Information Security Club | Клуб Информационной Безопасности — Stay Safe!
Добро пожаловать в Клуб Информационной Безопасности! Если Вы здесь впервые, то зарегистрируйтесь и прочитайте правила клуба. Если Вы забыли пароль, то перейдите по ссылке, после чего Вы сможете восстановить его через электронную почту. Помните, что некоторые возможности и разделы форума для гостей недоступны, рекомендуется пройти авторизацию.

Welcome to Information Security Club! You can change the website language to English here. If you are here for the first time, please, register and read forum rules. If you forgot your password follow this link to restore it by email. Remember, some facilities and forum nodes for guests are not available, it's highly recommended to pass authorization.

Вирусная активность и вспышки эпидемий по данным экспертного сообщества ProvisionSecurity.Club Внимание Вирусная активность и вспышки эпидемий по данным экспертного сообщества ProvisionSecurity.Club

5.00 звёзд 2 Оценок
Статус
В этой теме нельзя размещать новые ответы.

x-sis

Совет Клуба
Команда форума
Администратор
Регистрация
26.02.2014
Сообщения
6,971
Лучшие ответы
53
Симпатии
15,447
Баллы
798
Адрес
Россия
#1
Logo_3.png

Здесь вы можете ознакомиться с информацией наших экспертов о вспышках вирусной активности и эпидемиях, связанных с конкретными вредоносными программами за определенный промежуток времени. Тема несет предупредительный характер и может содержать оперативную полезную информацию, актуальную в момент обнаружения всевозможных инцидентов. Будьте начеку!

Вредоносные программы, проявившие большую активность и прочие опасности во второй половине июля — в первой половине августа 2018 года

1. Спам-рассылки, содержащие гиперссылки на фишинговые и вредоносные веб-ресурсы

Никуда не подевались традиционные методы злоумышленников, связанные с массовой рассылкой спам-писем. Такие письма как правило содержат либо непосредственно вложения в виде файлов (документов с опасными внешними ссылками или сразу вредоносные объекты, готовые сразу запуститься на исполнение), либо, что имеет место значительно чаще, внешние ссылки на фишинговые и вредоносные веб-ресурсы. Если в первом случае вам с большей долей вероятности подсунут вирус, то во втором варианте развития событий возможен как переход на мошеннический сайт, нацеленный на манипуляцию своими посетителями с целью получения нужной информации, так и на веб-ресурс, содержащий в своем коде вредоносное ПО или предлагающий скачать таковое сразу при открытии злополучной ссылки из письма.

Пример такого спам-письма, полученный как раз в указанный промежуток времени:

1.jpg

Стоит отметить, что, помимо неизвестного отправителя (он может пытаться выдать себя за известного), такие письма не особо содержательны и нацелены на лишь частичную дачу информации для пробуждения в жертве страха, паники, а вместе с ними и желания до конца выяснить суть затронутого вопроса. Самое неприятное то, что, если письма со спам-вложениями как правило отфильтровываются (попадают в папку "Спам") спам-фильтрами большинства онлайн-сервисов электронной почты, после чего уже приходят просто пустыми и безвредными, то письма с внешними ссылками, как на примере выше, не перестают содержать представляющие угрозу url-адреса в своем тексте.

К сожалению, именно второй тип спам-писем с внешними гиперссылками чаще всего пропускается спам-фильтрами различных сервисов электронной почты. Пример выше отображает случай с Яндекс.Почтой, когда такое письмо не попало автоматически в папку "Спам", а сразу отображалось во входящих как непрочитанное.

Гиперссылка, находящаяся в упомянутом выше письме, находилась в сочетании слов "Сейчас же принять меры!". Вот какой таинственный url-адрес за ней скрывался:

2.jpg

Ещё один хитрый ход — использовать дополнительное перенаправление на конечный опасный сайт через сайт посредник, который сам по себе является безопасным и возможно даже защищенным (протокол https). Такой метод позволяет отвлечь внимание тех, кто захочет просмотреть содержимое url-адреса гиперссылки до того, как осуществит переход, а также в ряде случаев затруднить проверку такого адреса на предмет чего-либо опасного.

И действительно, за несколько дней (по данным на 4 июля 2018 года) лишь один антивирусный движок с базой вредоносных и мошеннических веб-адресов стал указывать на подозрительность конечного url-адреса:

3.jpg

Даже если в данном случае сайт уже не представляет опасности по истечению времени (всё-таки различными IT-компаниями и мировыми провайдерами ведется деятельность по зачистке таких веб-ресурсов), то считайте, что вам повезло. Но если письмо свежее, то и вирусы, иные опасности в них — тоже свежее некуда. В этом то и заключается основная опасность спам-писем, поскольку вам предлагается всё самое свежее и горячее, прямо из рук злоумышленников.

Выводы как всегда прозрачны и очевидны: использование электронной почты через веб-интерфейс сулит вам заражением новейшим вредоносным ПО, и это благодаря лишь одному даже случайному клику по ссылке из открытого письма. Нажали на кнопку мыши — сильно пожалели. Для минимизации подобных рисков используйте почтовые клиенты, благо их существует достаточно много.

Подробнее про спам-письма и вредоносные рассылки вы узнаете из данного видеоролика.

