20 июня 2018 года

Компания «Доктор Веб» сообщает об обновлении антивирусного ядра Dr.Web Virus-Finding Engine (7.00.33.06080) в продуктах Dr.Web Security Space и Антивирус Dr.Web версий 6-11.5, программных продуктах групп Dr.Web Desktop Security Suite, Dr.Web Server Security Suite, Dr.Web Mail Security Suite, Dr.Web Gateway Security Suite, в интернет-сервисе Dr.Web AV-Desk, лечащих утилитах Dr.Web CureIt! и Dr.Web CureNet!, а также в инструменте аварийного восстановления системы Dr.Web LiveDisk. Обновление связано с усовершенствованием работы ядра.

В эвристический анализатор были внесены улучшения с целью уменьшения числа вероятных ложных срабатываний.

Обновление пройдет для пользователей автоматически.

20 июня 2018 года

Компания «Доктор Веб» сообщает о выпуске продукта Dr.Web для macOS версии 11.1.0. В продукт были внесены изменения для улучшения совместимости с будущими версиями macOS и исправлены выявленные ошибки.

Устранена причина аварийного завершения работы компонента drweb-ctl при кодировке Терминала, отличной от UTF-8, а также исправлена ошибка фильтрации адресов в Черном/Белом списках веб-антивируса SpIDer Gate, указанных в верхнем регистре.

Для обновления до версии 11.1.0 пользователям необходимо скачать новый дистрибутив.

#Dr.Web #macOS #обновление

19 июня 2018 года

Компания «Доктор Веб» сообщает о выпуске комплекса продуктов Dr.Web Enterprise Security Suite версии 11.0 (REL-1100 201805310). В комплекс включена новейшая версия антивирусного Агента для ОС Windows, в которой впервые реализованы технологии машинного обучения и обнаружения вредоносного кода в UEFI-прошивках, а также значительно расширены возможности имеющихся компонентов. В серверную часть комплекса были внесены многочисленные изменения, направленные на улучшение возможностей централизованного управления, удобство администрирования и развертывания антивирусной сети. Выявленные ошибки были исправлены.

Изменения в серверной части:

• добавлена поддержка MySQL и PostgreSQL версии 10 в качестве внешних баз данных;
• переработан принцип сканирования сети и удаленной установки Агентов (расширение для веб-браузеров более не используется);
• добавлена возможность восстановления поврежденной встроенной базы данных;
• передача групповых обновлений на защищаемые станции по multicast-протоколу теперь включена по умолчанию;
• добавлен механизм контроля лицензий, передаваемых соседним Серверам по межсерверным связям;
• переработана процедура сбора информации о программно-аппаратном обеспечении защищаемых станций, добавлен механизм передачи информации по межсерверным связям;
• добавлено ограничение по количеству одновременных установок Агентов с Сервера;
• добавлено ограничение по трафику для установок и обновлений Агентов с Сервера;
• установочные пакеты для Сервера под ОС семейства UNIX теперь поставляются только в универсальном формате;
• добавлена возможность возобновления сеансов TLS на основе мандатов сессий.

Изменения в Центре управления безопасностью:

• настройки межсерверных связей перемещены из раздела «Связи» в раздел «Антивирусная сеть», связи с соседними Серверами теперь располагаются в дереве антивирусной сети;
• введена новая система комплексной настройки станций на основе политик, управление которыми доступно в дереве антивирусной сети;
• в главное меню добавлен новый раздел «Избранное»;
• переработаны технологии отображения таблиц и графиков;
• добавлена настройка веб-сервера, предоставляющая защиту против flood-атак при обращении к Центру управления;
• добавлена возможность просмотра журнала работы Сервера Dr.Web через Центр управления безопасностью Dr.Web в режиме реального времени;
• добавлена возможность управления настройками журнала работы Сервера Dr.Web через Центр управления безопасностью Dr.Web;
• возвращен метод отправки оповещений администратора через протокол Агента Dr.Web;
• переработана конфигурация оповещений администратора;
• добавлен журнал информационных сообщений, отправленных администратором на станции, и возможность создания шаблонов таких сообщений;
• расширен список утилит, доступных для скачивания через Центр управления безопасностью;
• в репозиторий Сервера добавлены новые продукты – Данные безопасности Сервера Dr.Web и Прокси-сервер Dr.Web.
• добавлен новый раздел «Резервные копии» для просмотра и сохранения содержимого резервных копий критичных данных Сервера;
• добавлено расширение Yandex.Locator для автоматического определения местоположения устройств под управлением ОС Android;
• повышено удобство использования SQL-консоли: добавлена подсветка синтаксиса и автозавершение при вводе запроса;
• переработаны настройки для внешней аутентификации администраторов на Сервере: добавлен новый раздел с упрощенной настройкой аутентификации средствами LDAP;
• право администраторов «Запуск и прерывание компонентов» расширено за счет возможности управления карантином на станциях;
• для адресов Сервера и Агента теперь можно напрямую указать версию протокола IP;
• переработаны статусы защищаемых станций в дереве антивирусной сети, добавлена новая цветовая индикация в зависимости от состояния станций;
• добавлена сортировка клиентов (станций, Серверов, Прокси-серверов) в дереве антивирусной сети;
• добавлена возможность экспорта статистических отчетов сразу для нескольких объектов антивирусной сети;
• параметры подключения Агентов Dr.Web на компьютерах под управлением ОС Windows и UNIX вынесены в отдельный раздел конфигурации станций;
• добавлена возможность запуска антивирусных компонентов на станции через Центр управления безопасностью Dr.Web, разделы Антивирусной сети «Запущенные компоненты» и «Установленные компоненты» объединены в раздел «Компоненты защиты»;
• добавлена возможность дистанционной настройки Брандмауэра Dr.Web на станциях под управлением ОС Windows через Центр управления безопасностью Dr.Web, в настройках Брандмауэра Dr.Web в Центре управления по умолчанию отключено использование пакетного фильтра;
• добавлена возможность регулировать период, в течение которого вирусные базы на защищаемых станциях считаются актуальными;
• добавлен новый раздел Центра управления безопасностью Dr.Web с информацией об идентификаторах безопасности защищаемых станций;
• объединены разделы настроек SpIDer Gate и SpIDer Mail для станций под управлением ОС Windows, раздел исключений теперь един для обоих компонентов;
• расширена функциональность при задании исключений из сканирования компонентами SpIDer Gate и SpIDer Mail для станций под управлением ОС Windows;
• добавлен новый компонент «Монитор сетевых портов» для станций под управлением ОС Windows – он доступен только в Центре управления и не предоставляется пользователям защищаемых станций;
• добавлена возможность выбора существующей станции для размещения новичка при подтверждении доступа к Серверу;
• добавлена возможность управления настройками доступа к устройствам на защищаемых станциях;
• добавлена возможность управления настройками Офисного контроля отдельно для каждого пользователя станции;
• добавлена поддержка настроек компонентов новой версии для станций под управлением ОС семейства UNIX;
• добавлена возможность управления настройками и просмотра статистики работы продукта Dr.Web для Microsoft Exchange Server из Центра управления;
• расширены функции меню «Поддержка»: теперь со страниц Центра управления можно открыть соответствующую им страницу документации.

Новая утилита:

• добавлена утилита дистанционной диагностики Сервера Dr.Web для работы со скриптами (исполняемый файл drwcmd), которая позволяет удаленно подключаться к Серверу Dr.Web для базового управления и просмотра статистики работы.

