17 sierpnia 2017

Doctor Web opublikował już artykuł o tym jak nieprawidłowe ustawienia serwera DNS, w połączeniu z innymi czynnikami, może być jedną z możliwych przyczyn narażenia stron www na ataki. Badania przeprowadzone przez naszych analityków pokazały, że takie problemy dotyczą w istotnym stopniu wielu rosyjskich organizacji finansowych i kilku organizacji rządowych.

System rozwiązywania nazw domen - Domain Name System (DNS) pozwala na pozyskiwanie informacji o domenach i zapewnia adresowanie zasobów w Sieci. Oprogramowanie klienta, w szczególności przeglądarki www, używają DNS do określenia adresu IP zasobu w Sieci zgodnie z wprowadzonym adresem URL. Zazwyczaj posiadacze domen samodzielnie administrują serwerami DNS.

Wiele zasobów w Sieci używa kilku dodatkowych domen trzeciego, a nawet czwartego poziomu oprócz głównej domeny drugiego poziomu. Na przykład, domena drweb.com używa poddomen vms.drweb.ru. Zawierają one stronę www która pozwala użytkownikom na sprawdzanie linków lub plików, lub na wyszukiwanie opisów wirusów. Domena free.drweb.ru jest przeznaczona dla potrzeb strony Dr.Web CureIt!; updates.drweb.com to strona systemu aktualizacji Dr.Web, itp. Różne usługi techniczne i usługi wsparcia są zazwyczaj implementowane z użyciem tego typu domen. Takie usługi zawierają system administrowania i zarządzania stroną www, systemy bankowości online, interfejsy www dla serwera poczty i wszystkie rodzaje wewnętrznych stron www przeznaczonych dla pracowników firmy. Poddomeny mogą być również użyte do stworzenia systemów kontroli wersji oprogramowania, systemów śledzenia błędów (bugtracker), różnych usług monitorowania, zasobów wiki i dla innych potrzeb.

Podczas atakowania stron www w celu ograniczenia ich bezpieczeństwa, cyberprzestępcy zbierają najpierw informacje o zasobach www które chcą zaatakować. W szczególności, próbują określić rodzaj i wersję serwera www obsługującego stronę www. Próbują również zidentyfikować wersję systemu zarządzania treścią (CMS), język programowania silnika strony i inne informacje techniczne, włączając listę poddomen domeny głównej atakowanej strony www. Używając tej listy, cyberprzestępcy mogą spróbować dostać się do wnętrza infrastruktury zasobu www przez tzw. “tylne drzwi”, generując dane konta i z powodzeniem logując się do jednej z wewnętrznych, prywatnych usług. Wielu administratorów systemów nie zwraca wystarczającej uwagi na bezpieczeństwo takich zasobów. Tymczasem takie “wewnętrzne” strony www mogą używać przestarzałego oprogramowania zawierającego znane podatności, zawierać informacje ze śledzenia błędów, lub pozwalać na rejestrację w trybie otwartym. Wszystko to może znacząco uprościć zadanie cyberprzestępcom.

Jeśli serwery DNS obsługujące stronę www są prawidłowo skonfigurowane, cyberprzestępcy nie będą mogli pozyskać żądanych informacji o domenie i jej strefie. Jednakże, jeśli ustawienia serwera DNS są nieprawidłowe, to specjalne żądanie AXFR pozwala cyberprzestępcom na pozyskanie pełnych danych a temat poddomen zarejestrowanych w strefie danej domeny. Posiadanie nieprawidłowych ustawień serwera DNS nie jest samo w sobie podatnością, jednakże mogą być one pośrednim powodem narażenia zasobu www na atak.

Analitycy bezpieczeństwa Doctor Web przeprowadzili badanie konfiguracji serwerów DNS licznych rosyjskich banków i organizacji rządowych. Wykryli, że 89 z mniej – więcej 1000 sprawdzonych przez nich domen rosyjskich banków udostępnia informacje na temat strefy domeny w odpowiedzi na zewnętrzne żądania AXFR. Ta informacja została wysłana do Zespołu Reagowania na Zagrożenia Komputerowe w Sektorze Finansowym (Financial Sector Computer Emergency Response Team – FinCERT) przy Banku Rosji. Dodatkowo, nieprawidłowe ustawienia zostały wykryte na stronach www kilku organizacji rządowych. Doctor Web przypomina administratorom stron www o tym, że prawidłowa konfiguracja DNS jest jednym z czynników odpowiadających za bezpieczeństwo zasobu internetowego.

2 sierpnia 2017

Specjaliści Doctor Web zauważyli ostatnio tendencję do coraz to większego upowszechniania się w Internecie wiadomości e-mail o charakterze phishingowym. Cyberprzestępcy wysyłają te wiadomości e mail poszywając się pod rosyjską firmę zarządzającą rejestracją domen “RU-CENTER”. W ciągu ostatnich dwóch tygodni takie masowe wysyłki maili zostały zarejestrowane dwa razy. W tych e-mailach cyberprzestępcy sugerują administratorom stron www umieszczenie na serwerze specjalnego pliku PHP. To działanie doprowadzi do narażenia danego zasobu internetowego na niebezpieczeństwo.

Najwyraźniej do dystrybucji tych fałszywych mailingów cyberprzestępcy użyli bazy kontaktów administratorów domen zarejestrowanych w RU-CENTER. Cyberprzestępcy odnoszą się do pewnych zmian w regułach ICANN i proponują administratorowi domeny utworzenie pliku PHP z określoną zawartością w głównym katalogu serwera. Utworzenie tego pliku jest rzekomym potwierdzeniem prawa do użycia danej domeny przez odbiorcę takiego e-maila. Sam e-mail zawiera logo RU-CENTER i jest rzekomo wysłany w ich imieniu.

Plik proponowany do zapisania w głównym katalogu zawiera polecenie, które wykonuje niezależny kod określony w zmiennej. Cyberprzestępcy mogą wysyłać ten kod do skryptu umieszczonego na serwerze jako żądanie GET lub POST. Specjaliści Doctor Web ostrzegają, że spełnienie żądań cyberprzestępców będzie prowadzić do narażenia strony www na niebezpieczeństwo. Jeśli odbierzesz taki e-mail, zignoruj go. Jeśli masz przypuszczenia, że nadawcą e-maila jest rzeczywiście rejestrator nazw domen, sprawdź tą informację ze wsparciem technicznym firmy rejestrującej.

1 sierpnia 2017

Doctor Web ogłasza wprowadzenie nowych reguł zarządzania blokowaniem i wymianą pirackich plików kluczy Dr.Web.

Aktualizacja reguł antypirackich dla użytkowników Dr.Web

Zgodnie z nowymi regułami licencje bez Centrum Zarządzania Dr.Web Enterprise Security Suite, które zostaną określone jako pirackie, będą blokowane w trybie natychmiastowym.

Jeśli dany użytkownik jest osobą prawną, przywrócenie licencji jest przeprowadzane poprzez odpowiednie zgłoszenie w systemie pomocy technicznej. Link do tego zgłoszenia będzie wysłany pocztą elektroniczną natychmiast po zablokowaniu licencji. Klient będzie musiał wyjaśnić, w jaki sposób jego licencja została “spiratowana” i jakie środki zapobiegawcze podejmie, aby zapewnić brak możliwości powtórzenia się takiej sytuacji w przyszłości.

Tak jak poprzednio, użytkownicy biznesowi mogą wymienić posiadaną licencję Dr.Web trzy razy za darmo, jeśli dana licencja wygaśnie za nie mniej niż 30 dni. W przeciwnym wypadku muszą zakupić odnowienie licencji.

Reguły dla użytkowników domowych pozostają bez zmian: darmowa wymiana licencji jest możliwa tylko jeden raz.

Więcej o nowych regulacjach firmy w zakresie blokowania i wymiany pirackich licencji możesz dowiedzieć się tutaj.

31 lipca 2017

Doctor Web prezentuje swój przegląd aktywności wirusów w lipcu 2017. W lipcu specjaliści Doctor Web wykryli backdoora w aplikacji do zarządzania dokumentami elektronicznymi zwanej M.E.Doc, określili źródło dystrybucji trojana Dande i wykryli narażenie na niebezpieczeństwo Rządowego Portalu Usługowego.

31 lipca 2017

W lipcu analitycy bezpieczeństwa Doctor Web wykryli trojana preinstalowanego w kilku modelach smartfonów z systemem Android. Cyberprzestępcy wstrzyknęli tego trojana do biblioteki systemowej. Ten złośliwy program infiltrował procesy aplikacji i mógł w skrycie pobierać i uruchamiać dodatkowe moduły. Oprócz tego w Google Play wykryto grę z wbudowanym trojanem typu downloader. Również w lipcu analitycy wirusów przebadali niebezpiecznego trojana bankowego uzyskującego kontrolę nad zainfekowanym urządzeniem i wykradającego poufne informacje.

Mobilne zagrożenie miesiąca

W lipcu analitycy bezpieczeństwa Doctor Web wykryli wirusa Android.Triada.231. Cyberprzestępcy wstrzyknęli go do biblioteki systemowej Androida. Ten złośliwy program infiltrował procesy aplikacji i potrafił w skrycie pobierać i uruchamiać dodatkowe moduły. Trojan został wykryty jednocześnie w kilku modelach urządzeń z Androidem.

Cechy Android.Triada.231:

• Infiltracja biblioteki systemowej na poziomie kodu źródłowego;
• Infiltracja procesów wszystkich wykonywalnych aplikacji i wstrzykiwanie w nie złośliwych modułów;
• Aby usunąć trojana z urządzenia wymagane jest zainstalowanie oryginalnego obrazu systemu.

Więcej informacji o tym trojanie można znaleźć w odpowiednim artykule opublikowanym przez Doctor Web.

Najpopularniejsze zagrożenia na podstawie statystyk zebranych przez Dr.Web dla Androida

Android.DownLoader.337.origin

Android.DownLoader.526.origin

Programy typu trojan zaprojektowane do pobierania innych aplikacji.

Android.HiddenAds.85.origin

Android.HiddenAds.68.origin

Android.HiddenAds.83.origin

Trojany zaprojektowane do wyświetlania na urządzeniach mobilnych niepożądanych reklam. Są dystrybuowane pod płaszczykiem popularnych aplikacji przez inne złośliwe programy, które czasami w skrycie instalują je w katalogu systemowym.

Adware.Avazu.8.origin

Adware.SalmonAds.1.origin

Adware.Jiubang.1

Adware.Batmobi.4

Adware.Cootek.1.origin

Niepożądane moduły programowe wbudowane w aplikacje dla Androida i zaprojektowane do wyświetlania na urządzeniach mobilnych denerwujących reklam.

Trojany w Google Play

W lipcu specjaliści Doctor Web wykryli wirusa Android.DownLoader.558.origin wstrzykniętego do popularnej gry nazwanej BlazBlue. Ten złośliwy program jest zawarty w module systemowym zaprojektowanym do optymalizowania aktualizacji oprogramowania. Niebezpieczeństwo z nim związane tkwi w zdolności do skrytego pobierania i uruchamiania niesprawdzonych komponentów aplikacji. Dodatkowe informacje o Android.DownLoader.558.origin znajdują się w naszym artykule.

Trojan bankowy

W ciągu ostatniego miesiąca wykryto nowego niebezpiecznego trojana bankowego nazwanego Android.BankBot.211.origin. Próbował on uzyskać dostęp do Usługi Dostępności systemu Android. Mógł on kontrolować zainfekowane urządzenia i wykradać wszystkie dane wprowadzane z klawiatury, w tym hasła. Oprócz tego Android.BankBot.211.origin wyświetlał formularze phishingowe służące rzekomo do wprowadzania poufnych danych w uruchomionych programach bankowych, oprogramowaniu dla usług płatności online i w innych aplikacjach. Więcej szczegółów o działaniu tego trojana można znaleźć w odpowiednim artykule na naszej stronie www.

Cyberprzestępcy wciąż atakują użytkowników urządzeń mobilnych z Androidem. Rozszerzają wciąż funkcjonalność trojanów i czynią próby dystrybuowania ich na wszystkie możliwe sposoby. Doctor Web zaleca posiadaczom urządzeń zainstalowanie Dr.Web dla Androida w celu ochrony ich smartfonów i tabletów przed złośliwymi aplikacjami.