2. Trojan-Ransom Nemucod (JS): скрипт-шифровальщик, распространяющийся преимущественно через почтовые спам-рассылки

Опасность: критическая

Тип: вымогатель-шифровальщик, троянская программа класса Ransomware


4.jpg

Для просмотра скрытого текста Войдите или зарегистрируйтесь.
на проверку типичного представителя на сервисе VirusTotal показывает, что обнаруженная двумя сутками ранее свежая модификация троянца сигнатурно не детектируется более 80% антивирусов.

Недаром наш обзор текущей ситуации в информационном пространстве начался именно со спам-писем. Шифровальщики, спровоцировавшие массовые эпидемии ещё в 2014 году, которые привели к множественной и безвозвратной утрате данных, не перестают давать о себе знать и по-прежнему не спускаются со сводок самых популярных вирусов. Один из таких представителей — шифровальщик Nemucod, продолжает династию вымогателей-шифровальщиков. Первые упоминания о нем датируются
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
,
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
и
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
годами. С каждым годом троянец становился все более функциональным и мощным, вследствие чего он заслонил собой многие другие вирусы схожего типа и активно используется злоумышленниками как основной инструмент для получения прибыли.

Отличительной чертой этого шифровальщика являются следующие детали:
  • Распространяется преимущественно через спам-рассылки в электронной почте в виде вложения или файла, доступного по прямой ссылке из тела спам-письма
  • Чаще всего представляет собой скрипт, написанный на языке Visual Basic или Java Script (что позволяет ему встраиваться напрямую в код веб-страницы). Расширения файла исходного тела: js, vbs, wsf. Сам скрипт изначально является не совсем шифровальщиком, а представляет собой посредника-загрузчика (Trojan-Downloader) информации из сети с серверов злоумышленника, необходимой для начала процесса шифровки
  • Осуществляет очень быструю шифровку (в среднем шифрует все за 1-5 минут) пользовательских данных на компьютере жертвы на всех дисках (HDD, SDD), обходя стороной только критические системные и служебные файлы. Некоторые, особо агрессивные вариации шифратора Nemucod подвергали шифровке даже исполняемые (.exe) и библиотечные (.dll) файлы, не относящиеся к самой системе, а только к прикладным программам пользователя
  • Исходя из предыдущего пункта следует, что Nemucod шифрует подавляющие большинство типов файлов (расширений), включая не только текстовые, архивные, офисные, графические и мультимедийные файлы, но и исполняемые
  • Использование криптостойких алгоритмов шифрования, таких как AES и RSA с большой длиной ключа, в более половине процентов случаев заражений приводит к безвозвратной утрате всех данных пользователей и повреждению прикладных программ
Методы противодействия: брандмауэры и сетевые экраны (при условии обязательной блокировки неопознанных исходящих и входящих подключений), а также средства для защиты папок, эвристические и поведенческие анализаторы (возможно в составе комплексного антивирусного ПО)

Так как в случае, когда заражение уже пропущено и данные зашифрованы, с вероятностью более 90% вернуть назад что-либо уже не получится (если не сделаны резервные копии утраченных данных), поэтому основным методом борьбы с данным вирусом является именно предотвращение заражения. Результаты проверки говорят о том, что надеяться на сигнатурное обнаружение шифровальщика со стороны вашего антивируса или иного защитного ПО даже при условии наличия последних обновлений антивирусных баз, мягко говоря, не стоит. Основное средство спасти себя — задушить скрипту доступ в сеть: в этом случае, если даже он запустился, шифровку он начать не сможет, поскольку, если будет заблокирован фаерволом, ответа от сервера злоумышленника он не получит, как и все необходимое для шифровки. А дальше он будет продолжать безобидно висеть в памяти, пока не будет прибит проактивной защитой или файловым антивирусом при появлении на него баз сигнатур. Акцент на хорошем, правильно настроенным сетевом экране, который не даст доступ в сеть вирусу и занесет его в черный список для постоянной блокировки, или срабатывание средств для поведенческого и эвристического анализа при наличии сходства в заранее известном вредоносном поведении (модели), спасет вам жизнь.

А если хотите вообще без риска — проверяйте всё, что запускаете, хотя бы по VirusTotal, и не переходите по неизвестным ссылкам.

Шифровальщик Nemucod детально рассматривался нами в том же самом видеосюжете, где мы рассказывали про спам и опасные рассылки именно на его примере.

Не забывайте ни на секунду о том, что Nemucod и другие шифровальщики не просто одни из наиболее встречающихся вирусов, но и самые опасные зловреды из всего, что сейчас широко распространено.

Данные статистики обнаружения вирусов Dr.Web наглядно иллюстрируют сказанное выше — шифровальщики не покидают ТОП-50 из наиболее встречающихся вирусов, и находятся в первой десятке этого топа (по данным с 1 по 4 августа находятся на девятом месте):

7.jpg

И самое страшное, что в числе самых популярных и массовых вирусов, обнаруженных спам-фильтрами Dr.Web на всевозможных сервисах электронной почты, эксплойт, загружающий после своего проникновения на компьютер жертвы опять же троянца-шифровальщика, занимает первое место:

8.jpg

Такие печальные новости говорят о том, что, во-первых, наиболее вероятно, что через электронную почту и спам письмо вы получите именно самое опасное — шифровальщика, и, во-вторых, большинство пользователей используют устаревшие версии офисного пакета Microsoft Office (или обновления Microsoft до сих пор бесполезны и не помогают), посредством которого они как раз и запускают зараженный эксплойтом документ из спам-письма. Именно об этой этой уязвимости и на примере именно этого эксплойта мы говорили об этой проблеме в отдельном видеосюжете несколько лет назад, но, видимо, нас услышали только единицы.

