15 сентября 2022 года

Компания «Доктор Веб» представляет обзор вирусной активности в августе 2022 года. Согласно полученной статистике, в предыдущем месяце отмечался рост общего числа обнаруженных угроз по сравнению с июлем. Высокую активность при этом вновь проявили рекламные приложения. В почтовом трафике чаще всего выявлялись вредоносные скрипты, вредоносные программы-загрузчики и фишинговые веб-страницы.

Число запросов на расшифровку файлов, затронутых троянами-шифровальщиками, по сравнению с июлем снизилось незначительно. В то же время интернет-мошенники продолжили заманивать пользователей на поддельные сайты. Пользователи Android-устройств чаще всего вновь сталкивались со всевозможными рекламными троянскими приложениями.

Подробнее об этих и других событиях читайте в августовском обзоре вирусной активности.

Читать обзор полностью

15 сентября 2022 года

В августе анализ данных статистики антивируса Dr.Web показал рост общего числа обнаруженных угроз на 10,72% по сравнению с июлем. Количество уникальных угроз также увеличилось — на 8,59%. Наиболее часто пользователи сталкивались со всевозможными рекламными приложениями. В почтовом трафике преобладали вредоносные скрипты, троянские программы, загружающие другие вредоносные приложения, а также фишинговые веб-страницы, предназначенные для кражи аутентификационных данных. Кроме того, злоумышленники продолжили распространять в почтовых вложениях программы, использующие уязвимости документов Microsoft Office.

В минувшем месяце число обращений пользователей за расшифровкой файлов снизилось на 2,57%. При этом лидером среди энкодеров в очередной раз стал Trojan.Encoder.26996 — на его долю пришлось 32,24% всех инцидентов.

Среди угроз для мобильных устройств высокая активность вновь наблюдалась со стороны троянских приложений и программ, предназначенных для демонстрации нежелательной рекламы.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.Downware.20091

Adware.Downware.19998

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.OpenCandy.247

Adware.OpenCandy.248

Семейство приложений, предназначенных для установки на компьютер различного дополнительного рекламного ПО.

Adware.Elemental.20

Семейство рекламных программ, попадающих на устройства путем подмены ссылок на файлообменных сервисах. Вместо ожидаемых файлов жертвы получают эти приложения, которые показывают рекламу, а также устанавливают ненужное ПО.

Статистика вредоносных программ в почтовом трафике

JS.Redirector.448

JS.Redirector.450

Вредоносные сценарии на языке JavaScript, размещаемые в коде веб-страниц. Предназначены для перенаправления пользователей на фишинговые или рекламные сайты.

Exploit.CVE-2018-0798.4

Эксплойт, предназначенный для эксплуатации уязвимости в ПО Microsoft Office и позволяющий выполнить произвольный код.

Trojan.DownloaderNET.190

Троянская программа, предназначенная для загрузки других вредоносных приложений на целевые компьютеры.

HTML.FishForm.206

Веб-страница, распространяющаяся посредством фишинговых рассылок. Представляет собой фиктивную форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Введенные пользователем данные отправляются злоумышленникам.

Шифровальщики

В августе число запросов на расшифровку файлов, затронутых троянами-шифровальщиками, снизилось на 2,57% по сравнению с июлем.

• Trojan.Encoder.26996 — 32.24%
• Trojan.Encoder.3953 — 12.17%
• Trojan.Encoder.30356 — 3.95%
• Trojan.Encoder.567 — 2.96%
• Trojan.Encoder.11539 — 1.97%

Опасные сайты

В августе сохранялась высокая активность интернет-мошенников. Например, они вновь заманивали потенциальных жертв на псевдоинвестиционные сайты, якобы имеющие отношение к крупным российским компаниям финансового и нефтегазового сектора. На таких ресурсах пользователям в качестве «билета» в мир инвестиций может предлагаться пройти простой опрос, зарегистрировать учетную запись, предоставив персональную информацию, и ждать звонка «менеджера». Если пользователи поверят в обещанное, то сами передадут неизвестной стороне свои данные. При этом им могут начать поступать нежелательные звонки как от мошенников, притворяющихся сотрудниками банка, так и представителей компаний, рекламирующих собственные услуги.

Пример одного из таких сайтов. Вначале посетителям предлагается пройти тест, ответы на вопросы которого на самом деле никак не влияют на итоговый результат. После этого якобы открывается эксклюзивный доступ к инвестиционной платформе крупного российского банка. В конце требуется оставить свои контактные данные — имя и фамилию, номер мобильного телефона и адрес электронной почты. Указав данные, пользователи видят сообщение об успешной регистрации и информацию о том, что с ними в ближайшее время свяжется «эксперт».

