27 июля 2017 года

Вирусные аналитики компании «Доктор Веб» обнаружили вредоносную программу, встроенную в прошивку нескольких мобильных устройств под управлением ОС Android. Троянец, получивший имя Android.Triada.231, внедрен в одну из системных библиотек. Он проникает в процессы всех работающих приложений и способен незаметно скачивать и запускать дополнительные модули.

Троянцы семейства Android.Triada внедряются в системный процесс компонента ОС Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря заражению Zygote они встраиваются в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое. После этого они незаметно скачивают и запускают различные вредоносные модули.

В отличие от других представителей этого семейства, которые для выполнения вредоносных действий пытаются получить root-привилегии, обнаруженный вирусными аналитиками «Доктор Веб» троянец Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Ее модифицированная версия была найдена сразу на нескольких мобильных устройствах, среди которых Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. Библиотека libandroid_runtime.so используется всеми Android-приложениями, поэтому вредоносный код в зараженной системе присутствует в памяти всех запускаемых приложений.

Внедрение Android.Triada.231 в эту библиотеку было выполнено на уровне исходного кода. Можно предположить, что к распространению троянца причастны инсайдеры либо недобросовестные партнеры, которые участвовали в создании прошивок зараженных мобильных устройств.

Android.Triada.231 встроен в libandroid_runtime.so таким образом, что он получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Поскольку служба Zygote начинает работу раньше других программ, первоначальный запуск троянца происходит именно через нее.

После инициализации вредоносная программа выполняет предварительную настройку ряда параметров, создает рабочий каталог и проверяет, в каком окружении она работает. Если троянец функционирует в среде Dalvik, он перехватывает один из системных методов, что позволяет ему отслеживать старт всех приложений и начинать вредоносную деятельность сразу после их старта.

Основная функция Android.Triada.231 — незаметный запуск дополнительных вредоносных модулей, которые могут загружать другие компоненты троянца. Для их запуска Android.Triada.231 проверяет наличие в созданной им ранее рабочей директории специального подкаталога. Его имя должно содержать значение MD5 имени программного пакета приложения, в процесс которого внедрился троянец. Если Android.Triada.231 находит такой каталог, он ищет в нем файл 32.mmd или 64.mmd (для 32- и 64-битных версий операционной системы соответственно). При наличии такого файла троянец расшифровывает его, сохраняет под именем libcnfgp.so, после чего загружает его в оперативную память с использованием одного из системных методов и удаляет расшифрованный файл с устройства. Если же вредоносная программа не находит нужный объект, она ищет файл 36.jmd. Android.Triada.231 расшифровывает его, сохраняет под именем mms-core.jar, запускает при помощи класса DexClassLoader, после чего также удаляет созданную копию.

В результате Android.Triada.231 способен внедрять самые разнообразные троянские модули в процессы любых программ и влиять на их работу. Например, вирусописатели могут отдать троянцу команду на скачивание и запуск вредоносных плагинов для кражи конфиденциальной информации из банковских приложений, модулей для кибершпионажа и перехвата переписки из клиентов социальных сетей и интернет-мессенджеров и т. п.

Кроме того, Android.Triada.231 может извлекать из библиотеки libandroid_runtime.so троянский модуль Android.Triada.194.origin, который хранится в ней в зашифрованном виде. Его основная функция — загрузка из Интернета дополнительных вредоносных компонентов, а также обеспечение их взаимодействия друг с другом.

Поскольку Android.Triada.231 встроен в одну из библиотек операционной системы и расположен в системном разделе, удаление его стандартными методами невозможно. Единственным надежным и безопасным способом борьбы с этим троянцем является установка заведомо чистой прошивки ОС Android. Специалисты «Доктор Веб» уведомили производителей скомпрометированных смартфонов об имеющейся проблеме, поэтому пользователям рекомендуется установить все возможные обновления, которые будут выпущены для таких устройств.

Подробнее о троянце

24 июля 2017 года

Специалисты компании «Доктор Веб» раскрывают новые детали расследования атаки троянца BackDoor.Dande на сети аптек и фармацевтических компаний. Вирусные аналитики установили, что бэкдор не только загружался на целевые рабочие станции компонентом приложения ePrica, но и был встроен в одну из ранних версий установщика этой программы.

Об атаке троянца BackDoor.Dande на фармацевтические компании и аптеки компания «Доктор Веб» впервые сообщила в 2011 году. Этот бэкдор похищал у пользователей систем электронного заказа информацию о закупках медикаментов. Такие программы применяются в фармацевтической отрасли, поэтому распространение вредоносного приложения носило узкоспециализированный характер. Наши специалисты уже на протяжении нескольких лет изучают этот бэкдор и его методы заражения компьютеров.

Недавние результаты исследования показали, что троянца скачивал и запускал в целевых системах один из компонентов приложения ePrica, которое используют руководители аптек для анализа цен на лекарства и выбора наиболее подходящих поставщиков. Этот модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал бэкдор на атакуемых компьютерах. При этом указанный модуль имел цифровую подпись «Спарго».

Дальнейший анализ приложения показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica, что может свидетельствовать о серьезном подрыве систем безопасности разработчика данного ПО. Программа ePrica имеет плагины .nlb и .emd, которые представляют собой зашифрованные приватным ключом динамические dll-библиотеки. Среди них присутствует установщик бэкдора, а также модули для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы 1C.

Старт этих плагинов выполняет модуль runmod.exe, который при получении команды сервера расшифровывает и запускает их в памяти. После этого они копируют информацию из баз данных, которая затем передается на удаленный сервер. Указанный компонент приложения подписан сертификатом «Протек» — группы компаний, в которую входит разработчик ePrica «Спарго Технологии».

Важно отметить, что даже после удаления ПО ePrica бэкдор оставался в системе и продолжал шпионить за пользователями. Существует вероятность того, что на компьютерах пользователей, удаливших ПО ePrica, до сих пор присутствует BackDoor.Dande.

Установщик ePrica версии 4.0.14.6, в котором были найдены троянские модули, был выпущен 18 ноября 2013 года, в то время как некоторые файлы бэкдора в нем датированы еще далеким 2010 годом. Таким образом, копирование информации о закупках аптек и фармацевтических компаний могло начаться как минимум за год до первого обнаружения бэкдора.

Более подробная информация об установщике ePrica с троянцем BackDoor.Dande доступна в нашей вирусной библиотеке.

Подробнее о программе ePrica

24 июля 2017 года

Компания «Доктор Веб» сообщает об обновлении сканирующего сервиса Dr.Web Scanning Engine (11.1.11.201707030), антируткитного модуля Dr.Web Anti-rootkit API (11.1.11.201707030), и модуля Dr.Web for Outlook Plugin (11.0.3.201706220) в ряде продуктов Dr.Web. Обновление связано с внесением внутренних изменений.

В сканирующий сервис внесены изменения, направленные на повышение стабильности работы компонента.

В антируткитном модуле Dr.Web Anti-rootkit API был доработан механизм лечения системных модулей.

В плагине Dr.Web for Outlook Plugin, входящем в состав продуктов Dr.Web для Windows, Dr.Web Enterprise Security Suite и Dr.Web AV-Desk, устранена проблема, при которой после перезапуска процесса dwantispam.exe могла не работать проверка на спам, а также оптимизирована загрузка плагина на старте Microsoft Outlook.

Кроме того, для Dr.Web Enterprise Security Suite 10.0 и 10.1 устранена причина ложного срабатывания Превентивной защиты при совместной работе с программными продуктами Infowatch.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

19 июля 2017 года

Вирусные аналитики компании «Доктор Веб» исследовали многофункционального банковского троянца Android.BankBot.211.origin, который вынуждает пользователей предоставить ему доступ к специальным возможностям (Accessibility Service). С их помощью вредоносная программа управляет мобильными устройствами и крадет конфиденциальную информацию клиентов кредитно-финансовых организаций. В самом начале наблюдения троянец атаковал только жителей Турции, однако вскоре список его целей расширился, и теперь он угрожает пользователям десятков стран.