Новые возможности Прокси-сервера:

• управление настройками через Центр управления безопасностью;
• установка и удаление через связанный с Прокси-сервером Агент;
• автоматическое обновление в процессе работы;
• кэширование для передаваемого шифрованного трафика;
• наполнение кэша вручную – в частности, из репозитория Сервера Dr.Web;
• накопление событий, передаваемых Агентами Dr.Web, и дальнейшая передача их на Сервер Dr.Web согласно расписанию.

Изменения в Агенте Dr.Web:

• для станций под управлением всех поддерживаемых ОС предоставляется групповой инсталлятор, позволяющий производить установку Агента Dr.Web на несколько станций при помощи одного установочного пакета;
• разрешена возможность «отката» Агента Dr.Web на предыдущую ревизию;
• «откат» Агента Dr.Web для Windows на предыдущую ревизию осуществляется с помощью полной переустановки продукта на станции;
• для станций под управлением ОС Windows добавлена возможность проверки скриптов по запросу от приложений через AMSI;
• в Офисном контроле полностью переработана опция для запрета доступа к данным на съемных носителях, новая редакция предоставляет возможность блокировки устройств по классам и шинам.

Более не поддерживаются:

• InitDB (SQLite 2) в качестве встроенной базы данных;
• Novell Netware в качестве ОС для защищаемых станций;
• Solaris Sparc в качестве ОС для установки Сервера Dr.Web.

Также более не используются расширение Центра управления безопасностью Dr.Web для веб-браузеров, технология Adobe Flash в Центре управления безопасностью Dr.Web и Windows Messenger для отправки оповещений администратора.

Вместе с тем в рамках выпуска Dr.Web Enterprise Security Suite 11.0 исправлены выявленные ошибки.

Обращаем внимание, что для совместимости с агентом Dr.Web в составе Dr.Web Enterprise Security Suite 11.0 плагины Dr.Web для IBM Lotus Domino и Dr.Web для MS Exchange необходимо обновить до версии 11.5.

Для всех пользователей Dr.Web Enterprise Security Suite переход на 11 версию - бесплатный.

Новая версия
Dr.Web Enterpise Security Suite 11

Центр безопасности вашего бизнеса

Демо на 30 дней бесплатно
Купить онлайн Купить у партнеров

19 июня 2018 года

Компания «Доктор Веб» открывает лоты июньского аукциона для участников сообщества Dr.Web: выигрышная ставка позволяет победителю выбрать приз по нраву. Розыгрыш артефактов пройдет 28 июня.

Выбирайте и забирайте июньские лоты аукциона «Доктор Веб»

Вне зависимости от того, сделана ставка на обычный или специальный лот, окончательный выбор нашего фирменного приза остается за вами:

• для сильных телом и духом: электронные прыгалки или ручной тренажер-эспандер;
• экипировка пользователя Dr.Web: футболка или жилет сисадмина;
• для тех, кто заряжается по полной: универсальное зарядное устройство или беспроводная зарядная станция;
• душевным собеседникам: термокружка или кружка-хамелеон;
• настоящим мастерам: мультиинструмент RUBBY или набор инструментов;
• заядлым путешественникам: набор для путешествий или бутылка для воды;
• к ключам в придачу: брелок-фонарик или металлический брелок;
• полезные мелочи: защитный чехол для банковских карт или крышка-открывашка;
• компьютерные аксессуары: гибкая светодиодная лампа или пылесос для клавиатуры;
• для тех, кто родом из детства: набор значков Dr.Web или карточная игра «Мафия»;
• надо: для ценителей качественной защиты: годовая лицензия Dr.Web Security Space.

Выбирайте сувениры себе по душе – увидеть все наши лоты и почитать их описания можно здесь.

И делайте ставки!

19 июня 2018 года

Компания «Доктор Веб» сообщает об обновлении Windows-версии плагина Dr.Web для IBM Lotus Domino до версии 11.5. Обновление связано с обеспечением совместимости плагина с Агентом Dr.Web в составе Dr.Web Enterprise Security Suite 11.0 и Антивируса Dr.Web 11.5 для файловых серверов Windows.

Для совместной работы с более ранними версиями упомянутых продуктов требуется установка Dr.Web для IBM Lotus Domino версии 11.0.

Для установки обновленной версии Dr.Web для IBM Lotus Domino необходимо деинсталлировать предыдущую. Для сохранения имеющихся настроек рекомендуется воспользоваться функцией их экспорта/импорта.

14 июня 2018 года

Компания «Доктор Веб» сообщает об итогах конкурса «Майнер не пройдет», который мы проводили совместно с журналом «Системный администратор». Всего в конкурсе приняли участие 263 человека – победителей же в нем, как и было обещано, ровно 30.

Итоги конкурса «Майнер не пройдет»

Напомним, что помимо годовой подписки на электронную версию журнала «Системный администратор» призами конкурса стали наши фирменные сувениры, из которых победители могут выбрать один на свой вкус.

Поздравляем с победой всех, кто ее добился, и призываем тех, кто еще не определился с призом, сделать свой выбор между мультиинструментом RUBBY, жилетом сисадмина, набором инструментов, USB-накопителем на 32 ГБ и Bluetooth-колонкой со светомузыкой. Остальных участников призываем не огорчаться – впереди еще много интересных конкурсов, и призов хватит на всех!

Напоминаем ещё не определившимся победителям конкурса - призы выглядят так:

Мультиинструмент RUBBY

Жилет сисадмина

Набор инструментов

USB накопитель 3.0 32 Gb

Колонка Bluetooth cо светомузыкой

8 июня 2018 года

Компания «Доктор Веб» сообщает об обновлении бесплатного средства аварийного восстановления и лечения ПК – Dr.Web LiveDisk 9.0.

В обновлении устранена проблема отсутствия запроса на ввод пароля при подключении к защищенным сетям Wi-Fi и исправлена ошибка, приводившая к изменению системного времени Windows после загрузки с Dr.Web LiveDisk.

7 июня 2018 года

Компания «Доктор Веб» представляет сервис экстренного анализа вредоносных и потенциально вредоносных файлов Dr.Web vxCube.

Dr.Web vxCube позволяет не только проанализировать файл, но и получить специальную сборку лечащей утилиты Dr.Web CureIt!, в которую включен механизм обезвреживания анализируемого объекта.

Dr.Web vxCube – противоядие по запросу

Схема работы Dr.Web vxCube проста: пользователь получает доступ для отправки подозрительных файлов на «облачный» анализ, анализатор запускает отправленный объект и изучает его поведение, после чего выносит вердикт. Если объект представляет угрозу, пользователь оперативно получает специальную сборку лечащей утилиты Dr.Web CureIt!.

Сервис позволяет максимально быстро обезвредить новейшую угрозу, не дожидаясь обновлений используемых средств защиты.

Проверка отправленных файлов занимает в среднем не более минуты, будь то исполняемые файлы Windows, офисные документы или скрипт-файлы. Проверяемый объект запускается на исполнение на виртуальной машине, при этом клиент сервиса может удаленно – через интерфейс Dr.Web vxCube – наблюдать за ходом анализа. Технический отчет о результатах исследования включает видеозапись работы анализатора.

Согласно статистике, для перевода денег с помощью банковского троянца злоумышленникам требуется от одной до трех минут, что существенно меньше времени обновления средств защиты. Возможность получения специальных сборок лечащей утилиты Dr.Web CureIt! делает Dr.Web vxCube незаменимым для компаний любого уровня – как использующих продукты Dr.Web, так и не использующих их. Сервис особенно полезен для компаний, предоставляющих услуги в области лечения и обслуживания компьютеров. А возможность анализа файлов делает его незаменимым для киберкриминалистов.

Для работы с сервисом Dr.Web vxCube потребуется лицензия – демонстрационная или коммерческая.

