Записи с меткой «плагин»

Новостной дайджест «Доктор Веб» — Trojan.Triosir.1 — очередной рекламный троянец

Posted: 11 февраля, 2014 in Антивирус, Доктор Веб, Новости, антивирусы, атака, компьютеры, поиск, пользователи, программы, софт, срочно, техника, угрозы
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Dr.Web

10 февраля 2014 года

Специалисты компании «Доктор Веб» обращают внимание пользователей на то, что в последнее время чрезвычайно широкое распространение получили вредоносные программы, предназначенные для демонстрации в окне браузера навязчивой рекламы и подмены содержимого веб-страниц. Опасность подобных троянцев заключается прежде всего в том, что они демонстрируют рекламные объявления на популярных сайтах, к которым пользователи относятся с высокой степенью доверия, а среди рекламируемых ресурсов нередко встречаются мошеннические сайты и веб-страницы, замеченные в распространении вредоносного ПО. Одной из таких угроз является троянец Trojan.Triosir.1, о появлении которого компания «Доктор Веб» предупреждает пользователей.

Trojan.Triosir.1 распространяется с использованием ресурсов партнерской программы Installmonster вместе с различными приложениями и использует для своей установки инсталлятор Amonetize (amonetize.com). Функционал Trojan.Triosir.1 в целом схож с возможностями троянца Trojan.Zadved.1, о котором компания «Доктор Веб» уже рассказывала в одной из своих публикаций. Основное назначение Trojan.Triosir.1 — подмена содержимого просматриваемых пользователем веб-страниц посредством технологии веб-инжектов, при этом демонстрируемая троянцем реклама включает ссылки на различные мошеннические ресурсы. Основные модули троянца реализованы в виде плагинов (надстроек) к популярным браузерам. В частности, Trojan.Triosir.1 распространяется вместе с приложением для создания снимков экрана Screeny, устанавливающим в процессе своей инсталляции одноименный плагин для браузеров Mozilla Firefox, Chrome и Opera, который остается в системе даже после удаления основного приложения.

screenshot

Установленные в инфицированной системе плагины выполняют закачку основного файла вредоносного сценария с удаленного сервера. Данный сценарий, предназначенный для подмены рекламных модулей и встраивания в веб-страницы посторонней рекламы, начинает работать не сразу, а «выжидает» некоторое время, чтобы усыпить бдительность пользователя. При этом в его структуре прописаны специальные алгоритмы внедрения рекламы в страницы некоторых наиболее популярных интернет-ресурсов, например, социальной сети «ВКонтакте», «Одноклассники» и др. Вредоносный скрипт обладает достаточно продвинутым функционалом: например, он умеет получать информацию о поле и дате рождения пользователя из его профиля в социальной сети.

screenshot

screenshot

Среди рекламируемых троянцем ресурсов преобладают мошеннические сайты, подписывающие пользователя на различные услуги путем отправки на указанный им номер мобильного телефона СМС-сообщения с кодом подтверждения.

screenshot

Помимо наиболее популярных и посещаемых сайтов, Trojan.Triosir.1 умеет подменять рекламу и на веб-страницах, не входящих в «привилегированный список». При этом троянец обладает специальной функцией распознавания «плохих» с точки зрения рекламодателей сайтов с использованием специального фильтра ключевых слов — на таких ресурсах реклама не подменяется. Кроме того, Trojan.Triosir.1 специально ищет на веб-страницах и заменяет своими модулями рекламу нескольких партнерских сетей, среди которых — lcads.ru, marketgid.com, visitweb.com, luxup.ru, pcads.ru, gredinatib.info, fulldl.net, adcash.com, tbn.ru, и некоторые другие. Также в коде троянца предусмотрен набор правил, позволяющих «прятать» некоторые элементы на сайтах my.mail.ru, fotostrana.ru, loveplanet.ru, kinopoisk.ru, mamba.ru, go.mail.ru, love.mail.ru, auto.ru, otvet.mail.ru, sprashivai.ru и avito.ru.

Имеются основания полагать, что к созданию и распространению троянца причастна новосибирская компания Trioris, работающая по следующей схеме монетизации: компания отыскивает какое-либо приложение, договаривается с его разработчиками и, добавив в состав программы дополнительные плагины, занимается ее распространением, либо заключает договор дистрибуции с третьей стороной — например, компанией Amonetize, распространяющей Trojan.Triosir.1 с использованием возможностей партнерской программы Installmonster.

Сигнатура Trojan.Triosir.1 добавлена в вирусные базы Dr.Web и потому эта вредоносная программа не представляет серьезной опасности для пользователей антивирусных продуктов производства компании «Доктор Веб».

