Новости

«Доктор Веб»: обзор вирусной активности за май 2017 года

01.06.2017
«Доктор Веб»: обзор вирусной активности за май 2017 года

31.05.2017 компания «Доктор Веб» опубликовала обзор вирусной активности за май 2017 года. Основными событиями месяца стали: масштабное распространение троянской программы-шифровальщика WannaCry, обнаружение троянской программы типа «бэкдор» для операционной системы Mac OS и появление многокомпонентной троянской программы для операционной системы Linux.

В течение мая 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено свыше 1 млн интернет-адресов, что почти в два раза больше по сравнению с предыдущим месяцем.

По данным статистики компании «Доктор Веб», наиболее распространенным вредоносным программным обеспечением (ВПО), выявленным в почтовом трафике, как и в предыдущем месяце, стали программы различных семейств, предназначенные для загрузки и установки на компьютер других вредоносных программ (JS.Downloader и W97M.DownLoader). Третье место по-прежнему занимает семейство троянских программ, предназначенных для хищения паролей и другой конфиденциальной информации (Trojan.PWS.Stealer).

Жертвами программы-шифровальщика WannaCry стали компьютеры в более чем 150 странах, работающие под управлением операционной системы Windows и подключенные к сети Интернет без использования межсетевого экрана или механизма трансляции сетевых адресов (Network Address Translation, NAT). Компания «Доктор Веб» детектирует вредоносную программу под именем Trojan.Encoder.11432 и выделяет следующие признаки заражения указанным ВПО:

  • наличие системной службы "mssecsvc2.0" (видимое имя - "Microsoft Security Center (2.0) Service");
  • наличие файлов трояна C:\WINDOWS\tasksche.exe или C:\WINDOWS\qeriuwjhrf.

Компания приводит следующие рекомендации относительно действий в случае заражения компьютера ВПО WannaCry:

  • во избежание распространения ВПО изолировать зараженные устройства и компьютеры с ценными данными от сети;
  • сохранить резервную копию информации на отдельные носители, которые следует хранить не подключенными к компьютеру.

Троянская программа для операционной системы Mac OS получила название Mac.BackDoor.Systemd.1. Троян устанавливает соединение с управляющим сервером, отправляет на него информацию об устройстве: версию операционной системы, MAC- и IP-адреса всех доступных сетевых интерфейсов, наличие у пользователя прав администратора, тип процессора и др. Функционал вредоносной программы позволяет злоумышленникам получать список содержимого заданной директории, прочитать файл, получить содержимое файла, удалять и переименовывать файлы и папки и др.

Троянская программа для операционной системы Linux написана на языке программирования Lua и получила название Linux.LuaBot. Троян может заражать не только компьютеры, но и устройства из области Интернета вещей (сетевые хранилища, роутеры, телевизионные приставки, веб-камеры и т. п.), способен выполнять поступающие от злоумышленников команды. Кроме того, он запускает на зараженном устройстве веб-сервер, позволяющий злоумышленникам скачивать и загружать различные файлы. На основе IP- адресов скомпрометированных устройств представлена статистика заражения по странам: Марокко (28,4%), Китай (13,7%), США (12%), Сингапур (5,6%), Германия (3%) и др. Россия находится на предпоследнем месте с показателем 1,4%.

В качестве угроз месяца для мобильных систем специалисты компании «Доктор Веб» выделяют обнаружение в магазине приложений Google Play троянских программ для операционной системы Android:

  • Android.RemoteCode.28 — встроен в приложение-аудиоплеер, способен загружать другое вредоносное ПО на устройство, передавать на управляющий сервер злоумышленников информацию об устройстве и установленном на нем ПО;
  • Android.BankBot.186.origin — банковская троянская программа, распространяемая через ММС-сообщения под видом ссылки, при переходе на которую на устройство пользователя загружается вредоносный apk-файл;
  • Ряд троянских программ, предназначенных для показа навязчивой рекламы.