Вредоносное и нежелательное ПО для мобильных устройств

В августе наблюдался рост активности троянов и программ, созданных для демонстрации нежелательной рекламы на Android-устройствах. Также возросла активность специализированных программных платформ, позволяющих запускать Android-приложения без их установки. Вместе с тем продолжилось снижение активности трояна Android.Spy.4498, похищающего информацию из уведомлений от других приложений.

Наиболее заметные события, связанные с «мобильной» безопасностью в августе:

• рост активности вредоносных и других программ, предназначенных для показа нежелательной рекламы;
• снижение активности трояна-шпиона Android.Spy.4498.

Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре.

15 сентября 2022 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за август 2022 года. Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, по сравнению с июлем возросла активность троянских приложений, а также нежелательных программ, демонстрирующих рекламу. В то же время продолжилось снижение активности Android.Spy.4498 — трояна, который похищает информацию из уведомлений от других приложений. Он все еще остается наиболее распространенной Android-угрозой, выявляемой на устройствах пользователей, однако на его долю теперь приходится менее трети детектирований вредоносного ПО. Подробнее об этих и других событиях читайте в нашем обзоре.

Читать обзор полностью

15 сентября 2022 года

В августе заметно возросла активность троянских приложений, предназначенных для демонстрации нежелательной рекламы. Они выявлялись на защищаемых устройствах на 3,8% чаще, чем месяцем ранее. Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, тремя из пяти наиболее распространенных вредоносных программ стали именно рекламные трояны — представители семейства Android.HiddenAds. Всплеск активности наблюдался и среди рекламных приложений, которые выявлялись на защищаемых устройствах на 10,57% чаще, чем в июле.

Не теряют актуальности специализированные программные платформы, позволяющие запускать приложения без их установки. Злоумышленники часто используют их в связке с распространяемым ими вредоносным ПО.

Троянская программа Android.Spy.4498, которая похищает информацию из уведомлений от других приложений, продолжает постепенно терять позиции. За месяц ее активность упала на 29,05%, и в настоящее время на ее долю приходится менее трети всех детектирований вредоносных программ.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.4498

Троян, крадущий содержимое уведомлений от других приложений. Кроме того, он загружает и предлагает пользователям установить другие программы, а также может демонстрировать различные диалоговые окна.

Android.HiddenAds.3490

Android.HiddenAds.3345

Android.HiddenAds.3018

Трояны, предназначенные для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.DownLoader.475.origin

Троян, загружающий другие вредоносные программы и ненужное ПО. Он может скрываться во внешне безобидных приложениях, которые распространяются через каталог Google Play или вредоносные сайты.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Детектирование различных версий приложения, предназначенного для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.wSpy.1.origin

Коммерческая программа-шпион, предназначенная для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку пользователя (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.WapSniff.1.origin

Программа для перехвата сообщений в мессенджере WhatsApp.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.13.origin

Tool.SilentInstaller.7.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.GPSTracker.1.origin

Специализированная программная платформа, предназначенная для скрытого слежения за местоположением и перемещением пользователей. Она может быть встроена в различные приложения и игры.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

Adware.AdPush.36.origin

Adware.Airpush.7.origin

Adware.Myteam.2.origin

Adware.Adpush.16510

Adware.Adpush.6547

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

12 сентября 2022 года

Компания «Доктор Веб» сообщает об обновлении модулей в составе Dr.Web Enterprise Security Suite 12.0, которое связано с исправлением выявленной ошибки.

Была устранена причина удаления Родительского контроля, происходившего при переходе c Dr.Web Security Space 12.0 на Dr.Web Enterprise Security Suite 12.0.

Обновление пройдёт автоматически.

12 сентября 2022 года

Компания «Доктор Веб» сообщает об обновлении антивирусного ядра Dr.Web Virus-Finding Engine (7.00.58.08230) для платформ х64, х86 и ARM64 в ряде продуктов Dr.Web.

Стабильность и эффективность работы продуктов в рамках этого обновления была повышена.

Dr.Web Virus-Finding Engine был обновлен в следующих продуктах.

