Записи с меткой «доктор»

19 марта 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о наблюдаемом с начала года росте распространения рекламных приложений для компьютеров под управлением Mac OS X. Среди них выделяется троянец Trojan.Yontoo.1, который, являясь загрузчиком, устанавливает на инфицированный компьютер дополнение для популярных браузеров, основное назначение которого — демонстрация рекламы в процессе просмотра веб-сайтов.

С начала 2013 года специалисты компании «Доктор Веб» отмечают рост количества рекламных приложений для различных платформ, в том числе для операционной системы Mac OS X. Таким образом злоумышленники зарабатывают на партнерских программах рекламных сетей, и с каждым днем растет их интерес к пользователям Apple-совместимых компьютеров. Ярким примером подобного ПО может служить обнаруженный недавно Trojan.Yontoo.1.

Эта троянская программа проникает на компьютер жертвы различными способами. Например, с целью распространения троянца злоумышленники создали специальные веб-страницы с анонсами фильмов, при открытии которых в верхней части окна демонстрируется стандартное предложение установки плагина для браузера. На самом деле данный диалог лишь имитирует традиционную панель, демонстрируемую пользователям в случае необходимости установки какого-либо дополнения или надстройки, и создан злоумышленниками специально, чтобы ввести потенциальную жертву в заблуждение. После нажатия на кнопку Install the plug-in происходит перенаправление пользователя на сайт для загрузки приложения, детектируемого антивирусным ПО «Доктор Веб» как Trojan.Yontoo.1.

screen

Злоумышленники предусмотрели несколько альтернативных способов распространения этой угрозы. Например, жертва может загрузить троянца под видом медиаплеера, программы для улучшения качества просмотра видео, «ускорителя» загрузки файлов из Интернета и т. д.

После запуска Trojan.Yontoo.1 демонстрирует на экране диалоговое окно программы, предлагающей инсталлировать приложение под названием Free Twit Tube.

screen

Однако вместо заявленной программы после нажатия на кнопку Continue троянец загружает из Интернета и устанавливает специальный плагин Yontoo для наиболее популярных среди пользователей Mac OS X браузеров: Safari, Chrome и Firefox. Этот плагин в процессе просмотра веб-страниц в фоновом режиме передает на удаленный сервер данные о том, какую веб-страницу открыл в своем браузере пользователь.

screen

В ответ данное дополнение получает от злоумышленников специальный файл, позволяющий встраивать в просматриваемые пользователем веб-страницы различные рекламные модули от сторонних партнерских программ. Вот так, например, будет выглядеть на инфицированном компьютере веб-страница сайта apple.com:

screen

Такие расширения для браузеров детектируются антивирусным ПО как Adware.Plugin. Следует отметить, что аналогичная схема распространения «рекламного троянца» существует и для пользователей ОС Windows.

Реклама

«Доктор Веб»: обзор вирусной активности за май 2013 года

Posted: Июнь 7, 2013 in Антивирус, Вконтакте, Доктор Веб, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

3 июня 2013 года

В начале мая был обнаружен опасный троянец, подменяющий открываемые пользователями в окне браузера веб-страницы. Другая вредоносная программа, также добавленная в вирусные базы в мае, атаковала пользователей социальных сетей Facebook, Google Plus и Twitter. В конце месяца специалисты «Доктор Веб» перехватили еще один управляющий сервер ботнета Rmnet, с помощью которого был выявлен факт распространения двух новых компонентов этого файлового вируса. Также в мае были обнаружены и новые вредоносные объекты, угрожающие пользователям мобильной платформы Android, — в основном программы-шпионы.

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, абсолютным лидером по числу заражений в мае стал троянец Trojan.Hosts.6815 (2,53% от общего количества инфицированных компьютеров), на втором месте расположился троянец Trojan.Mods.1, подменяющий содержимое просматриваемых пользователем веб-страниц — об этой вредоносной программе подробно рассказано в опубликованном на сайте Dr.Web новостном материале. Всего в течение месяца лечащей утилитой Dr.Web CureIt! было обнаружено 15 830 экземпляров этого троянца, что составляет 1,95% от общего числа выявленных угроз. По-прежнему велико число случаев обнаружения вредоносных программ семейства Trojan.Mayachok в оперативной памяти компьютеров пользователей, также на инфицированных ПК достаточно часто встречается бэкдор BackDoor.IRC.NgrBot.42 и различные модификации троянцев семейства Trojan.Redirect. Двадцатка наиболее распространенных майских угроз, по данным лечащей утилиты Dr.Web CureIt!, приведена в представленной ниже таблице.

Название %
Trojan.Hosts.6815 2.55
Trojan.Mods.1 2.01
Trojan.MayachokMEM.7 1.50
BackDoor.IRC.NgrBot.42 1.41
Trojan.Redirect.147 1.36
Trojan.Redirect.140 1.35
Trojan.Hosts.6838 1.22
Trojan.Mods.2 1.01
Trojan.Packed.24079 0.97
Trojan.DownLoader8.48947 0.85
Trojan.Zekos 0.85
Trojan.PWS.Stealer.1932 0.74
Win32.HLLP.Neshta 0.71
BackDoor.Gurl.2 0.69
Trojan.Hosts.6708 0.59
Trojan.SMSSend.2363 0.51
Trojan.Packed.142 0.49
Trojan.Packed.142 0.44
Trojan.Packed.142 0.42
Trojan.DownLoader9.19157 0.41

Ботнеты

Специалисты компании «Доктор Веб» в настоящее время взяли под контроль две подсети ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12, каждая из которых имеет собственный управляющий сервер. В мае 2013 года общее количество активно действующих ботов в первой бот-сети Win32.Rmnet.12 составило 619 346 единиц, во второй — 459 524, при этом за последние 10 суток к первому ботнету присоединилось еще 116 617 инфицированных машин, а ко второму — 143 554. Среднее число ежесуточно регистрирующихся в каждой из подсетей ботов составляет 14 и 11 тысяч инфицированных машин соответственно. Вот как выглядит динамика прироста данных ботнетов за период с 19 по 29 мая 2013 года:

В то же самое время прирост бот-сети Win32.Rmnet.16 идет чрезвычайно медленными темпами: всего в период с 19 по 29 мая к этому ботнету присоединился лишь 181 инфицированный компьютер, а общее число действующих ботов в сети составило 5 220. Таким образом, можно сделать вывод, что файловый вирус Win32.Rmnet.16 сегодня не представляет серьезной эпидемиологической опасности.

