Записи с меткой «web»

Встречаются русский, немец и поляк: особенности национальной киберохоты

Эксперты «Лаборатории Касперского» составили общую картину киберугроз для россиян, сравнив их с опасностями, подстерегающими пользователей в других странах — Германии, Польше, Китае и США. Данные для исследования были получены от пользователей, согласившихся отправлять статистику срабатывания защитных механизмов продуктов «Лаборатории Касперского» в облачный сервис Kaspersky Security Network.

Согласно полученным данным, российские пользователи «лидируют» по количеству срабатываний веб-антивируса — в среднем это происходит 37 раз за год. За ними следуют жители Германии и США (18 и 11 соответственно). Реже всего эти инциденты происходят у пользователей из Китая — 8 раз в год. Такую же диспозицию можно наблюдать в рейтинге пользователей, у которых веб-антивирус сработал как минимум один раз: Россия имеет самый высокий показатель — 54,5%, а Китай — самый низкий, 32%.

Сравнение статистики по компьютерным угрозам в различных странах

Отдельного внимания заслуживает специфика распространения программ-вымогателей, в том числе нашумевшего в этом году троянца Cryptolocker, искажающего данные на жестком диске пользователя с помощью криптографических преобразований, а затем требующего денежного перевода для их дешифрования. Cryptolocker получил наибольшее распространение в англоговорящих странах: так, в США зарегистрировано более 1200 заражений. В идущем с большим отставанием Китае количество жертв этого троянца на порядки ниже и измеряется несколькими десятками. В Германии, России и Польше число подобных инцидентов было минимально.

Также подтверждается наблюдаемая в течение многих месяцев тенденция расположения вредоносных серверов в США и России — 45% всех веб-атак в 2013 году, проводились с использованием вредоносных ресурсов, расположенных на территории этих стран. Германия в мировом рейтинге занимает 4 место c долей 12,5%. Интересно, что из первой десятки выбыл Китай, властям которого в последние годы удалось убрать из локального киберпространства множество вредоносных хостингов, а также ужесточить правила регистрации доменов в зоне .cn. После этого доля вредоносных хостингов в Китае резко сократилась: если в 2010 году Китай занимал 3 место, то по итогам 2013 года он опустился 21-ю позицию в рейтинге.

По риску локального заражения из 5 рассмотренных стран лидирует Китай с уровнем 47%. За ним следует Россия с долей 42% — обе страны относятся к группе с высоким уровнем заражения. Оставшаяся тройка отнесена к группе «среднего уровня» — США демонстрирует наименьший из 5 стран уровень риска 29%. Следует отметить, что уязвимости операционных систем зачастую являются причиной успешного проведения атак. При этом многие пользователи во всем мире по-прежнему предпочитают Windows XP, несмотря на сомнения многих экспертов в безопасности этой системы и объявление Microsoft о намерении завершить в апреле следующего года ее поддержку.

«Несмотря на различия показателей по количеству срабатываний антивируса и риску заражения в Интернете, способы проведения атак во всех странах схожи. В первую очередь, это атаки с использованием эксплойтов через уязвимости веб-браузеров и их плагинов: так, если пользователь попадает на скомпрометированный сайт, он может подвергнуться заражению при наличии устаревших программных компонент на своем компьютере, — комментирует руководитель группы исследования уязвимостей Вячеслав Закоржевский, «Лаборатория Касперского». — Понимая разнообразие возможных способов заражения, в своих продуктах мы предоставляем защиту от полного спектра актуальных угроз, обеспечивая безопасность по всем фронтам для всех устройств и операционных систем».

Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории Касперского» пройдите, пожалуйста, по ссылке: http://www.kaspersky.ru/subscribe/.

Отменить подписку на данный новостной блок можно, посетив сайт компании по следующему адресу: http://www.kaspersky.ru/subscribe/news/unsubscribe?p=$q5MUM-4FSs1LWtMhmlGMX4WlxHU5ytoD_yr_8rqaY0p$

Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся под новости «Лаборатории Касперского», сообщаем, что оригинальные сообщения поставляются исключительно в формате html и никогда не содержат вложенных файлов. Если вы получили письмо, не удовлетворяющее этим условиям, пожалуйста, ни в коем случае не открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, сервисом Личный кабинет. Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/.

****

Служба новостей «Лаборатории Касперского»

Реклама

Dr.Web

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает об активном распространении вредоносных программ семейства Trojan.Hiloti, предназначенных для подмены поисковой выдачи. Злоумышленники организовали специальную партнерскую программу с целью увеличения количества установок вредоносного ПО, и используют в своих целях набор эксплойтов, при помощи которых троянские программы загружаются на компьютеры потенциальных жертв.

Термин «подмена выдачи» хорошо известен специалистам по информационной безопасности, а также многим пользователям Интернета, ставшим жертвами злоумышленников. Данную функцию реализует множество вредоносных программ: установившись на компьютере жертвы, такие троянцы отслеживают активность веб-браузеров, и при обращении пользователя к ресурсам поисковых систем вместо результатов поиска выдают пользователю ссылки на различные, в том числе мошеннические, сайты. К указанной категории относятся и троянцы семейства Trojan.Hiloti, отдельные представители которого получили распространение еще в 2010 году. На сегодняшний день в вирусных базах Dr.Web имеется более 80 записей, соответствующих различным версиям этой угрозы. Появление новых модификаций Trojan.Hiloti специалисты связывают с организацией партнерской программы Podmena-2014, к которой злоумышленники пытаются привлечь распространителей вредоносного ПО.

Вирусописатели предлагают владельцам сайтов разместить на своих площадках специальный сценарий, который с определенным интервалом загружает с сервера злоумышленников исполняемый файл вредоносной программы Trojan.Hiloti. Вместе с установщиком самого троянца распространяется модуль руткита, позволяющий скрывать работу вредоносной программы в инфицированной операционной системе. С целью усложнить детектирование Trojan.Hiloti исполняемый файл троянца автоматически переупаковывается на сервере злоумышленников через определенные промежутки времени.

