Android.Ggtrack подписывает пользователей на платные услуги

22 июля 2011 года

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей о появлении очередной троянской программы для мобильной платформы Android. Android.Ggtrack.1-2 крадет деньги со счетов владельцев смартфонов на базе этой ОС, без ведома подписывая их на различные платные услуги.

Android.Ggtrack.1-2 проникает в операционную систему мобильного устройства при посещении пользователем фишингового сайта, маскирующегося под официальный Android Market. Ссылка на эту страницу обычно присутствует в рассылаемой спамерами рекламе, также на нее можно наткнуться при просмотре некоторых веб-страниц в Интернете. Две известные на сегодняшний день модификации троянца встроены в ряд легитимных приложений, таких как программа для управления энергосбережением Battery Saver, гаджет-будильник Alarm Clock или комплект эротических обоев для телефона под названием Sexy Girls. На официальном Android Market инфицированное ПО в настоящий момент не обнаружено.

На сегодняшний день владельцам смартфонов предлагается множество интернет-сервисов, предполагающих платную подписку на различные услуги (онлайн-игры, службы знакомств, а также ресурсы, предоставляющие доступ к всевозможному контенту, такому как гороскопы, психологические тесты и т. д). Обычно для регистрации на подобных сайтах от пользователя требуется зайти на специальную веб-страницу, принять лицензионное соглашение, ввести в соответствующее поле номер своего мобильного телефона, а затем набрать в отдельной форме полученный по СМС код доступа, подтверждающий, что номер указан правильно. Android.Ggtrack.1-2 умеет выполнять все эти процедуры абсолютно незаметно для пользователя и, разумеется, без его ведома. Лишь спустя какое-то время владелец мобильного устройства с удивлением обнаружит факт списания с его счета некоторой суммы денег за пользование платными услугами, о которых он не имел ни малейшего представления.

Для того чтобы уберечься от заражения Android.Ggtrack.1-2, рекомендуется устанавливать на мобильные устройства приложения, загруженные только из проверенных источников, таких как официальный Android Market. Не доверяйте предлагающим установить бесплатные программы рекламным сообщениям, пришедшим к вам по электронной почте или СМС. Кроме того, вы можете защитить себя от вредоносного ПО, установив на свое мобильное устройство Dr.Web для Android Антивирус + Антиспам или Dr.Web для Android Light.

BackDoor.Termuser открывает несанкционированный доступ к зараженным компьютерам

20 июня 2011 года

Компания «Доктор Веб» обращает внимание пользователей на появление вредоносной программы BackDoor.Termuser, реализующей на зараженном компьютере функции бэкдора и открывающей к нему доступ злоумышленникам.

Предположительно, этот бэкдор может устанавливаться в систему при помощи другого вредоносного ПО или загружаться в процессе просмотра инфицированных веб-сайтов. Непосредственно после загрузки в память BackDoor.Termuser копирует себя под случайным именем в системную папку Windows, либо во временную папку, если попытка записи в системную директорию не увенчалась успехом. Затем вредоносная программа регистрирует и запускает службу Network Adapter Events, после чего пытается остановить и удалить сервисы установленного в системе антивирусного ПО.

Непосредственно после своей инсталляции BackDoor.Termuser собирает информацию о зараженном компьютере (включая версию операционной системы, IP-адрес, имя локального пользователя) и отправляет ее на удаленный сервер, затем загружает оттуда архив с программой BeTwinServiceXP.exe (удалённый рабочий стол RDP), распаковывает его и устанавливает приложение, отправляя злоумышленникам отчёт об успешном завершении этой операции. Затем вредоносная программа регистрирует в системе нового пользователя с именем TermUser, включает его в локальные группы «администраторы» и «пользователи удалённого рабочего стола», после чего скрывает пользователя при входе в систему. Наконец, BackDoor.Termuser копирует во временную папку файл троянца Trojan.PWS.Termuser и запускает его. Данный троянец выводит на экран стандартное окно авторизации Windows и блокирует его закрытие до тех пор, пока пользователь не введет свои логин и пароль, которые автоматически записываются в зашифрованном виде в реестр.

Загрузившись в операционной системе, бэкдор BackDoor.Termuser не только не позволяет запускать антивирусные программы, но также способен выполнять поступающие из удаленного центра команды и передавать управление компьютером злоумышленникам. В целях профилактики заражения этим вредоносным ПО пользователям рекомендуется регулярно устанавливать обновления безопасности Windows, а также выполнять проверку компьютера антивирусом Dr.Web.

С уважением,
Служба информации
компании «Доктор Веб»
www.drweb.com

Новая модификация Android.Wukong похищает деньги пользователей Android

17 июня 2011 года специалистами компании «Доктор Веб» — известного российского разработчика средств информационной безопасности — в вирусные базы были добавлены сигнатуры четырех новых модификаций вредоносной программы для мобильной ОС Android — Android.Wukong (4-7), похищающей средства со счетов пользователей путем отправки платных SMS-сообщений.