Подробнее об опасностях в офисных пакетах и документах можно узнать в другом нашем видеоролике.

3. Trojan-PSW / Trojan-Spy Fareit (Win32): похититель паролей (и не только), ведущий охоту за вашими данными

Опасность: средняя

Тип: троянская программа-шпион

5.jpg

Для просмотра скрытого текста Войдите или зарегистрируйтесь.
на проверку типичного представителя на сервисе VirusTotal. Как видно из результатов анализа, даже несмотря на совсем малый возраст (чуть более суток) вредоносного образца, в отличие от Nemucod, антивирусные вендоры способны даже автоматически обнаруживать новые модификации этого трояна-шпиона. Причиной тому являются незамысловатые вирусописатели, незначительно из раза в раз изменяющие исходный код своего детища (или ограничивающиеся одной только перепаковкой).

Несмотря на то, что Fareit сам по себе не сильно выделяется на фоне другого шпионского ПО, и уж тем более не считается опаснейшим представителем такого класса вирусов, его основное оружие — массовость распространения и постоянный выход новых модификаций (которые пусть и не сильно отличаются с точки зрения кода). Первые сообщения о его появлении
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
2014-2015 годом. В настоящий момент его по праву можно причислить к группе одних из самых многочисленных троянцев-шпионов.

По данным статистики обнаружения вирусов Dr.Web, этот шпион занимает 35-место в топе 50 самых часто обнаруживаемых вирусов за 1-4 августа 2018 года:

6.jpg

То есть антивирусы Dr.Web отправляют сведения об обнаружении этого вируса очень и очень часто, что только подтверждает необычайную популярность троянца (но все равно не такую большую, как у шифровальщиков). Распространяется он множеством способов, наиболее популярные из которых — вредоносные сайты и спам-письма.

Отличительные черты шпиона Fareit весьма смазаны и не особо выделяют его на фоне других троянских программ-шпионов:
  • Некоторые модификации не только похищают данные, но ведут чисто шпионскую деятельность (например, слежка по веб-камере и создание скриншотов экрана), а также могут содержать в себе функционал Trojan-Downloader и подгружать в зараженную систему иные вредоносные программы, после чего запустив их на исполнение
  • Ведет охоту за конфиденциальной информацией: учетными записями различных веб-сайтов, сервисов и приложений, кукисами браузеров, данными кредитных карт и прочим. Не удивляйтесь, если вашу учетную запись где-либо взломали или сняли денежку с вашей карты (двухфакторная авторизация может спасти вас в данном случае), а ищите причину утечки сначала на своем же компьютере, поскольку она может буквально находится в списке активных процессов
Методы противодействия: брандмауэры и сетевые экраны (при условии обязательной блокировки неопознанных исходящих и входящих подключений), а также антивирусное ПО с обновленными базами сигнатур

Поведение зловреда Fareit ничем не отличается от типичной троянской программы: попадает на компьютер жертвы он в виде безобидного на первый взгляд исполняемого файла, выдающего себя за какую-то конкретную прикладную программу или ПО для взлома. После своего запуска шпион копирует свое тело в отдаленную папку (возможно, скрытую — AppData или ProgramData) и создает соответствующую запись на автозагрузку в системном реестре, чаще всего по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. В процессе своей работы активно использует сетевое подключение и связывается с удаленными адресами злоумышленника для отсылки украденной информации и получения дальнейших команд с целевого сервера. Украденная информация (Steal Data) зачастую может находиться в скрытом каталоге по пути AppData\Local или AppData\Local\Temp в виде текстовых файлов, которые шпион периодически отправляет своему хозяину.

Не трудно догадаться, что блокировка доступа в сеть для данного вируса с помощью сетевого экрана решит главную проблему с утечкой конфиденциальной информации. В остальном, с троянской программой в состоянии справиться любой популярный бесплатный или платный антивирус с обновленными базами (можно
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
и штатными защитными средствами Windows). А если вы опытный пользователь и владеете основами ОС Windows, то вам не составит труда самостоятельно обнаружить в списке активных процессов и области автозагрузки что-то уж очень инородное (то, что вы не устанавливали намеренно), и удалить это средствами системы, предварительно выгрузив из памяти.

Наш видеосюжет, посвященный шпионскому ПО, поможет вам лучше узнать, что из себя представляют троянские программы-шпионы.

x-sis, при копировании материалов ссылка на форум https://ProvisionSecurity.Club обязательна.
 

x-sis

Совет Клуба
Команда форума
Администратор
Регистрация
26.02.2014
Сообщения
6,971
Лучшие ответы
53
Симпатии
15,447
Баллы
798
Адрес
Россия
#2
Вредоносные программы, проявившие большую активность и прочие опасности во второй половине июля — в первой половине августа 2018 года: часть 2

4. Спам-рассылки продолжаются, приобретая всю большую массовость

Спустя чуть больше недели на почту от Яндекса пришло точно такое же письмо, как в первой части сводки по безопасности, но уже от другого отправителя (его почта по-прежнему создана на Яндексе):

1.jpg

При этом, реакции от спам-фильтра Яндекс.Почты и второй раз не последовало: письмо оказалось сразу во входящих.

