na serwer informacje na temat lokalizacji urządzenia;
• upload — załaduj na serwer plik wskazany w poleceniu i zapisany na urządzeniu;
• removeA — usuń z urządzenia plik określony w poleceniu;
• removeB — usuń grupę plików;
• lstmsg — przekaż na serwer plik zawierający informacje o wszystkich wysłanych i odebranych wiadomościach SMS, włączając numery telefonów nadawców i odbiorców oraz zawartość wiadomości.

Gdy każda z komend zostanie wykonana, złośliwy program raportuje informacje zwrotne wprost do bota aplikacji Telegram kontrolowanego przez cyberprzestępców.

Oprócz zbierania poufnych danych na skutek odbierania poleceń od cyberprzestępców Android.Spy.377.origin niezależnie śledzi wszystkie przychodzące i wychodzące wiadomości SMS, jak i koordynaty urządzenia. Trojan ostrzega cyberprzestępców poprzez kontrolowanego przez nich bota dla komunikatora Telegram za każdym razem, gdy zostaną odebrane lub wysłane nowe wiadomości, lub gdy lokalizacja zainfekowanego smartfonu lub tabletu ulegnie zmianie.

Analitycy bezpieczeństwa Doctor Web ostrzegają użytkowników i informują, że cyberprzestępcy często dystrybuują złośliwe aplikacje pod płaszczykiem niegroźnych programów. Aby zabezpieczyć swoje urządzenia przed trojanami dla Androida, użytkownicy powinni instalować oprogramowanie dystrybuowane wyłącznie przez zaufanych deweloperów i pobierać je tylko z godnych zaufania źródeł, takich jak Google Play. Wszystkie znane wersje Android.Spy.377.origin są z powodzeniem wykrywane przez produkty antywirusowe Dr.Web dla Androida; tym samym to spyware nie stanowi żadnego zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

15 czerwca 2017

Trojany górnicze to złośliwe programy używające zasobów zainfekowanego urządzenia do wydobywania kryptowalut. Analitycy Doctor Web przeprowadzili badania jednego z takich trojanów, zdolnego do infekowania komputerów z systemem Windows.

Ten złośliwy program, zaprojektowany do pozyskiwania kryptowaluty Monero (XMR), został nazwany Trojan.BtcMine.1259. Na zainfekowany komputer jest on pobierany przez wirusa Trojan.DownLoader24.64313. Z kolei ten trojan ładujący jest dystrybuowany przez backdoora DoublePulsar.

Uruchomiony, Trojan.BtcMine.1259 sprawdza, czy na zainfekowanym komputerze jest już uruchomiona jego kopia. Następnie określa liczbę dostępnych rdzeni CPU; jeśli ich liczba jest większa lub równa liczbie wątków określonych w konfiguracji trojana, odszyfrowuje on bibliotekę zapisaną wewnątrz swojej struktury i ładuje ją do pamięci. Ta biblioteka jest zmodyfikowaną wersją systemu do zdalnej administracji, którego kod jest dostępny na zasadach open source. Ten system jest znany jako Gh0st RAT (Antywirus Dr.Web wykrywa go jako BackDoor.Farfli.96). Następnie Trojan.BtcMine.1259 zapisuje swoją kopię na dysku i uruchamia ją jako usługę systemową. Uruchomiony, trojan próbuje pobrać swoją aktualizację z serwera kontrolno-zarządzającego, którego adres został wskazany w pliku konfiguracyjnym.

Główny moduł zaprojektowany do wydobywania kryptowaluty Monero został również zaimplementowany w postaci biblioteki, a trojan zawiera zarówno 32- jak i 64-bitową wersję programu górniczego. Odpowiednia implementacja trojana jest wybierana na podstawie liczby bitów w długości słowa systemu operacyjnego. Konfiguracja tego modułu wskazuje ile rdzeni procesora i zasobów systemu będzie użyte do wydobywania kryptowaluty, określa interwały w których program górniczy będzie automatycznie ponownie uruchamiany i definiuje inne parametry. Trojan śledzi procesy uruchomione na zainfekowanym komputerze i kończy swoją pracę z chwilą przeprowadzenia próby uruchomienia Menedżera Zadań.

Pomimo faktu, że pierwsze trojany górnicze zostały wykryte ponad sześć lat temu (sygnatura Trojan.BtcMine.1 została dodana do baz wirusów Dr.Web w 2011 roku), cyberprzestępcy wciąż rozpowszechniają złośliwe programy wykorzystujące zasoby komputera bez wiedzy użytkownika. Oznaką mówiącą o tym, że komputer został zainfekowany takim programem może być spowolnienie systemu lub przegrzewanie się CPU. Trojan.BtcMine.1259 i wszystkie jego komponenty są z powodzeniem usuwane przez Antywirusa Dr.Web i tym samym nie stanowi on zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

13 czerwca 2017

Rosyjska firma antywirusowa Doctor Web zaktualizowała wtyczkę Dr.Web dla IBM Lotus Domino dla Windows do wersji 11.0.2. Aktualizacja dostarcza nowe funkcjonalności i rozwiązuje znane problemy.

