Library
My library

+ Add to library

Profile

Przegląd aktywności wirusów w grudniu 2017 według Doctor Web

29 grudnia 2017

Ostatni miesiąc tego roku odznaczył się pojawieniem się nowego backdoora dla komputerów i urządzeń pracujących pod kontrolą Microsoft Windows. W grudniu analitycy Doctor wykryli również, że cyberprzestępcy rozpoczęli hakowanie stron www z użyciem trojana dla Linuxa o nazwie Linux.ProxyM. W ciągu miesiąca bazy wirusów Dr.Web zostały też zaktualizowane sygnaturami nowych złośliwych programów dla Androida.

Główne trendy grudnia

  • Nowy trojan dla Linuxa
  • Hakowanie stron www z użyciem trojana dla Linuxa
  • Dystrybucja nowych złośliwych programów dla Androida

Zagrożenie miesiąca

W grudniu analitycy wirusów przebadali kolejnego reprezentanta rodziny trojanów Anunak, zdolnego do wykonywania na zainfekowanym komputerze poleceń cyberprzestępców. Nowy backdoor został opracowany do pracy na 64-bitowych wersjach Windows i został nazwany BackDoor.Anunak.142. Trojan może przeprowadzać na zainfekowanym komputerze następujące działania:

Więcej informacji o tym złośliwym programie można znaleźć w artykule opublikowanym na naszej stronie www.

Najpopularniejsze zagrożenia na podstawie statystyk Antywirusa Dr.Web

Najpopularniejsze zagrożenia na podstawie statystyk Antywirusa Dr.Web

Trojan.Starter.7394
Trojan którego głównym celem jest uruchamianie w zainfekowanym systemie pliku wykonywalnego posiadającego określony zestaw złośliwych funkcji.
Trojan.Encoder.11432
Robak szyfrujący znany jako WannaCry.
Trojan.Zadved
Ten trojan wyświetla fałszywe wyniki wyszukiwania w oknie przeglądarki i imituje wiadomości wyskakujące (pop-up) ze stron sieci społecznościowych. Dodatkowo, malware potrafi zamieniać reklamy wyświetlane w różnych zasobach Internetu.
JS.BtcMine.2
JavaScript zaprojektowany do skrytego wydobywania kryptowalut.
Trojan.BPlug
Te wtyczki do popularnych przeglądarek wyświetlają denerwujące reklamy podczas przeglądania stron www przez użytkowników.

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

JS.BtcMine.2
JavaScript zaprojektowany do skrytego wydobywania kryptowalut (program górniczy).
JS.Inject
Rodzina złośliwych skryptów JavaScript, które wstrzykują złośliwy skrypt w kod HTML stron www.
Trojan.Inject
Rodzina złośliwych programów wstrzykujących złośliwy kod w procesy innych programów.
Trojan.Starter.7394
Trojan którego głównym celem jest uruchamianie w zainfekowanym systemie pliku wykonywalnego posiadającego określony zestaw złośliwych funkcji.
Trojan.PWS.Stealer
Rodzina trojanów zaprojektowanych do wykradania haseł i innych poufnych informacji zapisanych na zainfekowanym komputerze.
Trojan.DownLoader
Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.

Statystyki dotyczące złośliwych programów wykrytych w ruchu poczty elektronicznej

Statystyki dotyczące złośliwych programów wykrytych w ruchu poczty elektronicznej

Trojan.DownLoader
Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.
JS.Inject
Rodzina złośliwych skryptów JavaScript, które wstrzykują złośliwy skrypt w kod HTML stron www.
JS.DownLoader
Rodzina złośliwych skryptów JavaScript. Pobierają one i instalują na komputerze różne złośliwe oprogramowanie.
VBS.DownLoader
Rodzina złośliwych plików napisanych w formie skryptów VBScript (Visual Basic). Pobierają one i instalują na komputerze różne złośliwe oprogramowanie.
JS.BtcMine.2
JavaScript zaprojektowany do skrytego wydobywania kryptowalut (program górniczy).

Ransomware szyfrujące pliki

Ransomware szyfrujące pliki

W grudniu do wsparcia technicznego Doctor Web najczęściej docierały zgłoszenia pochodzące od ofiar następujących modyfikacji ransomware szyfrującego pliki:

Niebezpieczne strony www

W grudniu 2017 do bazy Dr.Web dodano 241274 adresów URL niezalecanych stron www.

Listopad 2017Grudzień 2017Dynamika
+331 895+241 274-27,3%

Malware dla Linuxa

Linux.ProxyM jest znany analitykom wirusów od maja 2017. Jest to dość prosty złośliwy program uruchamiający na zainfekowanym urządzeniu serwer proxy SOCKS. Cyberprzestępcy użyli go do wysłania do 400 wiadomości typu spam z każdego z zainfekowanych hostów I szybko zaczęli dystrybuować phishingowe wiadomości email, w szczególności w imieniu DocuSign, które pozwalało im pracować z dokumentami elektronicznymi. Tym samym cyberprzestępcy pozyskiwali dane konta użytkowników tej aplikacji.

screenshot Linux.ProxyM #drweb

W grudniu, korzystając z serwera proxy zaimplementowanego w trojanie, cyberprzestępcy dokonali licznych prób zhakowania stron www. Używali wstrzyknięć SQL (wstrzykiwania złośliwego kodu SQL w zapytania do bazy danych strony www), XSS (Cross-Site Scripting) — metody ataku wykorzystującej dodawanie złośliwego skryptu do strony www, który następnie był wykonywany na komputerze po otwarciu takiej strony i Local File Inclusion (LFI) — metody ataku pozwalającej cyberprzestępcom na zdalny odczyt plików na zaatakowanym serwerze z użyciem specjalnie wygenerowanych poleceń. Więcej informacji o tym incydencie można znaleźć w przeglądzie opublikowanym przez Doctor Web.

Złośliwe i niepożądane programy dla urządzeń mobilnych

W grudniu wykryto w Google Play trojany bankowe Android.BankBot.243.origin i Android.BankBot.255.origin. Wykradały one poświadczenia logowania do kont klientów organizacji kredytowych. Podobny trojan był również dystrybuowany poza oficjalnym katalogiem z oprogramowaniem dla Androida. Został on nazwany jako Android.Packed.15893. Również w grudniu baza wirusów Dr.Web została uzupełniona o Android.Spy.410.origin, wirusa który szpiegował włoskich użytkowników Androida.

Pośród najbardziej godnych zauważenia wydarzeń grudnia powiązanych z malware dla urządzeń mobilnych możemy wymienić:

Dowiedz się więcej o złośliwych i niepożądanych programach dla urządzeń mobilnych z naszego specjalnego przeglądu.