Android.BankBot.211.origin распространяется под видом безобидных приложений, например, проигрывателя Adobe Flash Player. После того как пользователь устанавливает и запускает троянца, банкер пытается получить доступ к специальным возможностям (Accessibility Service). Для этого Android.BankBot.211.origin показывает окно с запросом, которое при каждом его закрытии появляется вновь и не дает работать с устройством.

Режим специальных возможностей упрощает работу с Android-смартфонами и планшетами и применяется в том числе для помощи пользователям с ограниченными возможностями. Он позволяет программам самостоятельно нажимать на различные элементы интерфейса, такие как кнопки в диалоговых окнах и системных меню. Вынудив пользователя предоставить троянцу эти полномочия, Android.BankBot.211.origin с их помощью самостоятельно добавляется в список администраторов устройства, устанавливает себя менеджером сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана. Все эти действия сопровождаются показом системных запросов, которые можно вовсе не заметить, т. к. вредоносная программа мгновенно подтверждает их. Если же владелец устройства в дальнейшем пытается отключить какую-либо из полученных Android.BankBot.211.origin функций, банкер не позволяет это сделать и возвращает пользователя в предыдущие системные меню.

После успешного заражения троянец подключается к управляющему серверу, регистрирует на нем мобильное устройство и ожидает дальнейших команд. Android.BankBot.211.origin способен выполнять следующие действия:

• отправлять СМС с заданным текстом на указанный в команде номер;
• передавать на сервер сведения об СМС, которые хранятся в памяти устройства;
• загружать на сервер информацию об установленных приложениях, список контактов и сведения о телефонных вызовах;
• открывать заданную в команде ссылку;
• изменять адрес командного центра.

Кроме того, вредоносная программа отслеживает все входящие СМС и также передает их киберпреступникам.

Помимо стандартных команд, злоумышленники могут отправлять троянцу специальные директивы. В них в зашифрованном виде содержится информация о приложениях, которые банкеру необходимо атаковать. При получении таких команд Android.BankBot.211.origin может:

• показывать поддельные формы ввода логина и пароля поверх запускаемых банковских программ;
• отображать фишинговое окно настроек платежного сервиса с запросом ввода информации о банковской карте (например, при работе с программой Google Play);
• блокировать работу антивирусов и других приложений, которые могут помешать троянцу.

Android.BankBot.211.origin может атаковать пользователей любых приложений. Киберпреступникам достаточно лишь обновить конфигурационный файл со списком целевых программ, который банкер получает при соединении с управляющим сервером. Например, в начале наблюдения за троянцем вирусописателей интересовали только клиенты кредитных организаций Турции, однако позднее к ним добавились жители других стран, среди которых Германия, Австралия, Польша, Франция, Англия и США. На момент публикации этого материала в списке атакуемых троянцем программ содержится более 50 приложений, предназначенных для работы с платежными системами и ДБО, а также другое ПО.

Ниже представлены примеры мошеннических окон, которые может показывать Android.BankBot.211.origin:

Троянец также собирает информацию обо всех запускаемых приложениях и действиях, которые пользователь в них выполняет. Например, он отслеживает доступные текстовые поля, такие как элементы меню, а также фиксирует нажатия на кнопки и другие компоненты пользовательского интерфейса.

Кроме того, Android.BankBot.211.origin способен похищать логины, пароли и другую аутентификационную информацию, которую пользователь вводит в любых программах и на любых сайтах при авторизации. Для кражи паролей троянец делает скриншот при каждом нажатии клавиатуры, в результате чего он получает необходимую последовательность символов до того, как они будут скрыты. После этого информация, которая указывается в видимых полях, и все сохраненные скриншоты передаются на управляющий сервер.

Так как Android.BankBot.211.origin препятствует собственному удалению, для борьбы с ним необходимо выполнить следующие действия:

• загрузить зараженный смартфон или планшет в безопасном режиме;
• зайти в системные настройки и перейти к списку администраторов устройства;
• найти троянца в этом списке и отозвать у него соответствующие права (при этом вредоносная программа попытается напугать владельца устройства, предупредив о неизбежной потере всех важных данных, однако это лишь уловка, и никакой опасности для файлов нет);
• перезагрузить устройство, выполнить его полное сканирование антивирусом и удалить троянца после окончания проверки.

Все известные модификации Android.BankBot.211.origin детектируются антивирусом Dr.Web, поэтому для наших пользователей этот банкер опасности не представляет.

Подробнее о троянце

19 июля 2017 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web — сообщает о развертывании интернет-сервиса Dr.Web AV-Desk индонезийской ИТ-компанией ESPINAT DATA GLOBAL, чьи бизнес-клиенты теперь имеют возможность подписки на услугу «Антивирус Dr.Web».

Воспользоваться антивирусной защитой в формате SaaS могут более полусотни корпоративных клиентов ESPINAT DATA GLOBAL.

Еще при тестировании системы специалисты индонезийской компании убедились в стабильности работы интернет-сервиса, а также простоте его развертывания и администрирования. Они отмечают наличие полного спектра функций поддержки как пользователей, так и системного администратора.

«Внедрение Dr.Web AV-Desk прошло быстро и без сложностей — мы уверены в том, что делаем, благодаря четкому руководству и поддержке команды "Доктор Веб". Сервис обеспечивает полный контроль комплексной информационной безопасности клиентов», — рассказывает о своих впечатлениях генеральный директор ESPINAT DATA GLOBAL Ризал Мухаммад (Rizal Muhammad).

О компании ESPINAT DATA GLOBAL

ESPINAT DATA GLOBAL — поставщик услуг в сфере информационно-коммуникационных технологий в Индонезии. Цель партнерства с клиентами — помочь им быть готовыми к цифровой эпохе. Компания зарекомендовала себя как ценный партнер на протяжении всего жизненного цикла своих проектов.

Об интернет-сервисе Dr.Web AV-Desk

Интернет-сервис Dr.Web AV-Desk создан специалистами компании «Доктор Веб» в 2007 году. На сегодняшний день установку Dr.Web AV-Desk осуществили более 350 провайдеров и компаний, предоставляющих ИТ-услуги в различных регионах России, а также во Франции, Нидерландах, Испании, Украине, Эстонии, Литве, Казахстане и ряде других стран.

www.av-desk.com

18 июля 2017 года

Компания «Доктор Веб» сообщает об обновлении модуля Dr.Web Updater (11.0.26.07040), агента SpIDer Agent for Windows (11.0.16.07121), Dr.Web Security Space, Anti-virus for Windows setup (11.0.16.07070), а также конфигурационных скриптов Lua-script for dwprot (11.0.6.07070) и Lua-script for av-service (11.0.6.07070) в ряде продуктов Dr.Web. Обновление связано с исправлением выявленных ошибок и внесением внутренних изменений.

В модуль обновления были внесены изменения, направленные на улучшение взаимодействия с серверами обновлений Dr.Web.

В агенте была исправлена ошибка, приводившая к аварийному завершению его работы в момент старта на компьютерах под управлением ОС Windows Server 2008 SP2. Кроме того, для Dr.Web Enterprise Security Suite 10.0 и 10.1 устранена причина «падения» агента при его переводе из пользовательского режима в административный.

В Lua-script for av-service устранена проблема, из-за которой продукт для защиты рабочих станций не мог обновиться в системе, в которой ранее был установлен ES-агент.

Обновление пройдет автоматически.

18 июля 2017 года

Компания «Доктор Веб» сообщает об обновлении бота Dr.Web для Telegram. Обновление связано с добавлением новых функциональных возможностей и исправлением выявленных ошибок.

В рамках обновления лимит объема проверяемых объектов увеличен до 20 МБ, а уведомление по умолчанию для новых чатов изменено на следующее: «Сообщать только об угрозах».

Вместе с тем устранена ошибка работы с кириллическими и арабскими символами в названии проверяемых файлов и исправлен сбой при загрузке файлов с серверов Telegram.