Od teraz wtyczka wspiera Windows Server 2016.

Dodatkowo usunięto błąd pojawiający się podczas przesyłania statystyk do serwera zcentralizowanej ochrony antywirusowej. Wyeliminowano również usterkę powodującą zamrożenie zadań SMTP i usunięto problem ze skanowaniem maili pojawiający się podczas zażądania dostępu do baz danych NSF.

Aby zainstalować najnowsze wydanie Dr.Web dla IBM Lotus Domino, musisz odinstalować poprzednią wersję. Aby zachować ustawienia z poprzedniej instalacji, klienci powinni użyć opcji eksportowania i importowania ustawień do i z pliku.

6 czerwca 2017

Rosyjska firma antywirusowa Doctor Web zaprasza wszystkich użytkowników do uczestnictwa w testach beta Dr.Web 11.0 dla serwerów poczty UNIX i Antywirusa Dr.Web 11.0.3 dla Linuxa. Obydwa produkty zostały gruntownie odnowione i wyposażone w nowe funkcjonalności rozszerzające poziom bezpieczeństwa i ułatwiające administrowanie programem.

Nowości w Dr.Web dla serwerów poczty UNIX:

• Zupełnie nowa architektura — teraz, zamiast integracji z serwerami poczty, produkt komunikuje się z nimi z użyciem standardowych usług serwera poczty (Milter, Spamd, Rspamd);
• Od teraz produkt może być transparentnie zintegrowany z kanałami komunikacyjnymi wykorzystującymi standardowe protokoły SMTP, POP3 i IMAP (ten tryb jest dostępny tylko w systemach GNU/Linux);
• Niepożądana zawartość przychodzącej wiadomości e-mail jest od teraz zapisywana w oddzielnym archiwum zabezpieczonym hasłem, nie w kwarantannie;
• Moduł Webmin został zastąpiony własnym interfejsem www do zarządzania programem;
• W regułach filtrowania poczty można od teraz używać informacji z usług OpenLDAP i Active Directory;
• Statystyki na temat statusu produktu i ważne powiadomienia o zdarzeniach (np. dotyczące zablokowanych e-maili) mogą być teraz wysyłane poprzez SNMP;
• Od teraz można też użyć modułu Clamd do skanowania wiadomości w serwerach poczty nie wykorzystujących usług Milter/Spamd/Rspamd;
• Walidacja adresu nadawcy/odbiorcy poprzez DNSxL.

Nowości w Antywirusie Dr.Web dla Linuxa:

• E-maile odebrane przez IMAP(S)/POP3(S) są od teraz skanowane.
• E-maile odebrane poprzez SMTP(S) są od teraz skanowane.

Doctor Web zaprasza wszystkich chcących przetestować nowe funkcjonalności w Dr.Web 11.0 dla serwerów poczty UNIX i w Antywirusie Dr.Web 11.0.3 dla Linuxa do wzięcia udziału w testach beta.

5 czerwca 2017

Analitycy bezpieczeństwa Doctor Web przebadali dwa złośliwe programy dla Linuxa. Jeden z nich instaluje na zainfekowanych przez siebie urządzeniach aplikację do pozyskiwania kryptowalut, drugi uruchamia serwer proxy.

Pierwszy z dwóch wirusów został dodany do baz wirusów Dr.Web pod nazwą Linux.MulDrop.14. Ten złośliwy program atakuje tylko minikomputery Raspberry Pi. Przestępcy rozpoczęli dystrybucję Linux.MulDrop.14 w drugiej połowie maja. Trojan jest w rzeczywistości skryptem zawierającym skompresowaną i zaszyfrowaną aplikację zaprojektowaną do pozyskiwania kryptowalut. Linux.MulDrop.14 zmienia hasło na zainfekowanych urządzeniach, rozpakowuje i uruchamia program górniczy, a następnie, w nieskończonej pętli, rozpoczyna wyszukiwanie węzłów sieci z otwartym portem 22. Po zestawieniu połączenia z nimi z użyciem protokołu SSH, trojan próbuje uruchomić na nich kopię samego siebie.

