Новости

«Доктор Веб»: обзор вирусной активности за июль 2017 года

02.08.2017
«Доктор Веб»: обзор вирусной активности за июль 2017 года

31.07.2017 компания «Доктор Веб» опубликовала обзор вирусной активности за июль 2017 года. Основными событиями месяца стали: обнаружение бэкдора в программе для организации электронного документооборота M.E.Doc, выявление источника распространения бэкдора Dande, компрометация портала госуслуг, выявление вредоносных программ для мобильной операционной системы Android.

В течение июля 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено свыше 327 тысяч интернет-адресов, что на 40% больше по сравнению с предыдущим месяцем.

По данным статистики компании «Доктор Веб», наиболее распространенным вредоносным программным обеспечением (ВПО), выявленным в почтовом трафике, как и в предыдущем месяце, стали программы, предназначенные для загрузки и установки на компьютер других вредоносных программ (JS.Downloader). На втором месте — программы, встраивающие вредоносный скрипт в HTML-код веб-страниц (JS.Inject.3). Третье место по-прежнему занимает семейство троянских программ, предназначенных для хищения паролей и другой конфиденциальной информации (Trojan.PWS.Stealer).

Бэкдор в программе M.E.Doc был реализован в виде динамической библиотеки ZvitPublishedObjects.dll, содержащейся в одном из модулей обновления программы. Функционал бэкдора позволяет злоумышленнику собирать данные для доступа к почтовым серверам, выполнять произвольные команды в инфицированной системе, загружать на зараженный компьютер файлы, запускать полезную нагрузку посредством утилиты rundll32.exe (таким же способом на компьютерах пользователей запускалась троянская программа-шифровальщик, известная как NePetya, Petya.A, ExPetya и WannaCry-2).

Специалистами компании «Доктор Веб» выявлен источник троянской программы BackDoor.Dande, предназначенной для кражи информации о закупках медикаментов у фармацевтических компаний. Указанный троян распространялся через специализированное приложение для фармацевтов ePrica. Так, компоненты бэкдора были встроены в одну из ранних версий инсталлятора ePrica (v 4.0.14.6) и имели цифровую подпись разработчика данной программы. Даже после удаления программы ePrica бэкдор оставался в системе и продолжал шпионить за пользователями.

На портале госуслуг специалистами компании «Доктор Веб» был обнаружен потенциально вредоносный код, который заставлял браузер посетителя сайта незаметно обращаться к одному из 15 доменных адресов, зарегистрированных на неизвестное частное лицо.

В качестве угроз месяца для мобильных систем специалисты компании «Доктор Веб» выделяют:

  • обнаружение троянской программы Android.Triada.231 в прошивке нескольких моделей мобильных устройств на базе операционной системы Android;
  • выявление в магазине приложений Google Play игры BlazBlue со встроенной троянской программой-загрузчиком;
  • обнаружение нового банковского трояна для операционной системы Android (Android.BankBot.211.origin).