Демоверсия Dr.Web vxCube подразумевает проверку 10 объектов в течение 10 дней и доступна здесь.

Приобрести коммерческую лицензию можно в интернет-магазине «Доктор Веб».

#Dr.Web #сервисы #анализ

Dr.Web vxCube

• Облачный интеллектуальный интерактивный анализатор подозрительных объектов
• Для специалистов по информационной безопасности и киберкриминалистов

Об анализаторе
Dr.Web vxCube

Демо
бесплатно

Купить
лицензию

7 июня 2018 года

Компания «Доктор Веб» сообщает об обновлении сервиса перехвата трафика Dr.Web Net filtering Service (11.5.1.05230), сканирующего сервиса Dr.Web Scanning Engine (11.5.1.201805310), антируткитного модуля Dr.Web Anti-rootkit API (11.5.1.201806010), модуля самозащиты Dr.Web Protection for Windows (11.05.01.06020), управляющего сервиса Dr.Web Control Service (11.5.1.06051), агента SpIDer Agent for Windows (11.5.1.06051) и брандмауэра Dr.Web Firewall for Windows (11.5.2.06051) в продуктах Dr.Web версии 11.5 для Windows. Обновление связано с внесением внутренних изменений и исправлением выявленных ошибок.

Изменение в Dr.Web Net filtering Service:

• повышена стабильность работы при загрузке баз Родительского контроля и веб-антивируса SpIDer Gate.

Изменение в Dr.Web Scanning Engine:

• оптимизирован процесс сканирования на руткиты и лечения вредоносных объектов в оперативной памяти.

Изменение в Dr.Web Anti-rootkit API:

• устранена причина возможного зацикливания процесса сканирования.

Изменение в Dr.Web Protection for Windows:

• устранена проблема с загрузкой Windows на компьютерах с установленной утилитой Wufuc версии 0.8.0.143.

Изменение в SpIDer Agent for Windows и Dr.Web Control Service:

• устранена причина некорректного открытия настроек Агента при большом количестве заданных правил брандмауэра.

Изменение в Dr.Web Firewall for Windows:

• исправлена ошибка, приводившая к отсутствию блокировки в режиме «Блокировать неизвестные соединения»;
• устранена причина аварийного завершения работы брандмауэра, что приводило к блокировке доступа приложениям к сети.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

6 июня 2018 года

Компания «Доктор Веб» участвует в симферопольской конференции «Кода информационной безопасности»: 14 июня будем рассказывать участникам мероприятия об очередной актуальной угрозе – «добытчиках» криптовалют (майнерах) – и о том, как с ней бороться.

«Майнеры. Правильно ли настроен ваш антивирус?» - так звучит тема доклада ведущего аналитика отдела развития «Доктор Веб» Вячеслава Медведева. Несмотря на то, что многие чересчур лояльно относятся к майнерам и не считают их вредоносными программами, эти «добытчики» подчас обладают функционалом, характерным для куда более опасных приложений. При этом майнеры довольно легко проникают в компьютерные сети – если те должным образом не защищены.

Также речь пойдет о новинках предстоящей 11-й версии комплекса Dr.Web Enterprise Security Suite и о том, как использование технологий машинного обучения помогает обеспечить высокий уровень защиты еще на дальних подступах к сети.

Конференция начнется 14 июня в 09:30 по адресу: г. Симферополь, ул. Киевская, д. 2 (гостиница «Москва»). Организатором конференций «Код информационной безопасности» выступает компания «Экспо-линк».

Как обычно, на встречу с нашим представителем можно записаться заблаговременно — в календаре мероприятий «Доктор Веб».

#КодИБ #конференции #мероприятия

6 июня 2018 года

Компания «Доктор Веб» уточняет результаты майского аукциона, завершившегося на прошлой неделе.

В связи с добровольным выбытием из числа участников сообщества Dr.Web обладателя «кота в мешке» (напомним, призом стали ежедневник Dr.Web и кожаная визитница) артефакты переходят к участнику, сделавшему вторую по величине ставку на данный лот, – это пользователь maghan (г. Челябинск).

#аукцион #призы

6 июня 2018 года

Компания «Доктор Веб» сообщает о совместной акции с телекоммуникационным оператором МТС. С 5 июня по 5 августа 2018 года все покупатели двухгодичных лицензий Dr.Web Mobile Security для одного мобильного устройства в розничных салонах МТС получат в подарок бесплатную защиту второго устройства на весь срок действия лицензии.

При покупке Dr.Web для Android в салонах МТС до 05.08.2018 защиту второго устройства вы получите в подарок.

Приглашаем владельцев Android-устройств сделать выгодную покупку в салонах МТС: до 5 августа двухгодичная акционная лицензия Dr.Web Mobile Security для одного устройства позволяет бесплатно защитить второй смартфон или планшет на весь срок действия антивируса.

Покупатели, которые воспользуются этим предложением, получат один серийный номер для защиты двух мобильных устройств на 2 года, а также Dr.Web-ки за регистрацию в программе лояльности «Я + Dr.Web», которые можно обменять на подарочные сертификаты на покупку антивирусов Dr.Web со скидкой или поставить на понравившиеся лоты в ежемесячных аукционах.

Если в магазине вам предложат установить Dr.Web и активировать серийный номер к купленной лицензии, пожалуйста, предоставьте продавцу или техническому специалисту, устанавливающему ПО, принадлежащий вам действующий e-mail. Он требуется для регистрации лицензии, а также понадобится вам при обращении в службу технической поддержки и при продлении лицензии. Лицензия должна быть зарегистрирована только на адрес владельца коммерческой лицензии Dr.Web.

Приходите в салоны МТС за подарком! Только до 5 августа можно получить двухгодичную защиту Dr.Web для двух устройств вместо одного всего за 598 рублей; выгода при покупке акционной лицензии также составит 598 рублей по сравнению с обычной ценой.

1 июня 2018 года

Компания «Доктор Веб» рада озвучить результаты майского аукциона для участников сообщества Dr.Web. Как мы и обещали, в розыгрыше участвовали призы-новинки, и сегодня мы рады сообщить о том, кому они достались.

Раздаем призы майского аукциона

Итак, мобильный мультиинструментальный набор достается участнику сообщества под псевдонимом samos (г. Кондопога). Брелок-фонарик будет освещать путь Sandjar (г. Москва), casper (г. Рязань), Roman (г. Новосибирск), Syan (Республика Беларусь, г. Гомель) и Лёлику (г. Омск). А наша фирменная скатерть готова накрыть стол для Vlad X (г. Курск).

«Котом в мешке» оказались ежедневник Dr.Web и кожаная визитница, а их обладателем стал mrkaban (г. Красноярск)

Поздравляем всех победителей с победой, а всех участников сообщества – с Днем защиты детей! Увидимся на июньском розыгрыше!

31 мая 2018 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за май 2018 года. В прошедшем месяце в каталоге Google Play было выявлено множество вредоносных программ. Кроме того, вирусная база Dr.Web пополнилась записью для детектирования новой версии опасного приложения-шпиона.

31 мая 2018 года

В мае 2018 года вирусные аналитики компании «Доктор Веб» нашли в каталоге Google Play несколько приложений, в которые был встроен троянец Android.Click.248.origin. Он загружал мошеннические веб-страницы, на которых пользователей подписывали на дорогостоящие мобильные услуги. Кроме того, в Google Play была обнаружена вредоносная программа Android.FakeApp, распространявшаяся под видом известного ПО. Она переходила по заданным злоумышленниками ссылкам и накручивала счетчик посещений веб-сайтов. Среди других угроз, встретившихся в официальном каталоге приложений ОС Android, оказались троянцы семейства Android.HiddenAds, предназначенные для показа рекламы. Также в уходящем месяце специалисты по информационной безопасности выявили троянцев Android.Spy.456.origin и Android.Spy.457.origin, которых злоумышленники использовали для кибершпионажа. А в конце мая в вирусную базу Dr.Web была добавлена запись для детектирования новой версии коммерческой программы-шпиона Program.Onespy.