Гиперссылка в письме никуда не делась и располагалось в том же самом месте. Поменялась сама ссылка, лишний редикерт через легитимный сайт исчез:

2.jpg

По общей динамике рассылок понятно, что они стали массовыми (только на один ящик второе такое письмо приходит второй раз, спустя неделю). Также заметно, что спамеры активно сменяют почтовые ящики, с которых осуществляют вредоносную рассылку и используют новые url-адреса в своих спам-письмах. Вся эта деятельность направлена на то, чтобы, сколь это возможно избежать блокировки как на уровне самого ящика электронной почты, так и на уровне тех гиперссылок, которые они вкладывают в свои спам-письма.

Показатель выявления не отличается и только один вендор определяет новую ссылку как подозрительную (по сути, это и есть тот же адрес, только с меньшим числом перенаправлений):

3.jpg

Куда же мы в конечном итоге попадем, если все-таки перейти по ссылке из спам-письма? Конечный сайт будет иметь совершенно другой url-адрес, никак не фигурировавший в первоначальной ссылке из письма (возможно использование малоизвестных сервисов для сокращения ссылок):

4.jpg

Попадаем мы на сайт с очередным мошенническим разводом. Если не оставлять здесь никаких конфиденциальных данных и тем более не пытаться перечислить средства, если это попросят сделать далее, то можно выйти сухим из воды, просто закрыв вкладку с сайтом.

При проверке url-адреса конечного сайта видим все тот же околонулевой показатель выявления, но уже другого вендора, хотя сайт явно мошеннический:

5.jpg

Злоумышленники используют всевозможные методы в спам-рассылках, далеко не всегда базирующиеся на одних вредоносных объектах и опасных сайтах: нередко они играют в психологические игры со своими жертвами и пытаются с помощью методов социальной инженерии заставить их добровольно оставить на мошенническом сайте конфиденциальную информацию.

5. Угрозы в документах, использующие уязвимые офисные пакеты Microsoft Office, заслоняют собой все остальные вредоносные объекты

Опасность: высокая

Тип: троянская программа-эксплоит (Exploit) / троянская программа-загрузчик (Trojan-Downloader)

Статистика обнаружения Dr.Web, приведенная в первой части сводки, показывает необычайно широкую распространенность троянского ПО в категории эксплоитов, нацеленных на эксплуатацию незакрытых уязвимостей в офисных пакетах Microsoft Office. Эти угрозы в своей популярности опередили даже шифровальщиков, заняв первое место в текущем рейтинге самых популярных вредоносных программ.

Типичный представитель — загрузчик-эксплоит, входящий в состав документа Microsoft Word (
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
с результатами проверки на VT):

6.jpg

Стоит только попытаться открыть docm-документ, вместе с ним запустится на исполнение троянец-эксплоит. Воспользовавшись незакрытой уязвимостью, в том случае, если установлен устаревший офисный пакет без надлежащих патчей по безопасности (которые, кстати говоря, помогают далеко не всегда), вредонос извлекает из себя или загружает из сети другую вредоносную программу, завершая тем самым свою работу. Что именно через незакрытую уязвимость вам подсунет эксплоит — сравнимо с игрой в рулетку, но это что-то останется в вашем компьютере и будет запускаться вместе с ним постоянно. Нередки случаи, когда такие эксплоиты, после эксплуатации уязвимости в офисном пакете, подбрасывают в систему жертвы свежего шифровальщика, что приводит к немедленной и безвозвратной потере данных.

И таких объектов множество. Вот пример зараженного xlsm-документа Microsoft Excel (
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
с результатами проверки на VT):

7.jpg

Помимо всего прочего, возродились и некогда забытые макровирусы, точно также способные причинить не меньше вреда при открытии неизвестного документа.

Методы противодействия: основной метод — установка обновлений и
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
для офисного пакета Microsoft Office, которые приходят вместе с обновлениями для ОС Windows, при условии включенного параметра "При обновлении Windows предоставить обновления для других продуктов Майкрософт" в Дополнительных настройках, на примере Windows 10:

10.jpg

В том случае, если патч не установлен и уязвимость не закрыта, она будет использована экслоитом для внедрения в систему другого вредоносного ПО. Брандмауэры и сетевые экраны (при условии обязательной блокировки неопознанных исходящих и входящих подключений) способны помочь в ситуациях, когда эксплоит обращается за подбрасываемым им вирусом в сеть (но чаще всего, ситуация осложнена тем, что делает он это от имени самого офисного пакета с доверенным рейтингом (Microsoft Office в белом списке брандмауэра), что снижает шансы сетевого экрана на блокировку).

В остальном, если эксплоит воспользовался незакрытой брешью, дальше универсального рецепта нет: лечимся от того, что оставил вам после себя сам эксплоит.