Загрузка троянца на компьютеры потенциальных жертв осуществляется с использованием уязвимостей CVE-2012-4969, CVE-2013-2472, CVE-2013-2465 и CVE-2013-2551, а также методов социальной инженерии.

screenshot

1 — Заказчик заключает с партнерской программой соглашение о продвижении ссылок. 2 — Партнерская программа передает вредоносное ПО распространителям, которые размещают его на сайтах. 3 — При посещении сайтов распространителей вредоносного ПО инфицируется компьютер жертвы. 4 — При обращении к ресурсам поисковых систем жертва переходит по ссылкам, демонстрируемым в окне бразуера вредоносным ПО, информация об этом передается партнерской программе. 5 — Заказчик оплачивает партнерской программе переходы по ссылкам. 6 — Часть этих средств поступает распространителям вредоносного ПО.

Злоумышленники предлагают распространителям достаточно простую схему работы: те способствуют установке Trojan.Hiloti на компьютеры пользователей, разместив определенный код на принадлежащих им интернет-ресурсах, после чего при попытке жертвы выполнить какой-либо запрос на поисковом сайте троянец будет демонстрировать в окне браузера оплаченные рекламодателями ссылки вместо ожидаемой поисковой выдачи. В некоторых случаях переход пользователя по подобным ссылкам приводит к загрузке различных нежелательных приложений, таких как поддельные антивирусы, требующие оплаты за «лечение» компьютера. Распространители же получают процент от дохода, полученного злоумышленниками в рамках данной партнерской программы.

Несмотря на все ухищрения вирусописателей, троянцы семейства Trojan.Hiloti детектируются антивирусом Dr.Web, поэтому пользователи, установившие на своих компьютерах антивирусное ПО, разработанное компанией «Доктор Веб», защищены от этой угрозы. Вместе с тем, пользователям рекомендуется быть бдительными, не сохранять на диск и не запускать исполняемые файлы, загружаемые с подозрительных сайтов, а также вовремя устанавливать обновления операционной системы и прикладного ПО.

Источник

Dr.Web

Современный компьютерный «андеграунд» составляют не только представители разношерстного племени вирусописателей — не дремлют и сетевые мошенники, изыскивающие все новые и новые способы обмана пользователей Интернета. В этом небольшом обзорном материале специалисты компании «Доктор Веб» — российского производителя антивирусных средств защиты информации — собрали сведения о наиболее любопытных методах сетевого мошенничества, получивших широкое распространение в октябре 2013 года.

Среди значительного количества веб-сайтов, предлагающих различные методики исцеления от всевозможных болезней, нельзя не отметить отдельную категорию ресурсов, предлагающих приобрести лекарственные препараты, скачав их целительное излучение из Интернета. Действительно, зачем терять время в очередях к врачу и тратить свои силы на поход в аптеку, когда в нашем распоряжении имеется Всемирная паутина? «Работает» изобретенная жуликами технология следующим образом: пользователь должен вставить в пишущий привод своего компьютера чистый записываемый компакт-диск, «скачать» излучение нужного лекарства из специального «информационного центра», после чего дождаться окончания процесса записи «целебного излучения» на CD (он реализуется прямо в браузере при помощи высокотехнологичного таймера, написанного на языке JavaScript). Затем следует положить компакт-диск на «ровную, гладкую и, обязательно, стерильную» поверхность и поставить на него стакан с водой (тогда волшебное излучение таинственным образом изменит ее информационную структуру), либо просто приложить компакт-диск непосредственно к больному месту. По всей видимости, если вместо воды использовать более крепкий напиток, то процесс оздоровления можно сделать еще более увлекательным и эффективным.

screenshot

Специалисты компании «Доктор Веб», как истинные исследователи, решили провести эксперимент на себе и скачали с сайта «целительное излучение» препарата «Глюкофаж», которое, согласно появившемуся на сайте сообщению, спустя 11 минут было успешно записано на компакт-диск (даже несмотря на полное отсутствие на компьютере экспериментаторов оптических приводов). Никаких иных последствий в результате загрузки «Глюкофажа», к счастью, не обнаружилось. Создается впечатление, что этот способ мошенничества рассчитан на совсем уж наивных и доверчивых пользователей, однако число подобных интернет-ресурсов не уменьшается с течением времени, что позволяет сделать весьма неутешительные выводы.

Все большую и большую популярность набирают в Рунете площадки, торгующие различными техническими средствами, якобы затрудняющими идентификацию автомобильных номеров. Абсолютным лидером среди них в последние месяцы стали так называемые «нанономера» или «номера-невидимки». Несмотря на то, что само наименование «номера-невидимки» отчасти созвучно таким широко известным изделиям легкой промышленности, как «скатерть-самобранка» или «сапоги-скороходы», продавцы утверждают, что никакого волшебства в этой продукции нет. Наоборот: в ней используются самые передовые зарубежные нанотехнологии — а именно, покупателю предлагается наклеить на номерной знак своего автомобиля специальную прозрачную пленку с цифрами черного цвета, повторяющими шрифт номерного знака. Человеческий глаз наклейку различить не в состоянии, а инфракрасная аппаратура, используемая государственными контролирующими органами и дорожной полицией, такой номер якобы идентифицировать не может, поэтому владелец автомобиля запросто избежит штрафа за неправильную парковку или нарушение скоростного режима.

screenshot

Материалы, имеющие различный коэффициент отражения в разных оптических диапазонах, известны человечеству уже довольно давно, однако эффективность их применения против камер автоматической фиксации нарушений ПДД не подтверждается ничем, кроме «честного слова» самих интернет-торговцев. Кроме того, согласно российскому законодательству управление транспортным средством «с государственными регистрационными знаками, оборудованными с применением материалов, препятствующих или затрудняющих их идентификацию» влечет за собой наказание вплоть до лишения водительского удостоверения. То есть использование подобных «чудо-пленок» в любом случае абсолютно незаконно. Как бы то ни было, опытным экспертам хорошо известно, что на сегодняшний день существует лишь один-единственный реально работающий способ воспрепятствовать автоматической идентификации государственных регистрационных знаков с использованием специальных технических средств.

screenshot

Замыкают наш ежемесячный рейтинг сомнительных интернет-ресурсов сайты, предлагающие всем желающим приобрести уникальное и весьма своеобразное изделие под названием «Цилиндры Фараона».

screenshot

Согласно описанию, опубликованному на одном из подобных интернет-ресурсов, «цилиндры фараона» были созданы российскими учеными на основе древнеегипетских рукописей, чудом сохранившихся до наших дней. «Взяв цилиндры в руки, — пишут новоявленные египтологи, — физик ощутил нечто. Какое-то слабое, приятное, почти на грани ощущений, воздействие». Какого же эффекта можно достичь, если хорошенько взять в руки этот самый чудесный фараонов цилиндр? Авторы сайта утверждают, что весьма и весьма неожиданного: «снять головную боль, понизить высокое давление, улучшить сон и быстро восстановиться после физических нагрузок».