Drugi trojan został nazwany Linux.ProxyM. Ataki wywołane przez tego trojana zostały odnotowane już w lutym 2017, ale osiągnęły szczyt pod koniec maja. Poniższy diagram pokazuje jak wiele ataków Linux.ProxyM zostało przechwyconych przez specjalistów Doctor Web:

Znacząca część zaatakowanych adresów IP jest zlokalizowana w Rosji. Drugie miejsce zajmują Chiny, a trzecie — Taiwan. Poniższa ilustracja pokazuje położenie geograficzne węzłów w których przeprowadzono ataki wirusem Linux.ProxyM:

Trojan używa specjalnego zakresu metod do wykrywania tzw. Honeypots — specjalnych serwerów-przynęt używanych przez specjalistów z zakresu cyberbezpieczeństwa do badania złośliwego oprogramowania. Uruchomiony trojan podłącza się do swojego serwera kontrolno-zarządzającego i po uzyskaniu od niego potwierdzenia, uruchamia serwer SOCKS proxy na zainfekowanym urządzeniu. Cyberprzestępcy mogą używać tego trojana do zapewnienia sobie anonimowości online.

Obydwa opisywane trojany są z powodzeniem wykrywane i usuwane przez produkty Dr.Web dla Linuxa i tym samym nie stanowią żadnego zagrożenia dla naszych użytkowników.

• Więcej na temat Linux.MulDrop.14
• Więcej na temat Linux.ProxyM

1 czerwca 2017

Rosyjska firma antywirusowa Doctor Web zaktualizowała oprogramowanie serwera w Dr.Web Enterprise Security Suite 10.1 (201705110), Dr.Web Enterprise Proxy (201705110), Dr.Web Enterprise Agent dla Windows (11.0.1.05150) i Dr.Web Enterprise Agent dla Windows ze wsparciem dla Active Directory (11.00.05180). Aktualizacja dostarcza nowe funkcjonalności i rozwiązuje znane problemy. Zaktualizowano również dokumentację dla tych produktów.

Oprogramowanie Serwera:

• Pliki kluczy licencyjnych mogą być teraz aktualizowane w sposób automatyczny;
• W Centrum Zarządzania Dr.Web ustawienia ochrony zapobiegawczej i agenta mogą być teraz osiągane z poziomu różnych sekcji;
• Wpisy Agentów w drzewie antywirusowym mogą być teraz sortowane według różnych kryteriów;
• Niektóre dane z drzewa antywirusowego są od teraz możliwe do wyeksportowania;
• Rozwiązano problem z wydajnością serwera, pojawiający się podczas dystrybucji aktualizacji pomiędzy agentami;
• Poprawiono błąd, który mógł uniemożliwiać zatwierdzanie nowych hostów podczas ich łączenia się z Serwerem Dr.Web;
• Wyeliminowano problem skutkujący błędem podczas ładowania lub wyładowywania dużych plików w sekcji zarządzania Zawartością Repozytorium w ramach Centrum Zarządzania Dr.Web i w sekcji Kwarantanny;
• Aktualizacja poprawiła również błąd pojawiający się podczas określania liczby hostów w sieci antywirusowej, jeśli stosowne żądanie zostało wysłane poprzez Dr.Web API — w szczególności podczas przesyłania danych do Mobilnego Centrum Zarządzania Dr.Web.

Proxy Dr.Web Enterprise:

• Usunięto problem uniemożliwiający instalację Agentów bez ID, jeśli Proxy Dr.Web Enterprise działało pod dużym obciążeniem;
• Zredukowano wykorzystanie pamięci RAM podczas uruchamiania serwera proxy;
• Wyeliminowano również defekt zapobiegający zestawieniu połączenia poprzez serwer proxy przez agentów w wersji 6.

Komponenty Agenta:

• Wprowadzono kompatybilność z Windows 10 Creators Update;
• Komponenty zostały zaktualizowane do bieżących wersji.

Zaktualizowany Serwer Dr.Web Enterprise Security Suite jest dostępny poprzez interfejs www Centrum Zarządzania Dr.Web, w którym pojawi się jako aktualizacja datowana na 11.05.2017. Pliki zaktualizowanej dystrybucji mogą być również pobrane ze strony www Doctor Web.

31 maja 2017

Najbardziej godnym uwagi wydarzeniem w maju 2017 była masowa dystrybucja złośliwego programu WannaCry, wykrywanego przez Antywirusa Dr.Web jako Trojan.Encoder.11432. Ten robak dystrybuował się samodzielnie, infekując węzły sieci poprzez podatność w protokole SMB. Następnie szyfrował pliki na komputerach swoich ofiar i żądał okupu za ich odszyfrowanie. Co więcej, w maju specjaliści Doctor Web przebadali skomplikowanego, wielokomponentowego trojana dla Linuxa napisanego w Lua. Wykryto również nowego backdoora dla macOS.