31 lipca 2017

Przegląd

Zazwyczaj w środku lata znaczące wydarzenia z zakresu bezpieczeństwa informacji są dość rzadkie, jednak lipiec 2017 był tu wyjątkiem. Na początku miesiąca specjaliści Doctor Web wykryli backdoora w aplikacji do zarządzania elektronicznym obiegiem dokumentów zwanej M.E.Doc. Później analitycy bezpieczeństwa określili źródło dystrybucji wirusa BackDoor.Dande, który wykradał z firm farmaceutycznych informacje na temat zamówień leków i innych medykamentów. Pod koniec miesiąca wykryto narażenie na niebezpieczeństwo Portalu Usługowego Rządu Federacji Rosyjskiej (gosuslugi.ru). Również w lipcu wykryto kilka nowych, niebezpiecznych złośliwych programów dla Androida.

Zagrożenie miesiąca

M.E.Doc to popularna na Ukrainie aplikacja do zarządzania elektronicznym obiegiem dokumentów. Została ona opracowana przez firmę Intellect Service. Analitycy bezpieczeństwa Doctor Web wykryli, że jeden z komponentów M.E.Doc, ZvitPublishedObjects.Server.MeCom, zawierał rekord odpowiadający następującemu kluczowi rejestru systemowego Windows: HKCU\SOFTWARE\WC.

Trojan.Encoder.12703 używa do swojego działania tego samego klucza rejestru. Analitycy bezpieczeństwa przebadali dziennik zdarzeń Antywirusa Dr.Web pozyskany z jednego z komputerów należących do naszego klienta i wykryli, że ten enkoder został uruchomiony na zainfekowanej maszynie przez aplikację ProgramData\Medoc\Medoc\ezvit.exe, która jest komponentem programu M.E.Doc:

Dalsze badania programu pokazały, że jedna z jego bibliotek — ZvitPublishedObjects.dll — zawiera backdoora który potrafi wykonywać następujące funkcje:

• Zbierać dane dostępowe do serwerów poczty;
• Wykonywać niezależne polecenia w zainfekowanym systemie;
• Pobierać niezależne pliki na zainfekowany komputer;
• Pobierać, zapisywać i uruchamiać dowolne pliki wykonywalne;
• Ładować niezależne pliki na zdalny serwer.

Oprócz tego, moduł aktualizacyjny M.E.Doc pozwala na uruchomienie “arsenału” wirusa z użyciem narzędzia rundll32.exe z parametrem #1 — jest to sposób w który Trojan.Encoder.12544 został uruchomiony na zainfekowanych komputerach. Aby uzyskać więcej informacji na ten temat, zajrzyj do artykułu opublikowanego na naszej stronie www.

Statystyki

Najpopularniejsze zagrożenia na podstawie statystyk Antywirusa Dr.Web

• Trojan.DownLoader
  Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.
• Trojan.InstallCore
  Rodzina programów instalujących niepożądane i złośliwe aplikacje.
• Trojan.BtcMine
  Rodzina złośliwych programów w skrycie wykorzystujących zasoby obliczeniowe zainfekowanego komputera do wydobywania różnorodnych walut elektronicznych, np. Bitcoinów.

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

• JS.DownLoader
  Rodzina złośliwych skryptów JavaScript. Pobierają i instalują złośliwe oprogramowanie.
• JS.Inject.3
  Rodzina złośliwych skryptów JavaScript. Wstrzykują złośliwy skrypt do kodu HTML stron www.
• Trojan.InstallCore
  Rodzina trojanów instalujących niepożądane i złośliwe aplikacje.
• Trojan.DownLoader
  Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.
• Trojan.PWS.Stealer
  Rodzina trojanów zaprojektowanych do wykradania haseł i innych poufnych danych zapisanych na zainfekowanym komputerze.

Statystyki dotyczące złośliwych programów wykrytych w ruchu poczty elektronicznej

• JS.DownLoader
  Rodzina złośliwych skryptów JavaScript. Pobierają i instalują złośliwe oprogramowanie.
• JS.Inject.3
  Rodzina złośliwych skryptów JavaScript. Wstrzykują złośliwy skrypt do kodu HTML stron www.
• Trojan.PWS.Stealer
  Rodzina trojanów zaprojektowanych do wykradania haseł i innych poufnych danych zapisanych na zainfekowanym komputerze.
• Trojan.Encoder.6218
  Złośliwy program należący do rodziny trojanów ransomware szyfrujących pliki i żądających okupu za odszyfrowanie zaatakowanych danych.
• Trojan.InstallCore
  Rodzina programów instalujących niepożądane i złośliwe aplikacje.

Najpopularniejsze zagrożenia na podstawie danych z Bota Dr.Web dla aplikacji Telegram

• Android.Locker.139.origin
  Trojan ransomware dla Androida. Jego różne modyfikacje potrafią blokować urządzenie wyświetlając ostrzeżenie o pewnym naruszeniu prawa. Aby odblokować urządzenie, użytkownik musi zapłacić okup.
• EICAR Test File
  Specjalny plik tekstowy zaprojektowany do testowania efektywności antywirusów. Po wykryciu tego pliku skanery antywirusowe powinny zareagować dokładnie w ten sam sposób, jakby ten plik rzeczywiście był wirusem.
• Joke.Locker.1.origin
  Program-żart dla Androida blokujący ekran domowy urządzenia i wyświetlający ekran błędu BSOD (Blue Screen of Death – “niebieski ekran”) Microsoft Windows.
• Android.SmsSend.20784
  Trojan należący do rodziny złośliwych programów zaprojektowanych do wysyłania wiadomości SMS na numery premium i subskrybowania w imieniu użytkowników płatnych usług i usług oferujących płatne treści.
• Trojan.PWS.Stealer
  Rodzina trojanów zaprojektowanych do wykradania haseł i innych poufnych informacji zapisanych na zainfekowanym komputerze.

Ransomware szyfrujące pliki

W lipcu do wsparcia technicznego Doctor Web najczęściej docierały zgłoszenia pochodzące od ofiar następujących modyfikacji ransomware szyfrującego pliki:

• Trojan.Encoder.858 — 34,80% zgłoszeń;
• Trojan.Encoder.567 — 8,21% zgłoszeń;
• Trojan.Encoder.761 — 3,19% zgłoszeń;
• Trojan.Encoder.5342 — 3,04% zgłoszeń;
• Trojan.Encoder.11423 — 2,13% zgłoszeń;
• Trojan.Encoder.11432 — 1,98% zgłoszeń.

Niebezpieczne strony www

W lipcu 2017 do bazy Dr.Web dodano 327,295 adresów URL niezalecanych stron www.

W połowie lipca specjaliści Doctor Web wykryli potencjalnie złośliwy kod wstrzyknięty w Portal Usługowy Rządu Federacji Rosyjskiej (gosuslugi.ru). Było w nim co najmniej 15 adresów domen zarejestrowanych przez nieznane osoby fizyczne, co najmniej 5 z nich należało do holenderskich firm. Złośliwy kod wymuszał na przeglądarce każdego odwiedzającego tą stronę www skryte podłączenie się do jednej z tych domen. Podczas dynamicznego generowania strony www żądanej przez użytkownika, do kodu tej strony dodawano kontener <iframe>. Pozwala on na pobranie lub zażądanie z przeglądarki użytkownika dowolnych zewnętrznych danych. Wszystkie podatności na stronie gosuslugi.ru zostały wyeliminowane przez jej administratorów kilka godzin po tym, jak opublikowaliśmy nasz artykuł dotyczący tej sprawy.

Inne informacje z zakresu bezpieczeństwa informacji

W 2011 roku Doctor Web raportował o wykryciu wirusa BackDoor.Dande, który szpiegował firmy farmaceutyczne i apteki. Analitycy bezpieczeństwa przebadali dysk twardy dostarczony przez jedną z zaatakowanych firm i określili, że komponent programu ePrica był odpowiedzialny za pobieranie i uruchamianie trojana w atakowanych systemach. Menedżerowie aptek używali tego komponentu oprogramowania do analizy cen leków i wybrania najlepszych dostawców. Ten moduł pobierał instalator trojana BackDoor.Dande z serwera należącego do firmy “Spargo Tekhnologii”, a następnie instalator uruchamiał na zaatakowanych komputerach samego backdoora. Dodatkowo warto zauważyć, że wskazany moduł posiadał podpis cyfrowy “Spargo”.

Analizy przeprowadzone przez Doctor Web pokazały, że komponenty BackDoor.Dande były wbudowane bezpośrednio w jedną ze wcześniejszych wersji instalatora programu ePrica. Pośród modułów trojana znalazł się instalator backdoora i moduły używane do zbierania informacji o zamówieniach medykamentów. Te moduły pozyskiwały wymagane dane z baz danych programów aptecznych. Jeden z tych modułów był używany do kopiowania zamówień produktów farmaceutycznych z baz danych 1C. Warto zauważyć, że nawet po usunięciu programu ePrica, backdoor pozostawał w systemie i kontynuował szpiegowanie użytkowników. Szczegóły badań przeprowadzonych przez Doctor Web na oprogramowaniu ePrica zostały opublikowane na naszej stronie www.

Złośliwe i niepożądane programy dla urządzeń mobilnych

Na początku miesiąca specjaliści Doctor Web wykryli wirusa Android.DownLoader.558.origin w popularnej grze o nazwie BlazBlue, dostępnej poprzez Google Play. Ten złośliwy program potrafił e skrycie pobierać i uruchamiać niesprawdzone komponenty aplikacji. Później analitycy bezpieczeństwa przebadali niebezpiecznego trojana nazwanego Android.BankBot.211.origin. Potrafił on kontrolować zainfekowane urządzenia mobilne, wykradać poufne informacje bankowe i inne tajne dane, włączając hasła. Pod koniec lipca analitycy bezpieczeństwa Doctor Web wykryli wirusa Android.Triada.231. Cyberprzestępcy wstrzyknęli go w bibliotekę systemu Android i osadzili ją w firmware kilku modeli urządzeń mobilnych. Ten złośliwy program infiltrował procesy wszystkich wykonywanych programów i w skrycie uruchamiał inne moduły trojana.

Pośród najbardziej godnych uwagi wydarzeń lipca powiązanych z malware dla urządzeń mobilnych możemy wymienić:

• Wykrycie trojana dla Androida w firmware kilku modeli urządzeń mobilnych;
• Wykrycie trojana typu downloader w Google Play;
• Pojawienie się trojana bankowego kontrolującego zainfekowane urządzenia i wykradającego poufne informacje.

Dowiedz się więcej o złośliwych i niepożądanych programach dla urządzeń mobilnych z naszego specjalnego przeglądu.

31 lipca 2017

Doctor Web prezentuje swój przegląd aktywności malware dla urządzeń mobilnych w lipcu 2017. W lipcu analitycy bezpieczeństwa przebadali trojana bankowego kontrolującego zainfekowane urządzenia i wykradającego poufne informacje. Nieco później wykryto w Google Play nowego trojana typu downloader. Pod koniec miesiąca wykryto trojana preinstalowanego w firmware kilku modeli urządzeń z Androidem.

27 lipca 2017

Analitycy wirusów z Dr.Web wykryli złośliwy program wbudowany w firmware kilku urządzeń mobilnych pracujących pod kontrolą systemu Android. Trojan nazwany Android.Triada.231 jest wbudowany w jedną z bibliotek systemowych. Penetruje on procesy wszystkich uruchomionych aplikacji i potrafi w ukryciu pobierać i uruchamiać dodatkowe moduły.

Trojany z rodziny Android.Triada są wbudowane w proces systemowy komponentu Zygote, używanego do uruchamiania programów na urządzeniach mobilnych. Infekując proces Zygote, trojany osadzają się w procesach wszystkich uruchomionych aplikacji, uzyskując ich uprawnienia i funkcje jako część zaatakowanych aplikacji. Następnie w ukryciu pobierają i uruchamiają złośliwe moduły.

W odróżnieniu od innych trojanów z tej rodziny które próbują uzyskać uprawnienia root’a w celu przeprowadzenia złośliwych działań, Android.Triada.231 wykryty przez Analityków Wirusów Dr.Web jest wbudowany w bibliotekę systemową libandroid_runtime.so. Jej zmodyfikowana wersja została wykryta na kilku urządzeniach mobilnych, włączając Leagoo M5 Plus, Leagoo M8, Nomu S10 i Nomu S20. Libandroid_runtime.so jest używana przez wszystkie aplikacje dla Androida, tym samym złośliwy kod w zainfekowanym systemie jest wykrywany w pamięci wszystkich uruchomionych aplikacji.

Android.Triada.231 został wbudowany w kod źródłowy tejże biblioteki. Możemy przypuszczać, że osoby z wnętrza firmy lub pozbawieni skrupułów partnerzy, którzy brali udział w tworzeniu firmware dla zainfekowanych urządzeń mobilnych są odpowiedzialni za rozpowszechnianie tego trojana.

Android.Triada.231 jest wbudowany w libandroid_runtime.so w taki sposób, że uzyskuje kontrolę za każdym razem, gdy aplikacja na urządzeniu dokonuje wpisu w dzienniku zdarzeń systemu. Ponieważ Zygote jest uruchamiana przed innymi aplikacjami, to początkowe uruchomienie trojana jest przeprowadzane przez proces Zygote.

Po zainicjowaniu złośliwy program ustawia kilka parametrów, tworzy katalog roboczy i sprawdza w jakim środowisku został uruchomiony. Jeśli trojan działa w środowisku Dalvik, to przechwytuje jedną metod systemowych, która pozwala mu na śledzenie uruchamiania wszystkich aplikacji i prowadzenie złośliwej aktywności natychmiast po ich uruchomieniu się.

Główną funkcją Android.Triada.231 jest skryte uruchamianie dodatkowych złośliwych modułów które mogą pobierać inne komponenty trojana. Aby uruchomić dodatkowe moduły, Android.Triada.231 sprawdza czy istnieje specjalny podkatalog w katalogu roboczym utworzony wcześniej przez trojana. Nazwa podkatalogu powinna zawierać wartość MD5 nazwy pakietu programowego aplikacji, której proces został zinfiltrowany przez trojana. Jeśli Android.Triada.231 znajdzie ten katalog, wyszukuje w nim pliki 32.mmd lub 64.mmd (odpowiednio dla 32- i 64-bitowych systemów operacyjnych). Jeśli znajdzie ten plik, trojan deszyfruje go, zapisuje jako libcnfgp.so, a następnie ładuje do pamięci RAM używając jednej z metod systemowych i usuwa odszyfrowany plik z urządzenia. Jeśli złośliwy program nie znajdzie wymaganego obiektu, to szuka pliku 36.jmd. Android.Triada.231 odszyfrowuje ten plik, zapisuje go jako mms-core.jar, uruchamia używając klasy DexClassLoader, a następnie usuwa utworzoną kopię.

W rezultacie Android.Triada.231 może infiltrować różne moduły trojana do procesów dowolnych aplikacji i wpływać na ich działanie. Na przykład, twórcy wirusa mogą przygotować trojana do pobierania i uruchamiania złośliwych wtyczek do wykradania poufnych informacji z aplikacji bankowych, ładowania modułów do cyberszpiegostwa i przechwytywania korespondencji z klientów mediów społecznościowych i komunikatorów, itp.

Co więcej, Android.Triada.231 potrafi wypakować moduł Android.Triada.194.origin z pliku libandroid_runtime.so, który jest zapisany w tej bibliotece w zaszyfrowanej formie. Jego główną funkcją jest pobieranie z Internetu dodatkowych złośliwych komponentów, jak i zapewnienie ich interakcji pomiędzy sobą.

Ponieważ Android.Triada.231 jest wbudowany w jedną z bibliotek systemu operacyjnego i zlokalizowany w sekcji systemowej pamięci urządzenia, to nie może być usunięty z użyciem standardowych metod. Jedyną pewną i bezpieczną metodą wyeliminowania tego trojana jest zainstalowanie czystego firmware systemu Android. Specjaliści Dr.Web poinformowali producentów zaatakowanych smartfonów o istniejącym problemie, więc użytkownikom zaleca się zainstalowanie wszystkich możliwych aktualizacji które będą wydane dla tych urządzeń.

Więcej na temat tego trojana

24 lipca 2017

Rosyjska firma antywirusowa Doctor Web zaktualizowała Silnik Skanujący Dr.Web (11.1.11.201707030), API do Antyrootkit Dr.Web (11.1.11.201707030) i moduł Wtyczki Dr.Web dla Outlook (11.0.3.201706220) w kilku produktach Dr.Web. Aktualizacja dostarcza poprawki i unowocześnienia dla tych aplikacji.

W szczególności, zmiany wprowadzone w Silniku Skanującym poprawiły jego stabilność.

API do Antyrootkit Dr.Web otrzymało zoptymalizowane procedury leczenia modułów systemowych.

Aktualizacja rozwiązuje również problemy z Wtyczką Dr.Web dla MS Outlook w ramach Dr.Web dla Windows, Dr.Web Enterprise Security Suite i Dr.Web AV-Desk, które mogły uniemożliwiać wtyczce filtrowanie spamu po zrestartowaniu procesu dwantispam.exe.

Wyeliminowano również problem w Dr.Web Enterprise Security Suite 10.0 i 10.1 powodujący nieprawidłową klasyfikację (false positives ) w module Ochrony Zapobiegawczej, jeśli Dr.Web był używany razem z oprogramowaniem Infowatch.

Aktualizacja zostanie przeprowadzona automatycznie, jednakże konieczne będzie ponowne uruchomienie systemu.

24 lipca 2017

Specjaliści Doctor Web ujawniają nowe szczegóły na temat swojego śledztwa w sprawie ataku BackDoor.Dande wymierzonego w apteki i firmy farmaceutyczne. Analitycy bezpieczeństwa firmy określili, że backdoor nie tylko ładował się na atakowane stacje jako komponent aplikacji ePrica, ale również był wbudowany jedną z wcześniejszych wersji instalatora tego programu.

Doctor Web raportował po raz pierwszy na temat ataku BackDoor.Dande na apteki i firmy farmaceutyczne już w 2011 roku. Ten backdoor wykradał użytkownikom systemów online do zamawiania leków informacje o ich zamówieniach medykamentów. Takie programy są używane w przemyśle farmaceutycznym, więc rozpowszechnianie się złośliwej aplikacji w takim środowisku miało wysoce wyspecjalizowany charakter. W ciągu ostatnich kilku lat nasi specjaliści przebadali tego backdoora i jego metody infekowania komputerów.

Ostatnie wyniki badań pokazują, że komponent ePrica pobierał i uruchamiał trojana na zaatakowanych systemach. Kierownicy aptek używali tego komponentu oprogramowania do analizy cen leków i wyboru najlepszych dostawców. Ten moduł pobierał instalatora BackDoor.Dande z serwera należącego do “Spargo Tekhnologii”, a następnie tenże instalator uruchamiał backdoora na zaatakowanych komputerach. Dodatkowo, wskazany moduł posiadał podpis cyfrowy “Spargo”.

Dalsza analiza aplikacji pokazała, że komponenty BackDoor.Dande były wbudowane bezpośrednio w jedną z wcześniejszych wersji instalatora aplikacji ePrica, co mogło wskazywać, że system bezpieczeństwa dewelopera tego programu został w poważnym stopniu naruszony. Aplikacja ePrica posiada wtyczki NLB i EMD, będące dynamicznymi bibliotekami DLL zaszyfrowanymi z użyciem klucza prywatnego. Razem z nimi znalazł się instalator backdoora i moduły używane do zbierania informacji o zamówieniach medykamentów. Te moduły pozyskują potrzebne dane z baz danych programów aptecznych. Jeden z tych modułów był używany do kopiowania informacji o zamówieniach produktów farmaceutycznych z baz danych 1C.

Moduł runmod.exe przeprowadza uruchomienie tychże wtyczek. Ma to miejsce w chwili, gdy serwer wydaje mu polecenie odszyfrowania i załadowania ich do pamięci. Następnie kopiują one informacje z bazy danych, które w następnym kroku są wysyłane na zdalny serwer. Wskazany komponent aplikacji jest podpisany certyfikatem “Protek” — grupy firm do której należy “Spargo Tekhnologii”, deweloper aplikacji ePrica.

Godne zauważenia jest to, że nawet po usunięciu programu ePrica, backdoor pozostaje w systemie i kontynuuje szpiegowanie użytkowników. Jest bardzo możliwe, że BackDoor.Dande jest wciąż obecny na komputerach użytkowników którzy usunęli program ePrica.

Instalator w wersji 4.0.14.6, w którym wykryto moduły trojana, został wydany 18 listopada 2013, podczas gdy niektóre pliki backdoora są datowane na rok 2010. Tym samym proceder kopiowania informacji na temat zamówień aptek i firm farmaceutycznych mógł rozpocząć się co najmniej rok wcześniej przed pierwszym wykryciem backdoora.

Więcej szczegółowych informacji o instalatorze programu ePrica zawierającym wirusa BackDoor.Dande można znaleźć w naszej bibliotece wirusów.

Więcej na temat programu ePrica

19 lipca 2017

Analitycy bezpieczeństwa Doctor Web przebadali wielofunkcyjnego trojana bankowego nazwanego Android.BankBot.211.origin, który zmusza użytkowników do udzielenia mu dostępu do Usługi Dostępności. Złośliwy program wykorzystuje Usługę Dostępności do kontrolowania urządzeń mobilnych i wykradania poufnych informacji o klientach banków. Gdy trojan został zauważony po raz pierwszy, atakował tylko rezydentów Turcji, jednakże jego lista celów została wkrótce rozszerzona i obecnie stanowi on zagrożenie dla użytkowników w wielu krajach.

Android.BankBot.211.origin jest dystrybuowany pod płaszczykiem niegroźnych programów, na przykład jako Adobe Flash Player. Gdy użytkownik zainstaluje i uruchomi trojana, jego moduł bankowy próbuje uzyskać dostęp do Usługi Dostępności. W tym celu Android.BankBot.211.origin wyświetla okno z żądaniem, które pojawia się przy każdej próbie jego zamknięcia i nie pozwala na normalne używanie urządzenia.

Usługa Dostępności ułatwia pracę ze smartfonami i tabletami z Androidem i jest używana na wiele sposobów, w tym jako pomoc w korzystaniu z tych urządzeń dla osób niepełnosprawnych. Pozwala ona programom na samodzielne klikanie po różnych elementach interfejsu, takich jak przyciski w okienkach dialogowych i w menu systemowych. Trojan wymusza na użytkowniku udzielenie mu dostępu do tej usługi i używa jej do samodzielnego dodania się do listy administratorów urządzenia. Następnie Android.BankBot.211.origin ustawia siebie jako domyślnego menedżera wiadomości i uzyskuje dostęp do funkcji przechwytywania ekranu. Tym wszystkim działaniom towarzyszy wyświetlanie żądań systemowych, które mogą być przeoczone przez użytkownika, ponieważ złośliwy program natychmiast je potwierdza. Jeśli w późniejszym etapie posiadacz urządzenia spróbuje wyłączyć dowolną funkcję pozyskaną przez Android.BankBot.211.origin, trojan bankowy uniemożliwi taką operację i cofnie użytkownika do poprzedniego menu systemowego.

Po pomyślnej infekcji trojan łączy się ze swoją usługą kontrolno-zarządzającą, rejestruje w niej urządzenie mobilne i oczekuje na dalsze polecenia. Android.BankBot.211.origin może wykonywać następujące działania:

• Wysyłać SMS zawierający określony tekst na numer określony w poleceniu;
• Wysyłać na serwer dane SMS zapisane w pamięci urządzenia;
• Przekazać na serwer informacje o zainstalowanych aplikacjach, listę kontaktów i dane o wykonanych połączeniach telefonicznych;
• Otworzyć link określony w poleceniu;
• Zmienić adres centrum zarządzania.

Dodatkowo złośliwy program śledzi wszystkie przychodzące wiadomości SMS i wysyła je do cyberprzestępców.

Oprócz standardowych komend cyberprzestępcy mogą wysyłać do trojana specjalne polecenia. Zawierają one zaszyfrowane informacje o aplikacjach, które trojan bankowy spodziewa się zaatakować. Gdy Android.BankBot.211.origin otrzyma takie polecenie, może:

• Wyświetlić fałszywy formularz do wprowadzenia poświadczeń logowania na wierzchu uruchomionych programów bankowych;
• Wyświetlić phishingowe okienko dialogowe proszące użytkowników o wprowadzenie szczegółów ich kart bankowych (na przykład, podczas dokonywania zakupu w Google Play);
• Zablokować działanie antywirusów i innych aplikacji które mogą zakłócać pracę trojana.

Android.BankBot.211.origin może atakować użytkowników dowolnych aplikacji. Cyberprzestępcy muszą jedynie zaktualizować plik konfiguracyjny z listą programów wybranych jako cel dla wirusa. Trojan bankowy otrzymuje tą listę z chwilą podłączenia się do serwera kontrolno-zarządzającego. Gdy został zauważony po raz pierwszy, cyberprzestępcy byli zainteresowani tylko klientami tureckich banków, jednakże później ta lista została rozszerzona i obecnie wirus zagraża rezydentom innych krajów, włączając Niemcy, Australię, Polskę, Francję, Wielką Brytanię i USA. W chwili opublikowania tego artykułu lista programów atakowanych przez trojana zawierała ponad 50 aplikacji zaprojektowanych do działania w ramach systemów płatności, zdalnych usług bankowych (remote banking services - RBS), jak i innego oprogramowania.

Oto przykłady fałszywych okienek które mogą być wyświetlane przez Android.BankBot.211.origin:

Trojan zbiera również informacje o wszystkich uruchomionych aplikacjach i działaniach użytkownika przeprowadzanych w ramach ich obsługi. Na przykład, śledzi on dostępne pola tekstowe, elementy menu i loguje naciśnięcia klawiszy i innych komponentów interfejsu użytkownika.

Co więcej, Android.BankBot.211.origin jest zdolny do wykradania poświadczeń logowania i innych informacji autentykacyjnych wprowadzanych przez użytkowników podczas autoryzacji w dowolnych programach lub na dowolnych stronach www. Aby wykradać hasła, trojan pobiera zrzut ekranu z chwilą każdego naciśnięcia klawisza; w rezultacie pozyskuje on wymaganą sekwencję znaków zanim zostaną one ukryte. Następnie informacje wprowadzone do wyświetlonych pól i wszystkie zapisane zrzuty ekranu są wysyłane na serwer kontrolno-zarządzający.

Z przyczyny faktu, że Android.BankBot.211.origin chroni się przed usunięciem, to w celu jego zwalczenia muszą być przeprowadzone następujące działania:

• Uruchomienie zainfekowanego smartfona lub tabletu w trybie awaryjnym;
• Zalogowanie się do ustawień systemowych i przejście do listy administratorów urządzenia;
• Wyszukanie na liście trojana i usunięcie stosownych uprawnień (w tym miejscu złośliwy program będzie próbował przestraszyć posiadacza urządzenia ostrzegając go przed możliwą utratą wszystkich ważnych dla niego danych, ale jest to tylko podstęp — pliki nie są zagrożone);
• Zrestartowanie urządzenia, przeprowadzenie pełnego skanowania antywirusowego i usunięcie trojana po zakończeniu skanowania.

Wszystkie znane wersje Android.BankBot.211.origin są z powodzeniem wykrywane przez Antywirusy Dr.Web, tym samym ten trojan bankowy nie stanowi żadnego zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

18 lipca 2017

Rosyjska firma antywirusowa Doctor Web zaktualizowała bota Dr.Web dla aplikacji Telegram. Aktualizacja dostarcza nowe funkcjonalności i rozwiązuje znane problemy.

W szczególności, maksymalny rozmiar skanowanych obiektów został zwiększony do 20 MB, a domyślne powiadomienia dla nowych czatów są od teraz wyświetlane tylko w przypadku wykrycia zagrożeń.

Co więcej, aktualizacja usunęła problem z przetwarzaniem plików występujący w przypadku obecności w nazwach skanowanych plików znaków pisanych cyrylicą lub alfabetem arabskim, jak i problem polegający na zakłócaniu pobierania plików z serwerów aplikacji Telegram.

Aby skorzystać z bota, znajdź konto Telegram @DrWebBot (lub przejdź do telegram.me/drwebbot) i wyślij na nie plik lub link. Bot sprawdzi je pod kątem wirusów i powiadomi o wynikach.

13 lipca 2017

Specjaliści Doctor Web wykryli wstrzyknięcie potencjalnie złośliwego kodu nieznanego pochodzenia w strony Portalu Usługowego Rządu Federacji Rosyjskiej (gosuslugi.ru). Z przyczyny braku odpowiedzi ze strony administratorów strony www.gosuslugi.ru, zostaliśmy zmuszeni do poinformowania użytkowników o tym zagrożeniu.

Określenie daty kiedy strona została zaatakowana i minionej aktywności związanej z tym kierunkiem ataku jest obecnie niemożliwe. Wykryto co najmniej 15 adresów domen zarejestrowanych przez nieznane osoby fizyczne. Złośliwy kod wymusza na przeglądarce każdego odwiedzającego tą stronę skryte połączenie do jednej z nich. Te domeny potrafią odpowiadać niezależnym dokumentem, od fałszywego formularza do wprowadzania szczegółów karty kredytowej, do ataku brute-force z użyciem podatności, mającym na celu uzyskanie dostępu do komputera odwiedzającego.

Podczas dynamicznego generowania strony zażądanej przez użytkownika, do kodu tejże strony www dodawany jest kontener <iframe>. Pozwala on na pobranie lub zażądanie z poziomu przeglądarki użytkownika dowolnych zewnętrznych danych. Obecnie analitycy bezpieczeństwa wykryli co najmniej 15 domen. Pośród nich znajdują się m3oxem1nip48.ru, m81jmqmn.ru i inne adresy o umyślnie nic nie znaczących nazwach. Co najmniej pięć z nich należy do zakresu adresów firm zarejestrowanych w Holandii. W ciągu wczorajszego dnia odwołania do tych domen kończyły się niepowodzeniem, ponieważ certyfikat bezpieczeństwa większości z tych stron www wygasł, lub nie zawierały one żadnego złośliwego kodu. Jednakże nie ma żadnych mechanizmów, które uniemożliwiłyby posiadaczom tychże domen zaktualizowanie certyfikatów w dowolnym momencie i opublikowanie złośliwego kodu w tych domenach.

Obecnie strona www.gosuslugi.ru jest wciąż uszkodzona. Wysłaliśmy informację do służby wsparcia technicznego tego serwisu, ale wciąż nie mamy potwierdzenia, że rozpoczęli już śledztwo w tej sprawie i wprowadzili działania mające na celu zapobieżeniu takim incydentom w przyszłości. Doctor Web zaleca więc użytkownikom zachowanie ostrożności podczas używania Portalu Usługowego Rządu Federacji Rosyjskiej aż do chwili wyjaśnienia sytuacji. Doctor Web zaleca administratorowi strony gosuslugi.ru i odpowiednim służbom przeprowadzenie weryfikacji poziomu bezpieczeństwa tej strony www.

Każdy użytkownik może samodzielnie sprawdzić obecność kodu, używając narzędzia do wyszukiwania i wprowadzając następujące zapytanie:

site:gosuslugi.ru "A1996667054"

AKTUALIZACJA: Ten potencjalnie złośliwy kod został usunięty z serwisu gosuslugi.ru po około 3 godzinach od opublikowania tego artykułu.

6 lipca 2017

Rosyjska firma antywirusowa Doctor Web zaktualizowała komponent Aktualizatora Dr.Web (11.0.26.06260), Dr.Web Control Service (11.0.16.06200 i 11.0.14.06070) oraz SpIDer Agent dla Windows 11.0.14.06290) w paru produktach Dr.Web. Aktualizacja rozwiązuje znane problemy z oprogramowaniem.

Zmiany wprowadzone w module aktualizacyjnym dla wszystkich produktów:

• Zoptymalizowano procedury aktualizacyjne.

Zmiany wprowadzone w module aktualizacyjnym mające wpływ na Dr.Web Enterprise Security Suite:

• Wyeliminowano problem mogący spowodować wzrost ruchu podczas odbierania aktualizacji multikastowych dla hosta.

Zmiany wprowadzone w Dr.Web Control Service dla Dr.Web Security Space, Antywirusa Dr.Web, Dr.Web dla Serwerów Windows i Dr.Web Enterprise Security Suite:

• Poprawiono integrację z Windows Security Center (Centrum Akcji);
• Usunięto również problem polegający na ignorowaniu ustawień działań SpIDer Guard podczas unieszkodliwiania potencjalnie niebezpiecznego pliku.

Zmiany wprowadzone w Dr.Web Control Service dla Dr.Web Enterprise Security Suite i Dr.Web AV-Desk:

• Aktualizacja usuwa problem uniemożliwiający odbieranie aktualizacji przez niektóre hosty, jeśli polecenie aktualizacji wszystkich komponentów zostało wydane z poziomu konsoli;
• Rozwiązano również problem uniemożliwiający wysłanie przez hosta informacji o uruchomionych zaplanowanych zadaniach, po ponownym zestawieniu połączenia z serwerem.

Zmiany wprowadzone w agencie dla Dr.Web Security Space, Antywirusa Dr.Web, Dr.Web dla Serwerów Windows, Dr.Web Enterprise Security Suite i Dr.Web AV-Desk:

• Od teraz tylko czyste pliki są przywracane po ponownym przeskanowaniu wielu elemenów w kwarantannie.

Zmiany wprowadzone w agencie Dr.Web Enterprise Security Suite:

• Wyeliminowano problem zakłócający zmianę z poziomu konsoli ustawień języka na serwerze.

Aktualizacja zostanie pobrania i zainstalowana automatycznie.

5 lipca 2017

Specjaliści Doctor Web wykryli w Google Play grę, która zawiera trojana typu downloader. Ta złośliwa aplikacja może w skrycie pobierać, instalować i uruchamiać inne oprogramowanie. Na chwilę obecną trojan został pobrany przez ponad milion posiadaczy urządzeń mobilnych.

Ta złośliwa aplikacja, nazwana Android.DownLoader.558.origin, została osadzona w popularnej grze BlazBlue, która została już pobrana przez ponad milion użytkowników. Ten trojan jest częścią specjalnego pakietu oprogramowania (SDK, Software Development Kit) nazwanego Excelliance, zaprojekowanego do skomputeryzowania i uproszczenia aktualizacji programów w Androidzie.

W przeciwieństwie do standardowej procedury aktualizacji, gdy stara wersja aplikacji jest całkowicie zamieniana na nową, SDK wskazane powyżej zezwala na oddzielne pobranie wymaganych komponentów bez ponownego instalowania całego pakietu oprogramowania. Pozwala to twórcom programów na utrzymanie bieżącej wersji oprogramowania zainstalowanego na urządzeniu mobilnym nawet w sytuacji, gdy użytkownicy nie śledzą pojawiania się nowych wersji. Jednakże Excelliance działa jako program ładujący dla trojana, ponieważ może on ładować i uruchamiać niesprawdzone komponenty aplikacji. Ta metoda aktualizacji narusza reguły Google Play ponieważ jest niebezpieczna.

Android.DownLoader.558.origin rozpoczyna swoją pracę po wstępnym uruchomieniu programu lub gry w której został osadzony. Trojan, równolegle z innymi elementami aplikacji, jest wypakowywany z katalogu z jej zasobami i jest odszyfrowywany. Następnie ładuje się on za każdym razem, gdy urządzenie mobilne łączy się z Internetem, nawet jeśli użytkownik nigdy więcej nie uruchomi już zainfekowanej aplikacji.

Moduł trojana śledzi aktywność sieciową i próbuje połączyć się ze swoim serwerem kontrolno-zarządzającym. W zależności od ustawień serwera, Android.DownLoader.558.origin może otrzymać polecenie pobrania innego komponentu programu. Na przykład, w przypadku gry BlazBlue, moduł ten oferuje pobranie brakujących plików i aktualizacji, jeśli takowe są dostępne.