Для использования бота достаточно найти аккаунт @DrWebBot в мессенджере Telegram (или перейти по адресу telegram.me/drwebbot) и отправить файл или ссылку — бот «на лету» проверит их по вирусной базе и сообщит о результатах.

13 июля 2017

На портале государственных услуг Российской Федерации (gosuslugi.ru) специалисты компании «Доктор Веб» обнаружили внедрённый неизвестными потенциально вредоносный код. В связи с отсутствием реакции со стороны администрации сайта gosuslugi.ru мы вынуждены прибегнуть к публичному информированию об угрозе.

Дату начала компрометации, а также прошлую активность по этому вектору атаки, установить на данный момент не представляется возможным. Вредоносный код заставляет браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.

В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. На текущий момент специалистами обнаружено не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие адреса намеренно неинформативных наименований. Как минимум для 5 из них диапазон адресов принадлежит компаниям, зарегистрированным в Нидерландах. За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен либо не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код.

На данный момент сайт gosuslugi.ru по-прежнему скомпрометирован, информация передана в техническую поддержку сайта, но подтверждения принятия необходимых мер по предотвращению инцидентов в будущем и расследования в прошлом не получено. «Доктор Веб» рекомендует проявлять осторожность при использовании портала государственных услуг Российской Федерации до разрешения ситуации. ООО «Доктор Веб» рекомендует администрации сайта gosuslugi.ru и компетентным органам осуществить проверку безопасности сайта.

Любой пользователь может проверить наличие кода самостоятельно, использовав поисковый сервис и задав запрос о поиске следующей формулировки:

site:gosuslugi.ru "A1996667054"

11 июля 2017 года

Компания «Доктор Веб» сообщает об обновлении агента SpIDer Agent for Windows (11.0.15.07070) в продуктах Dr.Web Security Space 11.0, Антивирус Dr.Web 11.0, Антивирус Dr.Web 11.0 для файловых серверов Windows, Dr.Web Enterprise Security Suite 10.0 и 10.1, а также Dr.Web AV-Desk 10.0. Обновление связано с исправлением выявленной ошибки.

В агенте была исправлена ошибка, которая приводила к сбросу ранее заданного набора правил для приложений при манипуляциях с ними в настройках брандмауэра.

Обновление пройдет автоматически.

7 июля 2017 года

Компания «Доктор Веб» отвечает на обвинения компании «Спарго Технологии» и поясняет выявленные факты промышленного шпионажа за российскими аптеками.

После того как компания «Доктор Веб» опубликовала результаты расследования целенаправленной атаки на множество сетей российских аптек и фармацевтические компании с использованием вредоносной программы семейства BackDoor.Dande, на официальном сайте акционерного общества «Спарго Технологии» было размещено сообщение, утверждающее, что «компания DrWeb», нарушая нормы деловой этики, распространяет заведомо ложную и недостоверную информацию о содержании вирусных файлов в программе «ePrica». «Доктор Веб» вступается за тезку и помогает компании «Спарго Технологии» разобраться в ситуации.

Необходимо отметить, во-первых, что компания «Спарго Технологии» перед публикацией своего обращения за дополнительной информацией в компанию «Доктор Веб» не обращалась и сочла возможным обвинить нас, при этом намеренно исказив суть опубликованной нами информации.

Во-вторых, на момент, когда компания «Доктор Веб» в 2012 году начала свое расследование, заражению подверглись более 2800 аптек и российских фармацевтических компаний (по данным Службы вирусного мониторинга нашей компании). К слову сказать, жалобы от наших клиентов и стали причиной начала расследования. На данный же момент обнаруженный специалистами компании «Доктор Веб» шпионский модуль BackDoor.Dande.61 определяет как вредоносное программное обеспечение 41 производитель антивирусных программ из 63, представленных на ресурсе Virustotal.

В-третьих, важно отметить, что в программе ePrica вредоносных файлов не содержалось, соответственно, компания «Доктор Веб» и не могла об этом ничего писать. ePrica — это приложение, разработанное компанией «Спарго Технологии», которое позволяет руководителям аптек проанализировать расценки на медикаменты и выбрать оптимального поставщика. Используемая этой программой динамическая библиотека PriceCompareLoader.dll имеет экспортируемые функции, выполняющие запуск библиотек в памяти. PriceCompareLoader.dll вызывается из PriceComparePm.dll. Эта библиотека пытается скачать с сайта полезную нагрузку, расшифровать ее с помощью алгоритма AES и запустить из памяти. Троянец загружался с сайта http://ws.eprica.ru, принадлежащего компании «Спарго Технологии» и предназначенного для обновления программы ePrica. При этом модуль, скрытно загружавший вредоносную программу сразу в память компьютера, имел действительную цифровую подпись «Спарго», и именно такая схема скрытной загрузки вредоносной программы и привела к необходимости столь длительного расследования с целью определения источника заражения. Похищенную с зараженных компьютеров коммерческую информацию троянец выгружал на серверы за пределами России. Иными словами, как и в ситуации с Trojan.Encoder.12544, распространявшимся через ПО M.E.Doc, бэкдор был скрыт в модуле обновления программы.

В-четвертых, заявления «Спарго Технологии» о чистоте и безопасности выпускаемых решений в связи с внесением программы ePrica в Единый реестр российских программ являются безосновательными, так как этот реестр никак не связан с вопросами безопасности программных продуктов. Комментирует Евгения Василенко, исполнительный директор АРПП «Отечественный софт», член Экспертного совета по развитию отрасли информационных технологий, эксперт Временной комиссии Совета Федерации по развитию информационного общества:

Таким образом, информация, распространяемая компанией «Спарго Технологии» относительно гарантированной безопасности программного обеспечения «Спарго Технологии» только на основании включения его в Единый реестр отечественного ПО, может ввести в заблуждение и дезинформировать клиентов данной компании.

6 июля 2017 года

Компания «Доктор Веб» сообщает об обновлении модуля Dr.Web Updater (11.0.26.06260), управляющего сервиса Dr.Web Control Service (11.0.16.06200 и 11.0.14.06070) и агента SpIDer Agent for Windows 11.0.14.06290) в ряде продуктов Dr.Web. Обновление связано с исправлением выявленных ошибок.

Изменение в модуле обновления для всех продуктов:

• оптимизирована работа с серверами обновлений.

Изменение в модуле обновления для Dr.Web Enterprise Security Suite:

• устранена проблема, из-за которой при получении мультикаст-обновлений для станций мог увеличиваться трафик.

Изменения в Dr.Web Control Service для Dr.Web Security Space, Антивируса Dr.Web, Антивируса Dr.Web для файловых серверов Windows и Dr.Web Enterprise Security Suite:

• доработана система интеграции с Windows Security Center (Action Center);
• исправлена проблема, при которой при обезвреживании потенциально опасных файлов не учитывалось действие, выбранное для этого типа угроз в настройках файлового монитора SpIDer Guard.

Изменения в Dr.Web Control Service для Dr.Web Enterprise Security Suite и Dr.Web AV-Desk:

• устранена проблема, при которой после применения со стороны консоли команды «Обновить все компоненты» некоторые станции могли не получать обновления;
• исправлена ошибка, при которой после восстановления связи с сервером со станции не отправлялась информация о запущенных по расписанию заданиях (для Dr.Web Enterprise Security Suite 10.1).

Изменение в агенте для Dr.Web Security Space, Антивируса Dr.Web, Антивируса Dr.Web для файловых серверов Windows, Dr.Web Enterprise Security Suite и Dr.Web AV-Desk:

• внесено исправление для восстановления только «чистых» файлов после повторного сканирования нескольких объектов в карантине.

Изменение в агенте для Dr.Web Enterprise Security Suite:

• cкорректировано переключение языков через консоль на сервере.

Обновление пройдет автоматически.

5 июля 2017 года

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play игру со встроенным троянцем-загрузчиком. Это вредоносное приложение может без ведома пользователей загружать, устанавливать и запускать другое ПО. Троянца скачали более 1 000 000 владельцев мобильных устройств.

