В апреле статистика серверов Dr.Web зарегистрировала снижение числа уникальных угроз на 39.44% по сравнению с прошлым месяцем, а общее количество обнаруженных угроз снизилось на 14.96%. В почтовом трафике по-прежнему преобладает вредоносное ПО, использующее уязвимости программ Microsoft Office. Продолжает тенденцию прошлого месяца и статистика по вредоносному и нежелательному ПО: большая часть обнаруженных угроз приходится на долю вредоносных расширений для браузеров, нежелательных и рекламных программ.
Количество вредоносных и нерекомендуемых сайтов увеличилось на 28.04%. Один из таких ресурсов распространял банковского троянца и стилера вместе с программами для обработки видео и звука, о чем мы сообщили в начале месяца. Кроме того, специалисты «Доктор Веб» предупредили о фишинговой рассылке, отправленной с адресов известных иностранных компаний.
Содержание
Угроза месяца
Специалисты компании «Доктор Веб» предупредили пользователей о компрометации официального сайта популярного ПО для обработки видео и звука. Хакеры заменили ссылку на скачивание, и вместе с редактором пользователи загружали опасного банковского троянца Win32.Bolik.2, а также стилера Trojan.PWS.Stealer (KPOT Stealer). Такие троянцы предназначены для выполнения веб-инжектов, перехвата трафика, кейлоггинга и похищения информации из систем «банк-клиент» различных кредитных организаций. Кроме того, позднее хакеры заменили Win32.Bolik.2 на другое вредоносное ПО – один из вариантов Trojan.PWS.Stealer (KPOT Stealer).
Этот троянец крадет информацию из браузеров, аккаунта Microsoft, различных мессенджеров и других программ.
В мае статистика серверов Dr.Web зарегистрировала повышение числа уникальных угроз на 1.49% по сравнению с прошлым месяцем, а общее количество обнаруженных угроз повысилось на 14.51%. Статистика по вредоносному и нежелательному ПО показывает преобладание рекламных программ и установщиков. В почтовом трафике по-прежнему доминирует вредоносное ПО, использующее уязвимости документов Microsoft Office, но в мае также усилилось распространение опасного троянца Trojan.Fbng.8 (FormBook).
Главные тенденции мая
- Повышение активности распространения вредоносного ПО
- Рассылка стилеров через почту
Угроза месяца
В мае специалисты «Доктор Веб» сообщили о новой угрозе для операционной системы macOS – Mac.BackDoor.Siggen.20. Это ПО позволяет загружать и исполнять на устройстве пользователя любой код на языке Python. Сайты, распространяющие это вредоносное ПО, также заражают компьютеры под управлением ОС Windows шпионским троянцем BackDoor.Wirenet.517 (NetWire). Последний является давно известным RAT-троянцем, с помощью которого хакеры могут удаленно управлять компьютером жертвы, включая использование камеры и микрофона на устройстве. Кроме того, распространяемый RAT-троянец имеет действительную цифровую подпись.
По данным серверов статистики «Доктор Веб»
Угрозы этого месяца:
- Adware.Softobase.12 Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.
- Adware.Ubar.13 Торрент-клиент, устанавливающий нежелательное ПО на устройство.
- Trojan.InstallCore.3553 Еще один известный установщик рекламного ПО. Показывает рекламу и устанавливает дополнительные программы без согласия пользователя.
- Trojan.Winlock.14244 Блокирует или ограничивает доступ пользователя к операционной системе и её основным функциям. Для разблокировки системы требует перечислить деньги на счет своих разработчиков.
- Trojan.Starter.7394 Троянец, предназначенный для запуска другого вредоносного ПО на устройстве.
Статистика вредоносных программ в почтовом трафике
Угрозы этого месяца:
- W97M.DownLoader.2938 Семейство троянцев-загрузчиков, использующих в работе уязвимости документов Microsoft Office. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
- Exploit.ShellCode.69 Вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.
- Exploit.Rtf.CVE2012-0158 Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.
- Exploit.Rtf.435 Вредоносный документ Microsoft Office, использующий уязвимость CVE-2017-11882 для загрузки Trojan.Fbng.8 (FormBook) на устройство пользователя.
- Trojan.PWS.Stealer.19347 Семейство троянцев, предназначенных для хищения с инфицированного компьютера паролей и другой конфиденциальной информации.
- Trojan.Inject3.15480 Троянец, также известный как Trojan.Fbng.8 (FormBook). Предназначен для кражи персональных данных с зараженного устройства. Может получать команды с сервера разработчика.