В начале апреля 2013 года компания «Доктор Веб» сообщила о перехвате контроля над одним из управляющих серверов ботнета, созданного с использованием троянца BackDoor.Bulknet.739. Данная вредоносная программа предназначена для массовой рассылки спама и имеет наибольшее распространение на территории Италии, Франции, Турции, США, Мексики и Таиланда. Если на начало апреля к данному управляющему серверу обращалось всего порядка 7 000 инфицированных компьютеров, то на конец мая количество активно действующих ботов выросло до значения 17 242, при этом динамику роста ботнета в период с 19 по 29 мая можно проследить на представленном ниже графике.

В конце мая специалистам «Доктор Веб» удалось установить контроль еще над одним управляющим сервером бот-сети Rmnet. В этой подсети был выявлен факт распространения двух новых вредоносных модулей, получивших общее обозначение Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, а второй позволяет отключать на зараженной машине антивирусы Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG. Для этого компонент эмулирует действия пользователя, а именно нажатия мышью на соответствующие экранные формы. На 29 мая к данному управляющему серверу подключилось уже 20 235 активно действующих ботов, а в период с 19 по 29 мая на контролируемом специалистами «Доктор Веб» управляющем сервере зарегистрировалось 8 447 вновь инфицированных машин. Динамику прироста бот-сети можно проследить с помощью представленной ниже диаграммы.

Более подробную информацию о данной угрозе можно получить из опубликованного компанией «Доктор Веб» новостного материала.

Продолжает действовать и ботнет BackDoor.Dande — этот троянец заражает только компьютеры аптек и фармацевтических компаний, на которых установлено специальное ПО для заказа медикаментов: информацию из этих приложений и ворует вышеупомянутый троянец. В настоящий момент специалистам «Доктор Веб» известно о двух подсетях BackDoor.Dande: в одной действует 331 зараженная машина, в другой насчитывается 1 291 инфицированный компьютер.

Несмотря на то, что с момента обнаружения ботнета BackDoor.Flashback.39, состоящего из Apple-совместимых компьютеров, прошло уже больше года, данная бот-сеть продолжает действовать и сегодня: на текущий момент в ней насчитывается 65 987 инфицированных «маков».

В феврале 2013 года компания «Доктор Веб» сообщала об обнаружении троянца Linux.Sshdkit, атакующего работающие под управлением ОС Linux серверы. Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.

Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец транслирует на удаленные узлы похищенные с атакованных серверов логины и пароли. Всего в течение мая 2013 года троянец передал на управляющий узел злоумышленников данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Угроза месяца: Trojan.Facebook.311

Пользователи социальных сетей уже неоднократно становились мишенью киберпреступников и распространителей вредоносных программ. Так, в середине мая было зафиксировано массовое распространение вредоносной программы Trojan.Facebook.311, представляющей собой написанные на языке JavaScript надстройки для браузеров Google Chrome и Mozilla Firefox. Распространялись эти вредоносные плагины с использованием специально созданной злоумышленниками веб-страницы, с которой жертве предлагалось загрузить приложение-установщик под видом «обновления безопасности для просмотра видео».

После завершения установки в момент запуска браузера Trojan.Facebook.311 пытается загрузить конфигурационный файл, содержащий соответствующий набор команд от злоумышленников. Затем встроенные в браузеры вредоносные плагины ожидают момента, когда жертва выполнит авторизацию в социальной сети, и начинают выполнять от ее имени различные действия, например, публиковать статусы, ставить «лайки», размещать сообщения на стене, отправлять личные сообщения и т. д. При этом вредоносная программа обладает функционалом для работы не только в социальной сети Facebook, но и для взаимодействия с социальными сетями Twitter и Google Plus, — в частности, она наделена функцией рассылки спама. С более подробным исследованием данной угрозы можно ознакомиться в новости на сайте «Доктор Веб».

Атака на пользователей Skype

23 мая многочисленные интернет-СМИ сообщили о массовой спам-рассылке, которой подверглись преимущественно российские пользователи Skype. Злоумышленники распространяли вредоносные программы при помощи сообщений в чате Skype. Эти сообщения, содержащие вредоносную ссылку, поступали от пользователей, добавленных в контакт-лист жертвы. Переход по ссылке приводил к загрузке с файлообменных сервисов 4shared.com или dropbox.com архива с вредоносной программой Trojan.Gapz.17, которая в свою очередь закачивала на инфицированный компьютер Trojan.SkypeSpam.11. Этот троянец рассылает сообщения по контакт-листам месседжеров Skype, Windows Messenger, QIP, Google Talk и Digsby.

Сигнатура троянца Trojan.SkypeSpam.11 была добавлена в вирусные базы Dr.Web еще 22 мая.

Угрозы для Android

Для мобильной платформы Android май оказался весьма неспокойным периодом: на протяжении всего месяца специалистами компании «Доктор Веб» фиксировалось появление сразу нескольких вредоносных приложений-шпионов, направленных на кражу тех или иных конфиденциальных сведений пользователей Android-устройств.