Новые версии троянца Android.Wukong были встроены в программное обеспечение, распространяемое с нескольких сайтов на территории Китая. В частности, он был обнаружен на одном из крупнейших сборников ПО www.nduoa.com, содержащем более 11000 приложений.

Вредоносная программа попадает на мобильное устройство в случае загрузки его владельцем инфицированного приложения и запускается в качестве фонового процесса операционной системы. Затем троянец получает с удаленного сервера номер платного сервиса, на который с интервалом в 50 минут осуществляет отправку SMS, начинающихся со строки «YZHC». Помимо этого вредоносная программа старается скрыть следы своей деятельности, удаляя из памяти смартфона отосланные ею сообщения и входящие SMS с информацией о приеме платежа оператором.

На сегодняшний день специалистам компании «Доктор Веб» известно о семи модификациях данного вредоносного ПО, соответствующие записи были включены в вирусные базы Dr.Web. Пользователям устройств, работающих под управлением операционной системы Android, рекомендуется проверить свою ОС с помощью Dr.Web для Android Антивирус + Антиспам или Dr.Web для Android Light.

С уважением,

Служба информации
компании «Доктор Веб»
www.drweb.com

«Доктор Веб»: Trojan.Winlock достучался до ЖЖ

3 февраля 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о новом способе распространения троянцев, блокирующих Windows, — через комментарии в «Живом Журнале» (LiveJournal, LJ) — сервисе блогов, особо популярном у русскоязычных пользователей. Жертва, нажимая на полученный комментарий, попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом, где ей предлагается загрузить exe-файл, за которым скрывается Trojan.Winlock.

Социальные сети всегда были лакомым кусочком для вирусописателей. Тем не менее, до недавнего времени модификации Trojan.Winlock через них активно не распространялись. Объясняется это, в частности, тем, что активно использовались другие каналы: сайты для взрослых, файлообменники и другие интернет-ресурсы с сомнительным контентом.

В последние месяцы финансовая схема, которой пользуются авторы Trojan.Winlock? претерпела некоторые изменения. Прежде всего, это связано с трудностями использования злоумышленниками в тех же объемах коротких номеров, на которые жертвы должны были присылать платные SMS-сообщения. Кроме того, вирусописатели начали активно искать новые каналы распространения, одним из которых с недавнего времени стал «Живой Журнал».

В конце января 2011 года российские пользователи этого популярного сервиса блогов начали получать комментарии (с темой «Немного насущного оффтопа» или «Немного о насущном в оффтоп»), содержащие картинку, при клике на которую попадали на сайт фотохостинга, с которого уже отправлялись на интернет-ресурс с порнографическим контентом. Именно там им предлагалось скачать exe-файл, за которым скрывался печально известный Trojan.Winlock.

Если пользователь попадал в эту ловушку и загружал предлагаемый объект, Trojan.Winlock блокировал его компьютер, выдавая сообщение с требованием перевести на специальный номер определенную сумму денег (как правило, 300-400 рублей).

На сегодняшний день порядка половины всех обращений в службу технической поддержки «Доктор Веб» связано с проблемой заражения Trojan.Winlock. Чтобы вы не попали на удочку злоумышленников, специалисты компании «Доктор Веб» рекомендуют вам установить лицензионный антивирус с актуальными обновлениями, а также избегать посещения сомнительных интернет-ресурсов.

При заражении Trojan.Winlock рекомендуем посетить специальный сайт компании «Доктор Веб» — www.drweb.com/unlocker, созданный для помощи пользователям в разблокировке компьютеров.

С уважением,

Служба информации
компании «Доктор Веб»

От администрации techmicro.ru

Хоть я сам и не пользуюсь виндами, но продублировать это сообщение от «Доктора» счел правильным. Может поможет хоть комунибудь… Хотя лучшая защита — это юникс 🙂

В Windows Vista найдена опасная уязвимость

Корпорация Microsoft предупреждает об обнаружении опасной уязвимости в операционных системах Windows Vista и Windows Server 2008.

Как сообщается в опубликованном в минувший вторник уведомлении, проблема связана с особенностями реализации протокола Server Message Block (SMB). При помощи сформированного специальным образом пакета данных злоумышленник может выполнить произвольные операции на машине жертвы или спровоцировать аварийное завершение работы системы.

«Майкрософт» занимается решением проблемы, однако о сроках выпуска патча ничего не сообщается.

Одновременно корпорация опубликовала «заплатки» для восьми критически опасных уязвимостей в операционных системах Windows различных версий, в том числе Windows ХР и Windows Vista. «Дыры» найдены в средствах автоматического конфигурирования беспроводных соединений, реализации поддержки протоколов TCP/IP, движке JScript, компонентах обработки мультимедийных файлов в форматах MP3 и ASF и др. Уязвимости теоретически позволяют захватить полный контроль над атакуемым компьютером и выполнить на нем вредоносный программный код.

Загрузить патчи, а также обновленную версию утилиты Malicious Software Removal Tool для устранения наиболее распространенных вредоносных программ можно через службы Windows Update, Microsoft Update и встроенные в Windows средства автоматического обновления.

Автор Владимир Парамонов