Мобильная угроза месяца

В уходящем месяце специалисты «Доктор Веб» выявили в каталоге Google Play троянца Android.Click.248.origin, которого злоумышленники распространяли под видом таких известных программ как Skype и Алиса (голосовой помощник от компании «Яндекс», в действительности недоступный в виде отдельного приложения).

Троянец загружал мошеннические веб-сайты, на которых пользователей подписывали на платные услуги. Об аналогичных вредоносных приложениях компания «Доктор Веб» сообщала в апреле.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.210.origin

Android.HiddenAds.222.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.SmsSend.1338.origin

Вредоносная программа, отправляющая СМС на платные номера.

Android.Mobifun.4

Троянец, предназначенный для загрузки других Android-приложений.

Android.Xiny.1403

Троянец, предназначенный для незаметной загрузки и установки других вредоносных приложений.

Adware.Adtiming.1.origin

Adware.Jiubang.2

Adware.Adpush.601

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Tool.SilentInstaller.1.origin

Tool.SilentInstaller.6.origin

Потенциально опасные программы, предназначенные для незаметного запуска приложений без вмешательства пользователя.

Угрозы в Google Play

В мае в каталоге Google Play вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.FakeApp, распространявшегося под видом популярных приложений. По команде вирусописателей Android.FakeApp переходил по заданным ими ссылкам и загружал веб-сайты, накручивая счетчик их посещений.

Особенности троянца:

• создан с использованием сервиса AppsGeyser, который за несколько элементарных шагов позволяет построить простые Android-программы;
• распространялся под видом известных приложений;
• не содержал никаких полезных функций;
• выявлено 7 разработчиков, от имени которых троянец распространялся в Google Play.

Пример приложений-подделок, найденных в Google Play:

Кроме того, в мае в официальном каталоге ПО для ОС Android были обнаружены очередные представители троянцев семейства Android.HiddenAds, такие как Android.HiddenAds.267.origin и Android.HiddenAds.277.origin. Эти вредоносные программы распространялись под видом безобидных и известных приложений. Главная функция троянцев – показ рекламы.

Кибершпионаж

В уходящем месяце специалисты по информационной безопасности обнаружили несколько новых Android-троянцев, которых злоумышленники использовали для кибершпионажа. Один из них распространялся через Google Play и получил имя Android.Spy.456.origin. Вредоносная программа похищала фотографии, СМС-сообщения, а также контакты из телефонной книги зараженных мобильных устройств и загружала их на удаленный сервер киберпреступников. Другой мобильный троянец-шпион, выявленный в мае, был добавлен в вирусную базу Dr.Web как Android.Spy.457.origin. Он крал изображения и видеоролики, хранящиеся в памяти Android-смартфонов и планшетов, похищал СМС, отслеживал координаты мобильных устройств, а также мог прослушивать окружение и записывать телефонные разговоры.

В конце месяца специалисты компании «Доктор Веб» обнаружили новую версию коммерческой программы-шпиона Onespy, получившую имя Program.Onespy.3.origin. Это приложение способно перехватывать СМС-сообщения и телефонные звонки, отслеживать местоположение зараженного устройства, прослушивать окружение, красть фотографии, видео, документы и другие файлы, следить за перепиской в популярных программах для общения, таких как Skype, Viber, WhatsApp, Line, Facebook и других, а также выполнять прочие опасные действия.

Несмотря на усилия корпорации Google, злоумышленникам по-прежнему удается распространять Android-троянцев через каталог Google Play. Кроме того, вредоносные и потенциально опасные программы для мобильных устройств подстерегают пользователей и вне официального каталога приложений. Для защиты смартфонов и планшетов их владельцам следует установить антивирусные продукты Dr.Web для Android.

31 мая 2018 года

Компания «Доктор Веб» представляет обзор вирусной активности в мае 2018 года. В этом месяце вирусные аналитики проанализировали нескольких опасных троянцев, угрожавших пользователям популярной игровой платформы Steam. С приближением Чемпионата мира по футболу активизировались сетевые мошенники, предлагающие своим жертвам поучаствовать в розыгрыше билетов на матчи и других ценных призов. Кроме того, в мае вирусные аналитики исследовали несколько новых модификаций троянцев-шпионов, крадущих у пользователей конфиденциальную информацию. Об этих и других событиях мы рассказываем в нашем обзоре.

31 мая 2018 года

В мае компания «Доктор Веб» завершила исследование нескольких троянцев, угрожавших пользователям популярной игровой платформы Steam. Они похищали данные учетных записей поклонников компьютерных игр, а также подменяли игровые предметы при совершении сделок обмена. Также в течение последнего месяца весны было выявлено множество мошеннических сайтов, адреса которых пополнили базы нерекомендуемых интернет-ресурсов. Среди них нередко встречались веб-страницы, активно эксплуатирующие тематику грядущего Чемпионата мира по футболу 2018 года. В начале мая вирусные аналитики исследовали несколько троянцев-стилеров, кравших с зараженных устройств конфиденциальную информацию.

Угроза месяца

Создатель вредоносных программ, добавленных в вирусную базу Dr.Web под наименованиями Trojan.PWS.Steam.13604 и Trojan.PWS.Steam.15278, разработал специальную схему для их распространения. От злоумышленников, пожелавших освоить незаконный заработок, не требуется ничего, кроме денег и, в некоторых случаях, домена: вирусописатель предоставляет им самого троянца, доступ к административной панели и техническую поддержку.

Заразив компьютер, Trojan.PWS.Steam.13604 отображает поддельное окно авторизации Steam. Если жертва вводит в него свои логин и пароль, троянец пытается авторизоваться с их помощью в сервисе Steam. Если эта попытка увенчалась успехом и на компьютере включен Steam Guard — система двухфакторной аутентификации для защиты учетной записи пользователя, — троянец выводит на экран поддельное окно для ввода кода авторизации. Вся эта информация отсылается на сервер злоумышленников.

Другая вредоносная программа того же автора, Trojan.PWS.Steam.15278, нацелена на хищение инвентаря в Steam. Для этого на многих обменных площадках троянец подменяет получателя игровых предметов с помощью веб-инжектов, в результате чего артефакты достаются злоумышленникам. А при обмене инвентаря с использованием официального сайта steamcommunity.com вредоносная программа подменяет отображение игровых предметов на компьютере жертвы с помощью перехвата и модификации трафика. В результате пользователю будет казаться, что он приобретает некий дорогостоящий инвентарь, в то время как в действительности в его игровой учетной записи появится совсем другой, гораздо более дешевый предмет.

Более подробную информацию о методах распространения этих троянцев и принципах их работы рассказано в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine.36

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Trojan.MulDrop8.25070

Троянец-дроппер, устанавливающий в систему другие вредоносные программы.

Win32.HLLW.Shadow

Червь, использующий для своего распространения съемные носители и сетевые диски. Кроме того, может распространяться по сети с использованием стандартного протокола SMB. Способен загружать с управляющего сервера исполняемые файлы и запускать их.

Статистика вредоносных программ в почтовом трафике

Trojan.Dimnie.14

Троянец-шпион, способный красть с зараженного устройства конфиденциальную информацию и предоставлять несанкционированный доступ к инфицированному компьютеру. Также имеет в своем составе банковский модуль.