Так, вредоносная программа Android.Pincer.2.origin, обнаруженная в середине месяца, является довольно опасным троянцем, предназначенным для перехвата входящих СМС-сообщений и переадресации их на удаленный сервер. Авторами Android.Pincer.2.origin предусмотрена возможность отслеживать сообщения, поступающие c определенного номера, для чего троянцу посредством СМС поступает соответствующая команда. Распространяемая злоумышленниками под видом установщика сертификата безопасности, данная вредоносная программа может представлять серьезную опасность для владельцев мобильных Android-устройств, т. к. среди перехватываемых ею сообщений могут находиться как проверочные (одноразовые) mTAN-коды систем «Банк-Клиент», так и другая конфиденциальная информация. Более подробно об этой угрозе можно узнать, прочитав соответствующую публикацию на сайте «Доктор Веб».

В мае также был обнаружен очередной троянец-шпион, крадущий конфиденциальную информацию у японских пользователей Android. Аналогично предшественникам, новая вредоносная программа, добавленная в вирусную базу как Android.AccSteal.1.origin, распространялась под видом приложения из категории «для взрослых» и после запуска загружала на удаленный сервер следующую информацию: имя учетной записи Google Mail, IMEI-идентификатор и название модели мобильного устройства, а также номер сотового телефона пользователя.

Примечательно, что в отличие от других подобных вредоносных программ, троянец действительно выполняет ожидаемую от него функцию, а именно позволяет просматривать видеоролики эротического содержания, однако делает это исключительно при наличии интернет-соединения, о чем сообщает в соответствующем диалоговом окне. Учитывая, что Android.AccSteal.1.origin распространяется при помощи веб-сайта, страницы которого имитируют уже устаревший внешний вид каталога Google Play, такое поведение можно объяснить желанием злоумышленников вызвать как можно меньше подозрений со стороны пользователей, но при этом обеспечить достаточно высокий процент успешного сбора их персональной информации.

Киберпреступники не обошли стороной и китайских пользователей: троянская программа-шпион Android.Roids.1.origin, распространявшаяся на одном из популярных китайских форумов под видом полезной системной утилиты, способна передавать на принадлежащий злоумышленникам удаленный сервер весьма внушительный объем конфиденциальных сведений. Среди них — список установленных приложений, информация об СМС-переписке и совершенных звонках, информация о контактах, находящихся в телефонной книге, список файлов, расположенных на карте памяти, и некоторая другая информация. Кроме того, троянец способен записывать телефонные разговоры и отслеживать GPS-координаты пользователя мобильного устройства.

Вредоносные файлы, обнаруженные в почтовом трафике в мае

 01.05.2013 00:00 — 30.05.2013 18:00
1 Trojan.PWS.Panda.3734 1.49%
2 Trojan.PWS.Panda.4379 1.20%
3 Trojan.Oficla.zip 0.90%
4 Trojan.Packed.196 0.80%
5 Trojan.Inject2.23 0.75%
6 Win32.HLLM.MyDoom.54464 0.63%
7 Trojan.DownLoader9.17531 0.58%
8 Trojan.PWS.Stealer.2877 0.54%
9 Trojan.PWS.Panda.655 0.54%
10 Trojan.PWS.Stealer.946 0.53%
11 Trojan.Packed.666 0.53%
12 Exploit.CVE2012-0158.28 0.49%
13 Trojan.PWS.Stealer.2833 0.46%
14 Win32.HLLM.MyDoom.33808 0.44%
15 Trojan.PWS.Stealer.2824 0.39%
16 Trojan.PWS.Stealer.2861 0.39%
17 Trojan.PWS.Stealer.2864 0.37%
18 Exploit.CVE2012-0158.27 0.34%
19 BackDoor.IRC.NgrBot.42 0.34%
20 VBS.Rmnet.2 0.32%

Вредоносные файлы, обнаруженные в мае на компьютерах пользователей

 01.05.2013 00:00 — 30.05.2013 18:00
1 SCRIPT.Virus 0.71%
2 Adware.Downware.915 0.71%
3 Tool.Unwanted.JS.SMSFraud.26 0.50%
4 Win32.HLLW.MyBot 0.48%
5 Adware.InstallCore.115 0.47%
6 Adware.Downware.179 0.45%
7 Adware.InstallCore.114 0.45%
8 Adware.Downware.1157 0.44%
9 Adware.InstallCore.101 0.36%
10 Tool.Unwanted.JS.SMSFraud.29 0.33%
11 Adware.Webalta.11 0.33%
12 Adware.Downware.1132 0.32%
13 Tool.Unwanted.JS.SMSFraud.10 0.31%
14 Trojan.Hosts.6708 0.30%
15 BackDoor.IRC.NgrBot.42 0.28%
16 Trojan.DownLoader9.19157 0.28%
17 Tool.Skymonk.11 0.28%
18 Trojan.Hosts.6838 0.28%
19 Win32.HLLW.Shadow 0.27%
20 Win32.HLLW.Autoruner.59834 0.26%

ИСТОЧНИК

Новый троянец охотится на пользователей, «блокируя» доступ к социальным сетям

Posted: Апрель 12, 2013 in Антивирус, Вконтакте, Доктор Веб, Новости, Одноклассники, антивирусы, атака, вирусы, компьютеры, лечение, поиск, пользователи, программы, софт, срочно, угрозы, Trojan
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает об опасности заражения новой версией вредоносной программы Trojan.Zekos, одна из функций которой заключается в перехвате DNS-запросов на инфицированном компьютере. Этот механизм применяется вирусописателями в целях проведения фишинговых атак – на зараженной машине могут отображаться принадлежащие злоумышленникам веб-страницы вместо запрошенных пользователем сайтов.