Можно предположить, что в скором времени на просторах Интернета появятся и другие чудесные средства для избавления от головной боли и высокого давления, аналогичные «Цилиндрам Фараона», например, «Поршни Клеопатры», «Клапаны Тамерлана», или, чего доброго, «Шаровые Опоры Цезаря». Ведь фантазия сетевых жуликов, как мы можем видеть, поистине неисчерпаема.

Призываем вас оставаться здравомыслящими и не выбрасывать деньги на ветер, соблазнившись столь неординарными предложениями тех, кто пытается нажиться на доверчивости и неопытности интернет-пользователей.

22 августа 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — подготовила обзор опасных шпионских приложений, предназначенных для работы в среде операционной системы iOS, которая, как принято считать, остается самой защищенной из мобильных платформ. Как и их аналоги, работающие на других ОС, такие программы позволяют злоумышленникам получать широкий спектр персональной информации пользователей: их СМС-сообщения, историю звонков, GPS-координаты, записи из телефонной книги, фотографии и т. п. Несмотря на то, что подобные продукты способны функционировать лишь на устройствах, имеющих т.н. jailbreak, исходящая от них угроза раскрытия строго конфиденциальных сведений весьма высока.

Владельцы мобильных устройств под управлением операционной системы iOS привыкли к тому, что они надежно защищены от вредоносных программ и атак киберпреступников, однако факт такой защищенности во многом справедлив лишь для тех пользователей, которые не вносили каких-либо модификаций в операционную систему. Если же на их мобильном устройстве выполнен jailbreak (разблокирован доступ к файловой системе), то им может угрожать вполне серьезная опасность раскрытия конфиденциальной информации, которая исходит от коммерческого шпионского ПО, и о такой угрозе большинство из них даже не подозревает.

Для того чтобы установить подобное приложение-монитор, злоумышленнику потребуется совсем немного времени. Все, что ему необходимо, — это получить физический доступ к мобильному iOS-устройству, загрузить программу из Интернета при помощи каталога Cydia (который практически всегда автоматически устанавливается при выполнении процедуры jailbreak) и настроить шпиона. Эти приложения работают незаметно для пользователя, скрытно отправляя все собранные данные на удаленный сервер, откуда при помощи зарегистрированной учетной записи заинтересованный в слежке человек может получить необходимую ему информацию. На представленных ниже изображениях показана процедура установки одного из таких шпионов.

screenshot screenshot screenshot screenshot screenshot screenshot
screenshot

Как видно на последнем изображении, успешно установленная программа отображается в списке каталога Cydia, однако она носит нейтральное название MessagingService, призванное сбить с толку неопытных владельцев взломанных iOS-устройств. Не исключено, что и более опытные пользователи не обратят внимания на приложение, похожее на один из системных компонентов, либо они просто не придадут его наличию особого значения. Практически все производители шпионских программ стараются минимизировать возможность легкого обнаружения их продукции, поэтому для наибольшей конспирации приложения-монитора ими часто используются названия, созвучные с приведенным выше. Например, возможны такие варианты как Radio, MobileService, Core Utilities и т. п.

screenshot

Важно также отметить, что в большинстве случаев коммерческое шпионское ПО для iOS не создает отдельный ярлык на рабочем столе, либо позволяет спрятать его через соответствующие настройки. В частности, им может быть активирован весь функционал, либо только необходимые функции. Более того, существуют способы скрыть значок и самого каталога Cydia, поэтому при хорошо спланированной атаке злоумышленники могут незаметно установить мобильного шпиона на заведомо защищенное iOS-устройство, выполнив на нем jailbreak.

После установки шпиона злоумышленнику необходимо выполнить его настройку. В частности, им может быть активирован весь функционал, либо только необходимые функции. Также на данном этапе часто имеется возможность задать периодичность, с которой приложение будет связываться с удаленным сервером для загрузки на него всей собранной информации.

screenshot
screenshot

После всех этих процедур готовая к работе шпионская программа начинает свою скрытую деятельность, фиксируя всю важную активность пользователя-жертвы и загружая собранные данные на сервер. Ниже показан пример управляющей веб-панели, содержащей сведения, которые могут быть получены в результате такой слежки.

screenshot screenshot screenshot screenshot
screenshot

В зависимости от разработчика и версий программ-мониторов, работающих в среде операционной системы iOS, их функционал может варьироваться. На диаграмме ниже наглядно продемонстрированы функции, наиболее часто встречающиеся в подобных программах.

screenshot

Из этой диаграммы становится видно, что в подавляющем большинстве случаев шпионское ПО позволяет вести наблюдение за всеми важными аспектами частной жизни пользователей iOS-устройств: от чтения их СМС и email-сообщений, до получения сведений об их контактах, планах, встречах и окружающей обстановке.

На данный момент вирусная база Dr.Web содержит более 50 записей для шпионских iOS-приложений, которые принадлежат к 15 различным семействам. Следующая диаграмма содержит сведения об их процентном распределении.

screenshot

Учитывая, что число iOS-устройств, подвергавшихся процедуре jailbreak, на данный момент может превышать 20 миллионов, а также то, что существует весьма высокая вероятность выполнения целенаправленного взлома остальных устройств, угроза кражи персональной информации шпионскими приложениями становится вполне ощутимой для многих пользователей мобильной продукции производства компании Apple. Для того чтобы обезопасить себя от потенциальной опасности раскрытия конфиденциальных сведений, рекомендуется соблюдать ряд простых, но важных правил:

  • не оставляйте надолго свое мобильное устройство в местах массового скопления незнакомых людей, даже если рядом с ним будут те, кому вы доверяете – подготовленный злоумышленник легко может обойти данное препятствие и без особого труда установить шпиона;
  • обращайте внимание на подозрительную активность мобильного устройства, например, на появление странных сообщений или изменений в графическом интерфейсе, причина которых вам неизвестна;
  • создайте заведомо «чистую» резервную копию содержимого вашего мобильного устройства: при необходимости вы сможете восстановить все важные данные, а также вернуть изначальное состояние операционной системы (в большинстве случаев jailbreak исправляется при помощи обновления или восстановления ОС).

