Przegląd aktywności wirusów w grudniu 2017 według Doctor Web

29.12.2017

Raporty o wirusach | Hot news | All the news | Ostrzeżenia wirusowe

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "Przegląd" }, { box => "Zagrożenie miesiąca" }, { box => "Statystyki" }, { box => "Ransomware szyfrujące pliki" }, { box => "Niebezpieczne strony www" }, { box => "Linux" }, { box => "Urządzenia mobilne" } ] #FILE_REVIEW = 'https://st.drweb.com/static/new-www/news/2017/DrWeb_review_dec_2017.pdf' %] [% BLOCK global.tpl_blueprint.content %]

29 grudnia 2017

Ostatni miesiąc tego roku odznaczył się pojawieniem się nowego backdoora dla komputerów i urządzeń pracujących pod kontrolą Microsoft Windows. W grudniu analitycy Doctor wykryli również, że cyberprzestępcy rozpoczęli hakowanie stron www z użyciem trojana dla Linuxa o nazwie Linux.ProxyM. W ciągu miesiąca bazy wirusów Dr.Web zostały też zaktualizowane sygnaturami nowych złośliwych programów dla Androida.

Główne trendy grudnia

Nowy trojan dla Linuxa
Hakowanie stron www z użyciem trojana dla Linuxa
Dystrybucja nowych złośliwych programów dla Androida

Zagrożenie miesiąca

W grudniu analitycy wirusów przebadali kolejnego reprezentanta rodziny trojanów Anunak, zdolnego do wykonywania na zainfekowanym komputerze poleceń cyberprzestępców. Nowy backdoor został opracowany do pracy na 64-bitowych wersjach Windows i został nazwany BackDoor.Anunak.142. Trojan może przeprowadzać na zainfekowanym komputerze następujące działania:

Pobieranie plików z określonego zdalnego serwera;
Ładowanie plików na zdalny serwer;
Uruchamianie pliku na zainfekowanym urządzeniu;
Wykonywanie poleceń w konsoli cmd.exe;
Przekierowywanie ruchu pomiędzy portami;
Pobieranie i instalowanie swoich własnych modułów.

Więcej informacji o tym złośliwym programie można znaleźć w artykule opublikowanym na naszej stronie www.

Najpopularniejsze zagrożenia na podstawie statystyk Antywirusa Dr.Web

Trojan.Starter.7394: Trojan którego głównym celem jest uruchamianie w zainfekowanym systemie pliku wykonywalnego posiadającego określony zestaw złośliwych funkcji.
Trojan.Encoder.11432: Robak szyfrujący znany jako WannaCry.
Trojan.Zadved: Ten trojan wyświetla fałszywe wyniki wyszukiwania w oknie przeglądarki i imituje wiadomości wyskakujące (pop-up) ze stron sieci społecznościowych. Dodatkowo, malware potrafi zamieniać reklamy wyświetlane w różnych zasobach Internetu.
JS.BtcMine.2: JavaScript zaprojektowany do skrytego wydobywania kryptowalut.
Trojan.BPlug: Te wtyczki do popularnych przeglądarek wyświetlają denerwujące reklamy podczas przeglądania stron www przez użytkowników.

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

JS.BtcMine.2: JavaScript zaprojektowany do skrytego wydobywania kryptowalut (program górniczy).
JS.Inject: Rodzina złośliwych skryptów JavaScript, które wstrzykują złośliwy skrypt w kod HTML stron www.
Trojan.Inject: Rodzina złośliwych programów wstrzykujących złośliwy kod w procesy innych programów.
Trojan.Starter.7394: Trojan którego głównym celem jest uruchamianie w zainfekowanym systemie pliku wykonywalnego posiadającego określony zestaw złośliwych funkcji.
Trojan.PWS.Stealer: Rodzina trojanów zaprojektowanych do wykradania haseł i innych poufnych informacji zapisanych na zainfekowanym komputerze.
Trojan.DownLoader: Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.

