2011
22 августа 2011 г.
Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — успешно применяет технологию Origins Tracing™ в борьбе с угрозами для операционной системы Android. Эта уникальная технология позволяет заметно сократить объем вирусной базы без потери надежности защиты, что весьма актуально для современных мобильных устройств.
Традиционный метод детектирования угроз основывается на принципе создания для каждого вредоносного файла уникальной сигнатуры, по которой он в дальнейшем может быть опознан антивирусной программой. Соответственно, объем вирусной базы, состоящей из набора таких сигнатур, увеличивается по мере добавления в нее новых записей. В свою очередь, вирусописатели с целью обхода защиты нередко перекомпилируют вредоносные файлы, либо немного изменяют исходный код вируса, не затрагивая его функциональность. В связи с этим существовала вероятность того, что антивирусное ПО не отреагирует на проникновение вредоносной программы в защищаемую систему, поскольку ее сигнатура отличается от имеющейся в базе.
Иным образом работает технология Origins Tracing™ от специалистов компании «Доктор Веб». Для каждой вредоносной программы создается специальная запись, описывающая алгоритм поведения данного образца, который добавляется в вирусную базу. При этом одной такой записи вполне достаточно для целого семейства вредоносных приложений, за счет чего можно обеспечить оперативное детектирование новых модификаций такого семейства, а также заметно сократить объем вирусных баз.
Технология Origins Tracing™ является уникальной разработкой компании «Доктор Веб», не имеющей на сегодняшний день аналогов. На протяжении нескольких лет она применяется в продуктах компании для настольных операционных систем, а недавно была включена и в новые версии программ Dr.Web для Android Антивирус + Антиспам и Dr.Web для Android Light. Уже сейчас благодаря применению Origins Tracing™ эти программные продукты успешно борются с троянцами семейства Android.SmsSend. Данный вид программ-вымогателей предлагает пользователям отправить платное СМС-сообщение за установку абсолютно бесплатных приложений, таких, например, как браузер Opera Mini. После того как эта модификация троянца попала в базы Origins Tracing™ под именем Android.SmsSend.47, вирусописатели неоднократно пытались изменить исходный код своего творения в надежде обойти защиту, однако это не принесло никаких результатов: каждая новая модификация троянца успешно распознается и детектируется антивирусной программой в автоматическом режиме. Следует отметить, что в ближайшем будущем спектр вредоносного ПО для платформы Android, детектируемого с использованием технологии Origins Tracing™, будет расширяться.
18 августа 2011 года
Компания «Доктор Веб» сообщает об обновлении почтового монитора SpIDer Mail, сканирующего сервиса Scanning Engine и менеджера карантина в составе продуктов Dr.Web Desktop Security Suite и Dr.Web Server Security Suite с централизованным управлением, а также в рамках интернет-сервиса Dr.Web AV-Desk 6.0.
Напомним, что 15 августа все перечисленные компоненты были обновлены для однопользовательских продуктов Dr.Web версии 6.0 для Windows. Теперь эти изменения стали доступны для пользователей продуктов корпоративного комплекса Dr.Web Enterprise Security Suite и подписчиков услуги «Антивирус Dr.Web».
Для пользователей обновление пройдет автоматически, однако потребует перезагрузки компьютера.
18 августа 2011 года
Компания «Доктор Веб» — лидер российского рынка интернет-сервисов антивирусной безопасности — сообщает о начале предоставления услуги «Антивирус Dr.Web» немецкой компанией ITDL+. Теперь клиенты заказчика, работающего как с частными, так и с юридическим лицами со всей Германии, могут получить лицензионную антивирусную защиту в удобном формате — на условиях подписки.
Сервисная компания ITDL+ предлагает своим клиентам широкий спектр ИТ-услуг, в числе которых техническое обслуживание ПК, восстановление и резервное копирование данных, антивирусная диагностика. Решение о внедрении Dr.Web AV-Desk руководство компании приняло в рамках расширения списка предоставляемых услуг инновационными и клиентоориентированными сервисами.
Пользователям доступны три тарифных пакета услуги «Антивирус Dr.Web»: Dr.Web Классик обеспечит базовой защитой от вредоносного ПО, функция антиспама подключается вместе с тарифным пакетом Dr.Web Стандарт, а Dr.Web Премиум, в свою очередь, усилен веб-антивирусом и функцией родительского контроля.
«В наше время информационная безопасность — одна из важнейших составляющих не только коммерческой деятельности, но и частной жизни граждан. Во всем мире и в частности в Германии средства защиты информации очень востребованы. Внедряя Dr.Web AV-Desk, мы предлагаем нашим клиентам новую для немецкого IT-рынка услугу — антивирусную защиту в виде SaaS-решения, — говорит Николай Горецкий, директор компании ITDL+. — Подписавшись на услугу “Антивирус Dr.Web”, частные лица или компании получают целый комплекс средств информационной защиты на условиях абонентской платы. На мой взгляд, преимущества услуги “Антивирус Dr.Web” очевидны: это надежность, простота использования и экономичность».