Zagrożenie miesiąca

Złośliwy program, szeroko znany jako WannaCry, został wykryty w wielu outletach ze sprzętem multimedialnym. Ta niebezpieczna aplikacja jest robakiem sieciowym infekującym komputery pracujące pod kontrolą Microsoft Windows. Rozpoczęła ona swoje rozpowszechnianie się około 10.00, 12 maja 2017. W charakterze swojego „arsenału” robak zawiera trojana szyfrującego. Antywirus Dr.Web wykrywa wszystkie komponenty robaka jako Trojan.Encoder.11432.

Uruchomiony, robak rejestruje się jako usługa systemowa i zaczyna odpytywać węzły sieci w sieci lokalnej i w Internecie, o przypadkowo wybranych adresach IP. Jeśli połączenie zostanie zestawione z powodzeniem, robak próbuje zainfekować te komputery. Jeśli zdoła je zainfekować, robak uruchamia trojana szyfrującego używającego losowego klucza do zaszyfrowania plików na tych komputerach. Działając, Trojan.Encoder.11432 usuwa ukryte kopie plików i wyłącza funkcję przywracania systemu. Trojan tworzy oddzielną listę plików, które zostały zaszyfrowane odrębnym kluczem: złośliwy program potrafi za darmo odszyfrować te pliki do wglądu dla swoich ofiar. Ponieważ te pliki testowe i wszystkie pozostałe pliki w komputerze są zaszyfrowane z użyciem różnych kluczy, to posiadacz komputera nie ma gwarancji, że jego pliki będą z powodzeniem odszyfrowane w sytuacji, gdy zdecyduje się na zapłacenie okupu. Szczegółowe informacje na temat tego trojana można znaleźć w przeglądzie i w szczegółowym opisie technicznym tego robaka.

Najpopularniejsze zagrożenia na podstawie statystyk Antywirusa Dr.Web

• Trojan.InstallCore
  Rodzina programów instalujących niepożądane i złośliwe aplikacje.
• Trojan.DownLoader
  Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.
• Trojan.Encoder.11432
  Robak sieciowy uruchamiający na komputerze ofiary niebezpiecznego trojana ransomware. Znany również jako WannaCry.
• Trojan.LoadMoney
  Rodzina trojanów typu downloader generowana przez serwery przynależne do programu partnerskiego LoadMoney. Te aplikacje pobierają i instalują na komputerze ofiary różne niechciane programy.
• Trojan.Moneyinst.133
  Złośliwy program instalujący na komputerze ofiary różne oprogramowanie, włączając inne trojany.

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

• JS.DownLoader
  Rodzina złośliwych skryptów JavaScripts. Pobierają i instalują złośliwe oprogramowanie.
• Trojan.InstallCore
  Rodzina trojanów instalujących niepożądane i złośliwe aplikacje.
• Trojan.DownLoader
  Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.
• Trojan.Moneyinst.151
  Złośliwy program instalujący na komputerze ofiary różne oprogramowanie, włączając inne trojany.
• Trojan.PWS.Stealer
  Rodzina trojanów zaprojektowanych do wykradania haseł i innych poufnych danych zapisanych na zainfekowanym komputerze.

Najpopularniejsze zagrożenia na podstawie statystyk dotyczących złośliwych programów wykrytych w ruchu poczty elektronicznej

• JS.DownLoader
  A Rodzina złośliwych skryptów JavaScripts. Pobierają i instalują złośliwe oprogramowanie.
• W97M.DownLoader
  Rodzina trojanów typu downloader wykorzystujących podatności w aplikacjach biurowych i potrafiących pobierać na zaatakowany komputer inne złośliwe programy.
• Trojan.PWS.Stealer
  Rodzina trojanów zaprojektowanych do wykradania haseł i innych poufnych danych zapisanych na zainfekowanym komputerze.

Najpopularniejsze zagrożenia na podstawie danych z Dr.Web Bot dla Telegram

• Trojan.Encoder.11432
  Robak sieciowy uruchamiający na komputerze ofiary niebezpiecznego trojana ransomware. Znany również jako WannaCry.
• Android.Locker.139.origin
  Trojan ransomware dla Androida. Jego różne modyfikacje potrafią blokować urządzenie wyświetlając ostrzeżenie o pewnym naruszeniu prawa. Aby odblokować urządzenie, użytkownik musi zapłacić okup.
• Android.HiddenAds.24
  Trojan zaprojektowany do wyświetlania niepożądanych reklam na urządzeniach mobilnych.
• Android.Androrat.1.origin
  Program szpiegujący (spyware) dla urządzeń z Androidem.
• BackDoor.Bifrost.29284
  Trojan typu backdoor wykonujący polecenia otrzymywane od cyberprzestępców.