Очередная волна троянцев-шифровальщиков — Вирусная рассылка для жителей Казахстана

Posted: Июнь 27, 2013 in Антивирус, Доктор Веб, Новости, антивирусы, атака, вирусы, компьютеры, люди, поиск, пользователи, программы, софт, срочно, техника, угрозы
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

20 июня 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о росте количества пользователей, пострадавших от действия троянцев-шифровальщиков. Наибольшее распространение получила вредоносная программа Trojan.Encoder.94. Также весьма популярен Trojan.Encoder.225: только за последнее время за помощью в восстановлении файлов, пострадавших от действия этого троянца, в антивирусную лабораторию «Доктор Веб» обратилось более 160 человек.

Троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. После того как файлы зашифрованы, троянцы семейства Trojan.Encoder, в зависимости от модификации, могут помещать на диск текстовые файлы с информацией по восстановлению данных либо менять фон рабочего стола на изображение с указанием дальнейших инструкций. Сумма, требуемая злоумышленниками, может варьироваться от нескольких десятков до нескольких тысяч долларов.

Троянцы-шифровальщики чаще всего распространяются с использованием вредоносных спам-рассылок. Например, Trojan.Encoder.225 может попасть в операционную систему с помощью письма, содержащего вложения в виде документа RTF (но с расширением .doc), эксплуатирующего уязвимость Microsoft Office. С использованием этого эксплойта на компьютер жертвы устанавливается троянец-загрузчик, который в свою очередь скачивает с управляющего сервера Trojan.Encoder. Троянец Trojan.Encoder.94 нередко скачивается на компьютер жертвы с использованием бэкдора BackDoor.Poison, который, в свою очередь, массово рассылается в письмах с вложенными файлами Порядок работы с просроченной задолженностью.doc и ПОСТАНОВЛЕНИЕ АРБИТРАЖНОГО СУДА.exe.

screen

В июне 2013 года был отмечен значительный всплеск количества случаев заражения вредоносными программами семейства Trojan.Encoder, при этом от последней модификации Trojan.Encoder.225 пострадало более 160 пользователей из России и Украины, обратившихся за помощью в компанию «Доктор Веб». Этот троянец написан на языке Delphi и имеет три версии. В предыдущей модификации троянца для связи злоумышленники используют адрес электронной почты milenium56m1@yahoo.com, в последней из известных — marikol8965@yahoo.com. Файлы, зашифрованные ранними версиями Trojan.Encoder.225, поддаются расшифровке. Над средством восстановления файлов, пострадавших от более поздней модификации троянца, в настоящий момент ведется работа.

Что касается наиболее распространенного троянца-шифровальщика, Trojan.Encoder.94, то он насчитывает рекордное число модификаций — более 350. Файлы, зашифрованные большей частью версий Trojan.Encoder.94, поддаются расшифровке. Жертвами Trojan.Encoder.94 за истекший месяц стали более 680 пользователей.

Всего за последние три месяца в антивирусную лабораторию «Доктор Веб» поступило порядка 2 800 обращений от пользователей, пострадавших в результате заражения троянцами-шифровальщиками. Благодаря тому, что злоумышленники непрерывно усложняют механизмы шифрования, вирусным аналитикам приходится решать все более сложные математические задачи в условиях возрастающего потока заявок от жертв энкодеров. В связи с большим числом запросов на лечение и заметно возросшей нагрузкой на антивирусную лабораторию с 19 июня 2013 года помощь в расшифровке файлов оказывается только зарегистрированным пользователям продуктов компании «Доктор Веб».

Если вы стали жертвой одной из таких вредоносных программ, ни в коем случае не переводите деньги киберпреступникам и не пытайтесь самостоятельно устранить последствия заражения (не переустанавливайте операционную систему и не удаляйте никаких файлов на вашем компьютере), т. к. при этом существует высокая вероятность безвозвратной потери данных. Не забывайте о необходимости своевременного резервного копирования хранящейся на жестких дисках вашего компьютера информации. Если вы являетесь зарегистрированным пользователем антивирусных продуктов «Доктор Веб», отправьте несколько зашифрованных файлов в антивирусную лабораторию, воспользовавшись соответствующей формой и выбрав категорию «Запрос на лечение», после чего дождитесь ответа вирусного аналитика и в точности следуйте его инструкциям.

С более подробной информацией о методах противодействия троянцам-энкодерам можно ознакомиться по адресу legal.drweb.com/encoder.

25 июня 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о массовой вредоносной рассылке, представляющей серьезную опасность для жителей Казахстана. Получатели почтовых сообщений рискуют стать жертвами вредоносной программы BackDoor.Shell.218, открывающей удаленный доступ к инфицированному компьютеру.

Специалистами компании «Доктор Веб» 13, 17 и 23 июня 2013 года была зафиксирована массовая почтовая рассылка, ориентированная в первую очередь на жителей Казахстана. В качестве отправителя электронных сообщений значилось «Web-приложение «Кабинет налогоплательщика» <web-application-cabinet@mail.ru>», а само послание содержало следующий текст: «В целях разъяснения норм налогового законодательства и налогового администрирования Налоговый комитет МФ РК направляет Вам письмо разъясняющего характера».

Письмо содержало вложение в виде архива, при попытке открытия которого запускалось вредоносное приложение. Из ресурсов данной программы извлекалось основное тело троянца и сохранялось во временную папку под именем winlogon.exe, после чего данное приложение запускалось на исполнение и демонстрировало на экране инфицированного компьютера документ в формате .DOC.

Троянская программа детектируется антивирусным ПО «Доктор Веб» как BackDoor.Shell.218. Этот троянец относится к категории приложений, открывающих злоумышленникам возможность удаленного управления инфицированной системой: он позволяет выполнять различные команды в командной строке Windows, делать снимки экрана и даже выключать компьютер.