Клиенты ITDL+ могут подключить услугу «Антивирус Dr.Web» на сайте компании вне зависимости от выбора интернет-провайдера. В период действия акционных предложений или в рамках специальных пакетов услуг антивирусная защита Dr.Web может предоставляться бесплатно.
Об интернет-сервисе Dr.Web AV-Desk
«Доктор Веб» — первый антивирусный разработчик, предложивший на российском рынке инновационную модель потребления антивируса в качестве услуги сервис-провайдеров.
Внедрение Dr.Web AV-Desk дает возможность абонентам провайдеров пользоваться антивирусом Dr.Web в качестве услуги: выбирать необходимый срок подписки, продлевать подписку автоматически, а значит, самостоятельно планировать свои расходы на антивирусную защиту. Модель предоставления средств информационной защиты в качестве услуги делает доставку антивируса мгновенной, а управление подпиской — удобным как для домашних, так и для бизнес-пользователей. Интернет-сервис Dr.Web AV-Desk создан специалистами компании «Доктор Веб» в 2007 году. На сегодняшний день установку Dr.Web AV-Desk осуществили более 350 провайдеров и компаний, предоставляющих ИТ-услуги в различных регионах России, а также Франции, Нидерландах, Германии, Австрии, Испании, Украине, Болгарии, Эстонии, Казахстане, Киргизии и Монголии. По итогам 2007 года русская версия журнала PC Magazine признала Dr.Web AV-Desk лучшим «продуктом-услугой». В сентябре 2008 года Dr.Web AV-Desk получил Большую золотую медаль «Сибирской ярмарки» в номинации «Оригинальное научно-техническое решение в технике связи».
О компании ITDL+
Компания ITDL+ оказывает широкий спектр услуг в области информационных технологий как частным лицам, так и компаниям малого и среднего бизнеса. Располагаясь в городе Люнен (Lnen), компания работает с клиентами не только из Северного Рейна — Вестфалии (Дортмунд, Эссен, Бохум, Мюнстер, Дюссельдорф, Кельн и т.д.), но и из других регионов Германии (Берлин, Лейпциг, Оснабрюк, Ганновер).
16 августа 2011 года
Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает о появлении очередной фишинговой схемы, которую применяют кибермошенники для похищения логинов и паролей пользователей социальной сети «В контакте». Для реализации данной модели злоумышленники активно используют появившийся недавно в «В контакте» сервис хранения и обмена файлами.
Первоначально владелец учетной записи социальной сети «В контакте» получает сообщение от одного из пользователей, зарегистрированных в его списке друзей. Такое послание обычно не вызывает подозрений, поскольку люди привыкли относиться с некоторой степенью доверия к информации, получаемой от своих знакомых.
На момент отсылки такого послания учетная запись отправителя уже взломана, а его логин и пароль находятся в руках злоумышленников. Сообщение, как правило, содержит ссылку на графический файл, предлагающий посетить сайт злоумышленников для установки какого-либо приложения, например утилиты, позволяющей отслеживать случайных посетителей на страничке пользователя социальной сети.
Тонкость заключается в том, что рекламирующее фишинговый сайт изображение хранится на одном из серверов внутренней системы файлового обмена «В контакте», и потому при переходе по ссылке пользователю не демонстрируется сообщение о том, что он покидает сайт социальной сети. Это еще сильнее притупляет его бдительность: ведь на экране появляется объявление, подписанное якобы администрацией «В контакте» и расположенное на одном из доменов сети «В контакте». Стоит пользователю перейти на рекламируемый сайт, оформление которого копирует интерфейс данной социальной сети, и ввести свои учетные данные в форму авторизации, как они тут же попадают в руки злоумышленников, и от его имени по списку друзей начинается отправка сообщений, содержащих фишинговые ссылки.
Следует отметить, что ссылки на аналогичные фишинговые сайты нередко рассылаются троянцем Trojan.VkSpam, о котором мы уже писали в новостях.
В некоторых случаях для установки или активации какого-либо приложения незадачливому пользователю предлагается отправить СМС на короткий номер: например, услуга активации приложения MyGuests, якобы показывающего гостей странички «В контакте», обойдется в 169 рублей 33 копейки. При этом, отправив сообщение на указанный злоумышленниками короткий номер, пользователь получит ссылку на приложение, которое можно установить на сайте vkontakte.ru совершенно бесплатно.
В настоящее время используется множество подобных мошеннических схем, однако в большинстве случаев алгоритм действия злоумышленников схож с описанным выше.
Чтобы обезопасить себя, пользователям социальной сети «В контакте» следует придерживаться следующих несложных правил:
- Не открывайте подозрительные ссылки, полученные даже в сообщениях от знакомых вам людей.
- Не устанавливайте и не запускайте игры и приложения, рекламируемые в спам-рассылках.
- Никогда и ни при каких обстоятельствах не вводите логин и пароль от своей учетной записи в «В контакте» на сайтах, URL которых отличается от vkontakte.ru.