Для платформы х64 (домашние продукты):

• Dr.Web для macOS 11.1/12.0/12.6
• Антивирус Dr.Web для Linux 11.1
• Dr.Web AV-Desk 10.01.0/13 (Антивирус Dr.Web по подписке)

Для платформы х64 (корпоративные продукты):

• Dr.Web для файловых серверов UNIX 11.1
• Dr.Web для почтовых серверов UNIX 11.1
• Dr.Web для интернет-шлюзов UNIX 11.1
• Dr.Web Enterprise Security Suite 11.00/12.00/13
• Dr.Web для почтовых серверов Kerio (Unix-версия) 11.1

Для платформы х86 (домашние продукты):

• Антивирус Dr.Web для Linux 6/11.0/11.1
• Dr.Web для macOS 9.0/11.0
• Dr.Web Security Space 11.5/12
• Антивирус Dr.Web 11.5/12
• Dr.Web AV-Desk 10.01.0/13 (Антивирус Dr.Web по подписке)

Для платформы х86 (корпоративные продукты):

• Dr.Web для файловых серверов UNIX 6/11.0/11.1
• Dr.Web для почтовых серверов UNIX 6/11.0/11.1
• Dr.Web для интернет-шлюзов UNIX 6/11.0/11.1
• Антивирус Dr.Web для файловых серверов Windows 11.5/12
• Dr.Web для MS Exchange 11.5/12
• Dr.Web для IBM Lotus Domino (Windows-версия) 11.5/12
• Dr.Web LiveDisk 9
• Dr.Web Enterprise Security Suite 11.00/12.00/13

Для платформы ARM64 (домашние продукты):

• Антивирус Dr.Web для Linux 11.1
• Dr.Web для macOS 12.0/12.6
• Dr.Web AV-Desk 13 (Антивирус Dr.Web по подписке)

Для платформы ARM64 (корпоративные продукты):

• Dr.Web для файловых серверов UNIX 11.1
• Dr.Web для почтовых серверов UNIX 11.1
• Dr.Web для интернет-шлюзов UNIX 11.1
• Dr.Web Enterprise Security Suite 12/13

Dr.Web Virus-Finding Engine – основной компонент, отвечающий за антивирусную подзащиту системы, реализующий алгоритмы поиска и распознавания вирусов, вредоносных программ, а также служащий для анализа подозрительного поведения.

Обновление пройдет для пользователей автоматически.

29 августа 2022 года

Компания «Доктор Веб» сообщает об обновлении компонента Products.xml for es-agent (13.0.10.06030) в продуктах Dr.Web Enterprise Security Suite 13.0 и Антивирус Dr.Web по подписке на базе Dr.Web AV-Desk 13.0.

Благодаря этому исправлена ошибка, которая препятствовала работе Антиспама в составе плагина Dr.Web для MS Exchange, если модуль Антиспама был удалён из состава Агента Dr.Web Enterprise Security Suite, установленного на том же компьютере, что и плагин.

Обновление пройдёт автоматически.

24 августа 2022 года

Компания «Доктор Веб» сообщает об обновлении модуля Dr.Web Thunderstorm Cloud Client SDK (12.0.26.08090) в продуктах Dr.Web Security Space 12.0, Антивирус Dr.Web 12.0, Антивирус Dr.Web 12.0 для файловых серверов Windows и Антивирус Dr.Web по подписке на базе Dr.Web AV-Desk 13.0, а также модуля защиты от эксплойтов Dr.Web Shellguard anti-exploit module (12.06.11.08022) в продуктах Dr.Web Security Space 12.0, Антивирус Dr.Web 12.0, Антивирус Dr.Web 12.0 для файловых серверов Windows, Dr.Web Enterprise Security Suite 12.0 и 13.0 и Антивирус Dr.Web по подписке на базе Dr.Web AV-Desk 13.0.

В рамках обновления Dr.Web Thunderstorm Cloud Client SDK была устранена причина возможного аварийного завершения работы управляющего сервиса Dr.Web Control Service во время удаления продуктов. Обновление Dr.Web Shellguard anti-exploit module, в свою очередь, устраняет ложное срабатывание, возникавшее на приложении Vitacore AIS LPU Client.

Обновление пройдёт автоматически, однако потребует перезагрузки компьютеров.

23 августа 2022 года

Компания «Доктор Веб» сообщает об обновлении DrWebBot версии 2.1 для Telegram, который обеспечивает безопасность при обмене ссылками и файлами в популярном мессенджере.

В механизм проверки ссылок были внесены улучшения. Вместе с тем исправлена ошибка, из-за которой бот пытался проверять не подлежащие проверке типы файлов.

