Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Zagrożenia kwietnia 2015 - komputery PC

5 maja 2015

Kwiecień 2015 okazał się bogatym w wydarzenia z zakresu bezpieczeństwa informacji.

Główne trendy i incydenty odnotowane w tym czasie to:

  • atak cyberprzestępców na kilka rosyjskich przedsiębiorstw powiązanych z obronnością
  • nowy, wielokomponentowy Trojan bankowy wymierzony w klientów kilku organizacji finansowych
  • dystrybucja niebezpiecznych backdoorów dla Windows i Linuxa

Zagrożenie miesiąca

Z początkiem kwietnia analitycy bezpieczeństwa Doctor Web zakończyli badania wielokomponentowego Trojana bankowego nazwanego Trojan.Dridex.49. Jego cechą szczególną jest posiadanie komponentu generującego konfigurację wymaganą do działania Trojana i rozpoczynającego jego pracę. Zawiera on również silnik wirusa i dodatkowe moduły. Poza tym Trojan używa protokołu P2P do zestawienia połączenia z serwerem.

W zależności od określonych parametrów Trojan.Dridex.49 wbudowuje siebie w procesy Eksploratora Windows (explorer.exe) lub przeglądarek (chrome.exe, firefox.exe, iexplore.exe). Wszystkie informacje przesyłane pomiędzy serwerem i Trojanem są szyfrowane. Trojan potrafi na zainfekowanym komputerze spełniać jedną z następujących ról:

Innymi słowy botnet wirusa Trojan.Dridex.49 wykorzystuje następujący schemat wymiany informacji: bot -> węzeł -> węzeł administracyjny -> inne węzły administracyjne -> serwer C&C. Dla zwiększenia bezpieczeństwa Trojan wymienia klucze szyfrujące. Schemat interakcji zachodzących w botnecie został przedstawiony na poniższej ilustracji:

screen

Głównym celem Trojan.Dridex.49 jest przeprowadzanie "web-iniekcji" - wstrzykiwania samodzielnej zawartości w strony www przeglądane przez klientów organizacji finansowych.

Trojan potrafi pozyskiwać poufne dane wprowadzane do formularzy www, co pozwala cyberprzestępcom na uzyskiwanie dostępu do kont bankowych ofiar i wykradanie ich pieniędzy. Analitycy bezpieczeństwa Doctor Web dowiedzieli się o ponad 80 stronach www banków i innych zasobów internetowych z których Trojan potrafi wykradać poufne dane; spośród nich można wymienić dobrze znane organizacje finansowe, takie jak Royal Bank of Scotland, TCB, Santander, Bank of Montreal, Bank of America, HSBC, Lloyds Bank, Barclays i wiele innych. Sygnatura Trojan.Dridex.49 została dodana do bazy wirusów Dr.Web, więc użytkownicy oprogramowania Dr.Web są chronieni przed tym malware.

Najpopularniejsze zagrożenia kwietnia zebrane przez narzędzie Dr.Web CureIt!

W kwietniu Dr.Web CureIt! wykrył na komputerach użytkowników 73 149 430 złośliwych i potencjalnie niebezpiecznych programów i modułów.

screen

Najpopularniejsze z nich to:

Najpopularniejsze zagrożenia według danych zebranych przez serwery statystyk Dr.Web:

screen

Najpopularniejsze zagrożenia wykryte w wiadomościach e-mail:

screen

Botnety

Analitycy bezpieczeństwa Doctor Web kontynuują monitorowanie botnetu stworzonego przez przestępców z użyciem wirusa infekującego pliki Win32.Rmnet.12.

screen

Rmnet to rodzina wirusów rozpowszechniająca się bez interwencji użytkownika. Mogą wbudowywać zadane treści w załadowane strony www (teoretycznie pozwala to cyberprzestępcom na uzyskanie dostępu do informacji o kontach bankowych ofiar) jak i wykradać ciasteczka (cookies) i hasła zapisane w popularnych klientach FTP, oraz wykonywać polecenia wydawane przez cyberprzestępców.