Источник

Dr.Web

 

ГЛАВНЫЕ НОВОСТИ

31 января 2014 года
«QRутой Dr.Web»: ваш серийник не потеряется!
Компания «Доктор Веб» сообщает об усовершенствовании сервиса «QRутой Dr.Web»: теперь серийный номер оплаченной лицензии можно получить непосредственно со страницы сервиса, если СМС-сообщение с нужными данными по какой-то причине не дошло до покупателя или было им случайно удалено.
Комментировать новость

31 января 2014 года
Dr.Web в помощь правообладателям контента
Компания «Доктор Веб» обращает внимание пользователей на новые возможности Dr.Web Security Space 9.0 по ограничению доступа к сайтам в связи с обращениями правообладателей, обнаруживших нарушения своих интеллектуальных прав в сети Интернет. С внедрением этой функциональности в Dr.Web у правообладателей появляется возможность обратиться в нашу компанию с информацией о нарушении исключительных прав на использование контента в сети Интернет. После этого заявленные ресурсы могут быть включены в нашу базу сайтов, не рекомендуемых для посещения. Это позволит защитить интеллектуальные права и репутацию правообладателей, а также оградит пользователей Dr.Web от вредоносных программ, которыми зачастую заражены сомнительные сайты, и от невольного соучастия в нарушении чужих интеллектуальных прав.
Комментировать новость

29 января 2014 года
500 000 000 долларов в год: как уберечь свои деньги от банковских троянцев?
Компания «Доктор Веб» представляет вниманию пользователей новый раздел своего сайта, посвященный такой актуальной современной угрозе как банковские троянцы. К сожалению, до сих пор вредоносные программы, способные похитить информацию о банковских картах и причинить серьезный финансовый ущерб отдельным людям или целым организациям, остаются насущной проблемой.
Комментировать новость

28 января 2014 года
Дополнительные меры для борьбы с «пиратским» использованием лицензий Dr.Web
Компания «Доктор Веб» в рамках усиления борьбы с «пиратским» использованием Dr.Web вводит дополнительные меры защиты лицензий для своих пользователей. Во избежание нелегального использования Dr.Web третьими лицами законные пользователи теперь получают уведомления о сомнительных попытках регистрации серийных номеров при работе с сервисами «Доктор Веб».
Комментировать новость

27 января 2014 года
Обзор Android-угроз за 2013 год от компании «Доктор Веб»
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — представляет обзор основных Android-угроз, обнаруженных в 2013 году. Минувший год не принес каких-либо фундаментальных изменений в сфере безопасности мобильной ОС от корпорации Google. Как и ожидалось, за прошедшие 12 месяцев значительно возросло число новых вредоносных, нежелательных и потенциально опасных программ для Android-устройств, при этом наиболее распространенной угрозой для пользователей традиционно стали троянцы, приносящие незаконный заработок своим создателям. Одновременно с этим существенно увеличилось количество вредоносных приложений, предназначенных для кражи конфиденциальной информации владельцев мобильных устройств.
Комментировать новость

22 января 2014 года
Обзор вирусной активности за 2013 год
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — представляет обзор вирусной активности по итогам минувшего года. 2013 год можно назвать весьма непростым с точки зрения угроз информационной безопасности. Как и в 2012 году, одной из основных тенденций в сфере вирусной активности стало массовое распространение троянцев-шифровальщиков, от действия которых пострадали пользователи во многих странах мира. Заметно выросло число вредоносных программ, предназначенных для демонстрации на компьютерах жертв назойливой рекламы, также в четвертом квартале увеличилось количество троянцев, ориентированных на добычу электронных криптовалют, таких как Bitcoin и Litecoin. Значительно расширился и ассортимент вредоносных программ, угрожающих пользователям мобильной платформы Google Android.
Комментировать новость


НОВОСТИ О ВИРУСАХ

24 января 2014 года
Первый буткит для Android заразил 350 000 мобильных устройств
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает пользователей ОС Android о появлении опасного троянца, который располагается во встроенной flash-памяти инфицированных мобильных устройств и функционирует как буткит, запускаясь на ранней стадии загрузки операционной системы. Это позволяет ему минимизировать возможность своего удаления без вмешательства в структуру файловой системы Android-устройств. В настоящее время данная вредоносная программа активна на более чем 350 000 мобильных устройств, принадлежащих пользователям из разных стран, таких как Испания, Италия, Германия, Россия, Бразилия, США, а также ряда государств Юго-восточной Азии.
Комментировать новость