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

JS.BtcMine.36

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Шифровальщики

В мае в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.11464 — 15.90% обращений;
• Trojan.Encoder.858 — 11.33% обращений;
• Trojan.Encoder.24249 — 6.16% обращений;
• Trojan.Encoder.10700 — 3.78% обращений;
• Trojan.Encoder.13671 — 3.70% обращений;
• Trojan.Encoder.4592 — 2.39% обращений.

Опасные сайты

С приближением Чемпионата мира по футболу активизировались многочисленные сетевые мошенники, которые начали использовать чрезвычайно актуальную тематику мундиаля. Чтобы привлечь посетителей, жулики размещают на своих веб-страницах официальную символику Чемпионата. Они предлагают всем желающим принять участие в розыгрышах призов, якобы организованных FIFA, крупными банками и международными инвестиционными фондами.

В качестве призов мошенники обещают дорогие автомобили, значительные денежные суммы, туристические путевки на зарубежные курорты, и, конечно, же, бесплатные билеты на футбольный чемпионат. Схема, которую используют киберпреступники, в целом не нова: потенциальной жертве сообщают о крупном выигрыше, для получения которого необходимо перевести на их счет несколько сотен рублей. Несложно догадаться, что, расставшись с деньгами, никакого приза жертва мошенников не получит. В мае 2018 года специалисты «Доктор Веб» добавили в базы Родительского и Офисного контроля несколько десятков адресов подобных ресурсов, однако похожие по тематике и оформлению сайты продолжают появляться с завидной регулярностью.

В мае участились случаи распространения ссылок на мошеннические сайты с использованием СМС и сообщений в программах-мессенджерах. Жулики предлагают потенциальным жертвам получить якобы полагающуюся им компенсацию за переплату предоставляемых населению коммунальных, медицинских услуг, либо услуг обязательного страхования.

Для «проверки» возможности получить компенсацию посетителю сайта предлагается ввести в специальную форму последние цифры какого-либо документа, а также свое имя и фамилию. Какие бы данные ни указал пользователь, на сайте появляется сообщение о возможности получить выплату, для чего мошенники просят перевести им небольшую денежную сумму. Более подробно об этой популярной схеме обмана интернет-пользователей мы рассказали в нашей статье.

В течение мая 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 1 388 093 интернет-адреса.

Другие события в сфере информационной безопасности

В мае вирусные аналитики «Доктор Веб» исследовали несколько новых модификаций троянцев, похищавших конфиденциальную информацию. Один из них, получивший наименование Trojan.PWS.Stealer.23370, сканирует диски инфицированного устройства в поисках сохраненных паролей и файлов cookies браузеров, основанных на Chromium. Кроме того, этот троянец ворует информацию из мессенджера Telegram, FTP-клиента FileZilla, а также копирует файлы изображений и офисных документов по заранее заданному списку. Полученные данные троянец упаковывает в архив и сохраняет его на Яндекс.Диск.

Другая модификация этого троянца-шпиона получила наименование Trojan.PWS.Stealer.23700. Она крадет пароли и файлы cookies из браузеров Google Chrome, Opera, Яндекс.Браузер, Vivaldi, Kometa, Orbitum, Comodo, Amigo и Torch. Помимо этого, троянец копирует файлы ssfn из подпапки config приложения Steam, а также данные, необходимые для доступа к учетной записи Telegram. Кроме того, шпион создает копии изображений и документов, хранящихся на Рабочем столе Windows. Всю украденную информацию он упаковывает в архив и загружает в облачное хранилище pCloud.

Третья модификация стилера получила наименование Trojan.PWS.Stealer.23732. Этот троянец состоит из нескольких компонентов. Один из них представляет собой шпионский модуль, как и его предшественники, написанный на языке Python и преобразованный в исполняемый файл. Он ворует конфиденциальную информацию. Все остальные компоненты троянца написаны на языке Go. Один из них сканирует диски в поисках папок, в которых установлены браузеры, а еще один упаковывает похищенные данные в архивы и загружает их в хранилище pCloud.

Более подробно о методах распространения этих вредоносных программ мы рассказали в опубликованной на нашем сайте статье.

Вредоносное и нежелательное ПО для мобильных устройств

В мае было выявлено немало новых вредоносных и потенциально опасных программ для мобильных устройств, многие из которых распространялись через официальный каталог программ для ОС Android. В начале месяца вирусные аналитики компании «Доктор Веб» обнаружили в Google Play троянца Android.Click.248.origin, загружавший мошеннические веб-страницы, на которых пользователей подписывали на дорогостоящие услуги. Позднее там же наши специалисты зафиксировали троянца Android.FakeApp. Он переходил по ссылкам, которые получал от вирусописателей, и загружал веб-страницы, искусственно увеличивая их посещаемость. Кроме того, в Google Play распространялись вредоносные программы семейства Android.HiddenAds, предназначенные для показа рекламы. Среди обнаруженных в мае троянцев были также и шпионы Android.Spy.456.origin и Android.Spy.457.origin, применявшиеся для слежки за пользователями. А в конце месяца вирусные аналитики «Доктор Веб» добавили в вирусную базу запись для детектирования коммерческой программы-шпиона Program.Onespy.3.origin.

Наиболее заметные события, связанные с «мобильной» безопасностью в мае:

• выявление в Google Play новых Android-троянцев;
• обнаружение новой версии потенциально опасной шпионской программы для ОС Android.

Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.

31 мая 2018 года

Компания «Доктор Веб» сообщает о выпуске продуктов Dr.Web Security Space и Антивирус Dr.Web версии 11.5. Эта версия, работа над которой велась более года, вобрала в себя не только ряд важнейших наработок в борьбе с современными интернет-угрозами, но и технологии, основанные на машинном обучении. Новшества, примененные в продуктах Dr.Web, учитывают также прогресс компьютерных систем – так, заложен фундамент в обеспечение безопаности UEFI-прошивок, которые постепенно приходят на смену технологии BIOS.

В течение последних лет несигнатурные технологии в продуктах Dr.Web неуклонно усиливались – в связи с разнообразием и быстродействием современных угроз сигнатурные способы детектирования постепенно утрачивают актуальность. Наряду с эвристическим анализатором в Dr.Web применяются уникальные технологии - Origins Tracing, с помощью которой распознаются угрозы вне вирусной базы, и Fly-Code для выявления неизвестных упаковщиков. Также действует поведенческий анализатор Dr.Web Process Heuristic, который в своей работе сверяется с постоянно обновляемым репутационным облаком Dr.Web, функционирует технология ScriptHeuristic, предотвращающая исполнение любых вредоносных скриптов в браузерах и PDF-документах. В Dr.Web версии 11.5 арсенал защитных средств пополнился еще одним инструментом несигнатурного детектирования - основанным на технологиях машинного обучения. Это позволяет бороться с заражениями на еще более дальних подступах к системе, чем было возможно ранее: благодаря связи с облаком детектирование становится точнее и оперативнее, в то же время технология может функционировать и без обращения к облаку.

Современные компьютеры постепенно переходят на новую технологию UEFI, среди преимуществ которой числится и повышенная безопасность. Однако, как показывает практика, в UEFI, как и BIOS, может быть внедрен вредоносный код, не обнаруживаемый обычными методами. В свое время «Доктор Веб» стал одной из первых компаний, реализовавших сканирование BIOS с целью обнаружения троянцев семейства Trojan.Bioskit. Теперь же, в версии 11.5 добавлена поддержка сканирования современных UEFI-прошивок, что делает для Dr.Web детектирование их заражений лишь вопросом времени.

Дальнейшее развитие в новой версии получила Превентивная защита Dr.Web – в отношении выявления вредоносной активности в системе она стала еще умнее, в то время как риски для неопасного ПО уменьшились.