Для использования DrWebBot для Telegram достаточно найти аккаунт @DrWebBot в мессенджере Telegram (или перейти по адресу telegram.me/drwebbot ) и отправить файл или ссылку — бот «на лету» проверит их по вирусной базе и сообщит о результатах.

19 августа 2022 года

Компания «Доктор Веб» сообщает о важном изменении для пользователей продуктов Dr.Web Security Space 12.0, Антивирус Dr.Web 12.0 и Антивирус Dr.Web 12.0 для файловых серверов Windows: разработан новый формат вирусных баз, благодаря которому процесс их загрузки станет более быстрым. Над этим важным усовершенствованием разработчики «Доктор Веб» работали не один год.

Для оптимизации ресурсов, ускорения загрузки антивируса, а значит, и повышения уровня защиты, наши специалисты разработали новый формат вирусных баз, который на порядки уменьшает потребление оперативной памяти, не влияя при этом на безопасность пользователей. Новые базы мгновенно загружаются с диска, не копируются и не распаковываются в оперативную память, и сразу готовы к работе.

Для перехода на новую версию вирусных баз необходимо включить обновление всех компонентов (при выборе "Обновляемые компоненты: только вирусные базы" продолжится обновление старой версии баз).

Новые базы будут доступны автоматически для скачивания во вторник, 23 августа. Объём обновления составит порядка 200 МБ. Обращаем внимание: для пользователей продуктов Dr.Web, у которых включено только обновление баз, переход на новую версию баз не произойдет — необходимо включить обновление всех компонентов. Отметим, что это обновление не затрагивает пользователей продуктов Dr.Web с централизованным управлением и любых сертифицированных версий Dr.Web.

15 августа 2022 года

Компания «Доктор Веб» сообщает об обновлении компонентов в ряде продуктов, связанном с исправлением выявленных ошибок и внесением внутренних изменений.

Внутренние изменения, направленные на повышение безопасности работы, внесены в конфигурационные скрипты Lua-script for dwprot 12.10.18.07270 и Lua-script for scan-engine 12.10.14.12090 в продуктах Dr.Web 12.0 для Windows, Dr.Web Enterprise Security Suite 12.0 и 13.0 и Антивирус Dr.Web по подписке на базе Dr.Web AV-Desk 13.0. Кроме того, в продуктах Dr.Web Enterprise Security Suite 12.0 и 13.0 и Антивирус Dr.Web по подписке на базе Dr.Web AV-Desk 13.0 обновлен конфигурационный скрипт Lua-script for av-engine 12.20.0.08040.

В результате обновления модуля Dr.Web Shell Extension 12.10.2.07290 в продуктах Dr.Web 12.0 для Windows, Dr.Web Enterprise Security Suite 12.0 и 13.0 и Антивирус Dr.Web по подписке на базе Dr.Web AV-Desk 13.0 произошли следующие изменения:

• Исправлена ошибка запуска сканера из контекстного меню;
• Иконка продукта в контекстном меню на ОС Windows 11 теперь не исчезает при повторном открытии;
• Исправлена ошибка, из-за которой из контекстного меню не сканировались файлы, имя которых заканчивается точкой;
• Обновлен копирайт;
• Исправлена ошибка, из-за которой пункт «Проверить с Dr.Web» в контекстном меню файлов типа «Ярлык» отображался дважды;
• Исправлена ошибка в интерфейсе, при которой текст отображался на английском языке при выбранном русском языке интерфейса Windows.

Кроме того, в продуктах Dr.Web Enterprise Security Suite 13.0 и Антивирус Dr.Web по подписке на базе Dr.Web AV-Desk 13.0 обновлен Dr.Web Agent for Windows setup AVD, ES 13.0.14.08040. В него внесены внутренние изменения, направленные на повышение безопасности работы, а также:

• Исправлена ошибка, из-за которой невозможно было восстановить или удалить Dr.Web Agent после ошибки установки Dr.Web Scanning Engine;
• Обновлены тексты интерфейса.

Обновление пройдет автоматически.

1 августа 2022 года

Компания «Доктор Веб» сообщает об обновлении антируткитного модуля Dr.Web Anti-rootkit API (12.6.20.202206241) в продуктах Dr.Web Security Space 12.0, Антивирус Dr.Web 12.0 и Антивирус Dr.Web 12.0 для файловых серверов Windows. Обновление связано с исправлением выявленных ошибок.