6. PDF-документы также могут быть заражены эксплоитами, нацеленными на уязвимости в AdobeReader

Опасность: высокая

Тип: троянская программа-эксплоит (Exploit) / троянская программа-загрузчик (Trojan-Downloader)

8.jpg

Причем, напомню, это настоящий PDF-документ (
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
с результатами проверки на VT), но включающий в себя опасное содержимое, которое немедленно запустится на исполнение, стоит вам только его открыть:

9.jpg

При открытии документа, запустится Adobe Reader и сам документ откроется, внешне не отличаясь от обычного PDF-документа, но вместе с ним, скрыто от вас, запустится ещё и эксплоит, который через незакрытую в Adobe Reader уязвимость оставит вам на постоянное жительство несколько других вирусов.

Методы противодействия: установка
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
от Adobe, брандмауэры и сетевые экраны (при условии обязательной блокировки неопознанных исходящих и входящих подключений)

Резюмируем

Будьте внимательны, не только когда работаете с почтой и запускаете только что скачанное исполняемое приложение, но и когда открываете какой-либо офисный документ с расширением rtf, pdf, doc, docx, xls, xlsx, ppt, pptx и так далее, поскольку в последнее время открыть документ — означает и запустить его на исполнение (вернее то, что подсунули вам внутри него). А на патчи и обновления, даже если они у вас установлены, надеяться не стоит (в случае с Adobe Reader они как правило спасают, в случае с Microsoft Office — увы, далеко не всегда).

Не забывайте, что обновлений, закрывающих некоторые уязвимости, может просто ещё не быть, и такие бреши могут считаться уязвимостями нулевого дня. Средств для закрытия этих брешей пока просто не существует, а эксплоиты, нацеленные на эту уязвимость, могут быть.

Обращайте внимание на настройки безопасности офисного пакета Microsoft Office: изначальные настройки или, что ещё лучше, более жестко регламентированные, подразумевающие открытие неопознанных документов в режиме защищенного просмотра, а также отключение макросов и элементов ActiveX, в значительной мере снизят риск заразиться чем-то из какого-либо документа, случайно открыв его, поскольку офисное приложение заблокирует опасное содержимое и запросит у вас ещё одно подтверждение на запуск содержимого документа. А если там есть чего запускать и вас об этом спрашивают — лучше задуматься, и ограничиться защищенным просмотром без запуска чего либо, после чего закрыть этот документ и держаться от него подальше. Но, к сожалению, стали появляться случаи, когда даже самые жесткие настройки офисных приложений, запрещающие запуск какого-либо содержимого, не спасают от эксплуатации уязвимости и запуска эксплоита.

И да, действительно, настал тот день, когда нужно бояться неопознанных документов больше, чем исполняемых файлов.

x-sis, при копировании материалов ссылка на форум https://ProvisionSecurity.Club обязательна.
 

x-sis

Совет Клуба
Команда форума
Администратор
Регистрация
26.02.2014
Сообщения
6,971
Лучшие ответы
53
Симпатии
15,447
Баллы
798
Адрес
Россия
#3
Вредоносные программы, проявившие большую активность и прочие опасности во второй половине августа 2018 года: часть 1

1. Рекламное и мусорное ПО

Опасность: низкая

Тип: рекламное и потенциально нежелательное программное обеспечение (Adware, Application, PUP, PUA, Unwanted, not-a-virus)

Думаю, мало кто удивится, что мусорное ПО и рекламное ПО (будем называть их одним словом — ПНП), подразумевающая всевозможные установщики с кучей скрытых галочек, не сняв которые к вам в систему попадет много кое-чего ещё (Тулбары, Mail.Ru Поиск, смена домашней страницы и прочее подобное) никогда не исчезнут со сводок с самыми популярными нежелательными и вредоносными программами. Почему? Да потому что каждый второй сайт просто кишит баннерами и рекламными кнопками, случайное нажатие на которые приведет к установке такого ПО, а это хороший способ заработать. К тому же, именно ПНП чаще всего проникает в систему вместе с установщиками различных (пиратских, варезных и не очень) программ.

00.jpg
В ТОП-5 самых популярных вирусов по версии Dr.Web на данный момент попали сразу три нежелательные программы-ПНП, и это действительно так. Но если взять статистику за всю вторую половину августа 2018 года, то окажется, что именно эта категория условно вредоносных программ стала занимать лидирующие позиции, обогнав эксплоитов в офисных документах и троянских программ-шифровальщиков. На скриншоте ниже красным выделены именно рекламные и мусорящие ПНП, посмотрите, насколько их много:

0.jpg

Да, безусловно, настоящими вирусами они чаще всего не являются, но хлопот доставляют не меньше, поскольку могут заниматься скрытым майнингом криптовалюты, забирая у вашего компьютера все ресурсы, способны захламить компьютер вплоть до отдаленных ветвей системного реестра, а также вся та реклама, масса приложений, на установку которых вы как бы не давали разрешения, не даст спокойно работать на зараженном ПНП компьютере.

Наша статья, посвященная ПНП, поможет вам гораздо ближе познакомиться с такими нежелательным программами и понять, чем именно они отличаются от настоящих вирусов.

Интересная особенность — установщики каких-либо простых программ (браузеров, торрент-клиентов) могут весить несколько десятков мегабайт из-за того, что сам установщик нацелен не только на инсталляцию самой программы, которую вы хотите установить, но и много кое-чего ещё, желающего вам намусорить.