- Используйте современное антивирусное программное обеспечение.
Адрес этого, а также нескольких других сайтов, используемых злоумышленниками для похищения учетных записей пользователей в социальной сети «В контакте», уже добавлен в базы веб-антивируса SpIDer Gate, используемого в продуктах Dr.Web.
16 августа 2011 года
Компания «Доктор Веб» — ведущий разработчик средств информационной безопасности — сообщает о выпуске новой версии Dr.Web LinkChecker, бесплатного приложения для браузеров, которое позволяет быстро проверять по гиперссылкам веб-страницы и скачиваемые из Интернета файлы. В версии 2.53 добавлена поддержка новой социальной сети, увеличено быстродействие плагина и повышено удобство работы с ним. Обновление коснулось расширений Dr.Web LinkChecker для Mozilla Firefox, Opera, Google Chrome и Safari.
Напомним, что предыдущая версия Dr.Web LinkChecker позволяла автоматически проверять внешние ссылки в социальных сетях Facebook и «ВКонтакте»: при попытке перехода на сторонний сайт или скачивания файла по внешней ссылке пользователь предварительно получал информацию о результатах антивирусного сканирования. Теперь эта функция доступна миллионам владельцев аккаунтов Google+, быстро набирающей популярность социальной сети компании Google (пользователям Opera необходимо разрешить Dr.Web работать по защищенному HTTPS-соединению, установив соответствующую галочку в МенюРасширения).
Dr.Web LinkChecker стал быстрее в работе и меньше в размерах. Также улучшена проверка искаженных ссылок вида _virus.com, исправлена проблема с проверкой ссылок на одном из популярных файловых хранилищ и повышено удобство работы с настройками приложения.
Чтобы воспользоваться обновленным Dr.Web LinkChecker, достаточно скачать и запустить новую версию для соответствующего браузера. Для тех, кто уже пользуется Dr.Web LinkChecker, обновление пройдет автоматически.
Напомним, что плагины Dr.Web LinkChecker также входят в дистрибутивы персональных продуктов Dr.Web для Windows.
15 августа 2011 года
Компания «Доктор Веб» сообщает об обновлении ряда компонентов в составе однопользовательских продуктов Dr.Web версии 6.0 для Windows. Улучшения и исправления затронули почтовый монитор SpIDer Mail, сканирующий сервис Scanning Engine и менеджер карантина.
В рамках обновления увеличена производительность почтового монитора SpIDer Mail и повышена стабильность его работы. Кроме того, были устранены выявленные ошибки. Обновленный почтовый монитор доступен для пользователей программных продуктов Антивирус Dr.Web, Dr.Web Security Space и Dr.Web Desktop Security Suite без централизованного управления.
В сканирующий сервис Scanning Engine внесены улучшения, позволившие повысить скорость сканирования файлов и одновременно снизить нагрузку на системные ресурсы компьютера. Также устранена проблема взаимодействия сервиса с драйвером файлового монитора и исправлена ошибка, приводившая к некорректному отображению статуса Scanning Engine в панели управления сервисами Windows 2000.
Вместе с тем было повышено удобство работы с менеджером карантина.
Обновления сканирующего сервиса Scanning Engine и менеджера карантина коснулись продуктов Антивирус Dr.Web и Dr.Web Security Space, а также Dr.Web Desktop Security Suite и Dr.Web Server Security Suite без централизованного управления.
Для пользователей обновление пройдет автоматически, однако потребует перезагрузки компьютера.
12 августа 2011 года
Компания «Доктор Веб» — лидер российского рынка интернет-сервисов антивирусной безопасности — сообщает о начале предоставления компанией «НЕКСТ» услуги «Антивирус Dr.Web» в версии для бизнеса. Развертывание интернет-сервиса Dr.Web AV-Desk на серверных мощностях заказчика прошло в короткие сроки.
Предоставление услуг по компьютерному сопровождению офисов является одним из приоритетных направлений деятельности компании «НЕКСТ», поэтому для нее стратегически важно постоянно расширять спектр решаемых ИТ-задач. В связи с этим внедрение интернет-сервиса Dr.Web AV-Desk — с последующим предоставлением услуги антивирусной безопасности на условиях абонентской платы — стало логичным для заказчика шагом.
Внедрение Dr.Web AV-Desk — от момента подачи заявки в «Доктор Веб» до коммерческого запуска интернет-сервиса — заняло у компании «НЕКСТ» всего месяц. По итогам проекта специалисты заказчика отметили грамотную техническую поддержку со стороны «Доктор Веб». В числе преимуществ Dr.Web AV-Desk были названы оригинальная и инновационная идеология сервиса, простота его внедрения (и, соответственно, экономия времени и средств заказчика), а также надежность антивирусной защиты.