Вредоносное приложение, получившее имя Android.DownLoader.558.origin, встроено в популярную игру BlazBlue, которую загрузили более 1 000 000 пользователей. Этот троянец является частью специализированного программного комплекса (SDK, Software Development Kit) под названием Excelliance, предназначенного для автоматизации и упрощения обновления Android-программ.

В отличие от стандартной процедуры обновления, когда старая версия приложения полностью заменяется новой, указанный SDK позволяет загружать необходимые компоненты по отдельности без переустановки всего программного пакета. Это дает разработчикам возможность поддерживать версию установленного на мобильных устройствах ПО в актуальном состоянии даже если пользователи самостоятельно не следят за выходом его новых версий. Однако платформа Excelliance работает как троянец-загрузчик, поскольку может скачивать и запускать непроверенные компоненты приложений. Такой способ обновления нарушает правила каталога Google Play, т. к. он представляет опасность.

Android.DownLoader.558.origin начинает работу при первом старте программы или игры, в которую он встроен. Троянец вместе с другими элементами приложения извлекается из каталога с его ресурсами и расшифровывается. После этого он самостоятельно загружается при каждом подключении мобильного устройства к Интернету, даже если пользователь больше не запускает зараженное приложение.

Троянский модуль отслеживает сетевую активность и пытается соединиться с управляющим сервером. В зависимости от настроек сервера в ответ Android.DownLoader.558.origin может получить команду на загрузку того или иного программного компонента. Например, в случае с игрой BlazBlue модуль предлагает скачать недостающие файлы, а также обновления, если они доступны.

Помимо дополнительных ресурсов приложения и его обновлений Android.DownLoader.558.origin способен загружать отдельные apk-, dex- и elf-файлы. При этом их запуск в некоторых случаях может выполняться без ведома пользователя. Например, исполнение кода загруженных dex-файлов происходит автоматически и не требует каких-либо действий со стороны владельца устройства.

В то же время при установке скачиваемых apk-файлов пользователь видит стандартное диалоговое окно, однако при наличии root-доступа в системе Android.DownLoader.558.origin может устанавливать их совершенно незаметно. В этом и заключается главная опасность SDK Excelliance. Его авторы в любое время могут отдать команду на загрузку объектов, никак не связанных с основным приложением, – например, рекламных модулей, сторонних программ и даже других троянцев, которые могут быть скачаны в обход каталога Google Play и запущены без разрешения.

Специалисты «Доктор Веб» уведомили компанию Google об опасном поведении троянского компонента в SDK, который используется в игре BlazBlue, однако на момент выхода этого материала в каталоге Google Play для скачивания все еще была доступна ее версия с Android.DownLoader.558.origin.

Приложения, в которые встроен этот троянец, детектируются как Android.RemoteCode.81.origin и успешно удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей опасности не представляют.

Подробнее о троянце

4 июля 2017 года

Аналитики компании «Доктор Веб» исследовали модуль обновления M.E.Doc и обнаружили его причастность к распространению как минимум еще одной вредоносной программы. Напоминаем, что, по сообщениям независимых исследователей, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, также известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал именно модуль обновления популярной на территории Украины программы для ведения налоговой отчетности M.E.Doc.

Основанием для детального анализа системы обновления программы M.E.Doc стала статья, опубликованная одной антивирусной компанией. В сообщениях утверждается, что первоначальное распространение червя Trojan.Encoder.12544 осуществлялось посредством популярного приложения M.E.Doc, разработанного украинской компанией Intellect Service. В одном из модулей системы обновления M.E.Doc с именем ZvitPublishedObjects.Server.MeCom вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.

Специалисты «Доктор Веб» обратили внимание на этот ключ реестра в связи с тем, что этот же путь использует в своей работе троянец-шифровальщик Trojan.Encoder.12703. Анализ журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, показал, что энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc:

Запрошенный с зараженной машины файл ZvitPublishedObjects.dll имел тот же хэш, что и исследованный в вирусной лаборатории «Доктор Веб» образец. Таким образом, наши аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. Дальнейшее исследование показало, что этот бэкдор может выполнять в инфицированной системе следующие функции:

• сбор данных для доступа к почтовым серверам;
• выполнение произвольных команд в инфицированной системе;
• загрузка на зараженный компьютер произвольных файлов;
• загрузка, сохранение и запуск любых исполняемых файлов;
• выгрузка произвольных файлов на удаленный сервер.

Весьма интересным выглядит следующий фрагмент кода модуля обновления M.E.Doc — он позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1:

Именно таким образом на компьютерах жертв был запущен троянец-шифровальщик, известный как NePetya, Petya.A, ExPetya и WannaCry-2 (Trojan.Encoder.12544).

В одном из своих интервью, которое было опубликовано на сайте агентства Reuters, разработчики программы M.E.Doc высказали утверждение, что созданное ими приложение не содержит вредоносных функций. Исходя из этого, а также учитывая данные статического анализа кода, вирусные аналитики «Доктор Веб» пришли к выводу, что некие неустановленные злоумышленники инфицировали один из компонентов M.E.Doc вредоносной программой. Этот компонент был добавлен в вирусные базы Dr.Web под именем BackDoor.Medoc.

Подробнее о троянце

3 июля 2017 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за июнь 2017 года. В прошедшем месяце в каталоге Google Play было обнаружено сразу несколько новых троянцев и потенциально опасных программ. Кроме того, в июне вирусописатели распространяли опасного вымогателя, шифровавшего файлы на картах памяти.

3 июля 2017 года

В июне вирусные аналитики «Доктор Веб» обнаружили Android-троянца, который шпионил за иранскими владельцами мобильных устройств и выполнял команды злоумышленников. Кроме того, в прошедшем месяце в каталоге Google Play было найдено сразу несколько вредоносных приложений. Одно из них пыталось получить root-доступ, внедрялось в системные библиотеки и могло незаметно устанавливать ПО. Другие – отправляли СМС с премиум-тарификацией и подписывали пользователей на дорогостоящие услуги. Также в Google Play распространялись потенциально опасные программы, работа с которыми могла привести к утечке конфиденциальной информации. Помимо этого в июне был выявлен новый Android-шифровальщик.

Мобильная угроза месяца

В июне вирусные аналитики компании «Доктор Веб» обнаружили Android-троянца Android.Spy.377.origin, который распространялся среди иранских пользователей. Эта вредоносная программа собирала конфиденциальную информацию и передавала ее злоумышленникам. Кроме того, она могла выполнять команды вирусописателей.

Особенности Android.Spy.377.origin:

• распространяется под видом безобидных приложений;
• крадет СМС-переписку, контакты из телефонной книги и данные об учетной записи Google;
• может делать фотографии при помощи фронтальной камеры;
• управляется злоумышленниками через протокол Telegram.

Подробнее об этом троянце рассказано в соответствующей новостной публикации.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.83.origin

Android.HiddenAds.76.origin

Android.HiddenAds.85.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.DownLoader.337.origin

Троянская программа, предназначенная для загрузки других приложений.

Android.Triada.264.origin

Представитель многофункциональных троянцев, выполняющих разнообразные вредоносные действия.

По данным антивирусных продуктов Dr.Web для Android

Adware.Jiubang.1

Adware.SalmonAds.1.origin

Adware.Batmobi.4

Adware.Avazu.8.origin

Adware.Leadbolt.12.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Угрозы в Google Play

В прошедшем месяце специалисты компании «Доктор Веб» обнаружили в каталоге Google Play потенциально опасные программы, которые позволяли работать с заблокированными на территории Украины социальными сетями «ВКонтакте» и «Одноклассники». Эти приложения, добавленные в вирусную базу как Program.PWS.1, задействовали сервер-анонимайзер для обхода ограничения доступа, однако никак не шифровали логин, пароль и другую конфиденциальную информацию пользователей. Более подробно об этом случае рассказано в материале, размещенном на сайте «Доктор Веб».

Также в июне в Google Play были выявлены троянцы семейства Android.Dvmap. При запуске эти вредоносные программы пытаются получить на мобильном устройстве root-доступ, после чего заражают некоторые системные библиотеки и устанавливают дополнительные компоненты. Эти троянцы могут выполнять команды злоумышленников, а также загружать и запускать другие приложения без участия пользователя.

Другие Android-троянцы, распространявшиеся через каталог Google Play в июне, были добавлены в вирусную базу Dr.Web как Android.SmsSend.1907.origin и Android.SmsSend.1908.origin. Злоумышленники встроили их в безобидные программы. Эти вредоносные приложения отправляли СМС на платные номера, подписывая абонентов мобильных операторов на дорогостоящие услуги. После этого троянцы начинали удалять все поступающие сообщения, чтобы пользователи не получали уведомлений с информацией об успешном подключении ненужных премиум-сервисов.

Троянец-шифровальщик

В июне был обнаружен троянец-вымогатель Android.Encoder.3.origin, который атаковал китайских пользователей ОС Android и шифровал файлы на SD-карте. Авторы этого энкодера вдохновились нашумевшим троянцем-шифровальщиком WannaCry, в мае 2017 года поразившим сотни тысяч компьютеров по всему миру. Вирусописатели использовали аналогичный стиль оформления сообщения с требованием выкупа за расшифровку.

Злоумышленники требовали у пострадавших выкуп в размере 20 юаней, при этом каждые 3 дня сумма удваивалась. Если через неделю после заражения мобильного устройства киберпреступники не получали деньги, Android.Encoder.3.origin удалял зашифрованные файлы.

Вредоносные и потенциально опасные программы для ОС Android попадают на мобильные устройства не только при загрузке с различных веб-сайтов, но также и при скачивании из каталога Google Play. Владельцам смартфонов и планшетов необходимо с осторожностью устанавливать неизвестные приложения, а также использовать антивирусные продукты Dr.Web для Android.

3 июля 2017 года

Компания «Доктор Веб» представляет обзор вирусной активности в июне 2017 года. Первый летний месяц ознаменовался массовым распространением опасного червя-шифровальщика, известного как Petya, Petya.A, ExPetya и WannaCry-2. Также в июне было выявлено и исследовано несколько вредоносных программ для ОС Windows и Linux.

3 июля 2017 года

Самым заметным событием первого летнего месяца 2017 года стала эпидемия червя-шифровальщика Trojan.Encoder.12544, упоминаемого в СМИ как Petya, Petya.A, ExPetya и WannaCry-2. Эта вредоносная программа заразила компьютеры множества организаций и частных лиц в различных странах мира. В начале июня вирусные аналитики «Доктор Веб» исследовали две вредоносные программы для Linux. Одна из них устанавливает на инфицированном устройстве приложение для добычи криптовалют, вторая — запускает прокси-сервер. В середине месяца был обнаружен еще один троянец-майнер, но в этом случае он угрожал пользователям ОС Windows. Также в июне было выявлено несколько новых вредоносных программ для мобильной платформы Android.

Главные тенденции июня

Угроза месяца

В первой половине дня 27 июня появились первые сообщения о распространении опасного червя-шифровальщика, которого пресса окрестила Petya, Petya.A, ExPetya и WannaCry-2. Аналитики «Доктор Веб» назвали его Trojan.Encoder.12544. На самом деле с троянцем Petya (Trojan.Ransom.369) у этой вредоносной программы общего не много: схожа лишь процедура шифрования файловой таблицы. Троянец заражает компьютеры при помощи того же набора уязвимостей, которые ранее злоумышленники использовали для внедрения троянца WannaCry. Trojan.Encoder.12544 получает список локальных и доменных пользователей, авторизованных на зараженном компьютере. Затем он ищет доступные на запись сетевые папки, пытается открыть их с использованием полученных учетных данных и сохранить там свою копию. Некоторые исследователи утверждали, что для предотвращения запуска шифровальщика достаточно создать в папке Windows файл perfc, но это не так. Червь действительно выполняет проверку своего повторного запуска по наличию в системной папке файла с именем, соответствующим имени троянца без расширения, но стоит злоумышленникам изменить исходное имя троянца, и создание в папке C:\Windows\ файла с именем perfc без расширения (как советуют некоторые антивирусные компании) уже не спасет компьютер от заражения. Кроме того, троянец осуществляет проверку наличия файла только при наличии у него достаточных привилегий в операционной системе.

Trojan.Encoder.12544 портит VBR (Volume Boot Record), копирует оригинальную загрузочную запись Windows в другой участок диска, предварительно зашифровав ее с использованием алгоритма XOR, а вместо нее записывает свою. Далее он создает задание на перезагрузку и шифрует файлы на стационарных дисках компьютера. После перезагрузки червь демонстрирует на экране зараженного ПК текст, напоминающий сообщение стандартной утилиты для проверки дисков CHDISK.

В это время Trojan.Encoder.12544 шифрует MFT (Master File Table). Завершив шифрование, Trojan.Encoder.12544 демонстрирует на экране требование злоумышленников об уплате выкупа.

Вирусные аналитики компании «Доктор Веб» полагают, что Trojan.Encoder.12544 изначально был рассчитан не на получение выкупа, а на уничтожение зараженных компьютеров: во-первых, вирусописатели использовали только один почтовый ящик для обратной связи, который вскоре после начала эпидемии был заблокирован. Во-вторых, ключ, который демонстрируется на экране зараженного компьютера, представляет собой случайный набор символов и не имеет ничего общего с реальным ключом шифрования. В-третьих, передаваемый злоумышленникам ключ не имеет ничего общего с ключом, используемым для шифрования таблицы размещения файлов, поэтому вирусописатели никак не смогут предоставить жертве ключ расшифровки диска. Подробнее о принципах работы Trojan.Encoder.12544 можно прочитать в новостной статье или в техническом описании.

Первоначальным источником распространения троянца была система обновления программы MEDoc — популярного на территории Украины средства ведения налогового учета. Специалисты компании «Доктор Веб» уже знакомы с подобной схемой распространения вредоносных программ. В 2012 году наши вирусные аналитики выявили целенаправленную атаку на сеть российских аптек и фармацевтических компаний с использованием троянца-шпиона BackDoor.Dande. Он похищал информацию о закупках медикаментов из специализированных программ, которые используются в фармацевтической индустрии. Троянец загружался с сайта http://ws.eprica.ru, принадлежащего компании «Спарго Технологии» и предназначенного для обновления программы для мониторинга цен на медикаменты ePrica. Подробнее об этом инциденте рассказано в нашем новостном материале, а детали расследования изложены в техническом описании.

По данным статистики Антивируса Dr.Web

• Trojan.InstallCore
  Семейство установщиков нежелательных и вредоносных приложений.
• Trojan.Kbdmai.16
  Представитель семейства рекламных троянцев. Одна из функций этой вредоносной программы – открытие в окне браузера различных веб-сайтов.
• Trojan.DownLoader
  Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
• Trojan.Moneyinst.69
  Вредоносная программа, устанавливающая на компьютер жертвы различное ПО, в том числе других троянцев.
• Trojan.Encoder.11432
  Сетевой червь, запускающий на компьютере жертвы опасного троянца-шифровальщика. Известен также под именем WannaCry.

По данным серверов статистики «Доктор Веб»

• JS.DownLoader
  Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
• JS.Inject.3
  Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
• Trojan.InstallCore
  Семейство установщиков нежелательных и вредоносных приложений.
• Trojan.Kbdmai.37
  Представитель семейства рекламных троянцев. Одна из функций этой вредоносной программы – открытие в окне браузера различных веб-сайтов.
• Trojan.DownLoader
  Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Статистика вредоносных программ в почтовом трафике

• JS.DownLoader
  Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
• W97M.DownLoader
  Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
• Trojan.PWS.Stealer
  Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

По данным бота Dr.Web для Telegram

• Android.Locker.139.origin, Android.Locker.1733
  Представители семейства Android-троянцев, предназначенных для вымогательства. Они показывают навязчивое сообщение якобы о нарушении закона и о последовавшей в связи с этим блокировке мобильного устройства, для снятия которой пользователю предлагается заплатить определенную сумму.
• Win32.HLLP.Neshta
  Файловый вирус, известный вирусным аналитикам с 2005 года. Заражает файлы EXE PE, размер которых не меньше 41472 байт. При заражении пишет себя в начало инфицированного файла, а оригинальное начало переносит в конец файла. Содержит строчку: «Neshta 1.0 Made in Belarus».
• EICAR Test File
  Специальный текстовый файл, предназначенный для тестирования работоспособности антивирусов. Все антивирусные программы при обнаружении такого файла должны реагировать на него в точности таким же образом, как в случае выявления какой-либо реальной компьютерной угрозы.
• Android.Androrat.1.origin
  Шпионская программа, работающая на устройствах под управлением ОС Android.

В июне в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 28.51% обращений;
• Trojan.Encoder.10103 — 8.10% обращений;
• Trojan.Encoder.567 — 5.54% обращений;
• Trojan.Encoder.11432 — 4.10% обращений;
• Trojan.Encoder.10144 — 2.36% обращений.

В течение июня 2017 года в базу нерекомендуемых и вредоносных сайтов был добавлен 229 381 интернет-адрес.

Вредоносные программы для ОС Linux

В начале июня вирусные аналитики компании «Доктор Веб» исследовали двух троянцев для ОС Linux. Один из них — Linux.MulDrop.14 — атакует исключительно миникомпьютеры Raspberry Pi. Троянец представляет собой скрипт, в теле которого хранится сжатое и зашифрованное приложение-майнер, которое предназначено для добычи криптовалют. Второй троянец, добавленный в вирусные базы под именем Linux.ProxyM, атаковал пользователей еще с февраля 2017 года, но своего пика атаки достигли во второй половине мая. График зафиксированной специалистами «Доктор Веб» активности троянца Linux.ProxyM представлен ниже.

Значительная часть IP-адресов, с которых осуществляются атаки, расположена на территории России. На втором месте — Китай, на третьем — Тайвань. Распределение источников атак с использованием Linux.ProxyM по географическому признаку показано на следующей иллюстрации:

Более подробная информация об этих вредоносных программах изложена в опубликованной на нашем сайте статье.

Другие события в сфере информационной безопасности

Вредоносные программы, которые используют вычислительные ресурсы инфицированных компьютеров для добычи (майнинга) криптовалют, появились вскоре после появления самих криптовалют: первый троянец семейства Trojan.BtcMine был добавлен в вирусные базы Dr.Web в 2011 году. Обнаруженный в июне Trojan.BtcMine.1259 — очередной представитель этого вредоносного семейства. Trojan.BtcMine.1259 предназначен для добычи криптовалюты Monero (XMR). Он скачивается на компьютер троянцем-загрузчиком Trojan.DownLoader24.64313, который, в свою очередь, распространяется с помощью бэкдора DoublePulsar.

Помимо своей основной функции Trojan.BtcMine.1259 расшифровывает и загружает в память хранящуюся в его теле библиотеку, которая представляет собой модифицированную версию системы удаленного администрирования с открытым исходным кодом Gh0st RAT (детектируется Антивирусом Dr.Web под именем BackDoor.Farfli.96). С использованием этой библиотеки злоумышленники могут управлять инфицированным компьютером и выполнять на нем различные команды. Модуль, добывающий криптовалюту Monero (XMR), может загружать расчетами до 80% вычислительных ресурсов зараженной машины. Троянец содержит как 32-, так и 64-разрядную версию майнера. Соответствующая реализация троянца используется на зараженном компьютере в зависимости от разрядности операционной системы. Более подробная информация об архитектуре и принципах работы этого троянца изложена в опубликованной на нашем сайте обзорной статье.

Вредоносное и нежелательное ПО для мобильных устройств

В июне вирусные аналитики «Доктор Веб» обнаружили троянца Android.Spy.377.origin, который атаковал иранских пользователей мобильных устройств. Эта вредоносная программа передавала киберпреступникам конфиденциальную информацию и могла выполнять их команды. Также в июне специалисты «Доктор Веб» выявили в каталоге Google Play потенциально опасные программы, предназначенные для подключения к заблокированным на территории Украины социальным сетям «ВКонтакте» и «Одноклассники». Эти приложения, добавленные в вирусную базу Dr.Web как Program.PWS.1, использовали сервер-анонимайзер для обхода ограничения доступа и не обеспечивали защиту передаваемых данных.

Кроме того, в прошедшем месяце через каталог Google Play распространялись троянцы Android.SmsSend.1907.origin и Android.SmsSend.1908.origin, которые отправляли СМС на платные номера и подписывали пользователей на дорогостоящие услуги. Помимо этого, в вирусную базу были внесены записи для троянцев семейства Android.Dvmap. Эти вредоносные приложения пытались получить root-доступ, заражали системные библиотеки, устанавливали дополнительные компоненты и могли по команде вирусописателей скачивать и запускать ПО без ведома пользователя.

Еще один Android-троянец, обнаруженный в июне, получил имя Android.Encoder.3.origin. Он предназначался для китайских пользователей и после заражения мобильных устройств шифровал файлы на SD-карте, требуя выкуп за их восстановление.

Наиболее заметные события, связанные с «мобильной» безопасностью в июне:

• обнаружение Android-троянца, шпионившего за иранскими пользователями;
• выявление в каталоге Google Play новых угроз;
• распространение троянца-энкодера, который шифровал файлы на карте памяти и требовал выкуп за их расшифровку.

Более подробно о вирусной обстановке для мобильных устройств в июне читайте в нашем обзоре.

30 июня 2017 года

27 июня исследователь Амит Серпер (Amit Serper) опубликовал твит, утверждающий, что найден «стопроцентный» способ предотвращения шифрования файлов вымогателем Petya. Инструкции о том, как это сделать, разместило множество интернет-ресурсов. Компания «Доктор Веб» выступает с опровержением этой информации.

В опубликованных статьях говорится, что существует способ предотвратить срабатывание на компьютере троянца Trojan.Encoder.12544, создав в папке C:\Windows файл perfc. Некоторые даже предлагают командные файлы, делающие это за пользователя, например: https://download.bleepingcomputer.com/bats/nopetyavac.bat.

Подобные инструкции размещены в том числе по адресам:

• http://www.telegraph.co.uk/technology/2017/06/28/security…
• https://www.bleepingcomputer.com/news/security/vaccine…
• http://www.foxnews.com/tech/2017/06/28/petya-ransomware…
• http://www.zdnet.com/article/create-a-single…
• http://mashable.com/2017/06/28/ransomware-notpetya…
• https://www.scmagazineuk.com/notpetya-researchers…
• https://xakep.ru/2017/06/28/petya-vaccine
• http://www.securitylab.ru/news/486967.php

Компания «Доктор Веб» утверждает, что этот способ борьбы с троянцем Trojan.Encoder.12544, также известным под именами Petya, Petya. A, ExPetya и WannaCry-2, неэффективен по следующим причинам:

1. Файл, с помощью которого Trojan.Encoder.12544 осуществляет контроль повторного запуска, зависит от имени файла троянца. Стоит злоумышленникам переименовать вредоносный файл, и наличие в папке C:\Windows файла perfc уже не спасет компьютер от заражения.
2. Троянец осуществляет проверку наличия файла perfc, только если у него достаточно для этого привилегий в операционной системе.

Компания «Доктор Веб» выпустила статью с предварительным исследованием шифровальщика Trojan.Encoder.12544, с которой можно ознакомиться на нашем сайте.

30 июня 2017 года

Компания «Доктор Веб» рада озвучить результаты первого летнего аукциона, завершившегося вчера, 29 июня. На этот раз неразыгранной осталась подставка для мобильного телефона, в то время как остальные лоты ушли с большим разбросом ставок.

Обнародованы итоги нового аукциона для участников сообщества Dr.Web

Музыку через наши фирменные МР3-плееры этим летом и не только будут слушать Татьяна (г. Тобольск), Сергей_64 (г. Энгельс) и A_A_N (г. Санкт-Петербург), настенными часами Dr.Web обзавелись Настя (г. Казань), Dmitr (г. Иркустк) и dyadya_Sasha (г. Валдай).

Путешествовать с повышенным комфортом (и с нашим фирменным набором путешественника) станет Tetania Zeta (г. Тольятти), избавить клавиатуру от пыли с помощью миниатюрного пылесоса сможет Любитель пляжного футбола (пос. Дубна), а пользователь под псевдонимом dron (г. Севастополь) получит веб-камеру с микрофоном.

«Котом в мешке» на этот раз оказалось универсальное зарядное устройство. И мы уверены, что оно пригодится в хозяйстве участника аукциона под ником TeXNiK (г. Омск).

Поздравляем победителей, желаем всем предсказуемой погоды и непредсказуемой борьбы на новых аукционах!

29 июня 2017 года

Из различных источников в Интернете стало известно, что заразивший множество компьютеров по всему миру червь-шифровальщик Trojan.Encoder.12544, известный также под именами Petya, Petya.A, ExPetya и WannaCry-2, проникал в операционную систему с использованием программы обновления приложения MEDoc, предназначенного для ведения налогового учета. Специалисты «Доктор Веб» уже встречали подобную методику распространения вредоносных программ ранее и знают, как избежать подобных инцидентов в будущем.

Аналитики, исследовавшие шифровальщик Trojan.Encoder.12544, сообщают, что первоначальным источником распространения троянца была система обновления программы MEDoc. Эта программа помогает украинским пользователям в ведении налогового учета. Исследователям удалось установить, что входящая в комплект поставки MEDoc утилита EzVit.exe, предназначенная для обновления основного приложения, в определенный момент выполняла cmd-команду, по которой в память компьютера загружалась вредоносная библиотека. В этой библиотеке реализован основной функционал Trojan.Encoder.12544. Поскольку этот шифровальщик обладает способностью самостоятельно распространяться по сети с использованием уязвимости в протоколе SMB, а также красть учетные данные пользователей Windows, для дальнейшего распространения инфекции достаточно лишь одной зараженной машины.

Еще в 2012 году вирусные аналитики компании «Доктор Веб» выявили целенаправленную атаку на сеть российских аптек и фармацевтических компаний с использованием вредоносной программы BackDoor.Dande. Этот троянец-шпион похищал информацию о закупках медикаментов из специализированных программ, которые используются в фармацевтической индустрии. В момент запуска бэкдор проверял, установлены ли в системе соответствующие приложения для заказа и учета закупок лекарств, и, если они отсутствовали, прекращал свою работу. Заражению подверглись более 2800 аптек и российских фармацевтических компаний. Таким образом, можно с определенной уверенностью утверждать, что BackDoor.Dande использовался в целях промышленного шпионажа.

Специалисты компании «Доктор Веб» провели расследование, длившееся целых 4 года. Проанализировав жесткие диски, предоставленные одной из пострадавших от BackDoor.Dande фирм, вирусные аналитики установили дату создания драйвера, который запускает все остальные компоненты бэкдора. Упоминания об этом драйвере обнаружились в файле подкачки Windows и журнале антивируса Avast, который был установлен на зараженной машине. Анализ этих файлов показал, что вредоносный драйвер был создан сразу же после запуска приложения ePrica (D:\ePrica\App\PriceCompareLoader.dll). Это приложение, разработанное компанией «Спарго Технологии», позволяет руководителям аптек проанализировать расценки на медикаменты и выбрать оптимального поставщика. Изучение программы ePrica позволило установить, что она загружает в память библиотеку, которая скрытно скачивает, расшифровывает и запускает в памяти BackDoor.Dande. Троянец загружался с сайта http://ws.eprica.ru, принадлежащего компании «Спарго Технологии» и предназначенного для обновления программы ePrica. При этом модуль, скрытно загружавший вредоносную программу, имел действительную цифровую подпись «Спарго». Похищенные данные троянец загружал на серверы за пределами России. Иными словами, как и в ситуации с Trojan.Encoder.12544, бэкдор «прятался» в модуле обновления этой программы.

Сходство этих двух случаев показывает, что инфраструктура разработки программного обеспечения требует повышенного внимания к вопросам информационной безопасности. Прежде всего, процессы обновления любого коммерческого ПО должны находиться под пристальным вниманием как самих разработчиков, так и пользователей. Утилиты обновления различных программ, обладающие в операционной системе правами на установку и запуск исполняемых файлов, могут неожиданно стать источником заражения. В случае с MEDoc к этому привел взлом злоумышленниками и компрометация сервера, с которого загружались обновления, а в ситуации с BackDoor.Dande, как полагают специалисты, к распространению инфекции привели сознательные действия инсайдеров. Посредством такой методики злоумышленники могут провести эффективную целевую атаку против пользователей практически любого программного обеспечения.

28 июня 2017 года

Троянец Trojan.Encoder.12544 распространяется с помощью уязвимости в протоколе SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148), которая была реализована через эксплойт NSA "ETERNAL_BLUE", использует 139 и 445 TCP-порты для распространения. Это уязвимость класса Remote code execution, что означает возможность заражения компьютера удалeнно.

1. Чтобы восстановить возможность входа в операционную систему, необходимо восстановить MBR (в том числе стандартными средствами консоли восстановления Windows, запуском утилиты bootrec.exe /FixMbr).

   Также для этого можно использовать Dr.Web LiveDisk — создайте загрузочный диск или флешку, выполните загрузку с этого съемного устройства, запустите сканер Dr.Web, выполните проверку пострадавшего диска, найденное Обезвредить.

2. После этого: отключите ПК от ЛВС, выполните запуск системы, установите патч MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

   На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам:

   Windows XP SP3:

   download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

   Windows Server 2003 x86:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

   Windows Server 2003 x64:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

3. Далее установите антивирус Dr.Web, подключите Интернет, выполните обновление вирусных баз, запустите контрольную полную проверку.

Мастер скачивания по серийному номеру Демо для дома Демо для бизнеса

Троянец заменяет MBR (главная загрузочная запись диска) и создает, а затем и выполняет задание в планировщике системы на перезагрузку системы, после которой загрузка ОС уже невозможна из-за подмены загрузочного сектора диска. Сразу после создания задания на перезагрузку запускается процесс шифрования файлов. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования диска. Он шифруется на открытом ключе RSA и удаляется. После перезагрузки, при успешной подмене MBR, также шифруется главная файловая таблица MFT, в которой хранится информация о содержимом диска. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно.

В настоящий момент расшифровки файлов нет, ведется анализ и поиск решений, мы сообщим вам об окончательных результатах.

В случае возникновения затруднений просим вас обращаться в службу технической поддержки «Доктор Веб».

28 июня 2017 года

Специалисты компании "Доктор Веб" изучают новый троянец-шифровальщик Trojan.Encoder.12544, упоминаемый в СМИ как Petya, Petya.A, ExPetya и WannaCry-2. На основании предварительного анализа вредоносной программы компания "Доктор Веб" представляет рекомендации, как избежать заражения, рассказывает, что делать, если заражение уже произошло, и раскрывает технические подробности атаки.

Наделавший много шума червь-шифровальщик Trojan.Encoder.12544 представляет серьезную опасность для персональных компьютеров, работающих под управлением Microsoft Windows. Различные источники называют его модификацией троянца, известного под именем Petya (Trojan.Ransom.369), но Trojan.Encoder.12544 имеет с ним лишь некоторое сходство. Эта вредоносная программа проникла в информационные системы целого ряда госструктур, банков и коммерческих организаций, а также заразила ПК пользователей в нескольких странах.