Изменения:

- исправлена ошибка, приводившая к блокировке работы ПО Veeam во время создания резервной копии; - устранена причина конфликта продуктов с программой Docker на ПК под управлением Windows Server Core.

Обновление пройдёт автоматически.

29 июля 2022 года

Компания «Доктор Веб» сообщает о выпуске утилиты Dr.Web для создания локального зеркала обновлений, которая позволяет скачать вирусные базы, а также базы антиспама и нежелательных сайтов в локальный каталог. Эти базы используются для обновления продуктов Dr.Web для UNIX на компьютерах, не имеющих доступа к интернету.

Утилиту можно использовать и для других целей — например, при необходимости скачать базы на компьютер с доступом к интернету, когда соответствующего антивируса Dr.Web на ПК нет.

Информация о поддерживаемых параметрах командной строки, а также инструкции по запуску утилиты и скачиванию баз подробно изложены в документации к утилите.

Новая утилита доступна для скачивания на нашем сайте.

28 июля 2022 года

Компания «Доктор Веб» сообщает об обновлении сканирующего сервиса Dr.Web Scanning Engine (12.6.10.202206240), модуля защиты от эксплойтов Dr.Web Shellguard anti-exploit module (12.06.10.05271) и Агента SpIDer Agent for Windows (12.11.2.07200) в продуктах Dr.Web Security Space 12.0, Антивирус Dr.Web 12.0, Антивирус Dr.Web 12.0 для файловых серверов Windows, Dr.Web Enterprise Security Suite 12.0 и 13.0, а также в составе Антивируса Dr.Web по подписке на базе Dr.Web AV-Desk 13.0. В продуктах Dr.Web 12.0 для Windows и в Антивирусе Dr.Web по подписке был также обновлён модуль Dr.Web Thunderstorm Cloud Client SDK (12.0.24.0603) — в него внесены внутренние изменения. Вместе с тем были обновлены локализации текстов интерфейса продуктов.

Изменения в Dr.Web Scanning Engine:

• активированы сбор, обнаружение и лечение угроз из приложений Microsoft Store на 64-разрядных версиях ОС во время обычного и фонового сканирования;
• исправлена ошибка подключения к dwarkdaemon.exe в исключительных ситуациях.

Изменения в Dr.Web Shellguard anti-exploit module:

• устранена причина конфликта продуктов с системой мониторинга LanAgent, удалены запросы на инициализацию, которые могли быть заблокированы LdrLoaderLock.

Изменения в SpIDer Agent for Windows:

• добавлено озвучивание некоторых элементов интерфейса;
• добавлена информация о необходимости перезагрузки для обезвреживания угрозы для пользователей, чьё право на перезагрузку ограничено;
• при добавлении пути к разрешенному устройству более не учитывается регистр;
• в настройках прокси-сервера введено ограничение на количество цифр в поле «Порт»;
• исправлена ошибка, возникавшая при импорте файлов из папки с кириллическими буквами или иероглифами в названии;
• внесён ряд исправлений и улучшений интерфейса.

Обновление пройдёт автоматически, однако потребует перезагрузки компьютеров.

28 июля 2022 года

Компания «Доктор Веб» представляет первую версию утилиты Dr.Web SysInfo, предназначенную для работы на macOS. Напомним, что Dr.Web SysInfo — это средство для сбора информации и формирования отчёта о системе для отправки в службу техподдержки с целью максимально ускорить решение возникшей проблемы. До сих пор этот инструмент был доступен только пользователям Windows.

Теперь в случае возникновения проблем и обращении в нашу службу техподдержки пользователи Dr.Web для macOS могут с помощью Dr.Web SysInfo либо сами собрать информацию со своего компьютера, либо получить ссылку на утилиту от наших специалистов в процессе рассмотрения запроса.

В отчёт Dr.Web SysInfo входит полная техническая информация об операционной системе и данные об установленном на компьютере антивирусе Dr.Web.

Утилита Dr.Web SysInfo доступна на этой странице.

Как создать отчёт о технической проблеме в работе антивируса

26 июля 2022 года

В июне анализ данных статистики Dr.Web показал уменьшение общего числа обнаруженных угроз на 14.62% по сравнению с маем. При этом количество уникальных угроз незначительно увеличилось — на 0.09%. В большинстве случаев пользователи продолжают сталкиваться с рекламными и нежелательными приложениями. В почтовом трафике преобладали вредоносные скрипты, приложения, использующие уязвимости документов Microsoft Office, а также всевозможные трояны-загрузчики.