Взглянем на результаты проверки образцов ПНП, встречающиеся именно сейчас. Типичные представители:

  • Application.Win32.Soft32Downloader (Comodo) / Adware.Downware (Dr.Web)

4.jpg

Для просмотра скрытого текста Войдите или зарегистрируйтесь.
с результатами проверки на VT.

Рекламный загрузчик имеет прямое отношение к тому, что вы получите, если рискнете нажать на подобные кнопки на сомнительных сайтах:

windows-xp-service-pack-2.soft32.com.png

  • not-a-virus:AdWare.Win32.OpenCandy (Kaspersky) / Adware.Conduit (Dr.Web)

5.jpg

Для просмотра скрытого текста Войдите или зарегистрируйтесь.
с результатами проверки на VT.

Это ПНП со встроенным рекламным модулем OpenCandy, предназначенным для установки другого стороннего ПО. Своеобразный троянец-загрузчик (trojan-downloader), который работает именно с рекламным ПО. Такой объект способен очень быстро установить в ваш компьютер несколько десятков бесполезных приложений, что приведет к хронической нехватке дискового пространства и оперативной памяти.

По сути, OpenCandy можно считать всё то, что навязывают вам установщики при попытке инсталлировать в систему что-то ещё помимо того, что вы хотите установить. Нередко галочки, подтверждающие установку всякого мусора включены по умолчанию и скрыты без вызова меню дополнительных настроек установки. Пример: устанавливаем программу AC3Filter, а нам навязывают ещё какой-то Smartbar:

AC3Filter-OpenCandy.png

  • Win32/CoinMiner (ESET) / Trojan.Win32.Miner (Kaspersky)

7.jpg

Для просмотра скрытого текста Войдите или зарегистрируйтесь.
с результатами проверки на VT.

Разумеется, несмотря на спад майнинговой лихорадки и падение стоимости многих криптовалют, желание заработать легкие деньги на распространении программ-майнеров никуда не делось. Такие программы характеризуются большой нагрузкой на систему, куда они проникли, поскольку занимаются добычей криптовалюты. В остальном, такие ПНП могут не давать о себе знать больше никак, кроме колоссальной нагрузки на диск, центральный процессор и потребления большей части оперативной памяти. Подробнее о них можете узнать из нашего видеосюжета, поскольку майнинговые скрипты могут быть встроены не только в отдельную программу, как в примере выше, но и на веб-сайте.

  • Application.Bundler.iStartSurf (BitDefender) / Program:Win32/Unwaders (Microsoft)

8.jpg

Для просмотра скрытого текста Войдите или зарегистрируйтесь.
с результатами проверки на VT.

ПНП, устанавливающее свои панели и расширения для браузера, а также сменяющее домашнюю страницу на свои сервисы, всегда жило и будет жить. Образец характеризуется как раз таким поведением — сменой домашней страницы на некий сервис iStartSurf:

istartsurf.jpg

1.1 Рекламное ПО для мобильных устройств на платформе Android

  • Android.Riskware.Downloader (BitDefender) / PUA.AndroidOS.Agent (Ikarus)

6.jpg

Для просмотра скрытого текста Войдите или зарегистрируйтесь.
с результатами проверки на VT.

А вы думали ПНП предпочитают распространяться только среди компьютерных платформ на базе ОС Windows? Как бы не так! Весьма нередко встречаются мусорящие, рекламные и майнинговые программы на платформу Android любой версии. Попадают они на смартфон/планшет в виде apk-установщика, который, если вы ему дадите разрешение на установку и все необходимые права, сделает с вашим портативным устройством тоже самое, что и с компьютером — намусорят, заспамят вас рекламой или будут добывать криптовалюту. Будьте внимательны, такие программы встречаются и в официальном магазине приложений Google Play Маркет. Конкретно этот загрузчик после проникновения на ваш смартфон/планшет много чего похожего скачает ещё.

Пример поддельного под системное уведомления от мобильного ПНП на смартфоне Android:

android_adware.jpg

Так или иначе, вас никогда не должно покидать понимание того, что такие ширпотребные и приставучие программы хоть и не являются вирусами, но абсолютно не гарантируют никакой безопасности. ПНП может проводить сбор данных и куда-то их отправлять, спровоцировав тем самым утечку, загрузчик рекламной программы может загрузить вместе с ней полноценный вирус — и это только часть причин, по которым стоит сторониться ПНП, даже если вам безразлично замусоревание вашего компьютера и скрытый майнинг на нем.

Методы противодействия: для любого типа ПНП одни и те же: лучше всего бороться с ПНП на этапе предотвращения заражения, используя антивирусное ПО и специализированные средства для обнаружения подобного нежелательного ПО (такие, как Malwarebytes Anti-Malware, AdwCleaner и пр.), потому что нередко избавиться от последствий заражения ПНП на все сто процентов просто не представляется возможным — уж больно сильно и обильно мусорят многие их представители. Существенно снизит риск заражения ПНП на сайтах использование рекламорезалок и антибаннеров, поскольку львиная доля случаев заражений приходится именно на опасную рекламу на сомнительных сайтах.