W maju pomoc techniczna Doctor Web otrzymała najwięcej zgłoszeń od ofiar następujących modyfikacji ransomware szyfrującego pliki:

• Trojan.Encoder.858 — 14.39% zgłoszeń;
• Trojan.Encoder.11432 — 8.36% zgłoszeń;
• Trojan.Encoder.3953 — 7.41% zgłoszeń;
• Trojan.Encoder.761 — 2.62% zgłoszeń;
• Trojan.Encoder.10144 — 2.60% zgłoszeń;
• Trojan.Encoder.567 — 2.47% zgłoszeń.

Dr.Web Security Space 11.0 dla Windows chroni przed ransomware
szyfrującym pliki

Ta funkcjonalność nie jest dostępna w Antywirusie Dr.Web dla Windows.

Zapobieganie Utracie Danych

Więcej informacji

W maju 2017 Doctor Web dodał 1129277 adresów URL do bazy Dr.Web z niezalecanymi stronami www.

Niezalecane strony www

Inne wydarzenia z zakresu bezpieczeństwa informacji

Z początkiem maja Doctor Web wykrył trojana dystrybuowanego poprzez linki w komentarzach pozostawianych przez cyberprzestępców na oficjalnej grupie “Doctor Web” w sieci społecznościowej “VK”. W swoich wiadomościach oszuści oferowali użytkownikom możliwość pobrania darmowych kluczy licencyjnych do antywirusa Dr. Web, jednakże każdy kto skorzystał z tego linku w rzeczywistości kończył pobraniem na swój komputer wirusa Trojan.MulDrop7.26387

Ten złośliwy program potrafi wykonywać różne polecenia wydawane przez cyberprzestępców: przykładowo potrafi zmienić tapetę Pulpitu Windows, otworzyć i zamknąć szufladę napędu optycznego, zamienić miejscami funkcje klawiszy myszki, odtworzyć określoną frazę z użyciem syntezatora głosu i głośników, a nawet wyświetlać przerażające pliki wideo. Aby uzyskać więcej informacji na jego temat, zajrzyj do tego artykułu opublikowanego na naszej stronie www.

Malware dla Linuxa

W maju specjaliści Doctor Web przebadali wielokomponentowego trojana dla Linuxa napisanego w Lua. Ten złośliwy program, nazwany jako Linux.LuaBot, składa się z 31 skryptów Lua I potrafi infekować nie tylko komputery, ale również urządzenia typu “smart”: macierze sieciowe, routery, dekodery TV, kamery IP, itp. Trojan generuje listę adresów IP do zaatakowania, a następnie próbuje zestawić połączenie ze zdalnym urządzeniem z tej listy i zalogować się na nie korzystając z metody logowania brute-force i specjalnego słownika. Jeśli mu się to powiedzie, to pobiera swoją własną kopię na zainfekowany komputer i uruchamia ją.

Ten Trojan jest w rzeczywistości backdoorem; innymi słowy wykonuje polecenia wydawane przez cyberprzestępców. Dodatkowo trojan uruchamia na zainfekowanym urządzeniu serwer www Ten serwer pozwala cyberprzestępcom na ładowanie różnych plików. Specjaliści Doctor Web zebrali statystyki na temat unikalnych adresów IP urządzeń zainfekowanych przez Linux.LuaBot — są one pokazane na poniższym diagramie.

Aby uzyskać bardziej szczegółowe informacje o tym wielokomponentowym trojanie, zajrzyj do naszego artykułu lub do opisu technicznego tego zagrożenia.

Złośliwe programy dla macOS

Ostatni miesiąc wiosny 2017 odznaczył się dystrybucją backdoora dla macOS. Trojan ten został dodany do baz wirusów Dr.Web pod nazwą Mac.BackDoor.Systemd.1. Niniejszy backdoor potrafi wykonywać następujące polecenia:

• Odbierz listę zawartości określonego katalogu;
• Odczytaj plik;
• Zapisz do pliku;
• Uzyskaj zawartość pliku;
• Usuń plik lub folder;
• Zmień nazwę pliku lub folderu;
• Zmień uprawnienia dla pliku lub folderu (polecenie chmod);
• Zmień posiadacza obiektu plikowego (polecenie chown);
• Utwórz folder;
• Wykonaj polecenie w powłoce bash;
• Zaktualizuj trojana;
• Ponownie zainstaluj trojana;
• Zmień adres IP serwera kontrolno-zarządzającego;
• Zainstaluj wtyczkę

Więcej informacji o tym złośliwym programie można znaleźć w artykule opublikowanym przez Doctor Web.

