The page may not load correctly.
5 maja 2015
Z początkiem kwietnia analitycy bezpieczeństwa Doctor Web zakończyli badania wielokomponentowego Trojana bankowego nazwanego Trojan.Dridex.49. Jego cechą szczególną jest posiadanie komponentu generującego konfigurację wymaganą do działania Trojana i rozpoczynającego jego pracę. Zawiera on również silnik wirusa i dodatkowe moduły. Poza tym Trojan używa protokołu P2P do zestawienia połączenia z serwerem.
W zależności od określonych parametrów Trojan.Dridex.49 wbudowuje siebie w procesy Eksploratora Windows (explorer.exe) lub przeglądarek (chrome.exe, firefox.exe, iexplore.exe). Wszystkie informacje przesyłane pomiędzy serwerem i Trojanem są szyfrowane. Trojan potrafi na zainfekowanym komputerze spełniać jedną z następujących ról:
Innymi słowy botnet wirusa Trojan.Dridex.49 wykorzystuje następujący schemat wymiany informacji: bot -> węzeł -> węzeł administracyjny -> inne węzły administracyjne -> serwer C&C. Dla zwiększenia bezpieczeństwa Trojan wymienia klucze szyfrujące. Schemat interakcji zachodzących w botnecie został przedstawiony na poniższej ilustracji:
Głównym celem Trojan.Dridex.49 jest przeprowadzanie "web-iniekcji" - wstrzykiwania samodzielnej zawartości w strony www przeglądane przez klientów organizacji finansowych.
Trojan potrafi pozyskiwać poufne dane wprowadzane do formularzy www, co pozwala cyberprzestępcom na uzyskiwanie dostępu do kont bankowych ofiar i wykradanie ich pieniędzy. Analitycy bezpieczeństwa Doctor Web dowiedzieli się o ponad 80 stronach www banków i innych zasobów internetowych z których Trojan potrafi wykradać poufne dane; spośród nich można wymienić dobrze znane organizacje finansowe, takie jak Royal Bank of Scotland, TCB, Santander, Bank of Montreal, Bank of America, HSBC, Lloyds Bank, Barclays i wiele innych. Sygnatura Trojan.Dridex.49 została dodana do bazy wirusów Dr.Web, więc użytkownicy oprogramowania Dr.Web są chronieni przed tym malware.
W kwietniu Dr.Web CureIt! wykrył na komputerach użytkowników 73 149 430 złośliwych i potencjalnie niebezpiecznych programów i modułów.
Analitycy bezpieczeństwa Doctor Web kontynuują monitorowanie botnetu stworzonego przez przestępców z użyciem wirusa infekującego pliki Win32.Rmnet.12.
Rmnet to rodzina wirusów rozpowszechniająca się bez interwencji użytkownika. Mogą wbudowywać zadane treści w załadowane strony www (teoretycznie pozwala to cyberprzestępcom na uzyskanie dostępu do informacji o kontach bankowych ofiar) jak i wykradać ciasteczka (cookies) i hasła zapisane w popularnych klientach FTP, oraz wykonywać polecenia wydawane przez cyberprzestępców.
Przypominamy, że to malware potrafi przeprowadzać następujące działania:
Botnet składający się z komputerów zarażonych wirusem Win32.Sector wciąż pozostaje aktywny.
Również botnet złożony z komputerów Apple zarażonych wirusem BackDoor.Flashback.39 pozostaje bez zmian i utrzymuje swoją liczebność na poziomie 25.000 sztuk.
W kwietniu 2015 cyberprzestępcy zintensyfikowali ataki na zasoby Internetu z użyciem wirusa Linux.BackDoor.Gates.5. W porównaniu do poprzedniego miesiąca liczba zaatakowanych adresów IP zwiększyła się o ponad 48% i osiągnęła 3.320 przypadków. Co interesujące, większość celów ataków było zlokalizowanych w USA, a nie, tak jak poprzednio, w Chinach. Poniższa mapa ilustruje rozkład geograficzny ataków tego Trojana:
Liczba zgłoszeń do Pomocy Technicznej Doctor Web z prośbą o rozszyfrowanie plików zaatakowanych przez tego typu wirusy wyniosła w kwietniu tego roku 1359 przypadków (wobec 2361 zgłoszeń w marcu 2015), co stanowi spadek o 42,4%.
Ta funkcja nie jest dostępna w podstawowym Antywirusie Dr.Web dla Windows
Ochrona zapobiegawcza: | Zapobieganie Utracie Danych: |
---|---|
W kwietniu analitycy bezpieczeństwa Doctor Web przebadali nowego Trojana infekującego komputery z systemem Linux - Linux.BackDoor.Sessox.1. Pisaliśmy już na jego temat, ale warto przypomnieć, że cyberprzestępcy do komunikacji z botami wirusa użyli protokołu czatu IRC działającego na kontrolowanym przez nich serwerze. W celu rozpowszechniania się Trojan skanuje zdalne komputery pod kątem podatności zezwalającej na uruchamianie obcych skryptów na niechronionym serwerze - skrypt instaluje kopię Trojana w zainfekowanym systemie, a sam wirus potrafi dokonać ataku wysyłając powtarzające się żądania GET na stronę określoną przez cyberprzestępców.
Na początku miesiąca analitycy bezpieczeństwa Doctor Web wykryli masowy mailing wymierzony w służbowe i prywatne adresy e-mail pracowników rosyjskich firm powiązanych z obronnością Federacji Rosyjskiej. Zawierał on niebezpiecznego Trojana.
Po otrzymaniu polecenia od cyberprzestępców, złośliwy program, nazwany BackDoor.Hser.1, potrafił wysyłać na zdalny serwer listę aktywnych procesów działających na zainfekowanym komputerze, jak i załadować i wykonać inny złośliwy program, otwierać konsolę systemową (cmd.exe) i wykonywać przekierowania wejścia/wyjścia na serwer cyberprzestępców, co pozwalało im na uzyskanie kontroli nad zainfekowanym komputerem. Pisaliśmy już o tym zagrożeniu w osobnej notce.
Inny złośliwy program przebadany w zeszłym miesiącu został nazwany VBS.BackDoor.DuCk.1. Potrafi on wykonywać polecenia cyberprzestępców i wysyłać na zdalny serwer zrzuty ekranu z zainfekowanego komputera. Backdoor potrafi też sprawdzić komputer pod kątem obecności środowiska wirtualnego i programów antywirusowych. Również i ten temat był opisywany na naszym profilu.
W ciągu kwietnia 2015 do bazy Dr.Web dodano 129 199 adresów URL niezalecanych stron www. W marcu było ich 74 108, co stanowi wzrost o 74,3%.
Więcej o niezalecanych przez Dr.Web stronachW kwietniu cyberprzestępcy kontynuowali ataki na urządzenia z systemem Android. Ten miesiąc był bogaty w incydenty wirusowe. Spośród najbardziej zauważalnych zdarzeń związanych z atakami złośliwych programów można wymienić:
Więcej informacji na temat złośliwych programów dla systemu Android znajduje się tutaj.