Новая версия Dr.Web в сконцентрированном виде содержит все труды, опыт и знания наших разработчиков – теперь самые новые результаты их работы доступны и нашим пользователям.

Подробная информация об изменениях в рамках Dr.Web версии 11.5.

Новая версия 11.5

Dr.Web Security Space
и Антивирус Dr.Web для Windows

Скачайте бесплатно на 3 месяца

Купить

31 мая 2018 года

В рамках выпуска Dr.Web Security Space и Антивируса Dr.Web 11.5 компания «Доктор Веб» сообщает об обновлении антируткитного модуля Dr.Web Anti-rootkit API (11.5.0.201805040), сервиса перехвата трафика Dr.Web Net filtering service (11.5.1.05080), модуля обновления Dr.Web Updater (11.5.0.04180), управляющего сервиса Dr.Web Control Service (11.5.0.05151), сканера Dr.Web Scanner SE (11.5.0.02130), модуля Dr.Web File System Monitor (11.05.00.05160), драйверов Dr.Web Net Filter for Windows driver (11.1.8.05140) и Dr.Web Firewall for Windows driver (11.01.11.05080), Брандмауэра Dr.Web Firewall for Windows (11.5.1.04090), Агента SpIDer Agent for Windows (11.5.0.03280), модуля Dr.Web Security Space, Anti-virus for Windows setup (11.5.0.04240), плагина Dr.Web для MS Outlook (11.5.0.201803270), компонента Dr.Web Device Guard for Windows (11.05.00.12050), компонента Dr.Web Thunderstorm Cloud Client SDK (11.5.0.05170), модулей Dr.Web Shellguard anti-exploit module (11.05.00.04250), Dr.Web Protection for Windows (11.05.00.05030) и Dr.Web Scanning Engine (11.5.0.201804270), а также конфигурационных скриптов в этих продуктах.

Изменения в антируткитном модуле:

• реализована возможность чтения, разбора и сканирования UEFI-прошивок;
• реализованы поведенческий анализ и механизм обезвреживания вредоносных объектов с использованием алгоритмов машинного обучения;
• улучшены алгоритмы поведенческого анализа запущенных процессов для уменьшения числа ложных срабатываний Превентивной защиты;
• усовершенствован механизм распознавания активного заражения применительно к актуальным угрозам.

Изменения в сервисе перехвата трафика:

• исправлены ошибки обработки FTP-соединений:
  • невозможность сохранения резервных копий на FTP-хранилище средствами Acronis True Image 2018;
  • отсутствие доступа к FTP у авторизованных пользователей с помощью клиента CyberDuck.

Изменения в модуле обновления:

• устранена причина зацикливания при повторном получении кода 407 (Proxy Authentication Required) от сервера обновлений Dr.Web;
• улучшена работа с серверами обновлений и зеркалом.

Изменения в управляющем сервисе:

• исправлена ошибка, приводившая к невозможности перезагрузки ОС из соответствующего уведомления Dr.Web при работе c пользовательской учетной записью Windows;
• устранена проблема, приводившая к отсутствию уведомлений Windows Security Center об устаревании баз, если ОС переходила в режим «сна»;
• ликвидирована проблема, при которой сервис не мог стартовать, если работа Dr.Web Scanning Engine по каким-либо причинам завершалась на старте;
• доработана логика реагирования на переход системы в спящий режим и выход из него для сохранения корректного состояния компонентов защиты и расписания обновлений;
• повышена производительность при обнаружении и обезвреживании угроз.

Изменения в сканере:

• устранена проблема, приводившая к сбросу пользовательского списка объектов для выборочной проверки при перезагрузке ОС;
• исправлен текст, отображаемый в статистике для угроз, к которым было применено действие «Игнорировать».

Изменение в модуле Dr.Web File System Monitor:

• устранена проблема, при которой не применялись исключения для приложений, запускаемых из сетевых ресурсов.

Изменение в драйверах Dr.Web Net Filter for Windows driver и Dr.Web Firewall for Windows driver:

• добавлена поддержка изменений в работе WSL-приложений на компьютерах под управлением Windows 10 (с апрельским обновлением 1803);

Изменение в Брандмауэре:

• реализована возможность включения/отключения пакетного фильтра.

Изменения в Агенте:

• в разделе «Устройства» доработан интерфейс для поддержания опции блокировки отдельных классов устройств на выбранной шине;
• реализована возможность включения/отключения пакетного фильтра Брандмауэра;
• при создании пакетных правил Брандмауэра добавлена возможность использования символа "/" для масок и символа "-" для диапазонов IP-адресов;
• внесены незначительные исправления в разделе настроек пакетного фильтра Брандмауэра;
• в окне обнаруженных угроз реализовано отображение составных объектов, обезвреженных при фоновом сканировании;
• в Менеджере Карантина исправлено отображение данных об объекте, для восстановления которого требуется перезагрузка;
• исправлена ошибка, приводившая к невозможности восстановить файл, помещенный в Карантин из корневого каталога диска;
• устранена причина «зависания» интерфейса при обезвреживании большого количества угроз за короткий период времени;
• внесены незначительные изменения в работу интерфейса Менеджера Карантина;
• исправлено отображение всплывающих подсказок и контекстного меню в интерфейсе продукта на компьютерах под управлением Windows Vista;
• внесены графические исправления в разделе «Статистика»;
• улучшено отображение элементов интерфейса при использовании контрастных тем Windows;
• исправлена проблема отображения каталога OneDrive в диалоговых окнах, открытых в интерфейсе продукта на компьютерах под управлением Windows 10;
• добавлена возможность выбора WSL-приложений через диалог открытия файла при создании правил для Брандмауэра на компьютерах под управлением Windows 10;
• уведомление о необходимости перезагрузки ОС более не выводится для пользователей, которые не имеют прав на это действие;
• устранена проблема с прокруткой списка доступных языков при помощи колесика мыши.

Изменения в модуле Dr.Web Security Space, Anti-virus for Windows setup:

• улучшен механизм обнаружения установленных антивирусных продуктов ESET для предупреждения пользователя о наличии несовместимого ПО на старте установки Dr.Web;
• исключена возможность запуска установки Dr.Web с игнорированием предупреждения, если установке предшествовала деинсталляция продукта, выполненная без перезагрузки ОС;
• в списке устанавливаемых компонентов теперь недоступна установка плагина Dr.Web для MS Outlook при отсутствии в системе соответствующего почтового клиента.

Изменение в плагине Dr.Web для MS Outlook:

• ускорена загрузка плагина при старте MS Outlook.

Изменение в компоненте Dr.Web Device Guard for Windows:

• реализована опция выборочной блокировки отдельных классов на выбранной шине.

Вместе с тем был внесен ряд изменений в руководства пользователей Dr.Web Security Space и Антивируса Dr.Web.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

30 мая 2018 года

Аналитики «Доктор Веб» раскрыли преступную схему, позволившую злоумышленнику заработать миллионы рублей. Киберпреступник, скрывающийся под псевдонимом «Faker», разработал систему аренды вредоносных программ по подписке, приносящую ему значительный доход. Среди пострадавших — множество пользователей игровой платформы Steam.

«Faker» использует несколько способов незаконного заработка. Главный среди них — разработанная им схема MaaS (Malware As a Service), реализующая аренду вредоносных программ по подписке. От клиентов «Faker»’а, желающих зарабатывать на распространении троянцев, не требуется ничего, кроме денег и, в некоторых случаях, домена: вирусописатель предоставляет им самого троянца, доступ к административной панели и техническую поддержку. По подсчетам аналитиков «Доктор Веб», это решение «под ключ» принесло своему создателю миллионы, а сколько на этом заработали его клиенты, остается только догадываться – с учетом того, что потраченные деньги на оплату месяца использования этой криминальной услуги могут окупиться за сутки. Все созданные «Faker»’ом вредоносные программы угрожают пользователям популярного игрового сервиса Steam.