С конца прошлой недели в службу технической поддержки компании «Доктор Веб» стали поступать заявки от пользователей, утративших возможность заходить на сайты социальных сетей. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. Вот примеры текстов, опубликованных злоумышленниками на поддельных веб-страницах, имитирующих «ВКонтакте» и «Одноклассники»:

«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».

«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».

При этом оформление веб-страниц и демонстрируемый в строке браузера адрес оказывались идентичны оригинальному дизайну и интернет-адресу соответствующей социальной сети. Кроме того, на поддельной веб-странице даже демонстрировалось настоящее имя пользователя, поэтому многие жертвы киберпреступников попросту не замечали подмены, считая, что их учетная запись в социальной сети действительно была взломана.

screen

screen

Проведенное вирусными аналитиками «Доктор Веб» расследование показало, что виновником инцидента стала видоизмененная вирусом системная библиотека rpcss.dll, являющаяся компонентом службы удаленного вызова процедур (RPC) в операционных системах семейства Microsoft Windows. А троянская программа, «дополнившая» библиотеку вредоносным объектом, получила название Trojan.Zekos, причем она умеет заражать как 32-битные, так и 64-битные версии Windows. Примечательно, что первые версии данного троянца были найдены еще в начале 2012 года, однако эта модификация вредоносной программы обладает некоторыми отличиями от своих предшественников.

Trojan.Zekos состоит из нескольких компонентов. Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именем и расширением, отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе. Затем троянец модифицирует библиотеку rpcss.dll, добавляя в нее код, основное предназначение которого — загрузка в память компьютера хранящейся на диске копии троянца. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1000000.

Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari и др. Таким образом, при попытке, например, посетить сайт популярной социальной сети, браузер пользователя получит в ответ на DNS-запрос некорректный IP-адрес запрашиваемого ресурса, и вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу. При этом в адресной строке браузера будет демонстрироваться правильный URL. Помимо этого Trojan.Zekos блокирует доступ к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.

Сигнатура данной угрозы и алгоритм лечения последствий заражения троянцем Trojan.Zekos успешно добавлены в вирусные базы Dr.Web. Пользователям, пострадавшим от данной угрозы, рекомендуется проверить жесткие диски своих компьютеров с помощью антивирусного сканера, или воспользоваться бесплатной лечащей утилитой Dr.Web CureIt!

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует о появлении нового троянца для Mac OS X — Trojan.SMSSend.3666. Схема распространения этой вредоносной программы печально известна многим пользователям Windows, однако на компьютерах и ноутбуках под управлением Mac OS X ранее не применялась: Trojan.SMSSend представляет собой платный архив, который можно скачать с различных интернет-ресурсов под видом полезного ПО.

Вредоносные программы семейства Trojan.SMSSend широко распространены в современном Интернете. Они представляют собой платный архив, который можно загрузить с различных веб-сайтов под видом какой-либо полезной программы. В процессе открытия такого архива на экране компьютера демонстрируется инфтерфейс, имитирующий оформление программы установки того или иного приложения. При этом для продолжения «инсталляции» мошенники просят жертву ввести в соответствующую форму номер мобильного телефона, а затем указать код, пришедший в ответном СМС. Если пользователь выполняет указанные действия, он соглашается с условиями платной подписки, согласно которым со счета его мобильного телефона будет регулярно списываться абонентский платеж. Как правило, внутри архива находится либо совершенно бесполезный «мусор», либо заявленная мошенниками программа, которую можно скачать с официального сайта разработчиков совершенно бесплатно.

screen

Раньше троянцы данного семейства досаждали пользователям операционной системы Microsoft Windows, однако Trojan.SMSSend.3666 ориентирован на владельцев Apple-совместимых компьютеров. При запуске этого платного архива на экране «мака» демонстрируется окно установки программы VKMusic 4 for Mac OS X, предназначенной для прослушивания музыки в социальной сети «ВКонтакте». Однако для доступа к содержимому архива злоумышленники традиционно требуют указать в соответствующих полях номер мобильного телефона и подтверждающий код.

screen

Как и раньше, за распространением данного вредоносного приложения стоит известная «партнерская программа» ZipMonster, помогающая мошенникам создавать подобные платные архивы, а также оказывающая посреднические услуги по организации выплат распространителям вредоносного ПО. Следует отметить, что Trojan.SMSSend.3666 — это первый троянец данного класса, ориентированный на пользователей операционной системы Mac OS X.

Компания «Доктор Веб» еще раз напоминает: не устанавливайте на свои компьютеры никаких программ, требующих указать номер телефона или отправить СМС, – скорее всего, лишившись денег, вы получите какой-либо ненужный или бесполезный файл. К тому же, воспользовавшись поисковыми системами, вы с большой долей вероятности сможете найти и загрузить эту программу совершенно бесплатно с официального сайта ее разработчиков.

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении троянской программы Trojan.Proxy.23012, помогающей злоумышленникам массово рассылать спам. Этот троянец обладает целым рядом отличительных особенностей, выделяющих его в ряду других вредоносных программ.

Trojan.Proxy.23012 загружается на инфицированные компьютеры с использованием других вредоносных программ, в частности Trojan.PWS.Panda.2395. Исполняемый файл троянца сжат с использованием того же вирусного упаковщика, что и троянцы семейства Trojan.PWS.Panda, также известные под именами Zeus и Zbot, поэтому нередко он детектируется именно этой сигнатурной записью.

Проникнув в операционную систему, Trojan.Proxy.23012 распаковывается и загружается в память, после чего начинается процедура инсталляции троянца. Папка, в которую будет установлена эта вредоносная программа, зависит от версии ОС и от того, под какими правами был запущен установщик. В любом случае инсталлятор модифицирует системный реестр с целью обеспечить автоматический запуск троянца в процессе загрузки Windows. Также вредоносная программа пытается отключить систему контроля учетных записей пользователей. Наконец, на финальном этапе установки троянец встраивается в процесс explorer.exe.

