Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Przegląd aktywności wirusów według Doctor Web – kwiecień 2017

28 kwietnia 2017

Kwiecień okazał się być dość pracowitym miesiącem, patrząc nań przez pryzmat wydarzeń dotyczących bezpieczeństwa informacji. Na początku miesiąca cyberprzestępcy zorganizowali masową wysyłkę wiadomości poczty elektronicznej i użyli jej do rozpowszechniania wielokomponentowego trojana, zaprojektowanego do wykradania poufnych informacji z zainfekowanych komputerów. W połowie kwietnia specjaliści Doctor Web przebadali fałszywy schemat oparty na złośliwym programie użytym przez cyberprzestępców do oszukiwania użytkowników. Pod koniec miesiąca wykryto podatność w Microsoft Office; była ona użyta do rozpowszechniania trojana wykradającego hasła z zainfekowanych komputerów.

Główne trendy kwietnia

  • Dystrybucja złośliwego mailingu zawierającego wielokomponentowego trojana
  • Wykrycie podatności w Microsoft Office
  • Dystrybucja nowych trojanów dla Windows

Zagrożenie miesiąca

Wielokomponentowy trojan, nazwany Trojan.MulDrop7.24844, był rozpowszechniany jako zarchiwizowany załącznik do wiadomości email.

#drweb

To archiwum zawiera spakowany kontener stworzony z użyciem języka Autoit. Jeden z komponentów uruchamianych przez wirusa Trojan.MulDrop7.24844 na zainfekowanych komputerach to aplikacja do zdalnego administrowania PC. Antywirus Dr.Web wykrywa ją jako Program.RemoteAdmin.753. Dodatkowo trojan zapisuje na dysku dwie inne aplikacje. Te programy to 32- i 64-bitowe wersje narzędzia Mimikatz. Jest ono zaprojektowane do przechwytywania haseł do otwartych sesji Windows. Trojan.MulDrop7.24844 aktywuje aplikację keylogger’a która zapisuje do pliku każdą informację o klawiszach naciskanych przez użytkownika. Realizuje ona również kilka innych funkcji zdefiniowanych przez parametr ustawiany w chwili uruchomienia. Trojan oferuje cyberprzestępcom dostęp poprzez protokół RDP (Remote Desktop Protocol), pozwalając im na kontrolowanie zainfekowanego komputera. Więcej informacji o tym złośliwym programie można znaleźć w stosownym przeglądzie opublikowanym przez Doctor Web.

Najpopularniejsze zagrożenia na podstawie statystyk z Antywirusów Dr.Web

Najpopularniejsze zagrożenia na podstawie statystyk z Antywirusów Dr.Web #drweb

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web #drweb

Najpopularniejsze zagrożenia na podstawie statystyk dotyczących złośliwych programów wykrytych w ruchu poczty elektronicznej

Najpopularniejsze zagrożenia na podstawie statystyk dotyczących złośliwych programów wykrytych w ruchu poczty elektronicznej #drweb

Najpopularniejsze zagrożenia na podstawie danych z Dr.Web Bot dla Telegram

Najpopularniejsze zagrożenia na podstawie danych z Dr.Web Bot dla Telegram #drweb

Ransomware szyfrujące pliki #drweb

W kwietniu do wsparcia technicznego Doctor Web najczęściej docierały zgłoszenia pochodzące od ofiar następujących modyfikacji ransomware szyfrującego pliki:

Dr.Web Security Space 11.0 dla Windows
chroni przed ransomware szyfrującym pliki

Ta funkcjonalność nie jest dostępna w Antywirusie Dr.Web dla Windows.

Zapobieganie Utracie Danych
Preventive ProtectionData Loss Prevention

Więcej informacji

W kwietniu 2017, Doctor Web dodał 568903 adresów URL do bazy Dr.Web z niezalecanymi stronami www.

marzec 2017kwiecień 2017Dynamika
+ 223 173+ 568 903+ 154.91%

W połowie kwietnia Doctor Web opisał fałszywy schemat używany od jakiegoś czasu przez cyberprzestępców zaangażowanych w “pewne” zakłady bukmacherskie.

 #drweb

Zazwyczaj cyberprzestępcy wysyłają niesprawdzone informacje a temat rezultatów nadchodzących wydarzeń sportowych. Ta informacja wygląda na całkowicie pewną i zapewniającą bezwarunkową wygraną w zakładach zawartych w biurach bukmacherów. Teraz cyberprzestępcy oferują swoim potencjalnym ofiarom możliwość pobrania chronionego hasłem, samorozpakowującego się archiwum RAR rzekomo zawierającego plik tekstowy z wynikami danego wydarzenia sportowego. Cyberprzestępcy wysyłają hasło do tego archiwum dopiero po zakończeniu rozgrywki — w ten sposób ofiara może być pewna, że prognoza jest ważna. Jednakże, zamiast archiwum, cyberprzestępcy wysyłają swoim ofiarom swój własny program, który w pełni imituje interfejs i zachowanie się archiwum SFX stworzonego z użyciem WinRAR. To fałszywe “archiwum” zawiera szablon pliku tekstowego który, z pomocą specjalnego algorytmu, wstawia wymagane wyniki meczu zależne od tego, jakie hasło zostało wprowadzone przez użytkownika. Ten program został dodany do bazy wirusów Dr.Web pod nazwą Trojan.Fraudster.2986, a strony www które go dystrybuowały zostały dodane do listy niezalecanych stron www.

Dowiedz się więcej na temat niezalecanych stron www według Dr.Web

Inne informacje na temat wydarzeń z zakresu bezpieczeństwa

Pod koniec kwietnia dystrybuowany był złośliwy program nazwany Trojan.DownLoader23.60762. Został on zaprojektowany do wykradania haseł z popularnych przeglądarek i do pobierania różnych plików bez autoryzacji. Na zainfekowanym komputerze trojan wstrzykuje się do przeglądarek i przechwytuje funkcje odpowiedzialne za pracę z siecią. Potrafi wykonywać następujące polecenia:

Więcej informacji na temat tego złośliwego programu można znaleźć w przeglądzie opublikowanym przez Doctor Web.

Również w kwietniu wykryto podatność w edytorze tekstów Microsoft Office Word. Cyberprzestępcy stworzyli exploita Exploit.Ole2link.1 wykorzystującego tą podatność. Ten exploit został zaimplementowany jako dokument Microsoft Word z rozszerzeniem DOCX. Gdy ten dokument zostanie otwarty, ładowany jest kolejny plik o nazwie doc.doc. Zawiera om osadzony skrypt HTA, wykrywany przez Dr.Web jako PowerShell.DownLoader.72. Ten skrypt HTA, napisany w oparciu o składnię Windows Script, wywołuje interpreter poleceń PowerShell. PowerShell przetwarza kolejny złośliwy skrypt pobierający na zaatakowany komputer plik wykonywalny. Aby uzyskać więcej informacji na temat tej podatności, zajrzyj do następującego artykułu.

Malware dla Linuxa

W kwietniu specjaliści Doctor Web zarejestrowali 1317388 ataków na różne urządzenia z systemem Linux — 147401 z nich zostało dokonanych z użyciem protokołu SSH, a 1169987 z nich z użyciem protokołu Telnet. Poniższy diagram pokazuje proporcje pomiędzy najczęściej wykrywanymi trojanami dla Linuxa:

 #drweb

W kwietniu specjaliści Doctor Web przebadali zaktualizowaną wersję złośliwego programu z rodziny Linux.UbntFM. Program został nazwany Linux.UbntFM.2. Cyberprzestępcy opracowali tego trojana dla systemów operacyjnych Linux, włączając Air OS, który firma Ubiquiti Networks produkuje i instaluje na swoich urządzeniach. Jest zaimplementowany jako skrypty powłoki bash dystrybuowane w archiwum tgz.

Linux.UbntFM.2 tworzy nowe konta na zainfekowanym urządzeniu oraz pobiera i uruchamia dowolne pliki. Co więcej, trojan potrafi atakować zdalne urządzenia używając podatności w interfejsie www systemu Air OS, co pozwala mu na pobranie dowolnego pliku poprzez dowolną ścieżkę bez autoryzacji. Jeśli trojan nie może określić protokołu (lub Air OS nie jest zainstalowany na zainfekowanym urządzeniu), to może przeprowadzić próbę wygenerowania szczegółów konta dla połączenia SSH używając specjalnego słownika i loginów “root”, “admin” i “ubnt” oraz haseł zapisanych w pliku “passlst”. Szczegóły na temat sposobu działania procedur tego złośliwego programu można znaleźć w jego opisie technicznym.

Dodatkowo w kwietniu wykryto nową wersję trojana z rodziny Fgt — Linux.BackDoor.Fgt.645. Ta modyfikacja tego złośliwego programu odróżnia się od wcześniejszej wersji ograniczonym zestawem funkcji (pozostały tylko moduł do łamania haseł dla potrzeb hakowania zdalnych serwerów sieci i moduł droppera); nowa wersja potrafi również wysyłać żądanie pobrania i uruchomienia skryptu .sh.

Złośliwe i niepożądane programy dla urządzeń mobilnych

W kwietniu do bazy wirusów Dr.Web dodano nowego trojana szpiegującego Trojan Android.Chrysaor.1.origin. Cyberprzestępcy mogą używać go do ataków skierowanych w celu wykradania poufnych informacji od użytkowników urządzeń z Androidem. Również w kwietniu wykryto w Google Play kilka nowych trojanów bankowych. Jeden z nich otrzymał nazwę Android.BankBot.179.origin. Był dystrybuowany pod płaszczykiem programów oferujących możliwość oglądania filmów online i w rzeczywistości te programy posiadały taką funkcjonalność. Inny trojan bankowy dla Androida wykryty w Google Play został dodany do bazy wirusów jako Android.BankBot.180.origin. Ten trojan prezentował się jako aplikacja realizująca funkcję latarki.

Pośród najbardziej godnych uwagi wydarzeń kwietnia powiązanych z urządzeniami mobilnymi możemy wymienić:

Dowiedz się więcej o złośliwych i niepożądanych programach dla urządzeń mobilnych z naszego specjalnego przeglądu.

Dowiedz się więcej razem z Dr.Web

Statystyki wirusów Opisy wirusów Comiesięczne przeglądy wirusów

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A