Statystyki dotyczące złośliwych programów wykrytych w ruchu poczty elektronicznej

Trojan.DownLoader: Rodzina złośliwych programów zaprojektowanych do pobierania na zaatakowany komputer innego malware.
JS.Inject: Rodzina złośliwych skryptów JavaScript, które wstrzykują złośliwy skrypt w kod HTML stron www.
JS.DownLoader: Rodzina złośliwych skryptów JavaScript. Pobierają one i instalują na komputerze różne złośliwe oprogramowanie.
VBS.DownLoader: Rodzina złośliwych plików napisanych w formie skryptów VBScript (Visual Basic). Pobierają one i instalują na komputerze różne złośliwe oprogramowanie.
JS.BtcMine.2: JavaScript zaprojektowany do skrytego wydobywania kryptowalut (program górniczy).

Ransomware szyfrujące pliki

W grudniu do wsparcia technicznego Doctor Web najczęściej docierały zgłoszenia pochodzące od ofiar następujących modyfikacji ransomware szyfrującego pliki:

Trojan.Encoder.858 — 27,29% zgłoszeń;
Trojan.Encoder.11539 — 12,55% zgłoszeń;
Trojan.Encoder.3953 — 4,09% zgłoszeń;
Trojan.Encoder.11464 — 3,41% zgłoszeń;
Trojan.Encoder.2667 — 2,59% zgłoszeń;
Trojan.Encoder.567 — 2,05% zgłoszeń.

Dr.Web Security Space dla Windows chroni przed ransomware szyfrującym pliki

Skonfiguruj Dr.Web aby zabezpieczyć Twój komputer przed ransomware szyfrującym pliki!

Szkolenie

O darmowym przywracaniu plików

Dr.Web Rescue Pack

Niebezpieczne strony www

W grudniu 2017 do bazy Dr.Web dodano 241274 adresów URL niezalecanych stron www.

Listopad 2017	Grudzień 2017	Dynamika
+331 895	+241 274	-27,3%

Niezalecane strony www

Malware dla Linuxa

Linux.ProxyM jest znany analitykom wirusów od maja 2017. Jest to dość prosty złośliwy program uruchamiający na zainfekowanym urządzeniu serwer proxy SOCKS. Cyberprzestępcy użyli go do wysłania do 400 wiadomości typu spam z każdego z zainfekowanych hostów I szybko zaczęli dystrybuować phishingowe wiadomości email, w szczególności w imieniu DocuSign, które pozwalało im pracować z dokumentami elektronicznymi. Tym samym cyberprzestępcy pozyskiwali dane konta użytkowników tej aplikacji.

W grudniu, korzystając z serwera proxy zaimplementowanego w trojanie, cyberprzestępcy dokonali licznych prób zhakowania stron www. Używali wstrzyknięć SQL (wstrzykiwania złośliwego kodu SQL w zapytania do bazy danych strony www), XSS (Cross-Site Scripting) — metody ataku wykorzystującej dodawanie złośliwego skryptu do strony www, który następnie był wykonywany na komputerze po otwarciu takiej strony i Local File Inclusion (LFI) — metody ataku pozwalającej cyberprzestępcom na zdalny odczyt plików na zaatakowanym serwerze z użyciem specjalnie wygenerowanych poleceń. Więcej informacji o tym incydencie można znaleźć w przeglądzie opublikowanym przez Doctor Web.

Złośliwe i niepożądane programy dla urządzeń mobilnych

W grudniu wykryto w Google Play trojany bankowe Android.BankBot.243.origin i Android.BankBot.255.origin. Wykradały one poświadczenia logowania do kont klientów organizacji kredytowych. Podobny trojan był również dystrybuowany poza oficjalnym katalogiem z oprogramowaniem dla Androida. Został on nazwany jako Android.Packed.15893. Również w grudniu baza wirusów Dr.Web została uzupełniona o Android.Spy.410.origin, wirusa który szpiegował włoskich użytkowników Androida.

Pośród najbardziej godnych zauważenia wydarzeń grudnia powiązanych z malware dla urządzeń mobilnych możemy wymienić:

Dystrybucję nowych trojanów bankowych;
Wykrycie spyware wykradającego poufne informacje.

Dowiedz się więcej o złośliwych i niepożądanych programach dla urządzeń mobilnych z naszego specjalnego przeglądu.

Dowiedz się więcej razem z Dr.Web

«Dziennik Antywirusowy»

Szkolenia i kursy

Współczesne zagrożenia

Broszury

[% END %]

Latest All news