«Благодаря профессионализму команды “Доктор Веб, а именно ее менеджеров и инженеров, мы получили готовый для использования продукт, практически не требующий усилий в процессе внедрения и коммерческого использования, — говорит Павел Чистяков, директор ООО «НЕКСТ». — Наша компания оказывает услуги ИТ-аутсорсинга и поставки лицензионного ПО широкому кругу клиентов. Мы стараемся решать для своих абонентов максимальное количество задач. С услугой “Антивирус Dr.Web” мы гарантированно защищаем самое ценное — их данные».
Компания «НЕКСТ» предложила своим абонентам три тарифных пакета. С помощью Dr.Web Классик пользователи получат базовую защиту от вирусов и других вредоносных программ. Dr.Web Стандарт обеспечит их также антиспамом, тогда как Dr.Web Премиум в числе прочего включает в себя веб-антивирус и модуль родительского контроля.
Об интернет-сервисе Dr.Web AV-Desk
«Доктор Веб» — первый антивирусный разработчик, предложивший на российском рынке инновационную модель потребления антивируса в качестве услуги сервис-провайдеров.
Внедрение Dr.Web AV-Desk дает возможность абонентам провайдеров пользоваться антивирусом Dr.Web в качестве услуги: выбирать необходимый срок подписки, продлевать подписку автоматически, а значит, самостоятельно планировать свои расходы на антивирусную защиту. Модель предоставления средств информационной защиты в качестве услуги делает доставку антивируса мгновенной, а управление подпиской — удобным как для домашних, так и для бизнес-пользователей. Интернет-сервис Dr.Web AV-Desk создан специалистами компании «Доктор Веб» в 2007 году. На сегодняшний день установку Dr.Web AV-Desk осуществили более 250 провайдеров и компаний, предоставляющих ИТ-услуги в различных регионах России, а также во Франции, Нидерландах, Испании, Украине, Болгарии, Эстонии, Казахстане, Киргизии и Монголии. По итогам 2007 года русская версия журнала PC Magazine признала Dr.Web AV-Desk лучшим «продуктом-услугой». В сентябре 2008 года Dr.Web AV-Desk получил Большую золотую медаль «Сибирской ярмарки» в номинации «Оригинальное научно-техническое решение в технике связи».
О компании «НЕКСТ»
Компания «НЕКСТ» оказывает услуги по техническому сопровождению офисов на условиях абонентского обслуживания и/или по разовым заказам. Среди предоставляемых услуг — настройка доступа в сеть, антивирусная проверка компьютеров, восстановление данных и т.д. Специалисты компании также проведут аудит программного обеспечения и предложат оптимальный вариант лицензирования ПО.
10 августа 2011 года
Компания «Доктор Веб» и интернет-портал «Будь мобильным» объявляют о старте акции, в рамках которой пользователи узнают все необходимое об антивирусной защите мобильных устройств, а также смогут бесплатно получить две трехмесячные лицензии на Dr.Web Mobile Security Suite — для себя и любимого человека.
«Будь мобильным» — активно развивающийся интернет-портал о мобильных технологиях и устройствах, объединяющий в себе информационные ресурсы для семи крупных городов, а именно Москвы, Екатеринбурга, Челябинска, Перми, Уфы, Ростова-на-Дону и Новосибирска. В рамках акции с компанией «Доктор Веб» портал опубликует цикл экспертных статей об угрозах для популярных мобильных платформ и способах защиты устройств пользователей от подобного вредоносного ПО.
И самое главное: пользователям предоставлена возможность бесплатно защитить свои смартфоны с помощью современных антивирусных продуктов Dr.Web. На специальном промосайте проекта можно получить две лицензии на продукты Dr.Web Mobile Security Suite — они обеспечат информационную безопасность устройств на Android, Windows Mobile и Symbian. Эти лицензии в свою очередь дают 50%-ую скидку на Dr.Web Security Space (комплексная защита ПК).
Акция продлится с 10 по 27 августа. Узнайте все о защите мобильных устройств и обезопасьте ваш смартфон с помощью решений Dr.Web!
10 августа 2011 года
Компания «Доктор Веб» объявляет о начале конкурса «Твой герб», который пройдет на IT-форуме Softboard.ru. По его условиям участникам надо нарисовать свой собственный «герб айтишника». Конкурс продлится до начала сентября 2011 года.
«Герб айтишника» — это символ участника конкурса. В изображении могут быть использованы его никнейм, любимые фразы и изречения, любая IT-атрибутика — главное, чтобы герб отражал представление участника о себе как об IT-специалисте. Техника выполнения рисунка не регламентируются: конкурсанты могут использовать как графические редакторы, так и обычные художественные средства, такие как краски и карандаш. Рисунки необходимо присылать в форматах JPEG или PNG.
Работы принимаются в течение трех ближайших недель, до 31 августа включительно, в специально созданной теме. 1 сентября начнется голосование: пользователи форума в течение недели будут выбирать пятерых лучших художников. Кроме того, в рамках спецноминации «Самый смешной герб» компания «Доктор Веб» самостоятельно определит еще одного победителя.
