Обзор вирусной активности в марте 2018 года

13:20 - 4.04.2018


В минувшем марте специалисты «Доктор Веб» выявили и исследовали множество новых вредоносных программ. В начале месяца была зафиксирована массовая фишинговая рассылка якобы от имени компании Mail.Ru. Также аналитики изучили несколько новых троянцев, относящихся к обширному семейству вредоносных программ Trojan.LoadMoney. Во второй половине месяца был обнаружен опасный троянец Trojan.PWS.Stealer.23012, похищающий с зараженного устройства файлы и другую конфиденциальную информацию. Наконец, в марте вирусные аналитики выявили целый ряд вредоносных программ для мобильной платформы Google Android.

Угроза месяца

Распространение вредоносной программы Trojan.PWS.Stealer.23012 началось 11 марта 2018 года. Ссылки на троянца вирусописатели размещали в комментариях к видео на популярном интернет-ресурсе YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр (так называемым «читам») с применением специальных приложений. Киберпреступники пытаются выдать троянца за такие программы и другие полезные утилиты.

#drweb Trojan.PWS.Stealer.23012

Троянец собирает на инфицированном компьютере файлы Cookies, а также сохраненные логины и пароли из нескольких популярных браузеров, делает снимок экрана и копирует файлы с Рабочего стола Windows. Похищенная информация вместе с данными о расположении зараженного устройства отправляется на сервер злоумышленников. Более подробно о принципах работы Trojan.PWS.Stealer.23012 рассказано в опубликованной на нашем сайте статье.

По данным статистики Антивируса Dr.Web

По данным статистики Антивируса Dr.Web

Trojan.Starter.7394
Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.
Trojan.Inject
Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.
Trojan.Zadved
Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.
Trojan.Moneyinst.520
Вредоносная программа, устанавливающая на компьютер жертвы различное ПО, в том числе других троянцев.
Trojan.Encoder.11432
Сетевой червь, запускающий на компьютере жертвы опасного троянца-шифровальщика. Известен также под именем WannaCry.

По данным серверов статистики «Доктор Веб»

По данным серверов статистики «Доктор Веб»

BackDoor.Meterpreter.56
Представитель семейства вредоносных программ, позволяющих злоумышленникам удаленно управлять зараженным компьютером и отдавать ему различные команды.
JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
BackDoor.IRC.Bot.4771
Представитель семейства вредоносных программ, позволяющих злоумышленникам удаленно управлять зараженным компьютером и отдавать ему различные команды. Управление этим троянцем осуществляется с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat).
Trojan.Encoder.11432
Сетевой червь, запускающий на компьютере жертвы опасного троянца-шифровальщика. Известен также под именем WannaCry.
JS.DownLoader
Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Статистика вредоносных программ в почтовом трафике

Статистика вредоносных программ в почтовом трафике #drweb

JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.Encoder.24788
Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
Java.Jrat.58
Вредоносная программа для удаленного управления компьютером (Remote Access Tools, RAT), написанная на языке Java.
Trojan.PWS.Stealer
Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Шифровальщики

Шифровальщики

В марте в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Опасные сайты

В начале марта компания «Доктор Веб» сообщила о массовой рассылке по электронной почте фишинговых писем якобы от имени компании Mail.Ru. В этих посланиях злоумышленники предупреждали получателей о блокировке их учетных записей на сервере Mail.Ru и предлагали пройти повторную авторизацию. Ссылка в письме вела на поддельный сайт Mail.Ru, а введенная пользователем информация незамедлительно передавалась злоумышленникам.

#drweb mailru

Адрес поддельного сайта был добавлен в базы Офисного и Родительского контроля Dr.Web.

В течение марта 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 624 474 интернет-адреса.

Другие события в сфере информационной безопасности

Троянцы семейства Trojan.LoadMoney, скачивающие на зараженный компьютер другие вредоносные программы, известны с 2013 года. В марте вирусные аналитики «Доктор Веб» исследовали несколько новых представителей этого семейства. Вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, так что эти троянцы не проявляют себя в зараженной системе и обнаружить их вредоносную деятельность непросто. Более подробно об исследованных вредоносных программах семейства Trojan.LoadMoney рассказано в нашей обзорной статье.

Вредоносное и нежелательное ПО для мобильных устройств

В марте вирусные аналитики «Доктор Веб» опубликовали результаты исследования троянца Android.Triada.231, которого вирусописатели внедрили в прошивку более 40 моделей Android-смартфонов. Android.Triada.231 заражает процессы всех приложений и может незаметно выполнять различные вредоносные действия. В течение прошедшего месяца в каталоге Google Play было выявлено множество новых троянцев, среди которых – представители семейства Android.Click, способные загружать и показывать любые веб-страницы, а также Android-банкер Android.BankBot.344.origin. Кроме того, специалисты компании «Доктор Веб» обнаружили новых банковских троянцев, созданных на основе исходного кода вредоносного приложения Android.BankBot.149.origin. Один из них получил имя Android.BankBot.325.origin. Этот банкер показывал фишинговые окна, использовался для кибершпионажа и предоставлял злоумышленникам дистанционный доступ к зараженным устройствам.

Наиболее заметные события, связанные с «мобильной» безопасностью в марте:

  • обнаружение троянца в десятках моделей Android-смартфонов;
  • появление новых банковских троянцев;
  • обнаружение вредоносных программ в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в марте читайте в обзоре.

Вся лента