Steam — это разработанная компанией Valve Corporation платформа, предназначенная для цифрового распространения компьютерных игр и программ. Зарегистрированный пользователь Steam получает доступ к личному кабинету, в котором собрана информация обо всех приобретенных им ранее играх и приложениях. Помимо этого, он может совершать покупки в магазине Steam, приобретая различный цифровой контент, а также продавать и обменивать игровые предметы. Эти предметы имеют ключевое значение в различных многопользовательских играх. Оружие, амуниция и различный инвентарь позволяют менять внешний вид игрока и визуальное представление его имущества в игре. Игровые предметы можно обменивать на специализированных сайтах, а также покупать и продавать за реальные деньги. Именно на этом построил свой криминальный бизнес «Faker».

Один из применяемых им способов заработка — так называемые «рулетки». Так сетевые игроки называют своеобразные аукционы, на которые сразу несколько участников выставляют различные игровые предметы. Вероятность выигрыша зависит от размера сделанной участником ставки, а победитель забирает все участвующие в розыгрыше лоты. Мошенничество заключается в том, что против реального игрока выступают специальные программы-боты, которые гарантированно выигрывают ставку. Иногда потенциальной жертве предлагают стать администратором такой игры и даже позволяют несколько раз выиграть, прежде чем она выставит на очередной кон какой-либо дорогой игровой предмет, который тут же будет проигран и перейдет в собственность злоумышленников.

Административная панель «рулеток» позволяет гибко настраивать внешний вид сайта, на котором производятся розыгрыши, его отображаемое содержимое, менять имена и текст в организованном на сайте чате, управлять ставками, просматривать список принятых у других игроков предметов, а также полностью управлять «рулеткой».

Кроме того, «Faker» предоставляет в аренду другим киберпреступникам созданные им вредоносные программы. Одна из них получила наименование Trojan.PWS.Steam.13604, она предназначена для хищения учетных данных пользователей Steam. Создатель троянца на условиях ежемесячной абонентской платы предоставляет киберпреступникам собранный для них вредоносный файл, а также доступ к панели управления.

Распространяется троянец несколькими путями. Один из них использует методы социальной инженерии: пользователю Steam приходит сообщение о том, что нескольким участникам сообщества в команду требуется новый игрок. После одного совместного матча для удобства дальнейшего взаимодействия потенциальной жертве предлагают скачать и установить программу-клиент для голосового общения. Злоумышленники отправляют жертве ссылку на поддельный сайт этого приложения. По ссылке под видом программы загружается троянец.

Если потенциальная жертва уже использует чат-клиент TeamSpeak, ей присылают адрес сервера, к которому подключается команда игроков для совместного общения. После подключения к этому серверу на экране жертвы отображается окно с предложением обновить какой-либо из компонентов приложения TeamSpeak или драйвер аудиоподсистемы. Под видом этого обновления на компьютер скачивается вредоносная программа.

При запуске троянец выгружает процесс приложения Steam (если этот процесс – не его собственный), затем определяет путь к каталогу Steam на компьютере, язык приложения и имя пользователя. При наличии одного из служебных файлов программы Steam Trojan.PWS.Steam.13604 извлекает из него пары, состоящие из идентификаторов steamid64 и имен учетных записей. Затем троянец отсылает на управляющий сервер собранную на зараженном компьютере информацию, в том числе версию операционной системы, имя пользователя и машины, язык ОС, путь к приложению Steam, языковую версию этого приложения и т. д.

Выполнив указанные действия, вредоносная программа удаляет оригинальный файл приложения Steam и копирует себя на его место. Чтобы лишить пользователя возможности обновить клиент Steam или получить техническую помощь, троянец меняет содержимое файла hosts, блокируя доступ к сайтам steampowered.com, support.steampowered.com, store.steampowered.com, help.steampowered.com, forums.steampowered.com, virustotal.com и некоторым другим. Затем Trojan.PWS.Steam.13604 показывает на экране поддельное окно авторизации Steam. Если жертва вводит в него свои логин и пароль, троянец пытается авторизоваться с их помощью в сервисе Steam. Если эта попытка увенчалась успехом и на компьютере включен Steam Guard — система двухфакторной аутентификации для защиты учетной записи пользователя, — троянец выводит на экран поддельное окно для ввода кода авторизации. Вся эта информация отсылается на сервер злоумышленников.

Для всех своих клиентов вирусописатель использует один и тот же управляющий сервер. Из полученных данных на нем формируется файл, который в дальнейшем злоумышленники используют для доступа к учетной записи жертвы в сервисе Steam. Интерфейс панели администрирования Trojan.PWS.Steam.13604 показан на следующих иллюстрациях:

Помимо Trojan.PWS.Steam.13604 «Faker» сдает в аренду еще одного созданного им троянца. Он получил наименование Trojan.PWS.Steam.15278. Эта вредоносная программа распространяется аналогичным способом и ориентирована на хищение игрового инвентаря у пользователей платформы Steam. Похищенные виртуальные предметы злоумышленники могут впоследствии продать другим игрокам. Вирусописатель также рекламирует услугу по аренде этой вредоносной программы на специализированных форумах.

Trojan.PWS.Steam.15278 использует в своей работе приложение Fiddler — бесплатную утилиту для анализа трафика при передаче данных по протоколу HTTP, работающую по принципу прокси-сервера. Fiddler устанавливает в систему корневой сертификат, благодаря чему Trojan.PWS.Steam.15278 получает возможность прослушивать зашифрованный HTTPS-трафик. Троянец перехватывает ответы сервера и подменяет в них данные.

Если пользователь зараженной машины обменивается с другими игроками инвентарем на специально предназначенных для этого площадках, таких как opskins.com, igxe.cn, bitskins.com, g2a.com, csgo.tm, market.csgo.com, market.dota2.net и tf2.tm, в момент совершения обменной сделки троянец подменяет получателя игрового предмета. Происходит это так. После того как жертва троянца выставит на продажу или обмен собственный игровой инвентарь, вредоносная программа подключается к его аккаунту и с определенным временным интервалом проверяет поступающие предложения. Если предложивший для обмена какой-либо предмет пользователь зараженного компьютера получает запрос на совершение сделки, троянец отменяет этот запрос, определяет имя пользователя, его аватар, а также текст сообщения из оригинального запроса и высылает жертве в точности такой же запрос, но от имени принадлежащей злоумышленникам учетной записи. Физически подмена осуществляется с использованием веб-инжектов: Trojan.PWS.Steam.15278 встраивает в страницы полученный с управляющего сервера вредоносный код. Следует отметить, что «Faker» является автором и других троянцев, работающих по аналогичному принципу и реализованных в виде расширения для браузера Google Chrome.

При обмене инвентаря через официальный сайт steamcommunity.com Trojan.PWS.Steam.15278 позволяет злоумышленникам подменять отображение игровых предметов у пользователя. Троянец модифицирует содержимое веб-страниц сервиса steamcommunity.com таким образом, что потенциальная жертва видит предложение об обмене очень дорогого и редкого игрового предмета. Если пользователь одобрит сделку, вместо ожидаемого предмета он получит какой-либо тривиальный и дешевый элемент инвентаря. Оспорить подобный несправедливый обмен впоследствии практически невозможно, поскольку с точки зрения сервера пользователь сам и добровольно совершил эту сделку. Например, на странице сервиса steamcommunity.com пользователь зараженного компьютера увидит, будто другой участник сервиса предлагает ему к обмену игровой предмет под названием «PLAYERUNKNOWN's Bandana» стоимостью $265.31. На самом же деле по завершении сделки он получит «Combat Pants (White)» — цена этого предмета составляет всего лишь $0.03.