Главная проблема заключается в том, что многие антивирусы не считают некоторые ПНП вирусами, не добавляя их в базу, но чаще всего, чтобы ваш антивирус смог обнаруживать такие нежелательные и противные программы, необходимо отдельно включить обнаружение нежелательного ПО в его настройках (по умолчанию часто отключено). Пример:

1.png

Не забывайте, что число ложных срабатываний на безопасное ПО в этом случае увеличится, но за всё нужно платить.

В остальном, не посещайте сайты с некачественной рекламой, внимательно следите за тем, что устанавливаете, и нет ли там скрытых/дополнительных настроек у самого установщика, разрешающих установку чего-то стороннего.

x-sis, при копировании материалов ссылка на форум https://ProvisionSecurity.Club обязательна.
 

x-sis

Совет Клуба
Команда форума
Администратор
Регистрация
26.02.2014
Сообщения
6,971
Лучшие ответы
53
Симпатии
15,447
Баллы
798
Адрес
Россия
#4
Вредоносные программы, проявившие большую активность и прочие опасности во второй половине августа 2018 года: часть 2

Для начала обратимся к общей статистике, где, помимо рассмотренных ранее рекламных и иных нежелательных программ (которых в статистиках больше всего по причине самой высокой активности), можно наблюдать в числе самых активных вирусов в конце августа 2018 года ещё несколько типов уже именно настоящих вредоносных программ — шпионское ПО (отмечено зеленым цветом), троянцев-шифровальщиков (отмечены красным) и угрозы в офисном ПО, в частности эксплоиты и макровирусы (отмечены оранжевым цветом). Наиболее популярные угрозы, обнаруженные по данным антивируса Dr.Web, на конечных компьютерах пользователей в виде файлов:

1.jpg

А это уже данные спам-фильтров Dr.Web, отражающие ситуацию на электронной почте, а именно угрозы в спам-рассылках:

2.jpg

То есть вирусы, распространяющиеся по почте, являются именно настоящими вирусами, поскольку они куда серьезнее, чем рекламное и иное нежелательное ПО, обладая способностью нанести куда более серьезный вред (безвозвратно уничтожить ваши данные, похитить ценную информацию и другое). По картинке выше понятно, что за вторую половину августа 2018 года на почте встречаются по-прежнему в основном эксплоиты и другие нацеленные на офисные документы угрозы, троянцы-шифровальщики и шпионское ПО.

Шпионское ПО, судя по первым нашим сводкам за вторую половину июля - первую половину августа 2018 года (на примере популярного троянца-шпиона Fareit), не перестает набирать обороты и особенно часто встречается по мере приближения осени. Посмотрим, что будет в начале осени, но похоже, что шпионящее троянское ПО и дальше не будет пропадать со сводок самых популярных вредоносных программ.

Теперь скажем пару слов более подробно, про те угрозы, которые проявляют очень большую активность, но не были ещё нами рассмотрены более детально.

2. WannaCryptor возвращается

Опасность: критическая

Тип: вымогатель-шифровальщик, троянская программа класса Ransomware, эксплоит

3.jpg

Собственно, шифровальщик WannaCryptor, попадающий на заранее скомпрометированную систему с помощью эксплоита, нацеленного на уязвимость CVE-2017-0147 в компоненте Microsoft SMB Server, вновь на удивление проявляет свою активность. Можно встретить ряд более свежих его модификаций.
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
на результаты проверки в сервисе VT более свежей модификации четырехмесячной давности.

Однако, каких-то иных особенностей в поведении более свежих модификаций WannaCry не замечено. Судя по всему, злоумышленники только поддерживают работоспособность нашумевшего ранее вируса и стараются затруднить обнаружение новых его вариантов антивирусными программами, не более того.

Наше видео с изучением этого вымогателя-шифровальщика и тема со сводкой всей оперативной информации по нему помогут вам детально разобраться в том, что из себя представляет это вредоносное ПО.

Методы противодействия: установка патча по безопасности для SMB Server, закрытие ряда портов, использование сетевого экрана (при условии обязательной блокировки неопознанных исходящих и входящих подключений) и антивирусного ПО со свежими базами сигнатур.

3. Эксплоиты и наиболее часто эксплуатируемые уязвимости

Незакрытые уязвимости из-за неустановленных патчей по безопасности (если не обновлять свои программы и операционную систему) — потенциальная брешь в вашем компьютере для абсолютно любых вирусов, но ещё неприятнее, когда такого патча не существует в принципе и уязвимость относится к категории уязвимостей нулевого дня (0day vulnerability).

К счастью, большинство уязвимостей, эксплуатирующихся наиболее широко распространенными эксплоитами в конце лета 2018 года, успешно закрыты разработчиками, выпустившими на них соответствующие патчи по безопасности, которые достаточно просто установить отдельно или обновить вашу программу/операционную систему автоматически. Теперь подробнее об этих самых уязвимостях.

Опасность: критическая

Тип: троянское ПО, эксплоит

Методы противодействия (для большинства случаев): установка специализированных патчей по безопасности (ссылки на патчи доступны ниже под каждой уязвимостью), обновление ПО, брандмауэр или сетевой экран (при условии обязательной блокировки неопознанных исходящих и входящих подключений), антивирусное ПО с обновленными базами и компонентами для защиты от эксплоитов. А также, в случае с уязвимостями в Microsoft Office, более жесткие настройки, запрещающие запуск макросов и элементов ActiveX, не доверяющие каким-либо источникам, откуда получен документ.