Złośliwe i niepożądane programy dla urządzeń mobilnych

W maju w Google Play wykryto wirusa Android.RemoteCode.28. Pobierał on inne programy i współdzielił informacje z serwerem kontrolno-zarządzającym. Aplikacje które skrywał Android.Spy.308.origin zostały również wykryte w tym katalogu. Trojan ten pobierał i uruchamiał dodatkowe moduły programowe i wyświetlał reklamy. W zeszłym miesiącu cyberprzestępcy dystrybuowali też wirusa Android.BankBot.186.origin pod postacią wiadomości MMS. Ten trojan bankowy wykradał pieniądze z kont użytkowników.

Pośród najbardziej godnych zauważenia wydarzeń maja powiązanych z malware dla urządzeń mobilnych, możemy wymienić następujące przypadki:

• Wykrycie trojanów dla Androida w Google Play;
• Dystrybucję trojana bankowego w skrycie wykradającego pieniądze z kont użytkowników i przesyłającego je na rachunek cyberprzestępców.

Dowiedz się więcej o złośliwych i niepożądanych programach dla urządzeń mobilnych z naszego specjalnego przeglądu.

Dowiedz się więcej razem z Dr.Web

Statystyki wirusów Opisy wirusów Comiesięczne przeglądy wirusów

31 maja 2017

Doctor Web prezentuje swój przegląd malware dla urządzeń mobilnych odnotowanego w maju 2017. W zeszłym miesiącu wykryto w Google Play kilka nowych trojanów dla Androida. Jeden z nich pobierał aplikacje z Sieci i wykradał poufne informacje. Kolejny pobierał i uruchamiał dodatkowe moduły programowe i wyświetlał denerwujące reklamy. Również w maju cyberprzestępcy dystrybuowali trojana bankowego który wykradał pieniądze z kont użytkowników.

Mobilne zagrożenie miesiąca

Z początkiem maja wykryto w Google Play wirusa Android.RemoteCode.28. Był on wbudowany w odtwarzacz audio. Pobierał on inne aplikacje z Internetu i współdzielił z serwerem kontrolno-zarządzającym informacje o zainfekowanym urządzeniu i dane o zainstalowanym oprogramowaniu.

Cechy Android.RemoteCode.28:

• Główna złośliwa funkcjonalność trojana leży w jego dodatkowym, zaszyfrowanym module;
• Android.RemoteCode.28 rozpoczyna swoją złośliwą aktywność tylko 8 godzin po swoim uruchomieniu;
• Trojan sprawdza czy na urządzeniu obecne są narzędzia do emulowania i debugowania i w przypadku ich wykrycia kończy ich działanie.

Najpopularniejsze wirusy na podstawie statystyk zebranych przez Dr.Web dla Androida

• Android.HiddenAds.83.origin
• Android.HiddenAds.76.origin
• Android.HiddenAds.68.origin

Trojany zaprojektowane do wyświetlania niepożądanych reklam na urządzeniach mobilnych. Są dystrybuowane pod płaszczykiem popularnych aplikacji przez inne złośliwe programy, które, w niektórych przypadkach, w skrycie instalują je w katalogu systemowym.

• Android.Sprovider.9

Trojan dla Androida zaprojektowany do wyświetlania reklam na pasku statusowym i do pobierania oraz instalowania innych, w tym złośliwych, aplikacji.

• Android.Triada.264.origin

Wielokomponentowy trojan realizujący różne złośliwe funkcje.

• Adware.Jiubang.1
• Adware.Batmobi.2.origin
• Adware.Leadbolt.12.origin
• Adware.Airpush.31.origin
• Adware.Appsad.1

Niepożądane moduły programowe wbudowywane w aplikacje dla Androida i zaprojektowane do wyświetlania denerwujących reklam na urządzeniach mobilnych.

Trojany w Google Play

W połowie maja wykryto w Google Play aplikacje z osadzonym w nich trojanem Android.Spy.308.origin. W szczególności były one dystrybuowane przez dewelopera o nazwie Sumifi Dev. To nie jest pierwszy raz, gdy złośliwy program przeniknął do oficjalnego katalogu z oprogramowaniem dla Androida. Doctor Web opisał jeden z takich incydentów w lipcu 2016. Po wykryciu Android.Spy.308.origin developer zaktualizował zainfekowane aplikacje i usunął komponent trojana. Obecnie nie stanowią już one żadnego zagrożenia.

Android.Spy.308.origin wyświetla denerwujące reklamy oraz w skrycie pobiera i uruchamia dodatkowe moduły programowe. Dodatkowo trojan wykrada poufne informacje i wysyła je na serwer kontrolno-zarządzający.