Особо стоит отметить, что основные адресаты рассылки — сотрудники бухгалтерий различных компаний. Именно для этой категории пользователей поступление письма из налоговых органов — безусловный повод его прочитать и не задумываясь открыть любое вложение. При этом именно бухгалтерские компьютеры чаще всего используются для проведения онлайн-платежей в системах «Банк-Клиент». Доступ к таким компьютерам — заветная мечта киберпреступников, промышляющих хищениями денежных средств со счетов предприятий. Именно такой доступ к компьютеру жертвы и открывает злоумышленникам BackDoor.Shell.218.

Специалисты компании «Доктор Веб» призывают пользователей не открывать вложения в сообщения электронной почты, полученные от подозрительных отправителей, а также поддерживать базы установленного на компьютере антивирусного ПО в актуальном состоянии.

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о случае распространения вредоносного ПО для мобильной платформы Android среди посетителей одного из популярных новостных сайтов. Троянец Android.SmsSend.465.origin загружался на устройства пользователей с рекламируемого на данном портале интернет-ресурса.

18 июня 2013 года специалисты компании «Доктор Веб» зафиксировали факт распространения вредоносной программы Android.SmsSend.465.origin для платформы Android среди посетителей одного из популярных в Рунете новостных порталов. При попытке захода на данный сайт с использованием устройства под управлением операционной системы Google Android срабатывал встроенный в веб-страницу сценарий на языке JavaScript. Этот сценарий обращался к ресурсам рекламной сети Adinch и демонстрировал в нижней части открытой страницы рекламный модуль, предлагающий пользователю загрузить игру Grand Theft Auto: Vice City.

Баннер — изображение в формате GIF — загружался с сайта adinch.com/media. При нажатии на этот баннер пользователь перенаправлялся на веб-страницу http://tds-system.net/***.html, а оттуда — на сайт http://google-play-magazine.net, после чего на мобильное устройство начиналась автоматическая загрузка приложения gta_vice_city.apk, детектируемого антивирусным ПО «Доктор Веб» как троянская программа Android.SmsSend.465.origin.

Администрация новостного портала была оперативно предупреждена о факте распространения вредоносного ПО, а адреса сайтов http://google-play-magazine.net, http://tds-system.net, а также рекламной сети adinch.com были добавлены в базы вредоносных интернет-ресурсов, доступ к которым блокируется компонентом Dr.Web SpIDer Gate. В свою очередь администраторы новостного сайта приняли экстренные меры для устранения угрозы, и в настоящий момент данный ресурс не представляет опасности для своих посетителей.

Dr.Web

Специалисты компании «Доктор Веб» – российского производителя антивирусных средств защиты информации – обнаружили новую и крайне оригинальную версию вредоносной программы Trojan.Mayachok. Троянцы этого семейства уже насчитывают порядка 1500 различных модификаций, причем некоторые из них являются самыми распространенными на компьютерах пользователей по статистике Dr.Web. Trojan.Mayachok.18607 позволяет встраивать в просматриваемые пользователями веб-страницы постороннее содержимое, благодаря чему злоумышленники получают возможность зарабатывать на жертвах этой вредоносной программы, подписывая их на различные платные услуги.

В процессе изучения архитектуры троянца Trojan.Mayachok.18607 у вирусных аналитиков «Доктор Веб» сложилось впечатление, что автор попытался переписать код этой вредоносной программы «с чистого листа», опираясь на логику семейства Trojan.Mayachok. То есть, не исключено, что у популярных среди злоумышленников троянцев семейства Trojan.Mayachok появился новый автор.

Trojan.Mayachok.18607 способен инфицировать как 32-разрядные, так и 64-разрядные версии ОС Windows. В момент запуска троянец вычисляет уникальный идентификатор зараженной машины, для чего собирает информацию об оборудовании, имени компьютера и имени пользователя, после чего создает свою копию в папке MyApplicationData. Затем троянец модифицирует системный реестр с целью обеспечения автоматического запуска собственной копии. В 32-разрядных версиях Windows Trojan.Mayachok.18607 встраивается в предварительно запущенный процесс explorer.exe, после чего пытается встроиться в другие процессы. В архитектуре вредоносной программы предусмотрен механизм восстановления целостности троянца в случае его удаления или повреждения.

В 64-разрядных версиях Windows троянец действует несколько иначе: Trojan.Mayachok.18607 видоизменяет ветвь системного реестра, отвечающую за автоматическую загрузку приложений, запускает свой исполняемый файл и еще одну копию самого себя, после чего удаляет файл дроппера. Троянец периодически проверяет наличие двух своих копий в памяти инфицированного компьютера, а также соответствующих записей в реестре.

В момент запуска Trojan.Mayachok.18607 определяет наличие на инфицированном компьютере антивирусных программ, проверяя имена активных процессов, а также пытается определить, не запущен ли он в виртуальной среде. Завершив установку в инфицированной системе, Trojan.Mayachok.18607 пытается встроиться во все процессы Windows, в том числе, в процессы вновь запускаемых браузеров. Затем троянец сохраняет в одну из папок собственный конфигурационный файл. После этого Trojan.Mayachok.18607 устанавливает соединение с управляющим сервером и отправляет злоумышленникам информацию об инфицированном компьютере. Кроме конфигурационных данных ответ удаленного сервера может содержать команду на загрузку исполняемого файла. После загрузки Trojan.Mayachok.18607 запускает этот файл. Помимо прочего, конфигурационный файл содержит скрипт, который троянец встраивает во все просматриваемые пользователем веб-страницы.

Основное предназначение Trojan.Mayachok.18607 заключается в осуществлении так называемых веб-инжектов: при открытии различных веб-страниц вредоносная программа встраивает в них постороннее содержимое. Под угрозой находятся браузеры Google Chrome, Mozilla Firefox, Opera и Microsoft Internet Explorer нескольких версий, включая последние. Пользователь зараженной машины при открытии некоторых популярных интернет-ресурсов может увидеть в окне обозревателя оригинальную веб-страницу, в которую троянец встраивает постороннее содержимое. Например, на сайте социальной сети «ВКонтакте» пользователю может быть продемонстрировано сообщение:

На вашу страницу в течение 24 часов было сделано более 10 неудачных попыток авторизации (вы или кто-то другой ввели неверный пароль 12 раз). Аккаунт временно заблокирован для предотвращения взлома. Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите номер вашего мобильного телефона, к которому привязана страница. Если ранее страница не была привязана к номеру Вашего мобильного телефона, то она будет привязана к номеру, который вы введете ниже.