Но не забывайте, что обновлять свои программы, особенно операционную систему Windows 10, только ради обновлений чревато другими, не менее серьезными техническими проблемами и сбоями. А в случае с уязвимостями Spectre и Meltdown, которыми всех любят в последнее время попугать, ещё и снижением производительности вашего компьютера. Поэтому обновления устанавливайте выборочно, целенаправленно и только когда вы знаете, от чего именно вас защитить устанавливаемый патч или чем именно вам поможет очередное обновление, есть ли в нем реальная необходимость. В случае с упомянутыми ниже уязвимостями, обновление по безопасности (ссылки даны ниже) поставить не помешает, а запретить запуск содержимого в документах из доверенных источников, а также элементов ActiveX и макросов в настройках Microsoft Office — стоит сделать вообще в первую очередь.

  • CVE-2017-11882

4.jpg

Для просмотра скрытого текста Войдите или зарегистрируйтесь.
с результатами проверки на VT.

Очень популярная среди распространенных эксплоитов уязвимость, позволяющая выполнить произвольный код (то есть по сути сам эксплоит, или тот, кто им управляет, может сделать на компьютере жертвы практически все, что угодно) без взаимодействия с конечным пользователем. Обновление по безопасности
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
на официальном сайте Microsoft для всех затронутых уязвимостью продуктов Microsoft Office.

Однако, в нашем видеосюжете, где мы изучали эксплоит и его работу при эксплуатации этой бреши, установленный патч по безопасности с сайта Microsoft по ссылке выше, никак не помог. Это в очередной раз доказывает, что на обновления полагаться не стоит, а следует в первую очередь более жестко выставлять настройки по безопасности в офисном пакете Microsoft Office, а также использовать брандмауэр или сетевой экран (который будет именно отслеживать сетевую активность Microsoft Office, а не занесет офисный пакет в доверенный список и сразу все ему разрешит), желательно в связке с антивирусным ПО.

Но не забывайте, что ни обновления, ни в конечном счете даже более жесткие настройки по безопасности, в ряде случаев помочь не могут. Подробнее рассказывается здесь.

  • CVE-2017-0199
5.jpg

Для просмотра скрытого текста Войдите или зарегистрируйтесь.
с результатами проверки на VT.

Специальным образом сформированные офисные документы, содержащие эксплоит, нацеленный на данную уязвимость, при своем открытии и инициализации позволяют экспоиту воспользоваться брешью и разрешить выполнение произвольного кода. С помощью эксплоита, нацеленного на эту уязвимость, злоумышленники распространяли такие вредоносные программы, как Dridex, Latentbot, Godzilla и WingBird (загружались на пострадавший компьютер из сети самим эксплоитом сразу после того, как вы открыли зараженный им документ и он воспользовался незакрытой брешью, вот почему так важен правильно настроенный сетевой экран).
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
по безопасности доступен на сайте Microsoft, он призван закрыть уязвимость во всех затронутых продуктах Microsoft Office.

  • CVE-2017-8464

6.jpg

Для просмотра скрытого текста Войдите или зарегистрируйтесь.
с результатами проверки на VT.

Уязвимость содержится в самой операционной системе Microsoft Windows (начиная от некоторых версий Windows 7 до более новых ОС Windows, включая Windows 8/8.1, Windows Server 2008/2012/2016, Windows 10). Суть её работы заключается в том, что она позволяет удаленно выполнить произвольный код на скомпрометированном эксплоитом компьютере при обработке файла с расширением .LNK (ярлыка с эксплоитом).
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
по безопасности можно также отдельно установить для подходящей версии операционной системы Windows, скачав с официального сайта Microsoft.

Подводим итог

Наряду с широким распространением менее серьезного рекламного и нежелательного ПО, по настоящему опасные вредоносные объекты, такие как эксплоиты, шифровальщики и троянцы-шпионы, по-прежнему не сбавляют своих позиций, представляя при этом критический уровень опасности.

Универсального рецепта защиты от всего сразу, ясное дело, нет. Но, если вы внимательного прочитаете всё то, о чем написано в нашей вирусной сводке из этой темы, то поймете, что где-то нужно быть чуть внимательнее и при установке более детально ознакомиться с тем, что именно вы устанавливаете и нет ли там скрытых настроек, какой именно файл или документ вы скачиваете/открываете, а где-то не лишним будет подстраховаться, установить брандмауэр или сетевой экран с менее демократичными настройками в связке с комплексным антивирусным ПО, выставить запрещающие настройки по безопасности в Microsoft Office и установить необходимые патчи по безопасности (только те, в которых есть реальная необходимость). Для некоторых угроз, таких как WannaCryptor, могут потребоваться дополнительные меры (такие, как закрытие отдельных портов), но в совокупности перечисленные выше меры, вместе с вашей осторожностью, помогут вам избежать заражения подавляющим большинством распространенных в настоящее время угроз.

x-sis, при копировании материалов ссылка на форум https://ProvisionSecurity.Club обязательна.
 
Статус
В этой теме нельзя размещать новые ответы.

Сверху Снизу