Trojany bankowe

W maju cyberprzestępcy wykorzystali wiadomości MMS do dystrybucji trojanów bankowych takich jak Android.BankBot.186.origin. Użytkownicy odbierali też wiadomości SMS zawierające link prowadzący do fałszywej strony www. Z tego miejsca pobierany był na urządzenia mobilne złośliwy plik APK.

Android.BankBot.186.origin zachęca użytkownika do udzielenia mu uprawnień administracyjnych w celu utrudnienia usunięcia go z systemu. Próbuje również zastąpić standardową aplikację do obsługi wiadomości SMS. Jest to konieczne do ominięcia podsystemu bezpieczeństwa nowych wersji Androida i umożliwia wysyłanie i przechwytywanie wiadomości. Następnie trojan sprawdza saldo konta bankowego i w skrycie przesyła pieniądze na rachunek cyberprzestępców.

Złośliwe programy dla urządzeń mobilnych z Androidem wciąż stanowią poważne zagrożenie. Trojany mogą być rozpowszechniane nie tylko poprzez złośliwe strony www, ale i poprzez oficjalny katalog z aplikacjami w Google Play. Doctor Web zaleca użytkownikom smartfonów i tabletów zainstalowanie Dr.Web dla Androida w celu zabezpieczenia ich przed niebezpiecznym i niepożądanym oprogramowaniem.

31 maja 2017

Doctor Web prezentuje swój przegląd aktywności wirusów odnotowanych w maju 2017. Ten miesiąc zostanie zapamiętany z przyczyny masowej dystrybucji niebezpiecznego robaka szyfrującego pliki, szeroko znanego jako WannaCry. Również w maju wykryto backdoora dla macOS i przebadano złożonego, wielokomponentowego trojana dla Linuxa.

31 maja 2017

Doctor Web prezentuje swój przegląd aktywności malware dla urządzeń mobilnych w maju 2017. W ciągu minionego miesiąca wykryto trojana w Google Play pobierającego inne programy i wysyłającego do cyberprzestępców informacje o zainfekowanych przez siebie urządzeniach. W tym katalogu z oprogramowaniem wykryto również aplikacje niosące ze sobą trojana reklamowego zdolnego do pobierania i uruchamiania dodatkowych komponentów. Oprócz tego w maju cyberprzestępcy dystrybuowali trojana bankowego wykradającego pieniądze z kont użytkowników.

25 maja 2017

Złośliwe programy dla Linuxa nie są tak szeroko rozpowszechnione jak trojany dla Windows, jednakże stanowią one poważne zagrożenie dla użytkowników tego systemu. Specjaliści Doctor Web przebadali złożonego, wielokomponentowego trojana infekującego urządzenia z systemem Linux posiadające różne architektury sprzętowe.

Analitycy bezpieczeństwa Doctor Web zarejestrowali pierwszy atak tego trojana z rodziny Linux.LuaBot już w grudniu 2016. Wszystkie wersje tego trojana zostały napisane w języku skryptowym Lua. Od listopada 2016, trojan był ciągle rozwijany, a nowe wersje Linux.LuaBot pojawiały się regularnie. Linux.LuaBot jest zestawem 31 skryptów Lua i dwóch dodatkowych modułów, a każdy z nich realizuje swoje własne funkcje. Trojan infekuje urządzenia oparte o następujące architektury: Intel x86 (i Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4 i M68k — innymi słowy nie tylko komputery, ale również szerokie spektrum routerów, dekoderów TV, macierzy sieciowych, kamer IP i innych urządzeń typu “smart”. Warto zauważyć, że specjalistom Doctor Web nie udało się wykryć „na wolności” próbek trojana stworzonych dla architektury SPARC: infekujący system trojan potrafi rozpoznać maszynę SPARC, ale nie wykryto rzeczywistych, istniejących modułów dla tej architektury.

Wszystkie skrypty zawarte w Linux.LuaBot są niezależne. Trojan generuje listę adresów IP do zaatakowania, a następnie próbuje podłączyć się do zdalnych urządzeń z użyciem tej listy i zalogować się z użyciem metody brute-force korzystając ze specjalnego słownika. Skrypty używane przez trojana do zhakowania węzłów sieci wiedzą, jak określić architekturę atakowanego urządzenia i, co więcej, mają specjalny mechanizm wykrywania tzw. “honeypots” — pełniących rolę przynęty serwerów używanych do oszukiwania cyberprzestępców. Analitycy bezpieczeństwa IT używają “honeypots” do przebadania metod ataku i technik stosowanych przez cyberprzestępców. Dodatkowo ataki są przeprowadzane poprzez protokoły Telnet i SSH — za działanie tych protokołów odpowiedzialny jest oddzielny skrypt Lua. Jeśli dostęp do urządzenia zostanie uzyskany, złośliwy skrypt instaluje na nim odpowiednią do architektury wersję Linux.LuaBot. W trakcie ataku z użyciem protokołu Telnet na zaatakowane urządzenie ładowany jest mały moduł, który uruchamia pobieranie aktualnego trojana. Gdy urządzenie jest atakowane poprzez protokół SSH, trojan jest ładowany bezpośrednio.