Ботнет, состоящий из инфицированных Trojan.Proxy.23012 компьютеров, используется злоумышленниками в качестве системы управления прокси-серверами, через которые по команде осуществляется рассылка почтового спама. Пример одного из рассылаемых сообщений показан на представленной ниже иллюстрации.

screen

Установив соединение с удаленным командным центром, по команде злоумышленников Trojan.Proxy.23012 открывает прокси-туннель, посредством которого вирусописатели могут пользоваться протоколами SOCKS5, SOCKS4, HTTP (включая методы GET, POST, CONNECT). Для рассылки спама используются smtp-сервисы gmail.com, hotmail.com и yahoo.com.

Отличительной особенностью данной вредоносной программы являются методы взаимодействия ботнета с управляющим сервером: командный центр в режиме реального времени выбирает, через какие именно узлы сети осуществлять ту или иную рассылку, кроме того, в проксировании участвуют боты, установленные на компьютерах без внешнего IP-адреса. Есть у данного троянца и еще одна особенность: в нем прописан только один адрес управляющего центра, при блокировке которого троянец может быть обновлен через пиринговую сеть Trojan.PWS.Panda.2395.

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web, поэтому троянец Trojan.Proxy.23012 не представляет серьезной угрозы для пользователей продукции компании «Доктор Веб».

Dr.Web

ГЛАВНЫЕ НОВОСТИ

Обнаружена новая модификация Trojan.Mayachok

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует о распространении новой модификации троянской программы семейства Trojan.Mayachok, добавленной в вирусные базы Dr.Web под именем Trojan.Mayachok.17516. Несмотря на то, что эта угроза имеет определенное сходство с широко распространенным троянцем Trojan.Mayachok.1, в ее архитектуре выявлен и ряд существенных отличий.

Trojan.Mayachok.17516 представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем flash_player_update_1_12.exe и запускается на исполнение.

screen

В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

Вредоносная библиотека пытается встроиться в другие процессы с использованием регистрации в параметре реестра AppInit_DLLs, при этом, в отличие от Trojan.Mayachok.1, Trojan.Mayachok.17516 «умеет» работать не только в контексте процессов браузеров, но также в процессах svchost.exe и explorer.exe (Проводник Windows). Примечательно, что в 64-разрядных системах вредоносная программа работает только в этих двух процессах. Троянец использует для своей работы зашифрованный конфигурационный файл, который он сохраняет либо во временную папку, либо в служебную папку %appdata%.

Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. С использованием процесса explorer.exe Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д. Сигнатура данной угрозы добавлена в базы антивирусного ПО Dr.Web. Для пользователей программных продуктов «Доктор Веб» Trojan.Mayachok.17516 не представляет серьезной угрозы.

«Настойчивый» СМС-троянец для Android препятствует своему удалению

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении очередного троянца семейства Android.SmsSend (родом из Китая), предназначенного для отправки СМС-сообщений с повышенной тарифной стоимостью. Особенностью этого троянца являются его многократные требования доступа к списку администраторов мобильного устройства, что при определенных условиях может значительно затруднить его удаление.

В отличие от большинства вредоносных программ семейства Android.SmsSend, распространяющихся злоумышленниками напрямую, Android.SmsSend.186.origin попадает на мобильные устройства пользователей при помощи дроппера, содержащего внутри себя программный пакет троянца. Дроппер Android.MulDrop.5.origin скрывается в разнообразных «живых обоях» и при установке не требует специальных разрешений, поэтому у пользователей не должно возникнуть никаких подозрений.

После запуска Android.MulDrop.5.origin демонстрирует сообщение на китайском языке, в котором предлагается установить некий компонент:

Если пользователь согласится это сделать, начнется процесс установки скрытого внутри дроппера троянского приложения.

Для своей работы Android.SmsSend.186.origin требует доступ к большому числу функций, однако название приложения «Android 系统服务» (Android System Service) может ввести в заблуждение многих китайских пользователей, на которых, по большей части, и рассчитан троянец, в результате чего они продолжат установку.

Вредоносная программа не создает иконку приложения в главном меню мобильного устройства и работает в качестве сервиса. После установки она запрашивает доступ к функциям администратора мобильного устройства под предлогом того, что это позволит значительно сэкономить заряд аккумулятора. Учитывая то, что Android.SmsSend.186.origin использует имя, похожее на название одного из системных приложений, необходимые полномочия ему, скорее всего, будут предоставлены. Однако на случай, если пользователь откажется дать троянцу требуемые полномочия, он будет запрашивать их вновь и вновь, пока наконец уставший от надоедливого сообщения владелец Android-устройства не даст свое согласие.

При определенных условиях троянец может стать администратором Android-устройства и без разрешения пользователя. Это может произойти в случае работы вредоносной программы на некоторых версиях ОС Android при условии, что ранее троянец уже функционировал на том же самом мобильном устройстве в режиме администратора. В результате, если пользователь попытается избавиться от надоедливой просьбы вредоносной программы, перезагрузив мобильное устройство, его будет ждать неприятный сюрприз: после перезагрузки системы Android.SmsSend.186.origin автоматически получит необходимые полномочия, чего пользователь даже не заметит. Такой сценарий маловероятен, однако не исключен и является весьма опасным.

Помимо функции отправки СМС-сообщений с повышенной стоимостью, Android.SmsSend.186.origin имеет возможность отправлять злоумышленникам входящие СМС, что потенциально несет риск раскрытия частной информации пользователей. Однако этот троянец интересен в первую очередь тем, что в некоторых случаях с активированным режимом администратора мобильного устройства он фактически получает возможность противодействовать своему удалению, т. к. при попытках пользователя выполнить необходимые для этого действия возвращает его к главному экрану мобильного устройства. Это первый из известных случаев, когда вредоносная программа для ОС Android предпринимает попытки активного противодействия борьбе с ней.