Число обращений пользователей за расшифровкой файлов выросло на 17.26% по сравнению с маем. Самым распространенным энкодером остается Trojan.Encoder.26996 — в прошлом месяце на его долю пришлось 33% всех инцидентов.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.Downware.19998

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.OpenCandy.247

Adware.OpenCandy.248

Семейство приложений, предназначенных для установки на компьютер различного дополнительного рекламного ПО.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Adware.Ubar.20

Торрент-клиент, устанавливающий нежелательное ПО на устройство.

Статистика вредоносных программ в почтовом трафике

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Exploit.CVE-2018-0798.4

Эксплойт, предназначенный для эксплуатации уязвимости в ПО Microsoft Office и позволяющий выполнить произвольный код.

JS.Redirector.435

Вредоносный сценарий на языке JavaScript, размещаемый в коде веб-страниц. Предназначен для перенаправления пользователей на фишинговые или рекламные сайты.

HTML.FishForm.311

Веб-страница, распространяющаяся посредством фишинговых рассылок. Представляет собой фиктивную форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Введенные пользователем данные отправляются злоумышленникам.

Trojan.DownLoader44.63714

Троянская программа, загружающая полезную нагрузку с облачного хранилища OneDrive. После скачивания файл расшифровывается и запускается на исполнение.

Шифровальщики

По сравнению с маем, в июне число запросов на расшифровку файлов, затронутых троянами-шифровальщиками, увеличилось на 17.26%.

• Trojan.Encoder.26996 — 32.99%
• Trojan.Encoder.25069 — 11.34%
• Trojan.Encoder.3953 — 8.06%
• Trojan.Encoder.567 — 7.30%
• Trojan.Encoder.11539 — 0.76%

Опасные сайты

В прошлом месяце специалисты «Доктор Веб» продолжили фиксировать массовое распространение спам-писем со ссылками на мошеннические сайты. В частности, популярными среди злоумышленников остаются поддельные сайты известных нефтегазовых компаний. На них потенциальным жертвам предлагается стать инвесторами, получить бесплатные активы или принять участие в розыгрыше призов. Для этого пользователям необходимо «зарегистрироваться», указав имя, номер телефона и другую персональную информацию. В других случаях от них требуется оплата якобы необходимой услуги — пошлины, комиссии за перевод «выигрыша» или конвертации валюты. Ничего из обещанного они, конечно же, не получают и лишь передают мошенникам конфиденциальные данные, а также теряют деньги.

Пример нежелательного письма со ссылкой на мошеннический ресурс и пошаговой инструкцией для пользователей:

Примеры мошеннических сайтов с предложением регистрации, после которой у пользователей якобы появится возможность выгодной торговли природным газом:

Вредоносное и нежелательное ПО для мобильных устройств

В июне продолжилось снижение активности троянской программы Android.Spy.4498, которая крадет информацию из уведомлений от других приложений. Несмотря на это, она все еще остается самой распространенной Android-угрозой. По сравнению с маем активность рекламных троянов также снизилась.

В течение месяца наши специалисты выявили в каталоге Google Play множество вредоносных программ. Среди них были рекламные трояны семейства Android.HiddenAds, мошеннические приложения Android.FakeApp, а также трояны семейства Android.PWS.Facebook, похищающие логины и пароли от учетных записей Facebook. Кроме того, вирусные аналитики компании «Доктор Веб» обнаружили очередных троянов семейства Android.Joker, которые подписывают пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в июне:

• снижение активности трояна-шпиона Android.Spy.4498;
• снижение активности рекламных троянов;
• обнаружение множества вредоносных приложений в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в июне читайте в нашем обзоре.

26 июля 2022 года

Компания «Доктор Веб» представляет обзор вирусной активности в июне 2022 года. Согласно полученной статистике, в предыдущем месяце наблюдалось снижение общего числа обнаруженных угроз по сравнению с маем. При этом одними из самых распространенных угроз по-прежнему остаются рекламные и нежелательные приложения. В почтовом трафике чаще всего выявляется разнообразное вредоносное ПО — троянские программы, эксплойты и вредоносные скрипты.

Число запросов на расшифровку файлов, затронутых троянами-шифровальщиками, по сравнению с маем увеличилось. В то же время сохраняется активность интернет-аферистов, которые распространяют нежелательные письма со ссылками на мошеннические сайты. Также в течение июня наши специалисты выявили множество вредоносных программ в каталоге Google Play. Об этих и других событиях читайте в июньском обзоре вирусной активности.