Каждый из шести победителей получит годовую лицензию на Dr.Web Security Space и фирменные призы — флеш-накопитель, оптическую мышь и бейсболку. Лучший художник из числа «всенародно избранных» и автор самого смешного герба получат также уникальные футболки с логотипами Dr.Web, СофтФорума и своим личным гербом.
8 августа 2011 года
В связи со вступлением в силу изменений в Федеральном законе № 152-ФЗ «О персональных данных», а также повышенным интересом аудитории к проблематике выполнения требований данного закона компания «Доктор Веб» проведет еще один цикл вебинаров на эту же тему. Вебинары состоятся 10 и 12 августа.
В ходе вебинаров будет подробно рассказано о действующих требованиях законодательства в области защиты персональных данных, а также последовательности действий по их реализации. Особое внимание будет уделено возможности снижения стоимости защиты без ущерба для безопасности компании. Вебинары пройдут в два дня и будут посвящены следующим темам:
10 августа
- Требования в области защиты персональных данных. Ответственность операторов. Проверка уровня защиты персональных данных.
- Угрозы в области технической защиты информации. Оценка рисков. Определение класса системы защиты персональных данных.
Докладчиком выступит руководитель сектора продакт-менеджмента «Доктор Веб» Вячеслав Медведев.
12 августа
- Реализация системы защиты персональных данных с учетом последних изменений в нормативно-правовой базе.
Вебинар проведет специалист компании «Прайм», партнера «Доктор Веб», Дмитрий Радюга.
В первый день слушатели получат всю необходимую теоретическую информацию о системе защиты персональных данных, во второй — приобретут практические навыки для ее создания.
Время начала вебинаров — 13:00 по Москве, ориентировочная продолжительность каждого из них - два часа. Всех желающих приглашаем принять в них участие.
За 10-15 минут до начала вебинара пройдите по ссылке и зарегистрируйтесь в качестве гостя, указав свое имя и название компании.
Просьба заранее ознакомиться с техническими требованиями для участия в вебинарах компании «Доктор Веб». Их можно найти здесь:
https://training.drweb.com/spec/webinar/tech_requirements.
5 августа 2011 года
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает об обнаружении новой схемы заражения компьютеров пользователей вредоносным ПО. На этот раз целью злоумышленников стали любители популярной игры Counter-Strike 1.6: в момент подключения пользователей к одному из игровых серверов на их ПК начинают загружаться файлы со скрытыми в них троянскими программами.
Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре. В данном же случае на экране компьютера пользователя открывается стандартное окно браузера, предлагающее скачать два исполняемых файла: svhost.exe и bot2.exe, а также файл с именем admin.cmd (в начале этого года данный файл раздавался под именем Counter-Strike.cmd). Следует отметить, что такое поведение нестандартно для программного обеспечения игры Counter-Strike.
В ходе проведенного аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие самостоятельно скачали и установили его на свой ПК).
Технология «раздачи» троянца была весьма интересной: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.
Основное назначение троянца заключается в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии. Пример работы троянца показан на следующей иллюстрации, демонстрирующей несколько игровых серверов, якобы запущенных на инфицированной машине с одним IP-адресом:
Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы. В настоящее время, помимо собственно троянца, подключавшимся к серверу игрокам раздаются дополнительные «подарки».
Так, проведенный специалистами «Доктор Веб» анализ выявленных угроз показал, что в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929, накручивающий показатели посещаемости сайта w-12.ru и связанный с партнерской программой http://tak.ru. Попав на инфицированный компьютер, троянец создает свою копию с именем SVH0ST.EXE в папке C:\Program Files\Common Files, запускается на исполнение и начинает использовать заложенный в него разработчиками функционал. В файле bot2.exe «прячется» уже хорошо известный Trojan.Mayachok.1, о котором мы подробно писали в одной из предыдущих публикаций.
В настоящее время сигнатуры этих угроз добавлены в вирусные базы Dr.Web. Любителям игры Counter-Strike мы рекомендуем проявлять внимательность: не следует соглашаться с предложением операционной системы о загрузке и установке на компьютер каких-либо исполняемых файлов.
Компания «Доктор Веб» выражает искреннюю благодарность нашему вирусхантеру Михаилу Мальцеву за помощь в обнаружении угрозы.
3 августа 2011 года
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о поставке нескольких десятков тысяч лицензий на программные продукты Dr.Web в средние учебные заведения Татарстана. В качестве заказчика выступило республиканское Министерство информатизации и связи.
Обеспечение российских школ современным лицензионным ПО — одно из важнейших направлений приоритетного национального проекта «Образование». Информатизация учебного процесса призвана значительным образом повысить его эффективность: со школьной скамьи дети начинают работать с широким спектром прикладных программ, получают доступ в Интернет и учатся использовать его для получения необходимых знаний. Все это способствует всестороннему развитию школьников и готовит их к успешной профессиональной деятельности.