Jeden z modułów Linux.LuaBot to w pełni funkcjonalny serwer www obsługujący protokół HTTP. Serwer potrafi zapisać aplikację na zainfekowanym urządzeniu i uruchomić ją, przesłać na żądanie plik ze swojego katalogu i współdzielić informacje o wersji trojana. Warto zauważyć, że majowa wersja Linux.LuaBot zatraciła funkcję przesyłania danych o zainfekowanych przez nią urządzeniach.

Linux.LuaBot komunikuje się z serwerem kontrolno-zarządzającym (C&C) poprzez protokół HTTP, a wszystkie przesyłane przez niego informacje są szyfrowane. Sieć P2P oparta na protokole Bittorent DHT, tym samym protokole który jest wykorzystywany w zwykłych sieciach torrentowych, jest używana do wyszukiwania nowych plików konfiguracyjnych i modułów. Za tą funkcję odpowiada kolejny skrypt. Dodatkowo do weryfikacji autentyczności otrzymywanych i wysyłanych wiadomości wykorzystywany jest podpis cyfrowy. Jeśli sieć P2P jest niedostępna, to w celu aktualizacji Linux.LuaBot oddzielny skrypt używa innych zainfekowanych węzłów, ładując swoje pliki na atakowane urządzenia zgodnie z odebranym wcześniej specjalnym żądaniem. Ten skrypt był używany tylko we wczesnych wersjach tego trojana.

Główne niebezpieczeństwo niesione przez Linux.LuaBot dla użytkowników urządzeń z systemem Linux wynika z faktu, że ten trojan jest, w rzeczywistości, backdoorem; innymi słowy wykonuje on polecenia wydawane przez cyberprzestępców. Dodatkowo, wcześniejsze wersje tego złośliwego programu uruchamiały na zaatakowanych urządzeniach serwery proxy. Cyberprzestępcy używali tych serwerów do maskowania swojej aktywności online.

Specjaliści Doctor Web zebrali statystyki dotyczące unikalnych adresów IP urządzeń zainfekowanych przez Linux.LuaBot. Poniższy obrazek przedstawia informacje na temat geograficznego rozmieszczenia tychże adresów IP.

Analitycy bezpieczeństwa Doctor Web zaznajomili się z kilkoma modyfikacjami Linux.LuaBot, które różnią się między sobą pod względem oferowanego zestawu funkcji i cech architektury. Antywirus Dr.Web wykrywa wszystkie obecnie istniejące próbki Linux.LuaBot.

Więcej na temat tego trojana

24 maja 2017

Rosyjska firma antywirusowa Doctor Web zaktualizowała Dr.Web Security Space dla Androida do wersji 11.1.2. Aktualizacja rozwiązuje znane problemy z oprogramowaniem i wprowadza kilka usprawnień w interfejsie użytkownika.

Aktualizacja zawiera:

• Usunięcie problemu z filtrem URL w przeglądarce Yandex.Browser i na urządzeniach pracujących pod kontrolą Androida w wersji niższej niż 5.x;
• Usunięcie defektu mogącego powodować na niektórych urządzeniach nieprawidłowe zakończenie pracy aplikacji;
• Wprowadzenie kilku drobnych poprawek w interfejsie użytkownika dla urządzeń pracujących pod kontrolą Androida w wersji niższej niż 5.x.

Zaktualizowana aplikacja jest dostępna w Google Play (Dr.Web Security Space, Dr.Web Security Space Life i na stronie www Doctor Web)

Aktualizacja zostanie pobrana i zainstalowana automatycznie. Jeśli wyłączyłeś w swoim urządzeniu opcję automatycznej aktualizacji, przejdź do Google Play, wybierz z listy aplikacji Dr.Web Security Space lub Dr.Web Security Space Life i kliknij "Aktualizuj”.

Aby przeprowadzić aktualizację ze strony www Doctor Web, pobierz zaktualizowaną dystrybucję. Jeśli włączyłeś w ustawieniach programu opcję “Nowa wersja aplikacji”, to z chwilą zaktualizowania baz wirusów zostanie wyświetlone powiadomienie o nowej wersji. Możesz uruchomić pobieranie bezpośrednio z tego okienka dialogowego.

Informacje o wydaniu dla Dr.Web Security Space dla Androida 11.1.2