Проверка системного файла hosts, в который некоторые троянцы вносят изменения (что может служить одним из признаков заражения), также не принесет должного результата: Trojan.Mayachok.18607 не модифицирует данный файл. При этом троянец располагает вариантами поддельных веб-страниц для многих интернет-ресурсов, в частности, пользователи социальной сети «Одноклассники» могут получить сообщение следующего содержания:

Вы пытаетесь зайти из необычного места. Если вы пытаетесь войти из привычного места, возможно, провайдер сменил ваш IP.

После ввода номера мобильного телефона пользователь оказывается подписан на услуги веб-сайта http://vkmediaget.com, стоимость подписки составляет 20 рублей в сутки. Услуга предоставляется совместно с компанией ЗАО «Контент-провайдер Первый Альтернативный». В качестве другого метода монетизации злоумышленники используют так называемые «псевдоподписки»: с номера 6681 жертве приходит СМС с текстом «Для подтверждения ответьте DA на эту SMS. Поддержка 7hlp.com или 88001007337(бесплатно)». Стоимость ответного сообщения составляет 304.79 руб.

На том же IP-адресе, где располагается сайт vkmediaget.com, платные услуги которого монетизирует троянец Trojan.Mayachok.18607, располагаются и другие интернет-ресурсы, например, odmediaget.com (для пользователей соцсети odnoklassniki.ru) — имена и оформление таких веб-страниц специально подобраны с целью ввести пользователей в заблуждение. Кроме того, на данном сервере расположен сайт mediadostupno.com, якобы предоставляющий услуги анонимайзера. В данном случае, как и во множестве аналогичных, сайт используется как прикрытие для одобрения предоставляемой подписки со стороны контент-провайдера и подключения мобильных платежей.

Сигнатура данной угрозы присутствует в вирусных базах Dr.Web. Если вы пострадали от действий троянца Trojan.Mayachok.18607, проверьте ваш компьютер с помощью антивируса, или воспользуйтесь бесплатной лечащей утилитой Dr.Web CureIt!

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о получении контроля над бот-сетью, которая формировалась на основе распространяемой злоумышленниками вредоносной программы BackDoor.Bulknet.739, в среднем заражающей по 100 ПК ежечасно. Попадая на компьютер жертвы, троянец помогает злоумышленникам рассылать с него сотни спам-писем. Среди жертв BackDoor.Bulknet.739 в основном зарубежные пользователи (Италия, Франция, Турция, США, Мексика и Тайланд), однако россияне также могут попасть под его прицел.

Впервые BackDoor.Bulknet.739 заинтересовал аналитиков «Доктор Веб» в октябре 2012 года. Троянец оказался способен объединять компьютеры в ботнеты и позволяет злоумышленникам осуществлять массовую рассылку спама.

В момент запуска троянца на инфицированном компьютере выполняется специальный модуль, распаковывающий троянца-загрузчика, после чего BackDoor.Bulknet.739 скачивается на инфицированную машину с использованием вредоносного приложения, детектируемого как BackDoor.Bulknet.847. При этом данная вредоносная программа использует весьма оригинальный алгоритм: она обращается к хранящемуся у нее зашифрованному списку доменных имен и выбирает один из них для загрузки спам-модуля. В ответ BackDoor.Bulknet.847 получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения. Основной модуль BackDoor.Bulknet.739 хранится внутри такого изображения в зашифрованном виде и предназначен для осуществления массовых рассылок сообщений по каналам электронной почты.

Адреса для рассылки спама, файл с шаблоном отправляемых писем и конфигурационный файл BackDoor.Bulknet.739 получает с удаленного сервера. Для связи со злоумышленниками BackDoor.Bulknet.739 использует бинарный протокол: он способен выполнять набор получаемых от злоумышленников команд, в частности, команду на обновление, загрузку новых образцов писем, списка адресов для отправки спама, либо директиву остановки рассылки. В случае собственного отказа троянец может отправить злоумышленникам специальным образом сформированный отчет.

screen

Специалисты компании «Доктор Веб» сумели перехватить один из управляющих серверов ботнета BackDoor.Bulknet.739 и собрать ряд статистических данных. Так, по состоянию на 5 апреля 2013 года к управляющему серверу подключилось около 7 000 ботов, при этом рост их числа в период со 2 по 5 апреля можно проследить с помощью следующего графика:

В настоящий момент ботнет BackDoor.Bulknet.739 продолжает расти достаточно быстрыми темпами — в среднем ежечасно фиксируется заражение порядка 100 компьютеров. Географически наиболее широкое распространение троянец BackDoor.Bulknet.739 получил на территории Италии, Франции, Турции, США, Мексики и Тайланда. Наименьшее количество инфицированных рабочих станций зафиксировано в Австралии и России. Вот как распределена данная бот-сеть по странам и континентам:

А вот так выглядит статистика по операционным системам зараженных компьютеров:

Специалисты компании «Доктор Веб» продолжают внимательно следить за развитием ситуации. Для пользователей, на компьютерах которых установлено антивирусное ПО Dr.Web с последними обновлениями, BackDoor.Bulknet.739 не представляет никакой опасности, поскольку его сигнатура содержится в вирусных базах.

ИСТОЧНИК

Новый троянец охотится на пользователей, «блокируя» доступ к социальным сетям

Posted: Апрель 12, 2013 in Антивирус, Вконтакте, Доктор Веб, Новости, Одноклассники, антивирусы, атака, вирусы, компьютеры, лечение, поиск, пользователи, программы, софт, срочно, угрозы, Trojan
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает об опасности заражения новой версией вредоносной программы Trojan.Zekos, одна из функций которой заключается в перехвате DNS-запросов на инфицированном компьютере. Этот механизм применяется вирусописателями в целях проведения фишинговых атак – на зараженной машине могут отображаться принадлежащие злоумышленникам веб-страницы вместо запрошенных пользователем сайтов.