Республика Татарстан является одним из локомотивов информатизации среднего образования России. Для создания в учебных заведениях безопасной ИТ-среды Министерство информатизации и связи Татарстана закупило крупную партию лицензий на программные продукты Dr.Web: они обеспечат информационную безопасность 40 000 объектов — рабочих станций и серверов — во всех школах республики. Школьники смогут без опасений пользоваться интернет-ресурсами в образовательных целях и будут надежно защищены от попадания на нежелательные сайты.
Подавляющее большинство школ Татарстана подключено к Государственной интегрированной системе телекоммуникаций (ГИСТ), которая представляет собой одну большую сеть в масштабах всей республики. Процесс подключения школ к ГИСТ продолжается непрерывно — проект инициирован кабинетом министров Республики Татарстан и реализуется ГУП «Центр информационных технологий Республики Татарстан» (ГУП «ЦИТ РТ»).
«На данный момент антивирус Dr.Web защищает 16,5 тысяч рабочих станций — и эта цифра растет с каждым днем. Для управления инфраструктурой антивирусной сети используется Центр Управления Dr.Web Enterprise Security Suite с выделенным сервером базы данных PostgreSQL на ОС Linux, — говорит Камиль Курамшин, специалист ГУП «Центр информационных технологий Республики Татарстан». — С сервера Dr.Web Enterprise Security Suite осуществляется установка антивируса на рабочие станции, а также контролируется обновление антивирусных баз. Процесс развертывания антивирусной инфраструктуры проходит гладко и без сбоев, чему в том числе способствует техническая поддержка, оказываемая специалистами “Доктор Веб”».
Компания «Доктор Веб» активно участвует в проектах по внедрению средств информационной защиты в образовательных учреждениях России. Так, в рамках проекта «Защити на отлично», реализованного в конце 2010 года, более 100 школ по всей России получили возможность на бесплатной основе подключиться к тарифному пакету Dr.Web Премиум услуги «Антивирус Dr.Web». Кроме того, в начале 2011 года «Доктор Веб» обеспечила информационной защитой обучение детей с ограниченными возможностями Архангельской области, которое проходит на базе регионального центра дистанционного обучения.
«Обеспечение информационной безопасности образовательных учреждений входит в число приоритетных направлений деятельности компании “Доктор Веб”. Уже многие годы мы предоставляем свои антивирусные решения учебным заведениям — как в рамках благотворительных проектов, так и по заказу государства, — говорит Андрей Кашмило, менеджер по работе с ключевыми клиентами «Доктор Веб». — Внедрение программных продуктов Dr.Web в большинстве школ Татарстана — масштабный и потому чрезвычайно ответственный проект. Надеемся, что наши технологии будут способствовать повышению качества образовательного процесса в средних учебных заведениях республики».
2 августа 2011 года
Июль традиционно принято считать периодом затишья: именно на этот летний месяц приходится разгар сезона отпусков, пляжного отдыха, а также школьных и студенческих каникул. Однако в вопросах, касающихся вирусной активности, июль оказался отнюдь не самым скучным по сравнению с предыдущими месяцами: вновь активизировались создатели «винлоков» и разработчики вредоносного ПО для мобильной платформы Android. Кроме того, специалистами компании «Доктор Веб» — ведущего российского разработчика средств информационной безопасности — было обнаружено и обезврежено множество других опасных угроз.
«Винлоки» атакуют иностранцев
Российские пользователи персональных компьютеров пережили две крупные волны заражений вредоносными программами, блокирующими работу Windows: первая из них имела место в конце 2009 — начале 2010 года, вторая прокатилась по российскому сегменту Интернета летом 2010 года. С тех пор число заражений уверенно шло на спад: практически все производители антивирусного ПО научились эффективно бороться с подобными угрозами, да и сами пользователи, кажется, усвоили элементарные правила безопасности. Однако примерно с мая 2011 года фиксируются случаи появления программ-вымогателей, ориентированных на западную аудиторию. Одной из них стала программа Trojan.Winlock.3794, собирающая у пользователей данные банковских карт.
Среди реквизитов, которые троянец передает злоумышленникам, — имя, фамилия, дата рождения и адрес держателя карты, его телефонный номер, дата окончания срока действия карты, ее номер, код CVV2 и даже пинкод. Располагая подобными сведениями, вирусописателям не составит ни малейшего труда незаконно списать со счета жертвы все доступные средства. Следует особенно отметить, что это — первый случай появления троянца-блокировщика, собирающего данные о банковских картах. Напомним, что ранее подобные программы-вымогатели обычно требовали от пользователя отправить платное СМС-сообщение на указанный сервисный номер или пополнить счет одного из российских сотовых операторов.