Читать обзор полностью

26 июля 2022 года

В июне продолжилось снижение активности трояна Android.Spy.4498, похищающего информацию из уведомлений от других приложений. По сравнению с маем он встречался на Android-устройствах на 20,56% реже. Активность рекламных троянов семейства Android.HiddenAds также снизилась, хоть и менее значительно — на 8%. Вместе с тем эти вредоносные приложения остаются одними из наиболее распространенных Android-угроз.

В течение месяца вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play десятки вредоносных программ. Среди них — рекламные трояны, программы-подделки, применяемые мошенниками, похитители конфиденциальной информации и другие.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.4498

Троян, крадущий содержимое уведомлений от других приложений. Кроме того, он загружает и предлагает пользователям установить другие программы, а также может демонстрировать различные диалоговые окна.

Android.HiddenAds.3018

Android.HiddenAds.3152

Трояны, предназначенные для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.MobiDash.6939

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Android.DownLoader.475.origin

Троян, загружающий другие вредоносные программы и ненужное ПО. Он может скрываться во внешне безобидных приложениях, которые распространяются через каталог Google Play или вредоносные сайты.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Детектирование различных версий приложения, предназначенного для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.wSpy.1.origin

Коммерческая программа-шпион, предназначенная для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку пользователя (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.WapSniff.1.origin

Программа для перехвата сообщений в мессенджере WhatsApp.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.13.origin

Tool.SilentInstaller.7.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.GPSTracker.1.origin

Специализированная программная платформа, предназначенная для скрытого слежения за местоположением и перемещением пользователей. Она может быть встроена в различные приложения и игры.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

Adware.SspSdk.1.origin

Adware.AdPush.36.origin

Adware.Adpush.16510

Adware.Myteam.2.origin

Adware.Airpush.7.origin

Угрозы в Google Play

В июне вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play около 30 рекламных троянов Android.HiddenAds, общее число загрузок которых превысило 9 890 000. Среди них были как новые представители семейства (Android.HiddenAds.3168, Android.HiddenAds.3169, Android.HiddenAds.3171, Android.HiddenAds.3172 и Android.HiddenAds.3207), так и новые модификации уже известного трояна Android.HiddenAds.3158, о котором мы сообщали в майском обзоре.

Все они были встроены в разнообразные программы — редакторы изображений, экранные клавиатуры, системные утилиты, приложения для звонков, программы для замены фонового изображения домашнего экрана и другие.

Ниже представлен список с названиями программ, в которых скрывались эти трояны:

• Photo Editor: Beauty Filter (gb.artfilter.tenvarnist)
• Photo Editor: Retouch & Cutout (de.nineergysh.quickarttwo)
• Photo Editor: Art Filters (gb.painnt.moonlightingnine)
• Photo Editor - Design Maker (gb.twentynine.redaktoridea)
• Photo Editor & Background Eraser (de.photoground.twentysixshot)
• Photo & Exif Editor (de.xnano.photoexifeditornine)
• Photo Editor - Filters Effects (de.hitopgop.sixtyeightgx)
• Photo Filters & Effects (de.sixtyonecollice.cameraroll)
• Photo Editor : Blur Image (de.instgang.fiftyggfife)
• Photo Editor : Cut, Paste (de.fiftyninecamera.rollredactor)
• Emoji Keyboard: Stickers & GIF (gb.crazykey.sevenboard)
• Neon Theme Keyboard (com.neonthemekeyboard.app)
• Neon Theme - Android Keyboard (com.androidneonkeyboard.app)
• Cashe Cleaner (com.cachecleanereasytool.app)
• Fancy Charging (com.fancyanimatedbattery.app)
• FastCleaner: Cashe Cleaner (com.fastcleanercashecleaner.app)
• Call Skins - Caller Themes (com.rockskinthemes.app)
• Funny Caller (com.funnycallercustomtheme.app)
• CallMe Phone Themes (com.callercallwallpaper.app)
• InCall: Contact Background (com.mycallcustomcallscrean.app)
• MyCall - Call Personalization (com.mycallcallpersonalization.app)
• Caller Theme (com.caller.theme.slow)
• Caller Theme (com.callertheme.firstref)
• Funny Wallpapers - Live Screen (com.funnywallpapaerslive.app)
• 4K Wallpapers Auto Changer (de.andromo.ssfiftylivesixcc)
• NewScrean: 4D Wallpapers (com.newscrean4dwallpapers.app)
• Stock Wallpapers & Backgrounds (de.stockeighty.onewallpapers)
• Notes - reminders and lists (com.notesreminderslists.app)

Для показа рекламы часть из них пытается получить разрешение на демонстрацию окон поверх других программ, остальные — попасть в список исключений функции экономии заряда аккумулятора. А чтобы в дальнейшем пользователям было сложнее обнаружить «нарушителей», трояны скрывают свои значки в списке установленных приложений главного экрана или заменяют их менее приметными. Например, значком с названием «SIM Toolkit», при выборе которого вместо исходного приложения запускается одноименное системное ПО для работы с SIM-картой.