Панель управления Trojan.PWS.Steam.15278 в целом схожа с административной панелью Trojan.PWS.Steam.13604, однако в обновленной версии появился дополнительный раздел, позволяющий управлять заменами игровых предметов при осуществлении сделок обмена. Злоумышленник может сам настраивать изображения и описания игровых предметов, которые будут показаны жертве вместо реальных. Полученный обманным путем игровой инвентарь киберпреступники впоследствии могут продать за реальные деньги на сетевых торговых площадках.

Все известные на сегодняшний день модификации Trojan.PWS.Steam.13604 и Trojan.PWS.Steam.15278 успешно детектируются и удаляются Антивирусом Dr.Web, поэтому они не представляют опасности для наших пользователей. Специалисты «Доктор Веб» передали в компанию Valve Corporation информацию о скомпрометированных учетных записях пользователей, а также об аккаунтах, которые использовались в описанных выше мошеннических схемах.

Подробнее о Trojan.PWS.Steam.13604

Подробнее о Trojan.PWS.Steam.15278

#вредоносное_ПО #геймер #игры #троянец

29 мая 2018 года

Компания «Доктор Веб» приглашает пользователей ознакомиться с новой листовкой о необходимости антивирусной защиты POS-устройств в точках продаж. Кассы, терминалы, киоски и прочие специализированные компьютерные устройства тоже подвержены ИБ-угрозам — листовка поможет узнать, как избежать заражения торгового оборудования и минимизировать риски для бизнеса.

Узнайте больше о защите торговых терминалов с помощью Dr.Web.

Многие наверняка попадали в ситуацию, когда оплатить тот или иной товар или услугу с кассового терминала невозможно. Технические неполадки? Возможно. Торговые сети вряд ли проинформируют клиентов об ИБ-инциденте. В то же время кассовые компьютеры уязвимы не только перед лицом угроз, созданных специально для заражения торговых сетей, но и могут быть заражены «неспециализированным» вредоносным ПО — вирусами, троянцами-вымогателями и пр. Такое заражение — это не только значительный удар по бизнесу, который выводит из строя оборудование и парализует процесс продаж, но и реальная угроза утечки данных о банковских картах клиентов.

Компания «Доктор Веб» подготовила листовку о безопасности POS-устройств и приглашает ознакомиться с возможностями защиты торгового оборудования с помощью технологий Dr.Web. Листовку можно разослать друзьям и знакомым, чтобы как можно больше людей узнали об этой недооцененной угрозе.

Скачать PDF

#Dr.Web #обучение

29 мая 2018 года

Компания «Доктор Веб» примет участие в конференции «Код информационной безопасности», которая состоится 7 июня в Ростове-на-Дону. Эксперт компании расскажет участникам мероприятия об особенностях настройки антивируса для защиты от троянцев-майнеров.

Несмотря на то, что троянцы-майнеры являются одной из самых распространенных угроз текущего года, многие вообще не причисляют их к вредоносным программам и не считают, что от них необходимо защищаться. Как настроить антивирус для того, чтобы майнеры не проникли в локальную сеть и не использовали ресурсы компьютеров для скрытой добычи криптовалюты, участникам конференции расскажет ведущий специалист отдела развития компании «Доктор Веб» Вячеслав Медведев.

Организатором мероприятия выступает агентство бизнес-событий «Экспо-линк». Конференция начнется 7 июня в 09:30 по адресу: г. Ростов-на-Дону, ул. Большая Садовая, д. 115, конгресс-отель Don-Plaza. Программа предусматривает живое общение с экспертами, на встречу с нашим представителем Вячеславом Медведевым можно записаться предварительно в календаре мероприятий компании «Доктор Веб».

Календарь мероприятий

О компании «Экспо-линк»

Агентство бизнес-событий «Экспо-линк» с 2004 года занимается комплексным планированием, администрированием и проведением бизнес мероприятий — форумов, конференций, семинаров, бизнес-завтраков — и оказывает весь спектр необходимых сопутствующих услуг. Среди клиентов агентства — крупные игроки российского и международного ИT-рынка, системные интеграторы, провайдеры интернет-услуг, антивирусные вендоры, B2B-компании.

expolink-company.ru

#КодИБ #Доктор_Веб #конференции #мероприятия

25 мая 2018 года

Компания «Доктор Веб» объявляет о старте новой акции для покупателей электронных лицензий Dr.Web Security Space: в течение недели обеспечить комплексную безопасность для 2 ПК можно по цене защиты 1 ПК.

Защитите 2 ПК и 2 мобильных устройства, заплатив за защиту в 2 раза меньше!

Акция продлится с 25 по 31 мая. Специальное предложение доступно в интернет-магазине «Доктор Веб», а также на сайте allsoft.ru. Отличная «двойная» возможность обеспечить домашнее семейство компьютеров и мобильных устройств с наступлением летних каникул!

Акционная лицензия предназначена для защиты 2 компьютеров. Вы получите один серийный номер, после регистрации которого сформируется один ключевой файл. Он начнет действовать с момента регистрации одновременно для всех защищаемых компьютеров.

Акционные лицензии подходят для продления как электронных, так и коробочных продуктов Dr.Web Security Space и Антивирус Dr.Web. Если при регистрации купленной лицензии вы укажете серийный номер предыдущего продукта или его ключевой файл, срок действия новой лицензии будет увеличен на 150 дней.

24 мая 2018 года

Компания «Доктор Веб» награждает персональным трофеем пользователя под псевдонимом Biggurza.

Участник сообщества Dr.Web под псевдонимом Biggurza много раз радовал читателей проекта «Антивирусная правДА!» своими поэтическими опытами. Очень приятно, что наши материалы не оставляют пользователей равнодушными и вызывают такую прекрасную обратную связь.

Сегодня мы поздравляем и благодарим Biggurza — за нетривиальные способности к стихосложению компания «Доктор Веб» присуждает ему персональный трофей «На Парнас!».

#трофей #комментарии

24 мая 2018 года

Компания «Доктор Веб» сообщает об участии в качестве партнера в XII Всероссийском форуме «Здоровье нации — основа процветания России».

С 30 мая по 1 июня 2018 года в Москве (ВК «Гостиный двор») состоится XII Всероссийский форум «Здоровье нации — основа процветания России». В этом году участники форума соберутся, чтобы обсудить меры по реализации приоритетного проекта Правительства РФ «Формирование здорового образа жизни». Компании «Доктор Веб» в предстоящем мероприятии предоставлен партнерский статус, а Dr.Web стал официальным антивирусом форума.

«Доктор Веб» стал партнером XII Всероссийского форума «Здоровье нации — основа процветания России».

В рамках форума пройдут межотраслевые конференции, научно-практические симпозиумы, лекции и мастер-классы, будут представлены лучшие региональные программы в сфере здорового образа жизни.

О форуме

Форум организован Общероссийской общественной организацией «Лига здоровья нации» и Министерством здравоохранения Российской Федерации, при поддержке федеральных органов исполнительной власти и Правительства Москвы. Мероприятия форума нацелены на обсуждение и демонстрацию комплексных межведомственных решений в рамках государственных структур и многосторонних решений с участием некоммерческих организаций, бизнеса, профессиональных объединений и религиозных организаций по формированию здоровьесберегающей и здоровьеформирующей среды обитания.

www.znopr.ru