С конца прошлой недели в службу технической поддержки компании «Доктор Веб» стали поступать заявки от пользователей, утративших возможность заходить на сайты социальных сетей. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. Вот примеры текстов, опубликованных злоумышленниками на поддельных веб-страницах, имитирующих «ВКонтакте» и «Одноклассники»:

«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».

«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».

При этом оформление веб-страниц и демонстрируемый в строке браузера адрес оказывались идентичны оригинальному дизайну и интернет-адресу соответствующей социальной сети. Кроме того, на поддельной веб-странице даже демонстрировалось настоящее имя пользователя, поэтому многие жертвы киберпреступников попросту не замечали подмены, считая, что их учетная запись в социальной сети действительно была взломана.

screen

screen

Проведенное вирусными аналитиками «Доктор Веб» расследование показало, что виновником инцидента стала видоизмененная вирусом системная библиотека rpcss.dll, являющаяся компонентом службы удаленного вызова процедур (RPC) в операционных системах семейства Microsoft Windows. А троянская программа, «дополнившая» библиотеку вредоносным объектом, получила название Trojan.Zekos, причем она умеет заражать как 32-битные, так и 64-битные версии Windows. Примечательно, что первые версии данного троянца были найдены еще в начале 2012 года, однако эта модификация вредоносной программы обладает некоторыми отличиями от своих предшественников.

Trojan.Zekos состоит из нескольких компонентов. Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именем и расширением, отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе. Затем троянец модифицирует библиотеку rpcss.dll, добавляя в нее код, основное предназначение которого — загрузка в память компьютера хранящейся на диске копии троянца. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1000000.

Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari и др. Таким образом, при попытке, например, посетить сайт популярной социальной сети, браузер пользователя получит в ответ на DNS-запрос некорректный IP-адрес запрашиваемого ресурса, и вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу. При этом в адресной строке браузера будет демонстрироваться правильный URL. Помимо этого Trojan.Zekos блокирует доступ к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.

Сигнатура данной угрозы и алгоритм лечения последствий заражения троянцем Trojan.Zekos успешно добавлены в вирусные базы Dr.Web. Пользователям, пострадавшим от данной угрозы, рекомендуется проверить жесткие диски своих компьютеров с помощью антивирусного сканера, или воспользоваться бесплатной лечащей утилитой Dr.Web CureIt!

Dr.Web

ГЛАВНЫЕ НОВОСТИ

Обнаружена новая модификация Trojan.Mayachok

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует о распространении новой модификации троянской программы семейства Trojan.Mayachok, добавленной в вирусные базы Dr.Web под именем Trojan.Mayachok.17516. Несмотря на то, что эта угроза имеет определенное сходство с широко распространенным троянцем Trojan.Mayachok.1, в ее архитектуре выявлен и ряд существенных отличий.

Trojan.Mayachok.17516 представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем flash_player_update_1_12.exe и запускается на исполнение.

screen

В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

Вредоносная библиотека пытается встроиться в другие процессы с использованием регистрации в параметре реестра AppInit_DLLs, при этом, в отличие от Trojan.Mayachok.1, Trojan.Mayachok.17516 «умеет» работать не только в контексте процессов браузеров, но также в процессах svchost.exe и explorer.exe (Проводник Windows). Примечательно, что в 64-разрядных системах вредоносная программа работает только в этих двух процессах. Троянец использует для своей работы зашифрованный конфигурационный файл, который он сохраняет либо во временную папку, либо в служебную папку %appdata%.

Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. С использованием процесса explorer.exe Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д. Сигнатура данной угрозы добавлена в базы антивирусного ПО Dr.Web. Для пользователей программных продуктов «Доктор Веб» Trojan.Mayachok.17516 не представляет серьезной угрозы.

«Настойчивый» СМС-троянец для Android препятствует своему удалению

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении очередного троянца семейства Android.SmsSend (родом из Китая), предназначенного для отправки СМС-сообщений с повышенной тарифной стоимостью. Особенностью этого троянца являются его многократные требования доступа к списку администраторов мобильного устройства, что при определенных условиях может значительно затруднить его удаление.

В отличие от большинства вредоносных программ семейства Android.SmsSend, распространяющихся злоумышленниками напрямую, Android.SmsSend.186.origin попадает на мобильные устройства пользователей при помощи дроппера, содержащего внутри себя программный пакет троянца. Дроппер Android.MulDrop.5.origin скрывается в разнообразных «живых обоях» и при установке не требует специальных разрешений, поэтому у пользователей не должно возникнуть никаких подозрений.

После запуска Android.MulDrop.5.origin демонстрирует сообщение на китайском языке, в котором предлагается установить некий компонент:

Если пользователь согласится это сделать, начнется процесс установки скрытого внутри дроппера троянского приложения.

Для своей работы Android.SmsSend.186.origin требует доступ к большому числу функций, однако название приложения «Android 系统服务» (Android System Service) может ввести в заблуждение многих китайских пользователей, на которых, по большей части, и рассчитан троянец, в результате чего они продолжат установку.

Вредоносная программа не создает иконку приложения в главном меню мобильного устройства и работает в качестве сервиса. После установки она запрашивает доступ к функциям администратора мобильного устройства под предлогом того, что это позволит значительно сэкономить заряд аккумулятора. Учитывая то, что Android.SmsSend.186.origin использует имя, похожее на название одного из системных приложений, необходимые полномочия ему, скорее всего, будут предоставлены. Однако на случай, если пользователь откажется дать троянцу требуемые полномочия, он будет запрашивать их вновь и вновь, пока наконец уставший от надоедливого сообщения владелец Android-устройства не даст свое согласие.

При определенных условиях троянец может стать администратором Android-устройства и без разрешения пользователя. Это может произойти в случае работы вредоносной программы на некоторых версиях ОС Android при условии, что ранее троянец уже функционировал на том же самом мобильном устройстве в режиме администратора. В результате, если пользователь попытается избавиться от надоедливой просьбы вредоносной программы, перезагрузив мобильное устройство, его будет ждать неприятный сюрприз: после перезагрузки системы Android.SmsSend.186.origin автоматически получит необходимые полномочия, чего пользователь даже не заметит. Такой сценарий маловероятен, однако не исключен и является весьма опасным.