Przypominamy, że to malware potrafi przeprowadzać następujące działania:

Botnet składający się z komputerów zarażonych wirusem Win32.Sector wciąż pozostaje aktywny.

screen

Również botnet złożony z komputerów Apple zarażonych wirusem BackDoor.Flashback.39 pozostaje bez zmian i utrzymuje swoją liczebność na poziomie 25.000 sztuk.

screen

W kwietniu 2015 cyberprzestępcy zintensyfikowali ataki na zasoby Internetu z użyciem wirusa Linux.BackDoor.Gates.5. W porównaniu do poprzedniego miesiąca liczba zaatakowanych adresów IP zwiększyła się o ponad 48% i osiągnęła 3.320 przypadków. Co interesujące, większość celów ataków było zlokalizowanych w USA, a nie, tak jak poprzednio, w Chinach. Poniższa mapa ilustruje rozkład geograficzny ataków tego Trojana:

screen

Ransomware szyfrujące pliki

Liczba zgłoszeń do Pomocy Technicznej Doctor Web z prośbą o rozszyfrowanie plików zaatakowanych przez tego typu wirusy wyniosła w kwietniu tego roku 1359 przypadków (wobec 2361 zgłoszeń w marcu 2015), co stanowi spadek o 42,4%.

Najpopularniejsze wirusy tego typu w kwietniu 2015 to:

Dr.Web Security Space 10.0 dla Windows
chroni przed programami szyfrującymi i żądającymi okupu

Ta funkcja nie jest dostępna w podstawowym Antywirusie Dr.Web dla Windows

Ochrona zapobiegawcza:Zapobieganie Utracie Danych:
Превентивная защитаЗащита данных от потери

Zagrożenia dla Linuxa

W kwietniu analitycy bezpieczeństwa Doctor Web przebadali nowego Trojana infekującego komputery z systemem Linux - Linux.BackDoor.Sessox.1. Pisaliśmy już na jego temat, ale warto przypomnieć, że cyberprzestępcy do komunikacji z botami wirusa użyli protokołu czatu IRC działającego na kontrolowanym przez nich serwerze. W celu rozpowszechniania się Trojan skanuje zdalne komputery pod kątem podatności zezwalającej na uruchamianie obcych skryptów na niechronionym serwerze - skrypt instaluje kopię Trojana w zainfekowanym systemie, a sam wirus potrafi dokonać ataku wysyłając powtarzające się żądania GET na stronę określoną przez cyberprzestępców.

Inne zagrożenia kwietnia 2015

Na początku miesiąca analitycy bezpieczeństwa Doctor Web wykryli masowy mailing wymierzony w służbowe i prywatne adresy e-mail pracowników rosyjskich firm powiązanych z obronnością Federacji Rosyjskiej. Zawierał on niebezpiecznego Trojana.

screen

Po otrzymaniu polecenia od cyberprzestępców, złośliwy program, nazwany BackDoor.Hser.1, potrafił wysyłać na zdalny serwer listę aktywnych procesów działających na zainfekowanym komputerze, jak i załadować i wykonać inny złośliwy program, otwierać konsolę systemową (cmd.exe) i wykonywać przekierowania wejścia/wyjścia na serwer cyberprzestępców, co pozwalało im na uzyskanie kontroli nad zainfekowanym komputerem. Pisaliśmy już o tym zagrożeniu w osobnej notce.

Inny złośliwy program przebadany w zeszłym miesiącu został nazwany VBS.BackDoor.DuCk.1. Potrafi on wykonywać polecenia cyberprzestępców i wysyłać na zdalny serwer zrzuty ekranu z zainfekowanego komputera. Backdoor potrafi też sprawdzić komputer pod kątem obecności środowiska wirtualnego i programów antywirusowych. Również i ten temat był opisywany na naszym profilu.

Niebezpieczne strony www

W ciągu kwietnia 2015 do bazy Dr.Web dodano 129 199 adresów URL niezalecanych stron www. W marcu było ich 74 108, co stanowi wzrost o 74,3%.

Więcej o niezalecanych przez Dr.Web stronach

Złośliwe i niechciane oprogramowanie na Android

W kwietniu cyberprzestępcy kontynuowali ataki na urządzenia z systemem Android. Ten miesiąc był bogaty w incydenty wirusowe. Spośród najbardziej zauważalnych zdarzeń związanych z atakami złośliwych programów można wymienić:

Więcej informacji na temat złośliwych programów dla systemu Android znajduje się tutaj.

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2020

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A