Используя статистическую информацию, собранную в период с конца января 2011 года, специалисты компании «Доктор Веб» проанализировали полученные сведения о распространении программ-блокировщиков в Интернете. Так, наиболее популярным именем файла, в котором скрываются подобные троянцы, является xxx_video.exe (37,8% случаев заражения), на втором месте следует pornoplayer.exe (28,6%), на третьем — xxx_video.avi (9,6%), причем в последнем случае упоминание файла с расширением .avi имеет именно вредоносная ссылка; сам файл, в котором содержится троянец, может иметь иное имя и расширение. Такие имена вредоносных файлов, как install_flash_player.exe (1%), ponostar_video.exe и mpeg.exe (по 0,4%), скромно заняли последние строчки рейтинга.
А вот по странам, размещающим на своих серверах раздающие вредоносное ПО сайты, картина складывается несколько иная. На лидирующей позиции с большим отрывом, что естественно, находится Россия с показателем 58,8%. Ее догоняют США, но с серверов этого государства пользователями загружается всего лишь 15,6% троянцев. На третьем месте Украина (7,1%), ненамного опережающая Республику Молдова (6,8%), которая, в свою очередь, вырвалась вперед относительно Канады (3,1%). Затем следуют Румыния (2,3%), Япония (2,3%), Германия (1,7%), и замыкают список Израиль, Корея и Бразилия (1,3% и по 0,5% соответственно).
Из всего сказанного выше можно сделать вывод, что наиболее популярным способом распространения троянских программ семейства Trojan.Winlock по-прежнему являются порносайты, с которых пользователи загружают троянцев под видом программы-проигрывателя либо видеоролика.
Банковские данные в опасности
За истекший месяц специалистами компании «Доктор Веб» было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к банковским системам. Среди них нельзя не отметить троянца, описание которого было добавлено в вирусные базы под именем Trojan.Carberp.1.
Как и некоторые другие троянские программы такого типа, Trojan.Carberp.1 обладает встроенными средствами защиты от анализа с помощью отладчика. Характерной особенностью данной троянской программы является то, что она работает частями внутри инфицированных системных процессов, а также активно использует хеширование различных данных. Загрузившись на инфицированном компьютере, троянец проверяет, запущен ли в системе процесс op_mon.exe программы Outpost Firewall, и если да, завершает его. Затем он запускает explorer.exe, встраивается в него и пытается поместить вредоносный объект в экземпляры процесса explorer.exe, владеющие Панелью задач и Рабочим столом Windows. Если сделать этого не удается, Trojan.Carberp.1 пытается встроиться в процесс svchost.exe, а в случае, если и эта попытка заканчивается неудачей, — троянец пытается инфицировать любой браузер, позволяющий открывать файлы с расширением .html. Затем вредоносная программа копирует себя в автозагрузку, завершает процесс-дроппер и запускает несколько инфицированных процессов svchost.exe. В одном из инфицированных процессов на компьютер пользователя скачивается программа miniav, выискивающая и уничтожающая конкурирующие троянские программы (BarracudaAndBlackEnergy, Zeus, Limbo, Adrenalin, Generetic, MyLoader), другой процесс устанавливает на зараженном компьютере троянца Trojan.PWS.Stealer.338, предназначенного для хищения паролей от различных клиентский приложений.
Trojan.Carberp.1 ищет и передает злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана и т. д. Кроме того, троянец имеет встроенный модуль, позволяющий обрабатывать поступающие от удаленного командного центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять злоумышленникам возможность анонимного посещения различных сайтов, превратив компьютер жертвы в прокси-сервер, загружать и запускать различные файлы, отправлять на удаленный узел снимки экрана и даже уничтожить операционную систему.
Июльские угрозы для ОС Android
Создатели вредоносных программ для мобильной ОС Android продолжают «радовать» пользователей очередными новинками, не давая скучать и аналитикам компаний — разработчиков антивирусного ПО. В июле специалистами компании «Доктор Веб» в вирусные базы были добавлены описания 29 новых угроз для этой платформы, среди которых следует отметить две новых модификации троянца Android.Gongfu и программу Android.Ggtrack.1-2, предназначенную для кражи денег со счетов владельцев мобильных телефонов путем подписки их на различные платные сервисы.
Кроме того, в июле была обнаружена и добавлена в базы программа-шпион Android.GoldDream.1.
Эта вредоносная программа для ОС Android, как и ее предшественницы, встроена в предназначенные для мобильных устройств легитимные приложения, такие как игры Drag Racing и Draw Slasher, и распространяется через альтернативные сайты-сборники ПО. Будучи запущенным в операционной системе, троянец регистрируется в качестве фонового сервиса, собирает информацию об инфицированном устройстве, включая телефонный номер абонента и номер IMEI, после чего передает ее злоумышленникам на удаленный сервер. Вслед за этим Android.GoldDream.1 начинает отслеживать все входящие СМС-сообщения, а также входящие и исходящие телефонные звонки, и записывать сведения об этих событиях (в том числе телефонный номер, с которого или на который выполнялся звонок или отправлялось сообщение, а также само содержимое СМС) в хранящийся локально файл. Впоследствии этот файл может быть извлечен и передан авторам программы-шпиона. Кроме того, Android.GoldDream.1 в состоянии выполнять поступающие от удаленного центра команды для осуществления несанкционированной рассылки СМС, телефонных звонков, а также установки различных программ.