23 января 2014 года
Пользователям iOS угрожают вредоносные ссылки
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает пользователей устройств, работающих под управлением операционной системы Apple iOS, об участившихся случаях распространения ссылок на мошеннические сайты с использованием рекламы в мобильных приложениях. Клюнув на приманку злоумышленников, пользователи портативных устройств Apple могут оказаться подписаны на какую-либо информационную псевдоуслугу, потеряв таким образом деньги на своем мобильном счете.
Комментировать новость

21 января 2014 года
Рекламный троянец распространяется через Facebook и маскируется под Adobe Flash Player
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает об активном распространении, в частности через социальную сеть Facebook, троянской программы Trojan.Zipvideom.1, устанавливающей на компьютер пользователя вредоносные расширения (плагины) к браузерам Mozilla Firefox и Google Chrome. Эти плагины препятствуют свободному просмотру веб-страниц, демонстрируя навязчивую рекламу.
Комментировать новость

19 марта 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о наблюдаемом с начала года росте распространения рекламных приложений для компьютеров под управлением Mac OS X. Среди них выделяется троянец Trojan.Yontoo.1, который, являясь загрузчиком, устанавливает на инфицированный компьютер дополнение для популярных браузеров, основное назначение которого — демонстрация рекламы в процессе просмотра веб-сайтов.

С начала 2013 года специалисты компании «Доктор Веб» отмечают рост количества рекламных приложений для различных платформ, в том числе для операционной системы Mac OS X. Таким образом злоумышленники зарабатывают на партнерских программах рекламных сетей, и с каждым днем растет их интерес к пользователям Apple-совместимых компьютеров. Ярким примером подобного ПО может служить обнаруженный недавно Trojan.Yontoo.1.

Эта троянская программа проникает на компьютер жертвы различными способами. Например, с целью распространения троянца злоумышленники создали специальные веб-страницы с анонсами фильмов, при открытии которых в верхней части окна демонстрируется стандартное предложение установки плагина для браузера. На самом деле данный диалог лишь имитирует традиционную панель, демонстрируемую пользователям в случае необходимости установки какого-либо дополнения или надстройки, и создан злоумышленниками специально, чтобы ввести потенциальную жертву в заблуждение. После нажатия на кнопку Install the plug-in происходит перенаправление пользователя на сайт для загрузки приложения, детектируемого антивирусным ПО «Доктор Веб» как Trojan.Yontoo.1.

screen

Злоумышленники предусмотрели несколько альтернативных способов распространения этой угрозы. Например, жертва может загрузить троянца под видом медиаплеера, программы для улучшения качества просмотра видео, «ускорителя» загрузки файлов из Интернета и т. д.

После запуска Trojan.Yontoo.1 демонстрирует на экране диалоговое окно программы, предлагающей инсталлировать приложение под названием Free Twit Tube.

screen

Однако вместо заявленной программы после нажатия на кнопку Continue троянец загружает из Интернета и устанавливает специальный плагин Yontoo для наиболее популярных среди пользователей Mac OS X браузеров: Safari, Chrome и Firefox. Этот плагин в процессе просмотра веб-страниц в фоновом режиме передает на удаленный сервер данные о том, какую веб-страницу открыл в своем браузере пользователь.

screen

В ответ данное дополнение получает от злоумышленников специальный файл, позволяющий встраивать в просматриваемые пользователем веб-страницы различные рекламные модули от сторонних партнерских программ. Вот так, например, будет выглядеть на инфицированном компьютере веб-страница сайта apple.com:

screen

Такие расширения для браузеров детектируются антивирусным ПО как Adware.Plugin. Следует отметить, что аналогичная схема распространения «рекламного троянца» существует и для пользователей ОС Windows.

ИСТОЧНИК

«Лаборатория Касперского» объявила об обнаружении miniFlame
(http://www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya)
— небольшой и очень гибкой вредоносной программы, предназначенной
для кражи данных и управления зараженными системами в ходе точечных
атак, проводимых с целью кибершпионажа.

Программа miniFlame, известная также как SPE, была обнаружена экспертами
«Лаборатории Касперского» в июле 2012 года и первоначально
была идентифицирована как модуль вредоносной программы Flame. В сентябре
2012 года, после изучения серверов управления Flame, стало ясно, что
модуль miniFlame является интероперабельным и может применяться
одновременно и в качестве автономной вредоносной программы, и в качестве
плагина для вредоносных программ Flame
(https://www.securelist.com/ru/blog/207763998/Flame_chasto_zadavaemye_voprosy)
и Gauss (http://www.kaspersky.ru/news?id=207733820). Обнаружение

miniFlame был обнаружен в ходе детального анализа вредоносных программ
Flame и Gauss. В июле 2012 года эксперты «Лаборатории
Касперского» выявили дополнительный модуль Gauss под кодовым
названием «John» и обнаружили ссылки на аналогичный модуль в
конфигурационных файлах Flame. Последующий анализ серверов управления
Flame
(http://www.securelist.com/ru/blog/207764193/Polnyy_analiz_komandnykh_serverov_Flame),
осуществленный в сентябре 2012 года, позволил прийти к заключению, что
вновь обнаруженный модуль является в действительности отдельной
вредоносной программой, несмотря на то, что он может работать совместно
как с Gauss, так с Flame. На серверах управления Flame программа
miniFlame значилась под кодовым названием SPE.

