Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Przegląd aktywności wirusów w październiku 2017 według Doctor Web

27 października 2017

Październik 2017 będzie zapamiętany nie tylko przez specjalistów z zakresu bezpieczeństwa informacji, ale również przez wszystkich użytkowników Internetu, z przyczyny pojawienia się nowego robaka szyfrującego nazwanego Trojan.BadRabbit. Ten trojan rozpoczął swoje rozpowszechnianie się 24 października; ataki były przeprowadzane głównie na komputery w Rosji i na Ukrainie.

W październiku analitycy wirusów Doctor Web przebadali backdoora napisanego w języku Python. Ten złośliwy program wykradał informacje z popularnych przeglądarek, przechwytywał naciśnięcia klawiszy, pobierał i zapisywał różne pliki za zainfekowanych komputerach, oraz przeprowadzał kilka innych złośliwych funkcji.

Dodatkowo specjaliści przebadali nową wersję trojana dla Linuxa zdolną do infekowania różnych urządzeń typu “smart”.

Główne trendy października

  • Nowy robak szyfrujący BadRabbit
  • Pojawienie się nowego backdoora napisanego w języku Python
  • Nowy trojan dla Linuxa przeznaczony dla IoT

Zagrożenie miesiąca

Tak jak jego poprzednicy, Trojan.BadRabbit jest robakiem zdolnym do samodzielnego rozpowszechniania się bez udziału użytkownika. Składa się z kilku komponentów: droppera, enkodera-dekodera i samego robaka szyfrującego. Część kodu tego robaka została zapożyczona z Trojan.Encoder.12544, znanego również jako NotPetya. Po uruchomieniu enkoder sprawdza dostępność pliku C:\Windows\cscc.dat i jeśli ten plik istnieje, to trojan kończy swoje działanie (tym samym utworzenie pliku cscc.dat w folderze C:\Windows może zapobiec złośliwym konsekwencjom uruchomienia trojana).

Zgodnie z opinią niektórych badaczy, pierwotnym źródłem Trojan.BadRabbit było kilka zaatakowanych stron www w których kod HTML został wstrzyknięty złośliwy skrypt JavaScript. Enkoder szyfruje pliki o następujących rozszerzeniach: .3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip. Jako rezultat działania trojana na zainfekowanym komputerze wyświetlane jest żądanie okupu w walucie Bitcoin, a strona www zarządzana przez cyberprzestępców i zlokalizowana w sieci TOR mówi, że ofiara ma 48 godzin na jego zapłacenie. Po upłynięciu tego czasu suma okupu zostanie powiększona.

screenshot Trojan.BadRabbit #drweb

Na chwilę obecną Trojan.BadRabbit jest wciąż badany przez specjalistów, jednakże Antywirus Dr.Web z powodzeniem wykrywa i usuwa ten złośliwy program. Dodatkowo analiza tego trojana pokazała, że sprawdza on obecność w systemie antywirusów Dr.Web i McAfee. Jeśli Trojan.BadRabbit wykryje nasz produkt, to omija etap szyfrowania w trybie użytkownika, ale próbuje uruchomić pełne szyfrowanie dysków po ponownym uruchomieniu systemu. Ta funkcja złośliwego programu jest blokowana przez Antywirusa Dr.Web. Tym samym użytkownicy Antywirusa Dr.Web 9.1 i nowszych oraz Dr.Web Katana nie są narażeni na działania tego trojana szyfrującego, pod warunkiem, że nie wyłączyli komponentu Ochrony zapobiegawczej lub nie zmienili jego ustawień.

Najpopularniejsze zagrożenia na podstawie statystyk Antywirusa Dr.Web

Najpopularniejsze zagrożenia na podstawie statystyk Antywirusa Dr.Web Dr.Web #drweb

Trojan.Exploit
Narzędzie do heurystycznego wykrywania exploitów używających różnych podatności do zaatakowania legalnych aplikacji.
Trojan.Inject
Rodzina złośliwych programów wstrzykująca złośliwy kod w procesy innych programów.

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web #drweb

JS.Inject.3
Rodzina złośliwych skryptów JavaScript. Wstrzykują one złośliwy skrypt w kod HTML stron www.
Trojan.Starter.7394
Trojan którego głównym celem jest uruchomienie w zainfekowanym systemie pliku wykonywalnego posiadającego szczególny zestaw złośliwych funkcji.
JS.BtcMine.1
JavaScript zaprojektowany do skrytego pozyskiwania kryptowalut (program „górniczy”).
W97M.DownLoader
Rodzina trojanów typu downloader wykorzystująca podatności w aplikacjach biurowych. Zaprojektowane do pobierania na zaatakowany komputer innego malware.
BackDoor.Bebloh.184
Złośliwy program należący do rodziny trojanów bankowych. Ta aplikacja stanowi zagrożenie dla użytkowników usług e-bankowości (RBS) ponieważ pozwala agresorom na wykradanie poufnych informacji poprzez przechwytywanie danych wprowadzanych w formularzach w oknie przeglądarki i poprzez osadzanie swojego kodu w stronach www banku.

Statystyki dotyczące złośliwych programów wykrytych w ruchu poczty elektronicznej

Statystyki dotyczące złośliwych programów wykrytych w ruchu poczty elektronicznej #drweb

JS.Inject.3
Rodzina złośliwych skryptów JavaScript. Wstrzykują one złośliwy skrypt w kod HTML stron www.
VBS.DownLoader
Rodzina złośliwych skryptów VisualBasic. Służą one do pobierania i instalowania na komputerze złośliwego oprogramowania.
W97M.DownLoader
Rodzina trojanów typu downloader wykorzystująca podatności w aplikacjach biurowych. Zaprojektowane do pobierania na zaatakowany komputer innego malware.

Najpopularniejsze zagrożenia na podstawie danych od Bota Dr.Web dla aplikacji Telegram

Najpopularniejsze zagrożenia na podstawie danych od Bota Dr.Web dla aplikacji Telegram #drweb

Android.Locker
Rodzina trojanów ransomware dla Androida. Potrafią one zablokować urządzenie po wyświetleniu na ekranie urządzenia ostrzeżenia zarzucającego jego posiadaczowi dokonanie czynów kolidujących z prawem. Aby odblokować urządzenie, jego właściciel musi zapłacić okup.
Android.Spy.337.origin
Trojan dla Androida wykradający poufne informacje, włączając hasła użytkownika.
Android.Hidden
Trojany dla Androida zdolne do ukrywania swoich skrótów na liście aplikacji na zainfekowanym urządzeniu.
Program.TrackerFree.2.origin
Narzędzie do wykrywania programu Mobile Tracker Free, aplikacji do śledzenia aktywności dzieci.

Ransomware szyfrujące pliki

Ransomware szyfrujące pliki #drweb

W październiku w pomocy technicznej Doctor Web założono zgłoszenia dotyczące następujących wersji trojanów ransomware:

Niebezpieczne strony www

W październiku 2017 do bazy Dr.Web dodano 256429 adresów URL niezalecanych stron www.

Wrzesień 2017Październik 2017Dynamika
+ 298 324+ 256 429-14,0%

Malware dla Linuxa

W październiku analitycy wirusów Doctor Web przebadali trojana zdolnego do infekowania urządzeń typu “smart” z systemem Linux. Ten złośliwy program został nazwany Linux.IotReapper. Jest to kolejna modyfikacja dobrze znanego Linux.Mirai. Zamiast łamania loginów i haseł metodą brute-force w celu zhakowania urządzeń, Linux.IotReapper uruchamia exploity i czeka na rezultat ich wykonania. Następnie trojan oczekuje na polecenia ze swojego serwera kontrolno-zarządzającego (C&C). Pobiera on i uruchamia na zainfekowanym urządzeniu różne aplikacje. Zawiera również dwa moduły: interpreter Lua i serwer działający na porcie 8888 który również potrafi wykonywać różne polecenia. Dr.Web dla Linuxa z powodzeniem wykrywa Linux.IotReapper.

Inne wydarzenia z zakresu bezpieczeństwa informacji

W połowie miesiąca do baz wirusów Dr.Web dodano sygnaturę Python.BackDoor.33. Ten trojan jest backdoorem napisanym w języku Python. Ten złośliwy program może rozpowszechniać się samodzielnie: po zainstalowaniu na zainfekowanym urządzeniu i jego ponownym uruchomieniu, Python.BackDoor.33 próbuje zainfekować wszystkie dyski urządzenia — od C do Z. Następnie trojan określa adres IP i dostępny port serwera C&C wysyłając żądanie na kilka serwerów w Internecie, włączając pastebin.com, docs.google.com i notes.io. W odpowiedzi otrzymuje następujące wartości:

screenshot Python.BackDoor.33 #drweb

W określonych okolicznościach, Python.BackDoor.33 pobiera z serwera C&C skrypt w języku Python i uruchamia go na zainfekowanym urządzeniu. Skrypt ten implementuje funkcje narzędzia do wykradania haseł (stealer), przechwytywania naciskanych klawiszy (keylogger) i wykonywania zdalnych poleceń (backdoor). Ten skrypt pozwala trojanowi na wykonywanie następujących działań na zainfekowanej maszynie:

Więcej informacji o Python.BackDoor.33 można znaleźć w artykule opublikowanym na naszej stronie www.

Złośliwe i niepożądane programy dla urządzeń mobilnych

W październiku massmedia raportowały o pojawieniu się niebezpiecznego trojana ransomware wykrywanego przez Dr.Web jako Android.Banker.184.origin. Ten złośliwy program był znany analitykom bezpieczeństwa Doctor Web już od sierpnia 2017. Zmienia on kod PIN do odblokowywania ekranu zainfekowanych smartfonów lub tabletów z Androidem, szyfruje pliki i żąda okupu za przywrócenie normalnego działania urządzenia. Dodatkowo w ciągu ostatniego miesiąca wykryto w Google Play trojana Android.SockBot.5. Pozwala on cyberprzestępcom na używanie urządzeń mobilnych jako serwerów proxy.

Najbardziej godne zauważenia wydarzenia października powiązane z malware dla urządzeń mobilnych to:

Dowiedz się więcej na temat złośliwych i niepożądanych programów dla urządzeń mobilnych z naszego specjalnego przeglądu.

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A