Компания «Доктор Веб» вновь призывает пользователей загружать приложения только из известных и проверенных источников (таких как сайты разработчиков ПО и официальный Android Market), внимательно относиться к запрашиваемым в процессе установки привилегиям, а также использовать на своих мобильных устройствах Dr.Web для Android Антивирус + Антиспам или Dr.Web для Android Light.
Другие интересные угрозы в июле
В последних числах июля 2011 г. был зафиксирован всплеск заражений троянской программой Trojan.Mayachok.1: многие пользователи неожиданно столкнулись с невозможностью выйти в Интернет. При попытке открыть в окне браузера какой-либо сайт, троянец перенаправлял пользователя на заранее определенный URL, демонстрируя веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение. Если пользователь следовал указаниям злоумышленников, с его счета незамедлительно списывались средства.
Один из способов распространения троянца - сообщения социальной сети "В контакте": пользователям предлагается скачать документ в формате .rtf, якобы рассказывающий о специальной программе для просмотра посещающих страницу пользователя гостей. Этот документ содержит ссылку, по которой и загружается вредоносная программа. Вот далеко не полный список сайтов, доступ к которым может блокировать Trojan.Mayachok.1: youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru.
Наиболее вероятной причиной столь широкого распространения данной угрозы послужила, скорее всего, популярность социальной сети «В контакте», с помощью которой распространялся троянец, а также доверчивость самих пользователей, бездумно открывающих ссылки в получаемых ими рекламных сообщениях.
Данная угроза была не единственной, так или иначе затронувшей социальную сеть «В контакте» - к таковым можно отнести и распространение троянской программы Trojan.VkSpam, инфицирующей компьютеры благодаря спам-рассылкам на сайте ВКонтакте.ру. Как правило, пользователям предлагается принять участие в опросе и получить за это ценные призы, «голоса» или другие бонусы. Вредоносная программа маскируется под приложение, собирающее мнение участников опроса о нововведениях данной социальной сети, либо под программу для сбора статистики о посещении страницы пользователя ВКонтакте.ру. И в том и в другом случае троянец демонстрирует на экране компьютера окно, предлагающее ввести в соответствующую форму логин и пароль учетной записи: это якобы необходимо для установки соответствующего приложения. Воспользовавшись полученными учетными данными, Trojan.VkSpam начинает массовую рассылку сообщений по списку контактов пользователя.
Также в июле был обнаружен троянец, крадущий у пользователей не файлы электронных кошельков или реквизиты доступа к платежным системам, а вычислительные ресурсы. На сегодняшний день известно несколько вредоносных программ, занимающихся майнингом, или, иными словами, «добычей» электронной валюты Bitcoin, в частности, Trojan.Coinbit и некоторые версии Trojan.Vkbase. Новый троянец, Trojan.BtcMine.1, использует две легитимные программы для майнинга, с помощью которых задействует вычислительные ресурсы компьютера жертвы с целью «добычи» виртуальных монет. Распространяется эта вредоносная программа с различных ресурсов, никак не связанных с официальным сайтом проекта Bitcoin.
Не отстала от Trojan.BtcMine.1 и новая, 48-я по счету модификация троянца Trojan.VkBase. Данная версия вредоносной программы, получившая название Trojan.VkBase.48, запускает на инфицированном компьютере программу-«майнер» для платежной системы Bitcoin. Благодаря этому злоумышленники могут использовать вычислительные ресурсы зараженного компьютера с целью личного обогащения.
Оказавшись на зараженном компьютере, Trojan.VkBase.48 создает в директории установки Windows папку update.4.1, сохраняется в нее под именем svchost.exe и запускается как фоновый сервис. Затем троянец проверяет наличие соединения с Интернетом, отправляя запросы по протоколу HTTP узлам Google.com, Microsoft.com и Yandex.ru, ожидая получить в ответ главную страницу этих сайтов. Если отклик получен, Trojan.VkBase.48 случайным образом генерирует логин и пароль для платежной системы Bitcoin и сохраняет их в файл %AppData%\Bitcoin\bitcoin.conf. Вслед за этим троянец проверяет собственную версию (в нем присутствует функция обновления), собирает сведения о зараженной машине (включая имя компьютера, серийный номер диска, типы используемых накопителей) и отправляет информацию на сервер злоумышленников. Затем вредоносная программа подключается к своим командным центрам и обменивается с ними данными. По команде Trojan.VkBase.48 может загрузить из Интернета сервер Bitcoin и запустить его в качестве сервиса.
Вредоносные файлы, обнаруженные в почтовом трафике в июле 2011 г.
Всего проверено: 221,764,143
Инфицировано: 146,942 (0.07%)
Вредоносные файлы, обнаруженные в июле 2011 г. на компьютерах пользователей
Всего проверено: 109,063,398,454
Инфицировано: 190,624,133 (0.17%)
На страницу: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107