«Лаборатория Касперского» обнаружила шесть различных
вариантов miniFlame, причем все датируются 2010-2011 годами. В то же
время, анализ miniFlame указывает на еще более раннюю дату начала
разработки — не позднее 2007 года. Возможность использования
miniFlame в качестве плагина как к Flame, так и к Gauss ясно указывает
на взаимодействие между группами разработчиков, ответственных за
создание этих вредоносных программ. Поскольку связь между Flame и
Stuxnet/Duqu уже установлена, можно сделать вывод, что все эти программы
созданы на одной и той же «фабрике кибероружия». Функционал

Учитывая подтвержденную взаимосвязь между miniFlame, Flame, и Gauss,
вероятно, что miniFlame устанавливался на компьютерах, уже зараженных
Flame или Gauss. Проникнув в систему, miniFlame выполняет функции
бэкдора, позволяя оператору вредоносной программы получить с зараженной
машины любой файл. В число дополнительных возможностей, связанных с
кражей данных, входит создание снимков экрана зараженного компьютера при
работе в отдельных программах и приложениях, таких как браузеры,
программы Microsoft Office, Adobe Reader, сервисы мгновенного обмена
сообщениями и FTP-клиенты. miniFlame передает украденные данные,
соединившись со своим сервером управления (который может быть выделенным
или общим с Flame). Кроме того, по запросу оператора сервера управления
miniFlame на зараженную систему может быть загружен дополнительный
модуль для кражи данных, заражающий USB-накопители и использующий их для
хранения данных, собранных на зараженных машинах, в отсутствие
интернет-соединения.

«miniFlame представляет собой инструмент для проведения
высокоточных атак. Вероятнее всего, это кибероружие с четко
обозначенными целями, применяемое в ходе того, что можно назвать второй
волной кибератаки, — комментирует главный антивирусный эксперт
«Лаборатории Касперского» Александр Гостев. — Вначале
используется Flame или Gauss для заражения как можно большего числа
жертв и сбора значительного объема информации. После этого собранные
данные анализируются, определяются и идентифицируются потенциально
интересные жертвы, и уже на их компьютерах устанавливается miniFlame для
осуществления углубленной слежки и кибершпионажа. Обнаружение miniFlame
дало нам дополнительные доказательства взаимодействия между создателями
наиболее примечательных вредоносных программ, применяемых в качестве
кибероружия: Stuxnet, Duqu, Flame и Gauss». Основные результаты
исследования
*  miniFlame, известный также как SPE, основан на той же
архитектурной платформе, что и Flame. Он способен функционировать как
самостоятельная программа для осуществления кибершпионажа или в качестве
компонента, входящего в состав как Flame, так и Gauss.
*  Этот
инструмент кибершпионажа выполняет функции бэкдора, обеспечивая
возможность кражи данных и непосредственного управления зараженными
системами.
*  Судя по всему, разработка miniFlame началась еще в 2007
году и продолжалась до конца 2011 года. Скорее всего было  создано
большое число модификаций программы. На сегодняшний день
«Лаборатории Касперского» удалось выявить шесть вариантов,
принадлежащих двум основным поколениям: 4.x and 5.x.
*  В отличие от
Flame и Gauss, на счету которых большое число заражений, количество
систем, зараженных miniFlame, значительно меньше. Исходя из имеющихся у
«Лаборатории Касперского» данных, число заражений находится
в диапазоне от 10 до 20 машин; при этом общее число зараженных miniFlame
компьютеров по всему миру оценивается в 50-60 машин.
*  Малое число
компьютеров, зараженных miniFlame, в сочетании с функционалом кражи
данных и гибкими возможностями применения свидетельствует о том, что
вредоносная программа использовалась лишь для узкоцелевых операций,
связанных с кибершпионажем и, вероятно, развертывалась на машинах, уже
зараженных Flame или Gauss.

Дополнительную информацию о miniFlame можно найти на сайте:
www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya
(http://www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya).