Записи с меткой «microsoft windows»

Первый месяц 2013 года не преподнес сюрпризов — видимо, сказались долгие новогодние каникулы, на время которых вирусописатели перебрались в теплые края. Основной январской тенденцией стала очередная волна распространения вредоносных программ семейства Trojan.Mayachok, а также появление новых угроз как для операционной системы Windows, так и для мобильной платформы Android.

Вирусная обстановка

В январе 2013 года в абсолютные лидеры среди угроз, обнаруженных на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, выбилась троянская программа Trojan.Mayachok.2. Напомним, что Trojan.Mayachok.2, детектируемый антивирусным ПО Dr.Web еще с весны 2011 года, стоит особняком среди других версий этой весьма распространенной вредоносной программы, поскольку в отличие от них является VBR-буткитом. Иными словами, этот троянец заражает загрузочную запись VBR (Volume Boot Record) при условии, что файловая система инфицированного компьютера имеет формат NTFS. При этом Trojan.Mayachok.2 снабжен драйверами как для 32-разрядной, так и для 64-разрядной версий Microsoft Windows. Основное функциональное назначение этой вредоносной программы — блокировка доступа в Интернет и демонстрация в окне браузера предложения скачать «обновление безопасности», для загрузки которого жертве следует указать в соответствующей форме свой номер мобильного телефона и ввести пришедший в ответном СМС код. Таким образом пользователь соглашается с условиями платной подписки, за которую с его счета мобильного телефона будет регулярно списываться определенная сумма.

screen

screen

screen

Поскольку вредоносный объект, подменяющий просматриваемые пользователем веб-страницы, находится в оперативной памяти компьютера, переустановка браузеров, использование служебной программы «Восстановление системы» и даже запуск Windows в режиме защиты от сбоев не позволяют избавиться от троянца. Наиболее эффективным методом лечения заражения является только сканирование инфицированного компьютера с помощью лечащих утилит Dr.Web CureIt! и Dr.Web LiveCD. Подробный технический анализ данной угрозы приведен в опубликованной нами статье.

Соответственно, среди обнаруженных утилитой Dr.Web CureIt! угроз велико количество детектов троянца Trojan.Mayachok в оперативной памяти инфицированных компьютеров (более 40 000 случаев), также в январе на компьютерах пользователей часто выявлялся троянец Trojan.Mayachok.18550. По-прежнему чрезвычайно распространены среди пользователей ПК платные архивы, детектируемые антивирусным ПО Dr.Web как семейство угроз Trojan.SMSSend, велико число заражений троянской программой BackDoor.IRC.NgrBot.42. Сводные данные о 20 наиболее распространенных угрозах, обнаруженных в январе 2013 года на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, представлены в опубликованной ниже таблице:

Название %
Trojan.MayachokMEM.4 4.85
Trojan.Mayachok.2 2.39
Trojan.SMSSend.2363 2.26
Trojan.Mayachok.18550 1.50
BackDoor.IRC.NgrBot.42 0.94
Trojan.BhoSiggen.6713 0.87
Trojan.StartPage.48148 0.85
Trojan.DownLoader7.16737 0.75
Win32.HLLP.Neshta 0.71
Trojan.Hosts.5268 0.66
Win32.HLLW.Phorpiex.54 0.64
Trojan.Mayachok.18024 0.60
Trojan.Mayachok.18397 0.59
Win32.Sector.22 0.54
Trojan.Mayachok.17994 0.53
Trojan.Mayachok.1 0.47
Win32.HLLW.Gavir.ini 0.46
Trojan.Click2.47013 0.46
BackDoor.Butirat.245 0.45
Trojan.Mayachok.18566 0.45

Ботнет BlackEnergy возрождается

В январе 2013 года специалистами компании «Доктор Веб» было зафиксировано появление новой модификации вредоносной программы BlackEnergy, получившей наименование BackDoor.BlackEnergy.36. О ликвидации бот-сети BlackEnergy — крупнейшего ботнета, предназначенного для рассылки спама — летом 2012 года сообщили многие мировые СМИ. В период своей максимальной активности бот-сеть BlackEnergy рассылала более 18 миллиардов писем в день, однако благодаря усилиям специалистов по информационной безопасности уже к осени прошлого года основные управляющие серверы BlackEnergy были ликвидированы, а к началу зимы активность ботнета практически сошла на нет.

Однако уже в январе 2013 года злоумышленники предприняли попытку создания новой бот-сети с использованием вредоносной программы BackDoor.BlackEnergy.36. Основных отличий этой модификации троянца от его предыдущих редакций два: конфигурационный файл троянца хранится в зашифрованном виде в отдельной секции динамической библиотеки, которая, в свою очередь, содержится в одной из секций троянца и при его запуске встраивается в процесс svchost.exe или в explorer.exe. Помимо этого, злоумышленники немного изменили сетевой протокол, с использованием которого BackDoor.BlackEnergy.36 обменивается данными с управляющим центром. В первое время злоумышленники не отдавали ботам каких-либо команд, вероятно, ожидая, пока растущий ботнет достигнет определенных размеров, однако вскоре с использованием бот-сети была предпринята попытка DDoS-атаки на один из популярнейших в российском Интернете развлекательных ресурсов. Троянец был обнаружен в ходе мониторинга деятельности другого широко распространенного ботнета — BackDoor.Andromeda. Более подробную информацию об этой угрозе можно почерпнуть из опубликованного на сайте drweb.com новостного материала.

Угрозы для Android

Большая популярность мобильных устройств под управлением ОС Android привела к закономерному увеличению интереса злоумышленников к персональной информации, хранимой на таких устройствах. Наметившаяся в 2012 году тенденция к увеличению числа вредоносных и потенциально опасных приложений, предназначенных для получения различных конфиденциальных сведений, продолжилась и с началом нового 2013 года.

Так, в начале января был обнаружен очередной Android-троянец, который представлял угрозу для японских пользователей и предназначался для кражи сведений, содержащихся в телефонной книге их мобильных устройств. Как и другие подобные вредоносные приложения, Android.MailSteal.2.origin распространялся при помощи спам-писем, которые содержали предложение установить ту или иную полезную программу. Перейдя по указанной ссылке, доверчивый пользователь попадал на сайт, имитирующий официальный каталог Google Play, и, ничего не подозревая, мог установить себе троянца. Примечательно, что злоумышленники попытались разнообразить «каталог», предлагая к загрузке сразу несколько различных «приложений», однако во всех случаях это была одна и та же вредоносная программа. В процессе работы Android.MailSteal.2.origin действовал по уже отработанной схеме: после запуска он уведомлял пользователя о выполнении предварительной настройки, однако через некоторое время сообщал о невозможности работы на целевом мобильном устройстве. Одновременно с этим троянец скрытно выполнял поиск контактов в телефонной книге и при их обнаружении загружал соответствующую информацию, такую как адреса электронной почты и номера телефонов, на удаленный сервер. Полученные сведения в дальнейшем могут быть использованы злоумышленниками для организации новых спам-кампаний или для продажи на черном рынке.

screen

Также в январе специалистами «Доктор Веб» было обнаружено существенное число новых коммерческих шпионских приложений: Program.SpyMob.origin, Program.MSpy.2.origin, Android.Phoggi.1.origin, Program.OwnSpy.1.origin, Program.Copyten.1.origin, Program.Spector.1.origin. Кроме того, в вирусные базы были внесены сведения о модификациях этих шпионских программ, доступных для мобильной платформы BlackBerry. Ими стали BlackBerry.Phoggi, Program.Spector.1, Program.Spector.2, Program.Spector.3.

Напомним, что коммерческие шпионские программы позволяют контролировать самые разнообразные функции мобильных устройств: отслеживать СМС-переписку, входящие и исходящие телефонные звонки, получать GPS-координаты пользователя и т. д. Помимо легального применения, очень часто такое программное обеспечение может быть использовано без ведома владельца устройства, поэтому его конфиденциальная информация может подвергаться существенному риску. Большое число новых семейств коммерческих шпионских приложений, обнаруженных в январе, говорит о том, что на подобные услуги имеется достаточный спрос, и число таких программ в ближайшее время будет стабильно увеличиваться.

screen

Другие угрозы января

В начале января 2013 года специалистами компании «Доктор Веб» была обнаружена новая троянская программа BackDoor.Finder, получившая наиболее широкое распространение на территории США. Троянец встраивается в процессы наиболее популярных браузеров (Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape или Avant), после чего перехватывает обращения пользователей к сайтам различных поисковых систем (google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, http://www.wiki.com, http://www.alexa.com или yandex.com) и демонстрирует вместо результатов поиска специально подготовленные злоумышленниками ссылки. Подробнее об этой вредоносной программе можно прочитать в опубликованной на нашем сайте статье.

Также в январе был зафиксирован факт распространения новой модификации давно известной вредоносной программы семейства BackDoor.ButiratBackDoor.Butirat.245. Данный троянец способен загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов. Дополнительные сведения о данной угрозе можно получить в размещенном на сайте drweb.com новостном материале.

Вредоносные файлы, обнаруженные в почтовом трафике в январе

 01.01.2013 00:00 — 31.01.2013 23:00
1 JS.Redirector.162 1.11%
2 Trojan.PWS.Stealer.1932 0.73%
3 Win32.HLLM.MyDoom.54464 0.64%
4 Trojan.Oficla.zip 0.58%
5 BackDoor.Andromeda.22 0.54%
6 Trojan.PWS.Panda.547 0.47%
7 Trojan.PWS.Panda.655 0.47%
8 Win32.HLLM.MyDoom.33808 0.45%
9 Trojan.Winlock.7048 0.45%
10 Trojan.Packed.23728 0.41%
11 Win32.HLLM.Beagle 0.36%
12 Trojan.Inject.64560 0.36%
13 Win32.HLLM.Netsky.35328 0.26%
14 VBS.Rmnet.2 0.26%
15 Trojan.PWS.Stealer.715 0.26%
16 Win32.HLLM.Graz 0.26%
17 Trojan.PWS.Panda.2401 0.26%
18 BackDoor.Bebloh.21 0.24%
19 Trojan.PWS.Panda.786 0.24%
20 Win32.HLLM.Netsky.18401 0.24%

Вредоносные файлы, обнаруженные в январе на компьютерах пользователей

 01.01.2013 00:00 — 31.01.2013 23:00
1 JS.IFrame.363 0.75%
2 Tool.Unwanted.JS.SMSFraud.26 0.73%
3 SCRIPT.Virus 0.56%
4 Adware.Downware.774 0.47%
5 Tool.Unwanted.JS.SMSFraud.10 0.42%
6 Adware.Downware.179 0.41%
7 JS.IFrame.387 0.40%
8 Tool.Unwanted.JS.SMSFraud.30 0.38%
9 Adware.InstallCore.53 0.34%
10 Trojan.Fraudster.394 0.34%
11 Adware.Webalta.11 0.33%
12 Tool.Skymonk.11 0.32%
13 Trojan.SMSSend.2363 0.30%
14 JS.Redirector.175 0.29%
15 Trojan.Hosts.6613 0.28%
16 Win32.HLLW.Shadow 0.28%
17 Win32.HLLW.Autoruner.59834 0.27%
18 Adware.Downware.804 0.26%
19 Trojan.Fraudster.245 0.25%
20 JS.IFrame.356 0.25%
Скачать в pdf

Дата составления
4.10.12
Текущий уровень опасности
Высокий
Наиболее актуальные угрозы безопасности компаний* Типы угроз
Вредоносные программы, способные организовывать бот-сети — распределенные системы, состоящие из инфицированных компьютеров и управляемые одним или несколькими командными серверами.

* Актуальность угроз определяется не только количеством и разнообразием вредоносных программ, но и уровнем защиты от них в компаниях и организациях различного типа.

Тема выпуска: Ботнеты

Ботнет — это сеть компьютеров, зараженных вредоносной программой, которая позволяет преступным группировкам удаленно управлять зараженными машинами без ведома пользователя. Как правило, большинство современных ботов являются многофункциональными вредоносными приложениями, позволяющими злоумышленникам реализовывать широкий ассортимент различных угроз.

Типичные представители

  • Win32.Rmnet.12 — файловый вирус, в сети насчитывается более 4 миллионов инфицированных узлов, работающих под управлением Microsoft Windows;
  • Win32.Rmnet.16 файловый вирус, в сети насчитывается более 400 000 инфицированных узлов, работающих под управлением Microsoft Windows;
  • Backdoor.Flashback.39 троянская программа для Mac OS X; в пиковый период более были заражены более 800 000 машин;
  • Backdoor.Andromeda.22 — чрезвычайно распространенный троянец-бот, обладающий широким вредоносным функционалом, однако используемый в основном для загрузки на инфицированный компьютер других троянских программ;
  • Trojan.WinSpy обширное семейство вредоносных программ, некоторые версии используют руткит-технологии. Часто используется для загрузки на инфицированный компьютер других вредоносных приложений.

Цели организации ботнетов

Преступные группировки организуют и используют ботнеты в следующих целях:

  • Загрузка и установка на инфицированный компьютер по команде с удаленного сервера других вредоносных программ (так называемые троянцы-загрузчики, или даунлоадеры). Ярким представителем данного семейства является Backdoor.Andromeda.22. Услуга по загрузке на компьютеры пользователей вредоносных программ пользуется высоким спросом среди вирусописателей и успешно монетизируется злоумышленниками.
  • Проведение DDoS-атак (Distributed Denial-of-Service) на отдельные сайты и веб-сервисы. Данная услуга также широко востребована среди злоумышленников, промышляющих киберпреступлениями. Сетевые атаки могут использоваться в целях вымогательства, давления на конкурентов, дискредитации перед потенциальными клиентами.
  • Распространение спама с использованием инфицированных рабочих станций. При этом спам рассылается не только в виде электронной почты, но и в социальных сетях, форумах, блогах.
  • Удаленное управление инфицированными компьютерами, возможность хищения хранящихся на локальных дисках файлов.
  • Прямое вымогательство финансовых средств у пользователя инфицированного компьютера (Trojan.Mayachok.1).
  • Хищение конфиденциальной информации (в том числе логинов и паролей) методом анализа трафика, осуществления веб-инжектов, похищения файлов cookies, кейлоггинга (перехвата нажатий клавиш), пересылки злоумышленникам снимков экрана, иных методов (Win32.Rmnet.12, Win32. Rmnet.16) .
  • Хищение информации для доступа к системам дистанционного банковского обслуживания (ДБО), что позволяет злоумышленникам получить доступ к банковским счетам предприятия (Trojan.PWS.Panda, Trojan.Carberp).
  • Перенаправление браузера пользователя на принадлежащие злоумышленникам веб-страницы. При этом могут преследоваться различные цели: фишинг, загрузка на компьютер пользователя вредоносного ПО с использованием уязвимостей, «накрутка» посещаемости некоторых интернет-ресурсов.
  • Использование инфицированных компьютеров в качестве прокси-серверов для анонимизации доступа злоумышленников в Интернет.

Получив несанкционированный доступ к инфицированному компьютеру, злоумышленники могут:

  • установить на инфицированную рабочую станцию любую другую (в том числе вредоносную) программу;
  • просматривать любые хранящиеся на компьютере файлы, копировать и передавать их на собственный управляющий сервер;
  • работать в Интернете, используя инфицированный компьютер в качестве промежуточного узла, в том числе совершая различные противоправные действия, например сетевые атаки. В файлах журналов атакованных узлов при этом останется IP-адрес инфицированного компьютера;
  • перехватывать пароли от различных приложений, FTP-клиентов, интернет-сервисов, служб электронной почты;
  • получать снимки экрана и перехватывать изображение с подключенной к компьютеру веб-камеры;
  • анализировать и перенаправлять сетевой трафик, в том числе с целью извлечения паролей. Перенаправление может происходить в зависимости от заданных условий — в том числе в зависимости от введенных пользователем поисковых запросов;
  • подменять открываемые в браузере веб-страницы, в том числе для получения несанкционированного доступа к системам дистанционного банковского обслуживания (ДБО);
  • отдавать установленной на инфицированном ПК вредоносной программе различные команды;
  • полностью уничтожить операционную систему на зараженном компьютере.

Хищение персональных данных может вызвать такие последствия для жертвы, как:

  • Рассылка от имени жертвы спам-сообщений по электронной почте и в социальных сетях.
  • В случае дискредитации паролей к FTP-клиентам и панелям управления веб-сайтами (CMS) — установка злоумышленниками на принадлежащие жертве веб-сайты скриптов, осуществляющих перенаправление посетителей на принадлежащие злоумышленникам веб-страницы или загрузку на их компьютеры вредоносного ПО.
  • Получение злоумышленниками несанкционированного доступа к системам «Банк-Клиент» и другим системам ДБО.
  • Получение злоумышленниками несанкционированного доступа к счетам пользователя в электронных платежных системах (WebMoney, «Яндекс. Деньги» и т. д.).

Кроме вышеописанного, попадание в ботнет может привести к:

  • отключению провайдером доступа в Интернет при выявлении фактов распространения из инфицированной сети вредоносного ПО, спама или массового DDoS-трафика;
  • значительному снижению быстродействия инфицированных рабочих станций и локальной сети;
  • отказу ОС на отдельных инфицированных компьютерах.

Типичные пути заражения

Как правило, заражение происходит:

  • Путем саморепликации вредоносной программы: самостоятельного (без участия пользователя) копирования вредоносной программы на сменные носители и общедоступные ресурсы локальной сети с заражением исполняемых файлов, динамических библиотек и других типов файловых объектов. Подобным образом распространяются файловые вирусы, такие как Win32.Rmnet.16 или Win32.Rmnet.12, заразивший более 4 млн компьютеров по всему миру.
  • Путем загрузки на инфицированный компьютер другими вредоносными программами (Backdoor.Andromeda.22) .
  • При посещении инфицированных веб-сайтов и в момент просмотра веб-страниц, содержащих известные уязвимости браузеров или ОС. При этом жертва может даже не заметить самого момента заражения (Backdoor.Flashback.39) .
  • При открытии вложений в сообщения электронной почты, полученные в спам-рассылке.
  • С использованием методов социальной инженерии. Например, для просмотра размещенного на сайте видеоролика пользователю предлагается загрузить кодек или обновление, под видом которого распространяется вредоносная программа.
  • С применением специально «забытых» и заранее инфицированных флешек либо других носителей информации.

Методы противодействия обнаружению

Некоторые вредоносные программы могут использовать следующие методы противодействия их обнаружению:

  • Антиотладка. Вредоносная программа пытается определить, не запущена ли она в виртуальной машине, не загружен ли на инфицируемом компьютере отладчик или антивирусная программа (например, методом перечисления запущенных процессов).
  • Использование руткит-технологий. В частности, с применением специальных драйверов файловой системы вредоносная программа может скрыть присутствие своих компонентов на диске зараженного компьютера.
  • Заражение главной загрузочной записи (MBR), хранение компонентов за пределами таблиц разделов. Некоторые вредоносные программы могут инфицировать главную загрузочную запись (MBR) и сохранять свои компоненты в свободной области дискового пространства. Получив управление в процессе загрузки ОС, троянец считывает хранящиеся за пределами файловых таблиц модули непосредственно в оперативную память инфицированного компьютера.
  • Исполнение в контексте других запущенных процессов. Некоторые вредоносные программы имеют возможность встраиваться в запущенные процессы (в том числе в процессы операционной системы) и работать «внутри» данных процессов.
  • Обфускация и криптование. Нередко злоумышленники шифруют тело вредоносной программы с использованием различных программных упаковщиков с целью сбития сигнатурного детекта антивирусной программой. Иногда насчитывается до нескольких сотен зашифрованных различными упаковщиками модификаций одной и той же вредоносной программы.
  • Организация шифрованного виртуального диска (BackDoor.Tdss).
  • Блокировка и обход файерволов (в том числе Windows Firewall), что обеспечивает беспрепятственное получение управляющих сообщений. В том числе использование протокола SOCKS для получения доступа к сервисам.
  • Постоянное изменение реальных адресов управляющего сервера, а также генерация доменных имен по псевдослучайному принципу, благодаря чему все боты одновременно формируют один и тот же перечень имен — и обращаются к ним.

Методы перехвата информации

  • Перехват нажатий клавиш, а также получение скриншотов в реальном времени — для перехвата ввода с виртуальной клавиатуры (Trojan.PWS.Panda).
  • Получение скриншота в области экрана, где была нажата левая кнопка мыши, после захода на нужный URL (Trojan. PWS.Panda).
  • Анализ трафика и перехват интересующих данных (Trojan. PWS.Panda).
  • Получение любых импортируемых сертификатов, а также использованных при удачной авторизации логинов/паролей. В том числе к приложениям, использующим протоколы POP3 и FTP вне зависимости от порта (Trojan. PWS.Panda) .
  • Перехват HTTP/HTTPS запросов (Trojan. PWS.Panda).
  • Анализ и подмена страниц, используемых для ввода банковской информации. Кража TAN-кода (кода активации для проведения платежной операции) (Trojan. PWS.Panda).
  • Анализ передаваемых (POST) на определенные адреса данных (Trojan. PWS.Panda).
  • Получение данных из буфера обмена (Trojan. PWS.Panda) .
  • Поиск интересующих файлов и данных с дальнейшим их удалением или закачкой на удаленный сервер (Trojan. PWS.Panda).
  • Анализ файлов cookie (данных, связанных с определенным веб-сервером и хранимых на компьютере) и данных сохраненных форм (Trojan. PWS.Panda) .
  • Веб-инжекты — встраивание в веб-страницы постороннего кода.
  • Сбор и отправка на удаленный сервер информации о программно-аппаратной конфигурации ПК.

Обязательные средства защиты

Средство защиты Необходимость применения
Постоянная антивирусная защита Позволяет гарантированно обнаруживать вредоносные файлы известных типов, а также вредоносные файлы, неизвестные антивирусу, но действующие в соответствии с известными антивирусному ядру алгоритмами действия.
Антивирусный сканер Периодическая глубокая проверка дает возможность обнаружения угроз, отсутствовавших в вирусных базах на момент проникновения.
Система ограничения доступа Позволяет ограничить количество посещаемых интернет-ресурсов до необходимого минимума, что минимизирует риск заражения с сайтов, заведомо содержащих вредоносные объекты.
Система ограничения использования внешних устройств Позволяет исключить риск заражения с внешних устройств, в том числе флеш-накопителей.
Формирование списка разрешенных приложений Позволяет уменьшить риск запуска неизвестных приложений без их предварительной проверки на безопасность.
Система проверки интернет-трафика Позволяет исключить использование уязвимостей клиентского ПО за счет проверки трафика до его поступления в приложения.
Система поверки интернет-ссылок Позволяет исключить возможность перехода на зараженные и мошеннические ресурсы.
Корпоративный брандмауэр Позволяет минимизировать риск организации сетевой атаки на ресурсы компании.
Персональный брандмауэр Исключение возможности атаки через открытые порты.
Система установки обновлений безопасности Позволяет минимизировать возможность проникновения через известные уязвимости.

* Перечисленные меры защиты должны быть реализованы для всех компьютеров организации, в том числе не имеющих разрешения на выход в Интернет.

Кроме установки и настройки программных средств защиты, рекомендуется:

  1. ограничить права пользователей и запретить для них вход в систему с правами администратора;
  2. использовать стойкие пароли.

Рекомендуемые средства защиты

Средство защиты Необходимость применения
Система защиты каналов передачи данных Обеспечивает безопасный доступ к внешним ресурсам компании, в том числе облачным.
Использование системы удаленного управления мобильным устройством в случае его утери или кражи Система Антивор позволяет исключить риск утечки конфиденциальной информации (включая пароли доступа к внутренним ресурсам) в случае кражи устройства.
Система сбора информации для служб технической поддержки
  • Позволяет исключить возможность отключения пользователями систем защиты.
  • Позволяет устанавливать единые для всей компании или групп пользователей правила информационной безопасности.
  • Позволяет в случае возникновения той или иной угрозы мгновенно менять настройки системы безопасности.
Корпоративная система защиты от атак Позволяет обеспечить бесперебойную работу ресурсов компании, а также доступ к внешним, в том числе облачным сервисам.
Система резервного копирования и архивирования Обеспечивает восстановление поврежденных ресурсов.*
Система защиты от спама Позволяет обеспечить защиту от проникновения вредоносных программ через спам-сообщения, а также защиту от фишинга.
Система выявления уязвимостей Периодическое применение системы позволяет находить и устранять возможные уязвимости защищаемой системы.
Система сбора и анализа статистики Дает возможность контролировать уровень защищенности компании в режиме реального времени, определять источники заражения.

* Восстанавливаемые ресурсы должны проверяться на наличие ранее неизвестных вредоносных программ.

Рекомендуется установить системы защиты — в первую очередь антивирусные — не только на компьютеры и серверы компании, но и на мобильные и домашние компьютеры ее сотрудников, а также их смартфоны.

Причина актуальности угроз

Вышеперечисленные угрозы имеют крайне высокий уровень опасности в связи с:

  • наличием прямого неконтролируемого доступа к ресурсам сети Интернет;
  • уверенностью большинства пользователей в том, что сам факт использования антивируса является гарантией непроникновения вредоносного кода.

Скомпрометированные средства защиты*

Средство защиты Методы обхода системы защиты
Использование антивируса в качестве единственного средства защиты от вирусов Некоторые современные вредоносные программы обладают эффективными средствами обхода антивирусной защиты. Использование методов криптования вредоносного ПО позволяет злоумышленникам оперативно создавать образцы уже известных угроз, сигнатуры которых добавляются в вирусные базы спустя некоторое время после появления троянца.
Парольная защита Использование методов социальной инженерии.
Ограничение прав пользователей и списка используемых приложений
  • Проникновение через уязвимости используемых целевой группой приложений, в том числе Adobe Reader, Adobe Flash, приложения для работы с финансовыми средствами.
  • Внедрение вредоносных программ во время работы под административным аккаунтом обслуживающего персонала.
Использование операционных систем, для которых имеется относительно небольшое количество вредоносных программ
  • Использование методов социальной инженерии.
  • Внедрение вредоносных программ через малоизвестные уязвимости.

Пример настройки средств защиты

Для периодической проверки системы можно, кроме сканера, входящего в состав используемого антивируса, использовать утилиту Dr.Web CureNet!.

Для получения Dr.Web CureNet! необходимо зарегистрировать серийный номер на данный продукт на странице products.drweb.com/register. Непосредственно дистрибутив формируется в момент регистрации — с последними вирусными базами. Если серийный номер Dr.Web CureNet! уже был зарегистрирован, то просто нужно зайти в «Личный кабинет» Dr.Web CureNet! и скачать актуальную версию диcтрибутива.

Все проверяемые компьютеры должны быть настроены на работу в той же сети, в которой находится компьютер, с которого будет осуществляться проверка.

После запуска и развертывания продукта:

  • Обновите вирусные базы
  • Укажите необходимые настройки
  • Создайте список станций сети, на которых будет проводиться антивирусная проверка
  • Запустите проверку

    ИСТОЧНИК

Компания «Доктор Веб» предупреждает пользователей о широком распространении с 22 октября 2012 года вредоносного спама якобы от популярного интернет-магазина Amazon.com. Эти письма содержат предложение загрузить лицензию на Microsoft Windows, однако, переходя по ссылке, пользователь заражается сразу двумя вредоносными программами (Trojan.Necurs.97 и BackDoor.Andromeda.22), которые готовы в любой момент по заказу злоумышленников переправить на компьютеры жертв другое вредоносное ПО.

С 22 октября 2012 года пользователи Интернета стали регулярно получать по электронной почте сообщения, отправителем которых якобы является интернет-магазин Amazon.com. Письма имеют заголовок Order N [случайное число] и следующее содержимое:

Hello,

You can download your Microsoft Windows License here.

Microsoft Corporation

Каждое такое сообщение содержит ссылку на веб-страницу, включающую сценарий, при выполнении которого посетитель переадресовывается на другой веб-сайт. В свою очередь этот сайт передает браузеру файл, содержащий сценарий на языке JavaScript, при выполнении которого на компьютер пользователя загружаются две вредоносные программы: широко известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97.

Троянец Trojan.Necurs.97 обладает способностью к саморазмножению, в том числе может инфицировать съемные накопители и общие ресурсы локальной сети. После своего запуска троянец создает в отдельной папке исполняемый файл, а также вносит изменения в системный реестр с целью обеспечить автоматический запуск данного файла в процессе загрузки Windows. После этого троянец ищет в памяти запущенные процессы браузеров Internet Explorer и Mozilla Firefox и в случае их обнаружения пытается встроить в них собственный код. Затем Trojan.Necurs.97 пытается скопировать себя на все доступные в системе съемные носители, сохраняя на них собственную копию под случайным именем, после чего создает в корневой папке накопителя файл autorun.inf с целью обеспечения автоматического запуска троянца при каждом подключении устройства.

Троянец Trojan.Necurs.97 устанавливает соединение с принадлежащими злоумышленникам удаленными серверами, сообщает об успешной установке в инфицированную систему и ожидает поступления команд, среди которых можно отметить команду загрузки на зараженный компьютер различных приложений и передачу на удаленный сервер файлов с локального компьютера.

Специалисты компании «Доктор Веб» призывают пользователей проявлять осторожность и не переходить по ссылкам в сообщениях электронной почты, полученных из неизвестных источников.