Przegląd aktywności wirusów w grudniu 2017 według Doctor Web

29 grudnia 2017

Ostatni miesiąc tego roku odznaczył się pojawieniem się nowego backdoora dla komputerów i urządzeń pracujących pod kontrolą Microsoft Windows. W grudniu analitycy Doctor wykryli również, że cyberprzestępcy rozpoczęli hakowanie stron www z użyciem trojana dla Linuxa o nazwie Linux.ProxyM. W ciągu miesiąca bazy wirusów Dr.Web zostały też zaktualizowane sygnaturami nowych złośliwych programów dla Androida.

Zagrożenie miesiąca

W grudniu analitycy wirusów przebadali kolejnego reprezentanta rodziny trojanów Anunak, zdolnego do wykonywania na zainfekowanym komputerze poleceń cyberprzestępców. Nowy backdoor został opracowany do pracy na 64-bitowych wersjach Windows i został nazwany BackDoor.Anunak.142. Trojan może przeprowadzać na zainfekowanym komputerze następujące działania:

• Pobieranie plików z określonego zdalnego serwera;
• Ładowanie plików na zdalny serwer;
• Uruchamianie pliku na zainfekowanym urządzeniu;
• Wykonywanie poleceń w konsoli cmd.exe;
• Przekierowywanie ruchu pomiędzy portami;
• Pobieranie i instalowanie swoich własnych modułów.

Więcej informacji o tym złośliwym programie można znaleźć w artykule opublikowanym na naszej stronie www.

Najpopularniejsze zagrożenia na podstawie statystyk Antywirusa Dr.Web

Trojan.Starter.7394

Trojan którego głównym celem jest uruchamianie w zainfekowanym systemie pliku wykonywalnego posiadającego określony zestaw złośliwych funkcji.

Trojan.Encoder.11432

Robak szyfrujący znany jako WannaCry.

Trojan.Zadved

Ten trojan wyświetla fałszywe wyniki wyszukiwania w oknie przeglądarki i imituje wiadomości wyskakujące (pop-up) ze stron sieci społecznościowych. Dodatkowo, malware potrafi zamieniać reklamy wyświetlane w różnych zasobach Internetu.

JS.BtcMine.2

JavaScript zaprojektowany do skrytego wydobywania kryptowalut.

Trojan.BPlug

Te wtyczki do popularnych przeglądarek wyświetlają denerwujące reklamy podczas przeglądania stron www przez użytkowników.

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

JS.BtcMine.2

JavaScript zaprojektowany do skrytego wydobywania kryptowalut (program górniczy).

JS.Inject

Rodzina złośliwych skryptów JavaScript, które wstrzykują złośliwy skrypt w kod HTML stron www.

Trojan.Inject

Rodzina złośliwych programów wstrzykujących złośliwy kod w procesy innych programów.

Trojan.Starter.7394

Trojan którego głównym celem jest uruchamianie w zainfekowanym systemie pliku wykonywalnego posiadającego określony zestaw złośliwych funkcji.

Trojan.PWS.Stealer

Rodzina trojanów zaprojektowanych do wykradania haseł i innych poufnych informacji zapisanych na zainfekowanym komputerze.

Trojan.DownLoader

Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.

Statystyki dotyczące złośliwych programów wykrytych w ruchu poczty elektronicznej

Trojan.DownLoader

Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.

JS.Inject

Rodzina złośliwych skryptów JavaScript, które wstrzykują złośliwy skrypt w kod HTML stron www.

JS.DownLoader

Rodzina złośliwych skryptów JavaScript. Pobierają one i instalują na komputerze różne złośliwe oprogramowanie.

VBS.DownLoader

Rodzina złośliwych plików napisanych w formie skryptów VBScript (Visual Basic). Pobierają one i instalują na komputerze różne złośliwe oprogramowanie.

JS.BtcMine.2

JavaScript zaprojektowany do skrytego wydobywania kryptowalut (program górniczy).

Ransomware szyfrujące pliki

W grudniu do wsparcia technicznego Doctor Web najczęściej docierały zgłoszenia pochodzące od ofiar następujących modyfikacji ransomware szyfrującego pliki:

• Trojan.Encoder.858 — 27,29% zgłoszeń;
• Trojan.Encoder.11539 — 12,55% zgłoszeń;
• Trojan.Encoder.3953 — 4,09% zgłoszeń;
• Trojan.Encoder.11464 — 3,41% zgłoszeń;
• Trojan.Encoder.2667 — 2,59% zgłoszeń;
• Trojan.Encoder.567 — 2,05% zgłoszeń.

Niebezpieczne strony www

W grudniu 2017 do bazy Dr.Web dodano 241274 adresów URL niezalecanych stron www.

Malware dla Linuxa

Linux.ProxyM jest znany analitykom wirusów od maja 2017. Jest to dość prosty złośliwy program uruchamiający na zainfekowanym urządzeniu serwer proxy SOCKS. Cyberprzestępcy użyli go do wysłania do 400 wiadomości typu spam z każdego z zainfekowanych hostów I szybko zaczęli dystrybuować phishingowe wiadomości email, w szczególności w imieniu DocuSign, które pozwalało im pracować z dokumentami elektronicznymi. Tym samym cyberprzestępcy pozyskiwali dane konta użytkowników tej aplikacji.

W grudniu, korzystając z serwera proxy zaimplementowanego w trojanie, cyberprzestępcy dokonali licznych prób zhakowania stron www. Używali wstrzyknięć SQL (wstrzykiwania złośliwego kodu SQL w zapytania do bazy danych strony www), XSS (Cross-Site Scripting) — metody ataku wykorzystującej dodawanie złośliwego skryptu do strony www, który następnie był wykonywany na komputerze po otwarciu takiej strony i Local File Inclusion (LFI) — metody ataku pozwalającej cyberprzestępcom na zdalny odczyt plików na zaatakowanym serwerze z użyciem specjalnie wygenerowanych poleceń. Więcej informacji o tym incydencie można znaleźć w przeglądzie opublikowanym przez Doctor Web.

Złośliwe i niepożądane programy dla urządzeń mobilnych

W grudniu wykryto w Google Play trojany bankowe Android.BankBot.243.origin i Android.BankBot.255.origin. Wykradały one poświadczenia logowania do kont klientów organizacji kredytowych. Podobny trojan był również dystrybuowany poza oficjalnym katalogiem z oprogramowaniem dla Androida. Został on nazwany jako Android.Packed.15893. Również w grudniu baza wirusów Dr.Web została uzupełniona o Android.Spy.410.origin, wirusa który szpiegował włoskich użytkowników Androida.

Pośród najbardziej godnych zauważenia wydarzeń grudnia powiązanych z malware dla urządzeń mobilnych możemy wymienić:

• Dystrybucję nowych trojanów bankowych;
• Wykrycie spyware wykradającego poufne informacje.

Dowiedz się więcej o złośliwych i niepożądanych programach dla urządzeń mobilnych z naszego specjalnego przeglądu.