Помимо функции отправки СМС-сообщений с повышенной стоимостью, Android.SmsSend.186.origin имеет возможность отправлять злоумышленникам входящие СМС, что потенциально несет риск раскрытия частной информации пользователей. Однако этот троянец интересен в первую очередь тем, что в некоторых случаях с активированным режимом администратора мобильного устройства он фактически получает возможность противодействовать своему удалению, т. к. при попытках пользователя выполнить необходимые для этого действия возвращает его к главному экрану мобильного устройства. Это первый из известных случаев, когда вредоносная программа для ОС Android предпринимает попытки активного противодействия борьбе с ней.

Для того чтобы удалить этого троянца из системы, необходимо выполнить ряд действий:

  • Во-первых, следует убрать приложение с именем «Android 系统服务» из числа администраторов устройства, зайдя в системные настройки «Безопасность» –> «Выбрать администраторов устройства» и сняв соответствующую галочку.
  • После того как троянец будет лишен этих полномочий, он попытается снова их получить, выводя соответствующее сообщение, поэтому необходимо завершить работу процесса вредоносной программы, зайдя в меню «Приложения» –> «Управление приложениями», и остановить его выполнение.
  • После этого можно удалить троянца стандартным способом («Приложения» –> «Управление приложениями») либо установить антивирусную программу и произвести с ее помощью проверку системы и удаление найденных вредоносных объектов.

Как уже отмечалось ранее, при определенных условиях Android.SmsSend.186.origin может препятствовать своему удалению, возвращая пользователя из меню настроек на главный экран операционной системы. В этом случае необходимо открыть список недавно запущенных приложений, зажав функциональную кнопку «Домой», и выбрать последние вызванные системные настройки. Следует повторять этот алгоритм до тех пор, пока необходимое для удаления троянца действие не будет выполнено.

Владельцы антивирусных решений Dr.Web для Android были надежно защищены от этой вредоносной программы благодаря технологии Origins Tracing™: троянец детектировался с ее помощью еще до поступления в антивирусную лабораторию.

Китайский троянец заражает загрузочную запись

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о распространении нового многокомпонентного буткита — вредоносного приложения, способного заражать загрузочную запись жесткого диска на инфицированном компьютере. Основное предназначение данной угрозы, добавленной в базы Dr.Web под именем Trojan.Xytets, — перенаправление жертвы с использованием ее браузера на указанные вирусописателями веб-страницы.

Вредоносная программа Trojan.Xytets разработана в Китае и состоит из восьми функциональных модулей: инсталлятора, трех драйверов, динамической библиотеки и ряда вспомогательных компонентов. Запустившись в операционной системе, троянец проверяет, не загружен ли он в виртуальной машине и не используется ли на атакованном компьютере отладчик — если наличие подобных приложений подтверждается, Trojan.Xytets сообщает об этом удаленному командному центру и завершает свою работу. Также осуществляется проверка на наличие в инфицированной системе ряда приложений, используемых для тарификации и биллинга в китайских интернет-кафе, — о результатах этой проверки также сообщается серверу. Затем троянец инициирует процесс заражения атакованного компьютера.

В ходе заражения Trojan.Xytets сохраняет на диске и регистрирует в реестре два драйвера, реализующих различные функции вредоносной программы, а также запускает собственный брандмауэр, перехватывающий отправляемые с инфицированного компьютера IP-пакеты. Брандмауэр не пускает пользователя на некоторые веб-сайты, список которых хранится в специальном конфигурационном файле. При этом файлы троянца и вредоносные драйверы сохраняются на диск дважды: в файловой системе и в конце раздела жесткого диска. Даже если эти файлы удалить (что является не такой уж тривиальной задачей, так как троянец скрывает собственные файлы), они будут автоматически восстановлены при следующей загрузке Windows.

screen

Помимо этого, один из драйверов отслеживает запускаемые в инфицированной системе процессы и пытается определить их «опасность» для троянца. При этом Trojan.Xytets не позволяет запуститься тем процессам, которые могут помешать его работе. Кроме того, Trojan.Xytets обладает функционалом, позволяющим удалять нотификаторы драйверов некоторых антивирусных программ, — в результате антивирусное ПО перестает реагировать на запуск инициированных троянцем вредоносных процессов. Троянец осуществляет перенаправление пользовательского браузера на веб-сайты, список которых также хранится в конфигурационном файле. Среди поддерживаемых Trojan.Xytets браузеров — Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari, Maxthon, QQBrowser, GreenBrowser и некоторые другие.

Затем троянец скрывает ряд хранящихся на диске файлов и перезаписывает главную загрузочную запись таким образом, что в процессе загрузки операционной системы вредоносная программа получает управление. Помимо прочего, Trojan.Xytets обладает развитым функционалом, позволяющим скрывать собственное присутствие в инфицированной системе, вследствие чего эту угрозу также можно отнести к категории руткитов.

В процессе обмена данными с управляющим сервером, расположенным в Китае, Trojan.Xytets передает злоумышленникам информацию об инфицированном компьютере, о версиях операционной системы и самой вредоносной программы. Судя по содержимому веб-страниц, которые демонстрирует в пользовательском браузере Trojan.Xytets, его целевой аудиторией являются жители Китая.

Среди функциональных возможностей Trojan.Xytets можно перечислить следующие:

  • подмена стартовой страницы популярных браузеров на URL сайта, принадлежащего злоумышленникам;
  • осуществление http-редиректов;
  • загрузка и запуск различных исполняемых файлов;
  • сохранение в панели быстрого запуска Windows, в папке «Избранное» и на Рабочем столе ярлыков, содержащих ссылки на принадлежащие злоумышленникам сайты, — по щелчку мышью на таком ярлыке соответствующая веб-страница открывается в браузере;
  • запуск по расписанию обозревателя Microsoft Internet Explorer и открытие в нем принадлежащей злоумышленникам веб-страницы;
  • блокировка доступа к ряду веб-сайтов по заранее сформированному списку;
  • блокировка запуска некоторых приложений по заранее сформированному списку;
  • скрытие хранящихся на диске файлов;
  • заражение MBR.

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web, вследствие чего Trojan.Xytets не представляет серьезной опасности для пользователей программных продуктов Dr.Web.