Для того чтобы удалить этого троянца из системы, необходимо выполнить ряд действий:

  • Во-первых, следует убрать приложение с именем «Android 系统服务» из числа администраторов устройства, зайдя в системные настройки «Безопасность» –> «Выбрать администраторов устройства» и сняв соответствующую галочку.
  • После того как троянец будет лишен этих полномочий, он попытается снова их получить, выводя соответствующее сообщение, поэтому необходимо завершить работу процесса вредоносной программы, зайдя в меню «Приложения» –> «Управление приложениями», и остановить его выполнение.
  • После этого можно удалить троянца стандартным способом («Приложения» –> «Управление приложениями») либо установить антивирусную программу и произвести с ее помощью проверку системы и удаление найденных вредоносных объектов.

Как уже отмечалось ранее, при определенных условиях Android.SmsSend.186.origin может препятствовать своему удалению, возвращая пользователя из меню настроек на главный экран операционной системы. В этом случае необходимо открыть список недавно запущенных приложений, зажав функциональную кнопку «Домой», и выбрать последние вызванные системные настройки. Следует повторять этот алгоритм до тех пор, пока необходимое для удаления троянца действие не будет выполнено.

Владельцы антивирусных решений Dr.Web для Android были надежно защищены от этой вредоносной программы благодаря технологии Origins Tracing™: троянец детектировался с ее помощью еще до поступления в антивирусную лабораторию.

Китайский троянец заражает загрузочную запись

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о распространении нового многокомпонентного буткита — вредоносного приложения, способного заражать загрузочную запись жесткого диска на инфицированном компьютере. Основное предназначение данной угрозы, добавленной в базы Dr.Web под именем Trojan.Xytets, — перенаправление жертвы с использованием ее браузера на указанные вирусописателями веб-страницы.

Вредоносная программа Trojan.Xytets разработана в Китае и состоит из восьми функциональных модулей: инсталлятора, трех драйверов, динамической библиотеки и ряда вспомогательных компонентов. Запустившись в операционной системе, троянец проверяет, не загружен ли он в виртуальной машине и не используется ли на атакованном компьютере отладчик — если наличие подобных приложений подтверждается, Trojan.Xytets сообщает об этом удаленному командному центру и завершает свою работу. Также осуществляется проверка на наличие в инфицированной системе ряда приложений, используемых для тарификации и биллинга в китайских интернет-кафе, — о результатах этой проверки также сообщается серверу. Затем троянец инициирует процесс заражения атакованного компьютера.

В ходе заражения Trojan.Xytets сохраняет на диске и регистрирует в реестре два драйвера, реализующих различные функции вредоносной программы, а также запускает собственный брандмауэр, перехватывающий отправляемые с инфицированного компьютера IP-пакеты. Брандмауэр не пускает пользователя на некоторые веб-сайты, список которых хранится в специальном конфигурационном файле. При этом файлы троянца и вредоносные драйверы сохраняются на диск дважды: в файловой системе и в конце раздела жесткого диска. Даже если эти файлы удалить (что является не такой уж тривиальной задачей, так как троянец скрывает собственные файлы), они будут автоматически восстановлены при следующей загрузке Windows.

screen

Помимо этого, один из драйверов отслеживает запускаемые в инфицированной системе процессы и пытается определить их «опасность» для троянца. При этом Trojan.Xytets не позволяет запуститься тем процессам, которые могут помешать его работе. Кроме того, Trojan.Xytets обладает функционалом, позволяющим удалять нотификаторы драйверов некоторых антивирусных программ, — в результате антивирусное ПО перестает реагировать на запуск инициированных троянцем вредоносных процессов. Троянец осуществляет перенаправление пользовательского браузера на веб-сайты, список которых также хранится в конфигурационном файле. Среди поддерживаемых Trojan.Xytets браузеров — Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari, Maxthon, QQBrowser, GreenBrowser и некоторые другие.

Затем троянец скрывает ряд хранящихся на диске файлов и перезаписывает главную загрузочную запись таким образом, что в процессе загрузки операционной системы вредоносная программа получает управление. Помимо прочего, Trojan.Xytets обладает развитым функционалом, позволяющим скрывать собственное присутствие в инфицированной системе, вследствие чего эту угрозу также можно отнести к категории руткитов.

В процессе обмена данными с управляющим сервером, расположенным в Китае, Trojan.Xytets передает злоумышленникам информацию об инфицированном компьютере, о версиях операционной системы и самой вредоносной программы. Судя по содержимому веб-страниц, которые демонстрирует в пользовательском браузере Trojan.Xytets, его целевой аудиторией являются жители Китая.

Среди функциональных возможностей Trojan.Xytets можно перечислить следующие:

  • подмена стартовой страницы популярных браузеров на URL сайта, принадлежащего злоумышленникам;
  • осуществление http-редиректов;
  • загрузка и запуск различных исполняемых файлов;
  • сохранение в панели быстрого запуска Windows, в папке «Избранное» и на Рабочем столе ярлыков, содержащих ссылки на принадлежащие злоумышленникам сайты, — по щелчку мышью на таком ярлыке соответствующая веб-страница открывается в браузере;
  • запуск по расписанию обозревателя Microsoft Internet Explorer и открытие в нем принадлежащей злоумышленникам веб-страницы;
  • блокировка доступа к ряду веб-сайтов по заранее сформированному списку;
  • блокировка запуска некоторых приложений по заранее сформированному списку;
  • скрытие хранящихся на диске файлов;
  • заражение MBR.

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web, вследствие чего Trojan.Xytets не представляет серьезной опасности для пользователей программных продуктов Dr.Web.

sirus virus

sirus virus

В безопасный режим или Save Mode (англ.если у вас английская О.С) можно попасть двумя способами. Первый способ – это автоматический.

При сбое работы компьютера, не важно по какой причине, операционная система автоматически выводит на панель дополнительных опций, среди которых есть опция запуска компьютера в безопасном режиме.

Второй способ – это выход на ту же панель дополнительных опций с помощью попеременного нажатия клавиши F8 во время включения компьютера.

В безопасный режиме О.С. Windows работает с минимальным количеством включенных драйверов и работающих процессов. Для сравнения посмотрите скриншоты в обычном и безопасном режиме, обращая внимание на ползунок в окне диспетчера задач.По нему вы можете судить о разнице включенных задач в операционной системе.Скриншоты для запуска безопасного режима прилагаются в галерее.

Но почему удалять вирусы хорошо и правильно именно из опции безопасного режима? Для того, чтобы понять это, давайте представим себе, что такое вирус и как он работает?

Вирус- это по сути такая же программа, как и все остальные, за исключением некоторых пунктов например: в основном вирус не создает для себя файлов, необходимых для работы, он использует чужие системные файлы, хватаясь за них своими щупальцами, переименовывая и переделывая их по своему усмотрению, тем самым вирус портит операционную систему.

Программа выполняет команды, необходимые для нашей работы, а вирус выполняет команды, прописанные и запечатанные в нем производителем.

Наконец, программы и процессы, происходящие в компьютере для того, чтобы помогать в работе пользователя, а вирусы наносят вред, работая для своих целей.

Цели могут быть очень разные от шпионских до рекламных. Но во всех своих проявлениях надо понять одно: вирусы наносят вред операционной системе, и этот процесс на определенном этапе может быть необратимым.

А как действует антивирусник, или как он должен действовать. Во первых, он должен обнаружить вирус. Почти все антивирусники находят и опознают вирусные программы, но не каждый может чисто и безопасно отвязать щупальца от файлов, к которым он прицепился, и уничтожить или переместить вирус в безопасное место- карантин.

Тут происходит эффект клоунады, помните как у Енгибарова, не успевает поднять зонтик- как падает булава, поднимает булаву – падает шляпа и так до бесконечности.

Поэтому, удалив вирус при повторном запуске операционной системы, обнаруживаем, что вирус спокойненько сидит на своем старом месте.
Для чистого и окончательного удаления вирусов очень походит безопасный режим с минимальным количеством включенных служб, процессов и драйверов (одно из излюбленных мест вирусных файлов),таким образом, щупальца вируса оказываются как бы подвешенными в воздухе.

Для очистки системы от вирусов я рекомендую использовать утилитуDr.Web.CureIt. Мое первое знакомство с этой утилитой произошло во время появления вируса  kido, который блокировал все антивирусные сайты, не позволяя ни одному из антивирусов обновлять свои базы данных.

Это сейчас у Касперского есть kidokiller, но тогда этот антивирусник заражался сам и превращался в придаток этого kido. А старый kidokiller, уничтожая вирус почему-то по ходу портил саунд драйвер, в то время как Dr.Web.CureIt  (В видеоролике вы познакомитесь с порядком работы утилиты.Внимание порядок скачивания файла устарел, по ссылке ниже все намного проще)в безопасном режиме снимал его чисто. С тех пор я часто пользуюсь этой утилитой и именно из безопасного режима, и еще ни разу не было промашки.

Одно условие: утилита должна быть свежей. Поэтому скачивать утилиту лучше всего с сайта призводителя. На сайте производителя надо нажать кнопку «Скачать Dr.Web CureIt! с функцией отправки статистики».
Конечно, можно использовать тот антивирусник, который стоит на вашем компьютере, если вы уверены, что он не заражен.

ИСТОЧНИК

Dr.Web

Послепраздничное затишье: вирусные угрозы января 2011 года

08.02.2011

8 февраля 2011 года

Новый, 2011 год на вирусном фронте начался с относительного затишья, почти никаких «праздничных» сюрпризов не наблюдалось. В январе, как и ранее, доминировали вредоносные программы, направленные на прямое получение прибыли посредством вымогательства и кражи паролей к учетным записям систем дистанционного банковского обслуживания и электронных денежных систем.

Троянцы-шифровальщики

В начале года появились новые модификации троянцев, которые при заражении системы шифруют документы пользователей и предлагают расшифровать их при помощи специальной утилиты — разумеется, небесплатной.

В частности, в январе в вирусную базу Dr.Web были добавлены модификации Trojan.Encoder.94 и Trojan.Encoder.96.

Напоминаем, что неквалифицированные действия пользователей в случае шифрования файлов могут нанести данным непоправимый вред. Категорически не рекомендуется производить процедуры, связанные с восстановлением системы, удалять временные системные файлы или очищать кэш интернет-браузера, так как это может привести к невозможности восстановления файлов.

Кроме того, для расшифровки не рекомендуется использовать первую попавшуюся утилиту — высок риск испортить файлы окончательно. Вместо этого имеет смысл обратиться в вирусную лабораторию «Доктор Веб» с запросом помощи в лечении, выбрав в категории запроса «Запрос на лечение» и приложив несколько пар документов — в зашифрованном и незашифрованном виде.

Блокировщики Windows

В январе блокировщики Windows продолжили свое распространение, причем эти вредоносные программы стали более разнообразными. Вместе с новыми типами блокировщиков продолжили распространение и те, что были на слуху в предыдущие месяцы.

Если в последние несколько месяцев злоумышленники требовали за разблокировку системы в среднем 300–400 рублей, то в конце января получил распространение новый тип блокировщиков, требующих перечислить на счет мобильного телефона злоумышленников от 600 до 800 рублей.

Также в конце января было зафиксировано распространение блокировщиков Windows через блог-платформу LiveJournal (широко известную в России как ЖЖ). Получив комментарий в блоге и щелкнув по ссылке в нем, пользователь попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом. Там жертве мошенничества предлагается загрузить EXE-файл, за которым скрывается Trojan.Winlock.

Ниже представлена галерея изображений наиболее распространенных в январе блокировщиков Windows.

 
 

Общая статистика интернет-мошенничества в январе

За прошедший месяц в среднем в сутки по случаям интернет-мошенничества в бесплатную техническую поддержку компании «Доктор Веб» обращалось 178 пользователей, что на 8% больше, чем в декабре 2010 года.

Количество обращений, связанных с вредоносными программами, требующими положить деньги на счет мобильного телефона злоумышленника, увеличилось до 80% (в ноябре количество таких обращений составило 60%, а в декабре — 70% от всех обращений).

При этом количество обращений по троянцам, требующим пополнить счет мобильного телефона с использованием соответствующих СМС-сервисов сотовых операторов, а не терминалов оплаты, увеличилось с 23% в декабре до 43% в январе.

Количество обращений по вредоносным программам, требующим отправить платное СМС-сообщение, продолжает снижаться и в январе 2011 года составило лишь 15% всех обращений.

Банковские бот-сети

Продолжают свое распространение клиенты бот-сетей, направленных на российских пользователей систем дистанционного банковского обслуживания и электронных денежных систем. Как правило, каждая модификация такого клиента направлена одновременно на множество целей, одна из которых может оказаться на зараженном компьютере.

Специалисты компании «Доктор Веб» фиксируют активность нескольких подобных бот-сетей, в частности WinSpy и IBank. Зараженные компьютеры по команде злоумышленников время от времени обновляют компоненты, которые составляют так называемую «полезную нагрузку» бот-сети. Обновление этих компонентов объясняется тем, что мошенники вынуждены противодействовать антивирусам, которые установлены на компьютерах пользователей, а также обусловлено меняющимися конкретными целями злоумышленников.

Среди других угроз января можно отметить продолжение распространения в Западной Европе лжеантивирусов. На этот раз в «топе» таких ложных антивирусных программ находились System Tool 2011 и Antivirus Scan. Англоязычные пользователи Facebook также находятся под ударом — через спам-сообщения в этой социальной сети во второй половине прошедшего месяца зафиксировано распространение троянца Trojan.MulDrop1.62295 под видом «сюрприза» от другого пользователя соцсети.

Вредоносные файлы, обнаруженные в январе в почтовом трафике

 01.01.2011 00:00 — 01.02.2011 00:00   
1 Trojan.DownLoad1.58681 592254 (9.31%)  
2 Trojan.Packed.20878 426750 (6.71%)  
3 Trojan.Oficla.zip 313652 (4.93%)  
4 Trojan.MulDrop.64589 311774 (4.90%)  
5 Trojan.DownLoad.41551 271184 (4.26%)  
6 Trojan.Packed.20312 261419 (4.11%)  
7 Trojan.Oficla.38 148062 (2.33%)  
8 Win32.HLLM.Beagle 117539 (1.85%)  
9 Trojan.AVKill.2788 113477 (1.78%)  
10 Trojan.PWS.Panda.114 95805 (1.51%)  
11 Trojan.PWS.SpySweep.17 92209 (1.45%)  
12 W97M.Killer 87092 (1.37%)  
13 Trojan.MulDrop1.54160 73523 (1.16%)  
14 Trojan.DownLoader1.17157 69678 (1.10%)  
15 Win32.HLLW.Autoruner.35407 60963 (0.96%)  
16 Trojan.PWS.Panda.387 52532 (0.83%)  
17 Trojan.Oficla.48 52257 (0.82%)  
18 Trojan.Oficla.73 52254 (0.82%)  
19 Trojan.AVKill.3097 46052 (0.72%)  
20 Win32.HLLM.MyDoom.54464 45653 (0.72%)  
 
Всего проверено: 56,551,758,514  
Инфицировано: 6,363,080  
 

Вредоносные файлы, обнаруженные в январе на компьютерах пользователей

 01.01.2011 00:00 — 01.02.2011 00:00   
1 Win32.HLLP.Whboy.45 27057874 (43.80%)  
2 Win32.HLLP.Neshta 13487529 (21.83%)  
3 Win32.HLLP.Whboy.105 4525965 (7.33%)  
4 Win32.HLLP.Rox 2224917 (3.60%)  
5 Win32.Siggen.8 1583325 (2.56%)  
6 Win32.HLLP.Novosel 1582034 (2.56%)  
7 Win32.Antidot.1 1003419 (1.62%)  
8 Trojan.Packed.21230 558842 (0.90%)  
9 Win32.HLLP.Whboy 396674 (0.64%)  
10 Win32.Sector.22 338383 (0.55%)  
11 Trojan.MulDrop.54146 285091 (0.46%)  
12 JS.Nimda 279705 (0.45%)  
13 Win32.Virut.56 274936 (0.45%)  
14 Win32.Virut.5 271705 (0.44%)  
15 ACAD.Pasdoc 260004 (0.42%)  
16 Win32.HLLW.Shadow.based 259855 (0.42%)  
17 Trojan.DownLoad.32973 246686 (0.40%)  
18 Trojan.MulDrop1.48542 243739 (0.39%)  
19 Win32.Sector.21 208654 (0.34%)  
20 Win32.Gael.3666 178199 (0.29%)  
 
Всего проверено: 127,566,192,623  
Инфицировано: 61,779,350  
 

С уважением,

Служба информации
компании «Доктор Веб»
www.drweb.com

Чтобы изменить параметры
подписки перейдите
на эту страницу.