Шифровальщики
В мае в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:
- Trojan.Encoder.18000 — 15.38%
- Trojan.Encoder.858 — 9.89%
- Trojan.Encoder.11464 — 5.49%
- Trojan.Encoder.25574 — 5.49%
- Trojan.Encoder.11539 — 5.27%
- Trojan.Archivelock — 5.05%
- Trojan.Encoder.567 — 1.98%
Опасные сайты
В течение мая 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 223 952 интернет-адреса.
| Апрель 2019 | Май 2019 | Динамика |
|---|---|---|
| + 345 999 | + 223 952 | — 35.27% |
Вредоносное и нежелательное ПО для мобильных устройств
В последнем весеннем месяце этого года злоумышленники вновь распространяли различные вредоносные программы через каталог Google Play. В начале мая специалисты компании «Доктор Веб» выявили троянца Android.HiddenAds.1396, который постоянно показывал рекламные баннеры и перекрывал ими интерфейс других приложений и операционной системы. Позднее были обнаружены троянцы-шпионы Android.SmsSpy.10206 и Android.SmsSpy.10263 — они крали входящие СМС и передавали их злоумышленникам.
Наиболее заметное событие, связанное с «мобильной» безопасностью в мае:
- появление новых вредоносных программ в Google Play.
os15.tmp DOMPilot.dll (т. е меняется только часть:
os15.tmp)
антивирус Avast рекомендует перемещать в хранилище, но не помогает, если инет работает, то примерно выдает по 40 таких сообщений в день и уже на протяжении 2-х недель.
Помогите, что мне делать?
За исключением показов рекламы, подобные программы, как правило, никак не проявляют своего присутствия в системе — отсутствует значок в системном трее, нет упоминаний об установленных файлах в меню программ. Зачастую у Adware-программ нет процедуры деинсталляции.
Проникновение
На компьютеры пользователей Adware попадает двумя способами:
путем встраивания рекламных компонентов в бесплатное и условно-бесплатное программное обеспечение (freeware, shareware);
путем несанкционированной установки рекламных компонентов при посещении пользователем «зараженных» веб-страниц.
Большинство программ freeware и shareware прекращает показ рекламы после их покупки и/или регистрации. Подобные программы часто используют встроенные Adware-утилиты сторонних производителей. В некоторых случаях эти Adware-утилиты остаются установленными на компьютере пользователя и после регистрации программ, с которыми они изначально попали в операционную систему. При этом, удаление Adware-компонента, всё еще используемого какой-либо программой для показа рекламы, может привести к сбоям в функционировании этой программы.
Базовое назначение Adware данного типа — неявная форма оплаты программного обеспечения, осуществляемая за счет показа пользователю рекламной информации (рекламодатели платят за показ их рекламы рекламному агентству, рекламное агентство — разработчику Adware). Adware помогает сократить расходы как разработчикам программного обеспечения (доход от Adware стимулирует их к написанию новых и совершенствованию существующих программ) , так и самим пользователям.
В случае установки рекламных компонентов при посещении пользователем «зараженных» веб-страниц в большинстве случаев используются хакерские технологии: проникновение в компьютер через дыры в системе безопасности интернет-браузера, а также использование троянских программ, предназначенных для скрытой установки программного обеспечения (Trojan-Downloader или Trojan-Dropper). Adware-программы, действующие подобным образом, часто называют «Browser Hijackers».
Доставка рекламы
Известны два основных способа доставки рекламной информации:
скачивание рекламных текстов и изображений с веб- или FTP-серверов, принадлежащих рекламодателю;
перенаправление поисковых запросов интернет-браузера на рекламный веб-сайт.
Перенаправление запросов в некоторых случаях происходит только при отсутствии запрашиваемой пользователем веб-страницы, т. е. при ошибке в наборе адреса страницы.
Утечка информации
Многие рекламные системы помимо доставки рекламы также собирают конфиденциальную информацию о компьютере и пользователе:
IP-адрес компьютера;
версию установленной операционной системы и интернет-браузера;
список часто посещаемых пользователем интернет-ресурсов;
поисковые запросы;
прочие данные, которые можно использовать при проведении последующих рекламных кампаний.
По этой причине Adware-программы часто называют «Spyware» (не следует путать рекламное Spyware с троянскими шпионскими программами.
СОВЕТ: качай Касперского, он этот вирус лечит!