Oprócz dodatkowych zasobów i aktualizacji aplikacji, Android.DownLoader.558.origin może pobierać oddzielne pliki APK, DEX i ELF. Co więcej, w niektórych przypadkach te pliki mogą być uruchamiane bez wiedzy użytkownika. Na przykład, kod pobranych plików DEX jest wykonywany automatycznie i nie wymaga żadnych działań ze strony posiadacza urządzenia mobilnego.

Do chwili obecnej podczas instalacji pobranych plików APK, użytkownik widzi standardowe okienko dialogowe, jednakże jeśli Android.DownLoader.558.origin posiada dostęp do systemu na poziomie root’a, to może instalować je niepostrzeżenie. Ta cecha jest głównym niebezpieczeństwem czyhającym ze strony SDK Excelliance. W każdym momencie jej autorzy mogą wydać polecenie załadowania obiektu nie mającego nic wspólnego z główną aplikacją, na przykład modułu reklamowego, programów firm trzecich, a nawet innych trojanów, które mogą być pobrane spoza Google Play i uruchomione bez monitu o udzielenie uprawnień.

Specjaliści Doctor Web poinformowali Google o niebezpiecznym zachowaniu się komponentu trojana w SDK użytym w grze BlazBlue, jednakże na chwilę opublikowania tego artykułu, wersja gry zawierająca Android.DownLoader.558.origin była wciąż dostępna do pobrania z Google Play.

Aplikacje zawierające tego trojana są z powodzeniem wykrywane przez produkty antywirusowe Dr.Web dla Androida jako Android.RemoteCode.81.origin; tym samym to oprogramowanie nie stanowi żadnego zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

4 lipca 2017

Analitycy bezpieczeństwa Doctor Web przebadali moduł do przeprowadzania aktualizacji M.E.Doc i wykryli, że jest odpowiedzialny za dystrybucję przynajmniej jednego innego złośliwego programu. Możesz pamiętać, że niezależni badacze wskazali w szczególności ten moduł aktualizacyjny M.E.Doc jako źródło ostatniego wybuchu epidemii robaka szyfrującego Trojan.Encoder.12544, znanego również jako NePetya, Petya.A, ExPetya i WannaCry-2. M.E.Doc to oprogramowanie do rozliczania podatków popularne na Ukrainie.

Raporty wskazują na to, że Trojan.Encoder.12544 był najpierw dystrybuowany poprzez M.E.Doc, popularną aplikację opracowaną przez ukraińską firmę Intellect Service. Analitycy bezpieczeństwa Doctor Web wykryli, że jeden z modułów aktualizacyjnych programu M.E.Doc, ZvitPublishedObjects.Server.MeCom, zawiera rekord odwołujący się do określonego klucza w rejestrze systemu Windows: HKCU\SOFTWARE\WC.

Specjaliści Doctor Web zauważyli ten klucz rejestru, ponieważ Trojan.Encoder.12703 używa podczas swojej pracy tej samej ścieżki. Analiza dziennika zdarzeń Antywirusa Dr.Web pozyskanego z jednego z komputerów klienta pokazała, że Trojan.Encoder.12703 był uruchomiony na zainfekowanej maszynie przez aplikację ProgramData\Medoc\Medoc\ezvit.exe, która jest komponentem programu M.E.Doc:

Plik ZvitPublishedObjects.dll, pozyskany z zainfekowanej maszyny, posiada ten sam hash jak próbka przebadana przez laboratorium antywirusowe Doctor Web. Tym samym nasi analitycy bezpieczeństwa doszli do wniosku, że moduł aktualizacyjny M.E.Doc, zaimplementowany pod postacią biblioteki dynamicznej ZvitPublishedObjects.dll, zawiera backdoora. Dalsze badania pokazały, że ten backdoor potrafi wykonywać następujące funkcje w zainfekowanym systemie:

• Zebranie danych do umożliwiających dostęp do serwerów poczty;
• Wykonanie dowolnych poleceń w zainfekowanym systemie;
• Załadowanie dowolnych plików na zainfekowany komputer;
• Załadowanie, zapisanie i uruchomienie dowolnych plików wykonywalnych;
• Załadowanie dowolnych plików na zdalny serwer.

Następujący fragment kodu modułu aktualizacyjnego M.E.Doc wygląda dość unikalnie — pozwala na uruchomienie „arsenału” programu z użyciem narzędzia rundll32.exe z parametrem #1:

Jest to dokładny obraz tego, w jaki sposób trojan szyfrujący znany jako NePetya, Petya.A, ExPetya i WannaCry-2 (Trojan.Encoder.12544) jest uruchamiany na komputerach ofiar.

Reuters opublikował wywiad z deweloperami programu M.E.Doc, którzy twierdzą, że ich aplikacja nie zawiera złośliwych funkcji. Ze względu na to, a także biorąc pod uwagę rezultaty statycznej analizy kodu, analitycy bezpieczeństwa Doctor Web doszli do wniosku, że jacyś niezidentyfikowani cyberprzestępcy zainfekowali jeden z komponentów oprogramowania M.E.Doc złośliwym programem. Ten komponent został dodany do baz wirusów Dr.Web pod nazwą BackDoor.Medoc.

Więcej na temat tego trojana

3 czerwca 2017

W czerwcu analitycy bezpieczeństwa Doctor Web wykryli trojana dla Androida atakującego użytkowników urządzeń mobilnych w Iranie i wykonującego polecenia wydawane przez cyberprzestępców. Również w zeszłym miesiącu wykryto w Google Play kilka nowych złośliwych aplikacji. Jedna z nich próbuje uzyskać uprawnienia root’a, przeniknąć do bibliotek systemowych i potrafi w skrycie instalować inne oprogramowanie. Inna aplikacja wysyła wiadomości SMS na numery premium i zapisuje użytkowników do kosztownych serwisów mobilnych. Również przez Google Play było dystrybuowane riskware, które, jeśli zostało użyte, mogło doprowadzić do wycieku poufnych informacji. Dodatkowo w czerwcu wykryto nowego trojana szyfrującego dla Androida.

Mobilne zagrożenie miesiąca

W czerwcu analitycy bezpieczeństwa Doctor Web wykryli wirusa Android.Spy.377.origin, rozpowszechniającego się pośród użytkowników urządzeń mobilnych w Iranie. Ten złośliwy program wykradał poufne informacje i wysyłał je do cyberprzestępców. Dodatkowo mógł wykonywać ich polecenia.

Cechy Android.Spy.377.origin:

• Jest dystrybuowany pod płaszczykiem niegroźnych programów;
• Wykrada korespondencję SMS, kontakty z listy kontaktów i dane konta Google;
• Może robić zdjęcia z użyciem przedniej kamery urządzenia;
• Cyberprzestępcy kontrolują go z użyciem protokołu aplikacji Telegram.

Aby uzyskać więcej informacji dotyczących tego trojana, zajrzyj do tego artykułu.

Najpopularniejsze zagrożenia na podstawie statystyk zebranych przez Dr.Web dla Androida

Android.HiddenAds.83.origin

Android.HiddenAds.76.origin

Android.HiddenAds.85.origin

Trojany zaprojektowane do wyświetlania na urządzeniach mobilnych niepożądanych reklam. Są dystrybuowane pod płaszczykiem popularnych aplikacji przez inne złośliwe program, które czasami w skrycie instalują je w katalogu systemowym.

Android.DownLoader.337.origin

Trojan zaprojektowany do pobierania innych aplikacji.

Android.Triada.264.origin

Android.Triada.264.origin

Wielokomponentowy trojan realizujący różne złośliwe funkcje.

Najpopularniejsze zagrożenia typu riskware na podstawie statystyk zebranych przez Dr.Web dla Androida

Adware.Jiubang.1

Adware.SalmonAds.1.origin

Adware.Batmobi.4

Adware.Avazu.8.origin

Adware.Leadbolt.12.origin

Niepożądane moduły programowe wbudowane w aplikacje dla Androida i zaprojektowane do wyświetlania denerwujących reklam na urządzeniach mobilnych.

Zagrożenia w Google Play

W zeszłym miesiącu specjaliści Doctor Web wykryli w Google Play riskware pozwalające użytkownikom na dostęp do stron serwisów społecznościowych “VK” i “Odnoklassniki”, które zostały zablokowane na Ukrainie. Te aplikacje, dodane do bazy wirusów Dr.Web jako Program.PWS.1, używały serwerów anonimizujących do ominięcia ograniczeń dostępu i nie szyfrowały loginu, hasła i innych poufnych informacji użytkownika. Aby uzyskać więcej informacji na temat tego incydentu, zajrzyj do tego artykułu opublikowanego przez Doctor Web.

Również w czerwcu i również w Google Play wykryto trojany z rodziny Android.Dvmap. Po uruchomieniu te złośliwe programy próbowały uzyskać uprawnienia root’a na zaatakowanych urządzeniach mobilnych. Jeśli im się to udało, infekowały niektóre biblioteki systemowe i instalowały dodatkowe komponenty. Te trojany potrafią wykonywać polecenia wydawane przez cyberprzestępców i pobierać oraz uruchamiać inne aplikacje bez żadnego udziału użytkownika.

Inne trojany dla Androida dystrybuowane w czerwcu poprzez Google Play zostały dodane do bazy wirusów Dr.Web jako Android.SmsSend.1907.origin i Android.SmsSend.1908.origin. Cyberprzestępcy wstrzykiwali je do niegroźnych programów. Te złośliwe aplikacje wysyłały wiadomości SMS na numery premium, tym samym subskrybując klientów operatorów mobilnych do płatnych usług sieciowych. Następnie trojany zaczynały usuwanie wszystkich wiadomości przychodzących, więc użytkownicy nie byli w stanie odebrać powiadomień informujących ich, że zostali z powodzeniem zapisani do niechcianych serwisów premium.

Trojan ransomware

W czerwcu wykryto też trojana ransomware Android.Encoder.3.origin. Zaatakował on chińskich użytkowników systemu Android szyfrując pliki na kartach SD. Autorzy tego enkodera zainspirowali się ransomware szyfrującym pliki WannaCry, który w maju 2017 zainfekował setki tysięcy komputerów na całym świecie. Twórcy tego wirusa stworzyli wiadomości z żądaniem okupu w podobnym stylu.

Cyberprzestępcy żądali okupu w kwocie 20 juanów, a co każde trzy dni kwota ta ulegała podwojeniu. Jeśli cyberprzestępcy nie otrzymali okupu w ciągu jednego tygodnia od chwili gdy Android.Encoder.3.origin zainfekował urządzenie mobilne, ransomware kasowało zaszyfrowane pliki.

Złośliwe programy i riskware dla Androida infekują urządzenia mobilne nie tylko poprzez pobieranie plików z różnych stron www, ale również poprzez pobrania aplikacji z Google Play. Doctor Web zaleca posiadaczom urządzeń zachowanie ostrożności podczas instalowania nieznanych aplikacji i zainstalowanie oraz używanie antywirusa Dr.Web dla Androida.

3 czerwca 2017

Najbardziej godnym zauważenia w pierwszym miesiącu lata był wybuch epidemii wirusa Trojan.Encoder.12544, nowego robaka szyfrującego zwanego również przez różne źródła w mediach jako Petya, Petya.A, ExPetya, i WannaCry-2. Ten złośliwy program zainfekował komputery w wielu firmach i u użytkowników prywatnych w różnych krajach. W czerwcu analitycy bezpieczeństwa Doctor Web przebadali dwa nowe złośliwe programy dla Linuxa. Jeden z nich instalował na zainfekowanych przez siebie urządzeniach aplikację górniczą do pozyskiwania kryptowalut, drugi uruchamiał serwer proxy. W połowie czerwca wykryliśmy jeszcze jednego trojana górniczego, ale tym razem stanowił on zagrożenie dla użytkowników systemu Windows. Również w czerwcu wykryto kilka nowych złośliwych programów dla Androida.

Główne trendy czerwca

Zagrożenie miesiąca

Rankiem 27 czerwca pojawiły się pierwsze raporty mówiące o rozpowszechnianiu się niebezpiecznego robaka szyfrującego. Massmedia nazwały go Petya, Petya.A, ExPetya i WannaCry-2. Analitycy bezpieczeństwa Doctor Web nawali go jako Trojan.Encoder.12544. W rzeczywistości ten złośliwy program nie ma aż tak wiele wspólnego z trojanem Petya (Trojan.Ransom.369): są one podobne tylko w zakresie procedury szyfrowania tablicy plików. Trojan infekuje komputery wykorzystując te same podatności, które były użyte przez cyberprzestępców podczas ataku wirusem WannaCry. Trojan.Encoder.12544 otrzymuje listę użytkowników lokalnych i domenowych zautoryzowanych na zainfekowanym komputerze. Następnie przeszukuje foldery sieciowe dostępne do zapisu, próbuje je otworzyć używając pozyskanych danych konta i zapisuje w nich swoją kopię. Niektórzy badacze zakładają, że utworzenie pliku perfc w folderze Windows jest wystarczające do zapobieżenia uruchomieniu się enkodera, ale tak nie jest. W rzeczywistości robak sprawdza swoje drugie uruchomienie się na podstawie dostępności w folderze systemowym pliku o nazwie odpowiadającej nazwie trojana bez rozszerzenia. Jednakże, jeśli cyberprzestępcy zmienią oryginalną nazwę trojana, utworzenie pliku C:\Windows\perfc (jak doradza wielu twórców antywirusów) nie zabezpieczy komputera przed infekcją. Dodatkowo, trojan sprawdza obecność tego pliku tylko w przypadku, gdy posiada wystarczające uprawnienia do wykonania tej operacji.

Trojan.Encoder.12544 uszkadza VBR (Volume Boot Record), szyfruje oryginalny rekord rozruchowy Windows używając algorytmu XOR, a następnie kopiuje go na inną partycję dysku i zastępuje swoim własnym. Następnie tworzy zadanie ponownego uruchomienia systemu i szyfruje pliki na dyskach twardych komputera. Po ponownym uruchomieniu komputera, na ekranie zainfekowanej maszyny robak wyświetla tekst podobny do standardowego tekstu narzędzia CHKDSK.

Tymczasem Trojan.Encoder.12544 szyfruje tablicę MFT (Master File Table). Gdy Trojan.Encoder.12544 zakończy szyfrowanie, wyświetla na ekranie żądanie okupu.

Analitycy bezpieczeństwa Doctor Web są przekonani, że Trojan.Encoder.12544 został opracowany nie w celu zażądania okupu, ale po to, aby zniszczyć zainfekowane komputery: po pierwsze, cyberprzestępcy do kontaktu z ofiarami użyli jednego adresu e-mail i został on zablokowany wkrótce po wybuchu epidemii. Po drugie, klucz wyświetlany na ekranie zainfekowanego komputera to losowy zestaw symboli nie mający nic wspólnego z prawdziwym kluczem szyfrującym. Po trzecie, klucz wysłany do cyberprzestępców nie ma nic wspólnego z kluczem użytym do zaszyfrowania tabeli alokacji plików, więc cyberprzestępcy nie mają szans na zapewnienie ofierze klucza do odszyfrowania dysku. Szczegóły działania procedur wirusa Trojan.Encoder.12544 można znaleźć w artykule lub opisie technicznym.

Trojan rozpoczął swoje rozpowszechnianie się od systemu aktualizacyjnego programu MEDoc — popularnego na Ukrainie oprogramowania do zarządzania podatkami. Specjaliści Doctor Web zetknęli się już ze złośliwymi programami rozpowszechniającymi się w ten sam sposób. W 2012 roku nasi analitycy bezpieczeństwa wykryli atak skierowany na apteki i firmy farmaceutyczne w którym użyto wirusa BackDoor.Dande. Wykradał on zamówienia medykamentów ze specjalnych programów używanych w przemyśle farmaceutycznym. Trojan był pobierany ze strony http://ws.eprica.ru, należącej do “Spargo Tekhnologii” i zaprojektowanej do aktualizacji ePrica, programu do monitorowania cen medykamentów. Możesz dowiedzieć się więcej na temat tego incydentu z naszego artykułu, a szczegóły śledztwa są w opisie technicznym wirusa.

Najpopularniejsze zagrożenia na podstawie statystyk Antywirusa Dr.Web

• Trojan.InstallCore
  Rodzina programów instalujących niepożądane i złośliwe aplikacje.
• Trojan.Kbdmai.16
  Trojan reklamowy. Jedną z funkcji tego złośliwego programu jest otwieranie różnych stron www w oknie przeglądarki.
• Trojan.DownLoader
  Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.
• Trojan.Moneyinst.69
  Złośliwy program instalujący na komputerze ofiary różne oprogramowanie, włączając inne trojany.
• Trojan.Encoder.11432
  Robak sieciowy uruchamiający na komputerze ofiary niebezpiecznego trojana ransomware. Znany również jako WannaCry.

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

• JS.DownLoader
  Rodzina złośliwych skryptów JavaScript. Pobierają i instalują złośliwe oprogramowanie.
• JS.Inject.3
  Rodzina złośliwych skryptów JavaScript. Wstrzykują złośliwy skrypt do kodu HTML stron www.
• Trojan.InstallCore
  Rodzina trojanów instalujących niepożądane i złośliwe aplikacje.
• Trojan.Kbdmai.37
  Trojan reklamowy. Jedną z funkcji tego złośliwego programu jest otwieranie różnych stron www w oknie przeglądarki.
• Trojan.DownLoader
  Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.

Statystyki dotyczące złośliwych programów wykrytych w ruchu poczty e-mail

• JS.DownLoader
  Rodzina złośliwych skryptów JavaScripts. Pobierają i instalują złośliwe oprogramowanie.
• W97M.DownLoader
  Rodzina trojanów typu downloader wykorzystujących podatności w aplikacjach biurowych i potrafiących pobierać na zaatakowany komputer inne złośliwe programy.
• Trojan.PWS.Stealer
  Rodzina trojanów zaprojektowanych do wykradania haseł i innych poufnych danych zapisanych na zainfekowanym komputerze.

Najpopularniejsze zagrożenia na podstawie danych z Bota Dr.Web dla aplikacji Telegram

• Android.Locker.139.origin, Android.Locker.1733
  Trojan ransomware dla Androida. Jego różne modyfikacje potrafią blokować urządzenie wyświetlając ostrzeżenie o pewnym naruszeniu prawa. Aby odblokować urządzenie, użytkownik musi zapłacić okup.
• Win32.HLLP.Neshta
  Wirus plikowy znany analitykom bezpieczeństwa już od 2005 roku. Infekuje pliki EXE PE o rozmiarze nie mniejszym niż 41472 bajty. Podczas procesu infekcji zapisuje siebie samego na początku zainfekowanego pliku, a oryginalny początek jest przenoszony na koniec pliku. Zawiera on następujący ciąg znaków: «Neshta 1.0 Made in Belarus».
• EICAR Test File
  Specjalny plik tekstowy zaprojektowany do testowania efektywności antywirusów. Po wykryciu tego pliku skanery antywirusowe powinny zareagować dokładnie w ten sam sposób, jakby ten plik rzeczywiście był wirusem.
• Android.Androrat.1.origin
  Program szpiegujący dla urządzeń z Androidem.

W czerwcu ze służbą wsparcia technicznego Doctor Web najczęściej kontaktowały się ofiary następujących modyfikacji ransomware szyfrującego pliki:

• Trojan.Encoder.858 — 28.51% zgłoszeń;
• Trojan.Encoder.10103 — 8.10% zgłoszeń;
• Trojan.Encoder.567 — 5.54% zgłoszeń;
• Trojan.Encoder.11432 — 4.10% zgłoszeń;
• Trojan.Encoder.10144 — 2.36% zgłoszeń.

W czerwcu 2017 dodano do bazy Dr.Web 229381 URL-i niezalecanych stron www

Malware dla Linuxa

W czerwcu analitycy bezpieczeństwa Doctor Web przebadali dwa trojany dla Linuxa. Jednym z nich był Linux.MulDrop.14. Atakuje on tylko minikomputery Raspberry Pi. Trojan ten jest skryptem zawierającym skompresowaną i zaszyfrowaną aplikację zaprojektowaną do wydobywania kryptowaluty. Drugi trojan, dodany do baz wirusów jako Linux.ProxyM, atakował użytkowników od lutego 2017, ale szczyt jego aktywności nastąpił pod koniec maja. Specjaliści Doctor Web przedstawili aktywność ataków Linux.ProxyM na poniższym diagramie:

Znacząca część zaatakowanych adresów IP jest zlokalizowana w Rosji. Drugie miejsce zajmują Chiny, a trzecie — Taiwan. Poniższa ilustracja pokazuje rozkład geograficzny lokalizacji z których uruchamiano ataki z użyciem wirusa Linux.ProxyM:

Więcej informacji o tym złośliwym programie można znaleźć w artykule opublikowanym przez Doctor Web.

Inne informacje o wydarzeniach z zakresu bezpieczeństwa

Złośliwe programy używające zasobów zainfekowanych komputerów i urządzeń do wydobywania kryptowalut pojawiły się wkrótce po samym pojawieniu się kryptowalut: pierwszy trojan z tej rodziny nazwany Trojan.BtcMine został dodany do baz wirusów Dr.Web już w 2011 roku. Trojan.BtcMine.1259, który został wykryty w czerwcu, jest kolejnym reprezentantem tej złośliwej rodziny. Trojan.BtcMine.1259 został zaprojektowany do pozyskiwania kryptowaluty Monero (XMR) i jest ładowany na komputer przez Trojan.DownLoader24.64313. Ten trojan typu downloader jest z kolei dystrybuowany przez backdoora DoublePulsar.

Dodatkowo, oprócz jego głównej funkcji, Trojan.BtcMine.1259 odszyfrowuje i ładuje do pamięci bibliotekę będącą zmodyfikowaną wersją programu do zdalnego administrowania komputerem dostępnego na zasadzie open source (z kodem źródłowym). Ten program jest znany jako Gh0st RAT (Antywirus Dr.Web wykrywa go jako BackDoor.Farfli.96). Używając tej biblioteki cyberprzestępcy mogą kontrolować zainfekowany komputer i wykonywać różne polecenia. Moduł pozyskujący jednostki Monero (XMR) może wykorzystać podczas wykonywania swoich operacji do 80% mocy obliczeniowej zainfekowanej maszyny. Trojan zawiera zarówno 32- jak i 64- bitowe wersje programu górniczego. Która implementacja trojana zostanie użyta na zainfekowanym komputerze zależy od długości słowa systemu operacyjnego. Więcej informacji o tym złośliwym programie można znaleźć w artykule opublikowanym przez Doctor Web.

Złośliwe i niepożądane programy dla urządzeń mobilnych

W czerwcu analitycy bezpieczeństwa Doctor Web wykryli wirusa Android.Spy.377.origin atakującego użytkowników urządzeń mobilnych w Iranie. Ten złośliwy program wysyłał do cyberprzestępców poufne informacje i mógł wykonywać ich polecenia. Również w czerwcu specjaliści Doctor Web wykryli w Google Play nowe programy typu riskware zaprojektowane w celu umożliwienia użytkownikom łączenia się ze stronami www serwisów “VK” i “Odnoklassniki”, które to zostały zablokowane na Ukrainie. Te aplikacje, dodane do bazy wirusów Dr.Web jako Program.PWS.1, używały serwera anonimizującego do ominięcia ograniczeń dostępu i nie robiły nic w celu ochrony przesyłanych danych użytkownika.

Również w zeszłym miesiącu i także poprzez Google Play były dystrybuowane takie trojany jak Android.SmsSend.1907.origin i Android.SmsSend.1908.origin. Wysyłały one Wiadomości SMS na numery premium i zapisywały użytkowników do kosztownych usług. Dodatkowo do bazy wirusów dodano sygnatury trojanów z rodziny Android.Dvmap. Te złośliwe aplikacje próbowały uzyskać dostęp na poziomie root’a, zainfekować biblioteki systemowe, zainstalować dodatkowe komponenty i, zarządzane przez cyberprzestępców, były zdolne do pobierania i uruchamiania oprogramowania bez wiedzy użytkownika.

Jeszcze jeden wykryty w czerwcu trojan dla Androida został nazwany Android.Encoder.3.origin. Został on zaprojektowany do atakowania użytkowników w Chinach. Gdy zainfekował urządzenie mobilne, to szyfrował pliki na karcie SD i żądał okupu za ich odszyfrowanie.

Pośród najbardziej godnych uwagi wydarzeń czerwca powiązanych z urządzeniami mobilnymi możemy wymienić:

• Wykrycie trojana dla Androida szpiegującego użytkowników w Iranie;
• Wykrycie nowych zagrożeń w Google Play;
• Dystrybucję trojana typu enkoder szyfrującego pliki na karcie SD i żądającego okupu za ich przywrócenie.

Dowiedz się więcej o złośliwych i niepożądanych programach dla urządzeń mobilnych z naszego specjalnego przeglądu.

3 czerwca 2017

Doctor Web prezentuje swój przegląd aktywności wirusów w czerwcu 2017. Pierwszy miesiąc lata odznaczył się masowym rozpowszechnianiem się niebezpiecznego robaka szyfrującego znanego jako Petya, Petya.A, ExPetya i WannaCry-2. Również w czerwcu przebadano różne złośliwe programy dla Windows i Linuxa.

3 lipca 2017

Doctor Web prezentuje swój przegląd aktywności malware dla urządzeń mobilnych odnotowanego w czerwcu 2017. W zeszłym miesiącu wykryto Google Play mniej więcej w tym samym czasie kilka nowych trojanów i riskware dla Androida. Również w czerwcu cyberprzestępcy dystrybuowali niebezpieczne ransomware szyfrujące pliki na kartach SD.

29 czerwca 2017

Zgodnie z niektórymi źródłami internetowymi pojawiły się raporty mówiące o tym, że Trojan.Encoder.12544 penetruje system operacyjny używając programu do aktualizacji aplikacji MEDoc, zaprojektowanej do zarządzania opodatkowaniem. Ten robak szyfrujący jest również znany jako Petya, Petya.A, ExPetya i WannaCry-2. Specjaliści Doctor Web zetknęli się już wcześniej z podobną metodą dystrybucji złośliwych programów i wiedzą jak uniknąć takich incydentów w przyszłości.

Analitycy bezpieczeństwa, którzy przebadali Trojan.Encoder.12544, informują, że oryginalnym źródłem trojana był zaktualizowany system programu MEDoc. Ten program pomaga ukraińskim użytkownikom w zarządzaniu opodatkowaniem. Analitycy bezpieczeństwa wykryli, że narzędzie nazwane EzVit.exe, zawarte w pakiecie dystrybucyjnym programu MEDoc i zaprojektowane do aktualizacji głównej aplikacji, w jednym punkcie wykonywało komendę CMD. Ta komenda uruchamiała pobieranie złośliwej biblioteki. Główna funkcjonalność Trojan.Encoder.12544 została zaimplementowana właśnie w tej bibliotece. Biorąc pod uwagę, że ransomware szyfrujące pliki samodzielnie rozpowszechniało się w sieci używając podatności protokołu SMB i wykradając dane konta użytkownika w Windows, to dalsza dystrybucja infekcji jest sprawą dotyczącą na początku tylko tej jednej, zainfekowanej maszyny.

W 2012 roku analitycy bezpieczeństwa Doctor Web wykryli atak skierowany na apteki i firmy farmaceutyczne z użyciem złośliwego programu nazwanego BackDoor.Dande. Ten trojan szpiegujący wykradał informacje o zaopatrzeniu w medykamenty ze specjalnych programów używanych przez przemysł farmaceutyczny. Po uruchomieniu backdoor sprawdzał system pod kątem obecności stosownych aplikacji do zamawiania i ewidencjonowania zakupu leków i wyrobów medycznych i, jeśli nie znalazł żadnej z nich, kończył swoją pracę. Ofiarami tej infekcji zostało ponad 2800 aptek i rosyjskich firm farmaceutycznych. Tym samym, z dużą dozą pewności możemy powiedzieć, że BackDoor.Dande był używany do szpiegostwa biznesowego.

Specjaliści Doctor Web prowadzili śledztwo trwające przez 4 lata. Jedna z zaatakowanych firm udostępniła swoje dyski twarde zaatakowane przez BackDoor.Dande. Nasi analitycy określili datę utworzenia sterownika który uruchamiał wszystkie pozostałe komponenty backdoora. Ten sterownik był wymieniony w pliku stronicowania Windows i w logu antywirusa Avast, który był zainstalowany na zainfekowanej maszynie. Analiza tych plików pokazała, że złośliwy sterownik został stworzony tuż po uruchomieniu aplikacji zwanej ePrica (D:\ePrica\App\PriceCompareLoader.dll). Ta aplikacja była opracowana przez firmę o nazwie “Spargo Tekhnologii”. Pozwalała ona kierownikom aptek na analizę cen medykamentów i na wybór najlepszego dostawcy. Badania programu ePrica pozwoliło na określenie, że to on ładuje złośliwą bibliotekę do systemu. Biblioteka ta w skrycie pobierała, deszyfrowała i uruchamiała BackDoor.Dande. Trojan był pobierany ze strony http://ws.eprica.ru. Ta strona www należała do “Spargo Tekhnologii” i była zaprojektowana do aktualizowania programu ePrica. Dodatkowo, moduł, który w skrycie pobierał złośliwy program posiadał ważny podpis cyfrowy “Spargo”. Trojan ładował wykradzione dane na serwery zlokalizowane poza Rosją. Innymi słowy, tak jak Trojan.Encoder.12544, ten backdoor był “ukryty” w module aktualizacyjnym programu.

Podobieństwo tych przypadków pokazuje, że infrastruktura do rozwoju oprogramowania wymaga podwyższonego poziomu świadomości użytkowników w zakresie bezpieczeństwa informacji. Poczynając od tego, że proces aktualizacji każdego oprogramowania komercyjnego musi być dokonywany ze wzmożoną uwagą zarówno samych deweloperów, jak i użytkowników. Niektóre narzędzia do aktualizacji różnych programów mają uprawnienia do instalowania i uruchamiania plików wykonywalnych w samym systemie operacyjnym. Może to być niespodziewanym źródłem infekcji. W przypadku MEDoc infekcja była spowodowana zhakowaniem i zmodyfikowaniem przez cyberprzestępców serwera aktualizacji. W przypadku BackDoor.Dande specjaliści przypuszczają, że rozpowszechnianie się infekcji było spowodowane przez zamierzone działania dobrze poinformowanych osób. Ta metoda może być używana przez cyberprzestępców do przeprowadzania efektywnych ataków wymierzonych w użytkowników praktycznie każdego oprogramowania.

28 czerwca 2017

Trojan.Encoder.12544 rozpowszechnia się wykorzystując podatność SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148), która może być wykorzystana z użyciem exploita NSA "ETERNAL_BLUE". Do rozpowszechniania trojana używane są porty TCP 139 i 445. Ta podatność “zdalnego wykonywania kodu” zezwala agresorom na zdalne infekowanie zaatakowanych komputerów.

1. Aby odzyskać dostęp do Windows, musisz przywrócić główny rekord rozruchowy - MBR (możesz użyć standardowej procedury w Konsoli Przywracania i uruchomić bootrec.exe /FixMbr).

   Możesz też przywrócić rekord rozruchowy używając Dr.Web LiveDisk — stwórz startową płytę CD lub napęd USB, uruchom system z tego nośnika, uruchom skaner Dr.Web, sprawdź zaatakowany dysk twardy pod kątem wirusów i wybierz Wylecz dla wszystkich zainfekowanych plików.

2. Następnie odłącz swój PC od sieci, uruchom go i zastosuj poprawkę MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

   Dla komputerów pracujących pod kontrolą przestarzałych wersji Windows XP i Windows 2003, musisz zainstalować aktualizacje bezpieczeństwa w sposób ręczny. Mogą być one pobrane z następujących źródeł:

   Windows XP SP3:

   download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

   Windows Server 2003 x86:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

   Windows Server 2003 x64:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

3. Następnie zainstaluj Dr.Web, zestaw połączenie z Internetem, zaktualizuj bazy wirusów i uruchom pełne skanowanie systemu.

Wersja próbna dla użytkowników domowych Wersja próbna dla firm

Trojan podmienia główny sektor rozruchowy – MBR (Master Boot Record) i planuje oraz wykonuje zadanie ponownego uruchomienia systemu. Po takiej operacji system operacyjny nie uruchomi się, ponieważ główny sektor rozruchowy został zaatakowany i zmieniony. Dane będą szyfrowane jak tylko ponowne uruchomienie systemu zostanie zaplanowane i wykonane. Dla każdego dysku generowany jest oddzielny klucz AES. Klucz pozostaje w pamięci tak długo, zanim dysk nie zostanie w całości zaszyfrowany. Jest on zaszyfrowany z użyciem publicznego klucza RSA, a następnie jest usuwany. Jeśli MBR zostanie podmieniony z powodzeniem, z chwilą restartu systemu szyfrowany jest też plik MFT. Plik ten zawiera informacje o wszystkich plikach na dysku NTFS. Gdy wszystkie te procedury zostaną zakończone, dane mogą być odzyskane wyłącznie przy użyciu klucza prywatnego. Tym samym, bez tego klucza żaden plik nie będzie odzyskany.

Na chwilę obecną odszyfrowanie plików nie jest możliwe. Nasi analitycy badają problem i poszukują rozwiązania. Poinformujemy Was o tym z chwilą, gdy ostateczne ustalenia będą już znane.

28 czerwca 2017

Specjaliści Doctor Web przebadali wirusa Trojan.Encoder.12544, nowego trojana ransomware, zwanego również w niektórych mass-medialnych źródłach jako Petya, Petya.A, ExPetya lub WannaCry-2. Opierając się na wstępnej analizie tego złośliwego programu, Doctor Web prezentuje zalecenia mówiące o tym, jak uniknąć infekcji, porady o tym, co zrobić, jeśli do infekcji już doszło i przedstawia szczegóły techniczne tego ataku.

Trojan.Encoder.12544 stanowi poważne zagrożenie dla komputerów z systemem Windows. Różne źródła nazywają go modyfikacją trojana znanego jako Petya (Trojan.Ransom.369), jednakże Trojan.Encoder.12544 tylko nieznacznie przypomina wymienionego trojana. Ten złośliwy program zainfekował systemy informacyjne instytucji rządowych, banków i organizacji komercyjnych. Zainfekował również komputery użytkowników w kilku krajach.

Na chwilę obecną wiemy, że trojan zainfekował komputery wykorzystując te same podatności, które wcześniej były użyte przez cyberprzestępców w trakcie ataku wirusem WannaCry. Rozpowszechnianie się Trojan.Encoder.12544 rozpoczęło się rankiem 27 czerwca. Uruchomiony na zaatakowanym komputerze, trojan wyszukuje dostępne komputery w sieci lokalnej, używając kilku metod. Następnie trojan rozpoczyna skanowanie portów 445 i 139. Gdy wykryje maszyny z otwartymi portami, Trojan.Encoder.12544 próbuje zainfekować je poprzez powszechnie znaną podatność protokołu SMB (MS17-10).

W swoim pliku trojan zawiera cztery skompresowane zasoby. Dwa z nich to 32- i 64-bitowe wersje narzędzia Mimikatz, zaprojektowanego do przechwytywania haseł do otwartych sesji Windows. W zależności od długości słowa systemu operacyjnego, trojan rozpakowuje potrzebną wersję narzędzia Mimikatz, zapisuje ją w folderze tymczasowym i uruchamia narzędzie Mimikatz. Trojan.Encoder.12544 używając narzędzia Mimikatz i kilku innych metod uzyskuje listę lokalnych i domenowych użytkowników zautoryzowanych na zainfekowanym komputerze. Następnie trojan wyszukuje foldery sieciowe dostępne do zapisu, próbuje je otworzyć używając otrzymanych danych i zapisuje swoją kopię w tych folderach. Aby zainfekować komputery do których uzyskał dostęp, Trojan.Encoder.12544 wykorzystuje narzędzie PsExec zaprojektowane do zdalnego zarządzania komputerem lub standardowe narzędzie konsoli w celu wywołania obiektów Wmic.exe.

Enkoder sprawdza swoje drugie uruchomienie się korzystając z pliku, który zapisuje w folderze C:\Windows\. Nazwa pliku odpowiada nazwie trojana bez rozszerzenia. Ponieważ nazwa próbki robaka na chwilę jego rozpowszechniania się to perfc.dat, to plik zapobiegający jego uruchomieniu to C:\Windows\perfc. Jednakże, jeśli cyberprzestępcy zmienią oryginalną nazwę trojana, utworzenie pliku C:\Windows\perfc (jak doradza wielu twórców antywirusów) nie zabezpieczy komputera przed infekcją. Dodatkowo trojan sprawdza obecność tego pliku tylko wtedy, jeśli ma wystarczające uprawnienia, aby to zrobić.

Uruchomiony, trojan ustawia swoje uprawnienia, ładuje swoją kopię do pamięci i przekazuję kontrolę swojej kopii. Następnie enkoder nadpisuje swój własny plik “śmieciowymi” danymi i usuwa ten plik. Najpierw Trojan.Encoder.12544 uszkadza VBR (Volume Boot Record) dysku C, a pierwszy sektor dysku jest wypełniany “śmieciowymi” danymi. Następnie enkoder kopiuje oryginalny rekord rozruchowy systemu Windows zaszyfrowany algorytmem XOR w inną część dysku i nadpisuje oryginalny rekord swoim własnym rekordem rozruchowym. Następnie tworzy zadanie ponownego uruchomienia komputera i rozpoczyna szyfrowanie wszystkich plików z następującymi rozszerzeniami: .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

Trojan szyfruje pliki tylko na dyskach twardych. Dane na każdym dysku są szyfrowane w osobnych wątkach. Pliki są szyfrowane z użyciem algorytmu AES-128-CBC; dla każdego dysku tworzony jest oddzielny klucz szyfrujący (cecha charakterystyczna tego trojana, która nie została zauważona przez innych specjalistów). Klucz szyfrujący jest zaszyfrowany z użyciem algorytmu RSA-2048 (inni badacze mówią, że użyto klucza o długości 800-bitów) i zapisany do pliku o nazwie README.TXT w głównym folderze dysku systemowego. Do zaszyfrowanych plików nie jest dodawane dodatkowe rozszerzenie.

Po ponownym uruchomieniu komputera zgodnie z utworzonym zadaniem, kontrola jest przekazywana do rekordu rozruchowego trojana. Na ekranie zainfekowanego komputera wyświetla on tekst podobny do tekstu standardowego narzędzia CHKDSK.

W międzyczasie Trojan.Encoder.12544 szyfruje MFT (Master File Table). Gdy Trojan.Encoder.12544 zakończy szyfrowanie, wyświetla na ekranie żądanie okupu.

Gdy zobaczysz tekst polecenia CHKDSK podczas uruchamiania systemu natychmiast wyłącz zasilanie komputera. W tym przypadku rekordy rozruchowe będą uszkodzone, ale można je naprawić z użyciem narzędzia do odzyskiwania systemu Windows lub Konsoli Przywracania, jeśli uruchomisz komputer używając dysku instalacyjnego systemu. Zazwyczaj przywrócenie rekordu rozruchowego w Windows 7 i późniejszych wersjach systemu operacyjnego jest możliwe, jeśli na dysku obecna jest ukryta część z krytyczną kopią zapasową danych systemu. Możesz również użyć Dr.Web LiveDisk; utworzyć dysk startowy lub startowy napęd USB, uruchomić system operacyjny z tego startowego nośnika wymiennego, uruchomić Skaner Dr.Web, sprawdzić zainfekowany dysk i wybrać działanie Neutralizuj w odniesieniu do wykrytych zagrożeń.

Zgodnie z niektórymi źródłami, jedyny adres e-mail użyty przez cyberprzestępców którzy użyli Trojan.Encoder.12544 został zablokowany. To dlatego cyberprzestępcy nie mogą skomunikować się ze swoimi ofiarami (na przykład w celu zaoferowania odszyfrowania plików).

Aby uniknąć zainfekowania wirusem Trojan.Encoder.12544, Doctor Web zaleca tworzenie kopii zapasowych wszystkich krytycznych danych na niezależnym przenośnym nośniku danych i używanie funkcji Zapobiegania Utracie Danych w Dr.Web Security Space. Dodatkowo zaleca się zainstalowanie wszystkich aktualizacji bezpieczeństwa dla Twojego systemu operacyjnego. Tymczasem specjaliści Doctor Web kontynuują badanie enkodera Trojan.Encoder.12544.

Instrukcja dla ofiar wirusa Trojan.Encoder.12544

27 czerwca 2017

Pojawiła się informacja o nowym wybuchu aktywności ransomware szyfrującego pliki. Trojan zaatakował firmy z rynku paliw, telekomunikacyjne i finansowe w Rosji i na Ukrainie. Doctor Web informuje użytkowników, że nowy enkoder jest wykrywany przez produkty Dr.Web.

Na podstawie danych od naszych specjalistów z zakresu bezpieczeństwa informacji, trojan dystrybuuje się samodzielnie, tak jak niesławny WannaCry. Nie ma jeszcze precyzyjnych danych, czy wykorzystuje ten sam mechanizm dystrybucji, co jego poprzednik. Na chwilę obecną nasi analitycy bezpieczeństwa badają nowego trojana; szczegóły tych prac przekażemy nieco później. Niektóre źródła z kręgu massmediów wykazują podobieństwa do ransomware Petya (w szczególności, Dr.Web wykrywa je jako Trojan.Ransom.369) głównie z przyczyny zewnętrznych objawów działania ransomware. Jednakże, metoda dystrybucji nowego zagrożenia różni się od standardowych wzorców dla wirusa Petya.

Dziś, 27 czerwca o 16.30 to ransomware szyfrujące pliki zostało dodane do baz wirusów Dr.Web jako Trojan.Encoder.12544. Doctor Web zaleca wszystkim użytkownikom zachowanie szczególnej ostrożności i zaniechanie otwierania podejrzanych wiadomości e-mail (ten krok jest konieczny, ale nie w pełni wystarczający). Niezbędne jest wykonywanie kopii zapasowych ważnych i krytycznych danych oraz instalowanie aktualizacji bezpieczeństwa wykorzystywanego oprogramowania. Dostępność i aktualność zainstalowanego antywirusa również jest tu kluczowym zagadnieniem.

23 czerwca 2017

Specjaliści Doctor Web wykryli w Google Play kilka potencjalnie niebezpiecznych aplikacji stanowiących zagrożenie głównie dla użytkowników na Ukrainie. Te programy pozwalają na uniknięcie zablokowania stron www serwisów “VK” i “Odnoklassniki”, ale robią to w niebezpieczny sposób. Przesyłają poprzez serwery firm trzecich niezaszyfrowane loginy do kont i hasła, oraz cały ruch powstały podczas korzystania z sieci społecznościowych, co może prowadzić do wycieków poufnych danych użytkowników.

W maju 2017, na Ukrainie, Dekretem Prezydenta ograniczono dostęp do serwisów kilku rosyjskich firm. Pośród tych firm znalazły się sieci społecznościowe “VK” i “Odnoklassniki”. Doprowadziło to do wzrostu popularności metod pozwalających ludziom na ominięcie mechanizmów blokujących — na przykład przeglądarek Tor, usług VPN i anonimizerów. Dodatkowo zaczęły pojawiać się nowe programy, oferujące podobną funkcjonalność. Jednakże, bez wątpienia, nie wszystkie te najnowsze programy są bezpieczne dla swoich użytkowników.

Specjaliści Doctor Web wykryli w Google Play kilka aplikacji pozwalających ludziom na pracę z zablokowanymi stronami www serwisów “VK” i “Odnoklassniki”. Aby uzyskać dostęp do tych sieci społecznościowych, posiadacze urządzeń z Androidem są proszeni o wprowadzenie ich poświadczeń logowania; następnie programy logują się na konta użytkowników, omijając mechanizmy blokujące. Analitycy bezpieczeństwa Doctor Web wykryli osiem takich programów, dystrybuowanych przez następujących deweloperów: JDX Studio, Soukaina Bousfiha, Zikolabs, Boubakri yassir, affzakanab, i simon faiz.

Wszystkie te aplikacje wyglądają nadzwyczaj podobnie. Są instalowane na urządzeniach mobilnych jako programy o nazwach «ВК В Украина», «ВК Украина», «ВК Украина 2», «ОК Украина», «Украина ОК», «ВК VPN Украина.», «ВК Украiна» i «ВК Украина VPN» i mają podobne skróty. Co najmniej 122000 użytkowników pobrało te aplikacje, a każdy z nich ryzykuje wyciek swoich osobistych danych.

Problemem jest to, że aby ominąć mechanizmy blokujące zastosowane przez strony www portali społecznościowych, opisywane oprogramowanie przekierowuje ruch poprzez anonimizery online. Anonimizery to specjalne serwery, które przetwarzają odwołania sieciowe, a także ukrywają informacje o komputerze lub urządzeniu mobilnym w celu ominięcia ograniczeń zapobiegających odwiedzeniu zablokowanych zasobów Internetu. Takie usługi są poszukiwane, na przykład przez użytkowników sieci korporacyjnych w których administratorzy systemów ograniczyli dostęp do domen sieci społecznościowych na poziomie bram internetowych.

Niezaszyfrowane poświadczenia logowania wprowadzane przez użytkowników są wysyłane na serwery anonimizujące, więc nie ma tu żadnych mechanizmów zapobiegających wykorzystaniu przez posiadaczy tychże serwerów pozyskanych w ten sposób informacji do nielegalnych celów. Na przykład, właściciele tych serwerów mogą logować się do sieci społecznościowych jako zwykli użytkownicy i wysyłać wiadomości bez ich wiedzy; mogą dodawać znajomych, zapisywać się do grup, czytać korespondencję, przeglądać zdjęcia, itp. Użytkownicy nawet nie wiedzą, że zalogowali się do sieci społecznościowych poprzez domenę „strony trzeciej”, ponieważ te aplikacje nie wyświetlają paska adresu. Każda późniejsza aktywność przeprowadzona przez to oprogramowanie na stronach www serwisów “VK” i “Odnoklassniki” również nie jest szyfrowana, co pozwala na łatwe monitorowanie wszystkich działań podejmowanych w tychże sieciach lokalnych.

Nawet przypuszczając, że posiadacze serwerów anonimizujących wykazali się tak nieodpowiedzialnym podejściem do ochrony poufnych danych z przyczyny zwykłego błędu, lub elementarnej niewiedzy w zakresie podstaw bezpieczeństwa informacji, nie możemy mieć gwarancji, że cyberprzestępcy nie zechcą przechwycić niezaszyfrowanego ruchu sieciowego.

Ponieważ użytkowanie opisywanych programów może prowadzić do wycieku osobistych informacji użytkowników, Antywirus Dr.Web wykrywa je jako potencjalnie niebezpieczne aplikacje o nazwie Program.PWS.1. Analitycy bezpieczeństwa Doctor Web poinformowali Google o tym, że wymienione oprogramowanie może prowadzić do wyeksponowania poufnych danych; jednakże, na chwilę opublikowania tego artykułu, te aplikacje są wciąż dostępne do pobrania.

Aby zabezpieczyć się, użytkownicy zablokowanych zasobów online powinni unikać używania podejrzanych aplikacji i usług wykorzystywanych do omijania ograniczeń dostępu. Na rynku dostępne są bezpieczniejsze rozwiązania zapewniające wystarczający poziom bezpieczeństwa. Pośród nich znajdują się komercyjne i darmowe usługi VPN (Dostawcy Sieci Wirtualnych lub prywatne sieci wirtualne) oraz serwery Proxy.

Wszystkie znane wersje Program.PWS.1 są z powodzeniem wykrywane przez produkty antywirusowe Dr.Web dla Androida. Ponieważ te programy są potencjalnie niebezpieczne, Doctor Web zaleca usunięcie ich i nie korzystanie z nich tak długo, dopóki ich deweloperzy nie dokonają wymaganych zmian w sposobie ich działania.

Więcej na temat Program.PWS.1