На текущий момент известно, что троянец заражает компьютеры при помощи того же набора уязвимостей, которые ранее использовались злоумышленниками для внедрения на компьютеры жертв троянца WannaCry. Массовое распространение Trojan.Encoder.12544 началось в первой половине дня 27.06.2017. При запуске на атакуемом компьютере троянец несколькими способами ищет доступные в локальной сети ПК, после чего по списку полученных IP-адресов начинает сканировать порты 445 и 139. Обнаружив в сети машины, на которых открыты эти порты, Trojan.Encoder.12544 пытается инфицировать их с использованием широко известной уязвимости в протоколе SMB (MS17-10).

В своем теле троянец содержит 4 сжатых ресурса, 2 из которых являются 32- и 64-разрядной версиями утилиты Mimikatz, предназначенной для перехвата паролей открытых сессий в Windows. В зависимости от разрядности ОС он распаковывает соответствующую версию утилиты, сохраняет ее во временную папку, после чего запускает. При помощи утилиты Mimikatz, а также двумя другими способами Trojan.Encoder.12544 получает список локальных и доменных пользователей, авторизованных на зараженном компьютере. Затем он ищет доступные на запись сетевые папки, пытается открыть их с использованием полученных учетных данных и сохранить там свою копию. Чтобы инфицировать компьютеры, к которым ему удалось получить доступ, Trojan.Encoder.12544 использует утилиту для управления удаленным компьютером PsExec (она также хранится в ресурсах троянца) или стандартную консольную утилиту для вызова объектов Wmic.exe.

Контроль своего повторного запуска энкодер осуществляет с помощью файла, сохраняемого им в папке C:\Windows\. Этот файл имеет имя, соответствующее имени троянца без расширения. Поскольку распространяемый злоумышленниками в настоящий момент образец червя имеет имя perfc.dat, то файл, предотвращающий его повторный запуск, будет иметь имя C:\Windows\perfc. Однако стоит злоумышленникам изменить исходное имя троянца, и создание в папке C:\Windows\ файла с именем perfc без расширения (как советуют некоторые антивирусные компании), уже не спасет компьютер от заражения. Кроме того, троянец осуществляет проверку наличия файла, только если у него достаточно для этого привилегий в операционной системе.

После старта троянец настраивает для себя привилегии, загружает собственную копию в память и передает ей управление. Затем энкодер перезаписывает собственный файл на диске мусорными данными и удаляет его. В первую очередь Trojan.Encoder.12544 портит VBR (Volume Boot Record, загрузочная запись раздела) диска C:, первый сектор диска заполняется мусорными данными. Затем шифровальщик копирует оригинальную загрузочную запись Windows в другой участок диска, предварительно зашифровав ее с использованием алгоритма XOR, а вместо нее записывает свою. Далее он создает задание на перезагрузку компьютера, и начинает шифровать все обнаруженные на локальных физических дисках файлы с расширениями .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

Троянец шифрует файлы только на фиксированных дисках компьютера, данные на каждом диске шифруются в отдельном потоке. Шифрование осуществляется с использованием алгоритмов AES-128-CBC, для каждого диска создается собственный ключ (это — отличительная особенность троянца, не отмеченная другими исследователями). Этот ключ шифруется с использованием алгоритма RSA-2048 (другие исследователи сообщали, что используется 800-битный ключ) и сохраняется в корневую папку зашифрованного диска в файл с именем README.TXT. Зашифрованные файлы не получают дополнительного расширения.

После выполнения созданного ранее задания компьютер перезагружается, и управление передается троянской загрузочной записи. Она демонстрирует на экране зараженного компьютера текст, напоминающий сообщение стандартной утилиты для проверки дисков CHDISK.

В это время Trojan.Encoder.12544 шифрует MFT (Master File Table). Завершив шифрование, Trojan.Encoder.12544 демонстрирует на экране требование злоумышленников об уплате выкупа.

Если в момент запуска на экране появилось сообщение о запуске утилиты CHDISK, незамедлительно выключите питание ПК. Загрузочная запись в этом случае будет повреждена, но ее можно исправить при помощи утилиты восстановления Windows или Консоли восстановления, загрузившись с дистрибутивного диска. Восстановление загрузочной записи обычно возможно в ОС Windows версии 7 и более поздних, если на диске имеется используемый системой скрытый раздел с резервной копией критичных для работы Windows данных. В Windows XP такой способ восстановления загрузки не сработает. Также для этого можно использовать Dr.Web LiveDisk — создайте загрузочный диск или флешку, выполните загрузку с этого съемного устройства, запустите сканер Dr.Web, выполните проверку пострадавшего диска, выберите функцию «Обезвредить» для найденных угроз.

По сообщениям из различных источников единственный используемый распространителями Trojan.Encoder.12544 ящик электронной почты в настоящее время заблокирован, поэтому они в принципе не могут связаться со своими жертвами (чтобы, например, предложить расшифровку файлов).

С целью профилактики заражения троянцем Trojan.Encoder.12544 компания «Доктор Веб» рекомендует своевременно создавать резервные копии всех критичных данных на независимых носителях, а также использовать функцию «Защита от потери данных» Dr.Web Security Space. Кроме того, необходимо устанавливать все обновления безопасности операционной системы. Специалисты компании «Доктор Веб» продолжают исследование шифровальщика Trojan.Encoder.12544.

Инструкция пострадавшим от Trojan.Encoder.12544

27 июня 2017 года

Появилась информация о новой эпидемии шифровальщика, которой подверглись нефтяные, телекоммуникационные и финансовые компании России и Украины. Компания «Доктор Веб» сообщает, что новый энкодер детектируется продуктами Dr.Web.

По имеющейся у наших специалистов информации, троянец распространяется самостоятельно, как и нашумевший WannaCry. Точных данных о том, используется ли тот же самый механизм распространения, пока нет. В настоящее время аналитики исследуют нового троянца, позднее мы сообщим подробности. Некоторые источники в СМИ проводят параллели с вымогателем Petya (детектируется Dr.Web в частности как Trojan.Ransom.369) в связи с внешними проявлениями работы вымогателя, однако способ распространения новой угрозы отличается от использовавшейся Petya стандартной схемы.

Сегодня, 27 июня, в 16:30 по московскому времени, этот шифровальщик был добавлен в вирусные базы Dr.Web как Trojan.Encoder.12544.

«Доктор Веб» призывает всех пользователей быть внимательными и не открывать подозрительные письма (эта мера необходима, но не достаточна). Следует также создавать резервные копии критически важных данных и устанавливать все обновления безопасности для ПО. Наличие антивируса в системе также обязательно.

26 июня 2017 года

Компания «Доктор Веб» сообщает об обновлении модуля защиты от эксплойтов Dr.Web Shellguard (11.01.09.06190) и модуля самозащиты Dr.Web SelfPROtect (11.01.10.06210) в продуктах Dr.Web 11.0 для Windows, Dr.Web KATANA 1.0, Dr.Web Enterprise Security Suite 10.0 и 10.1 и Dr.Web AV-Desk 10.0. Модуль самозащиты также был обновлен в составе лечащей утилиты Dr.Web CureNet! Обновление связано с исправлением выявленных ошибок.

В рамках обновления Dr.Web Shellguard была устранена причина ложного срабатывания системы защиты от эксплойтов при использовании MS Word 2016 совместно с программой Office Tab.

В модуле самозащиты устранена проблема аварийного завершения работы системы (BSOD) на компьютерах под управлением Windows 2008 R2.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

26 июня 2017 года

Компания «Доктор Веб» сообщает о выпуске плагина Dr.Web версии 11.0 для интернет-шлюзов Kerio, предназначенного для работы на компьютерах под управлением Linux.

Новая версия поддерживает Kerio Control версий 9.2.1 и 9.2.2, в то время как более ранние версии интернет-шлюза поддерживаются плагином Dr.Web 9.0.

Для установки Dr.Web 11.0 для интернет-шлюзов Kerio необходимо предварительно удалить предыдущую версию плагина.

Подробную информацию о системных требованиях и особенностях установки плагина можно найти в соответствующих «Примечаниях к выпуску».