Примеры того, как эти трояны пытаются получить доступ к необходимым функциям:

Пример изменения значка одного из вредоносных приложений:

Кроме того, наши специалисты обнаружили очередных троянов семейства Android.Joker, которые способны загружать и выполнять произвольный код, а также подписывать пользователей на платные мобильные услуги без их ведома. Один из них скрывался в лончере Poco Launcher, другой — в приложении-камере 4K Pro Camera; третий — в сборнике стикеров Heart Emoji Stickers. Они были добавлены в вирусную базу Dr.Web как Android.Joker.1435, Android.Joker.1461 и Android.Joker.1466 соответственно.

Среди выявленных угроз также были новые вредоносные приложения семейства Android.PWS.Facebook, получившие имена Android.PWS.Facebook.149 и Android.PWS.Facebook.151. Они похищали данные, необходимые для взлома учетных записей Facebook (деятельность социальной сети Facebook запрещена на территории России). Оба трояна распространялись под видом редакторов изображений. Первый — программы под названием YouToon - AI Cartoon Effect, второй — Pista - Cartoon Photo Effect.

После запуска они предлагали потенциальным жертвам войти в свою учетную запись, после чего загружали стандартную страницу авторизации Facebook. Затем они перехватывали данные аутентификации и передавали их злоумышленникам.

Также специалисты «Доктор Веб» обнаружили трояна Android.Click.401.origin. Он скрывался в программе Water Reminder- Tracker & Reminder, напоминающей о необходимости пить достаточно жидкости, и в обучающей программе по йоге Yoga- For Beginner to Advanced. Обе были полностью работоспособными, поэтому у пользователей не было причин заподозрить в них угрозу.

Этот троян расшифровывает и запускает находящийся среди его ресурсов основной вредоносный компонент (Android.Click.402.origin по классификации антивируса Dr.Web), который скрытно загружает различные веб-сайты в WebView. Затем данный компонент имитирует действия пользователей, автоматически нажимая на расположенные на сайтах интерактивные элементы, например — баннеры и рекламные ссылки.

Другой выявленной угрозой стало поддельное приложение для онлайн-общения Chat Online, несколько модификаций которого были добавлены в вирусную базу Dr.Web как Android.FakeApp.963 и Android.FakeApp.964.

В трояне нет заявленной функциональности. Он лишь загружает различные веб-сайты, в том числе мошеннические. На одних имитируется процесс регистрации в онлайн-сервисах знакомств. При этом у потенциальных жертв запрашивается номер мобильного телефона, адрес электронной почты и другие персональные данные. В дальнейшем эта информация может попадать на черный рынок и использоваться мошенниками.

На других сайтах имитируется диалог с настоящими пользователями, после чего предлагается оплатить премиум-доступ для продолжения «общения». Согласие на это может привести не только к единовременному списанию определенной суммы или подписке на ненужную платную услугу, но и к потере всех средств, если киберпреступники получат данные банковской карты.

Компания «Доктор Веб» передала информацию о выявленных угрозах корпорации Google. На момент выхода данного обзора часть вредоносных приложений все еще была доступна для загрузки.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

26 июля 2022 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за июнь 2022 года. Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, активность трояна Android.Spy.4498, похищающего информацию из уведомлений от других приложений, продолжает снижаться. По сравнению с маем меньшая активность наблюдалась и со стороны рекламных троянов семейства Android.HiddenAds. В то же время наши вирусные аналитики выявили в каталоге Google Play множество различных угроз. Подробнее об этих и других событиях читайте в нашем обзоре.

Читать обзор полностью

19 июля 2022 года

Компания «Доктор Веб» сообщает об обновлении модуля Dr.Web Updater (12.0.53.07181) в продуктах Dr,Web Security Space 12.0, Антивирус Dr.Web 12.0, Антивирус Dr.Web 12.0 для файловых серверов Windows, Dr.Web Enterprise Security Suite 12.0 и 13.0, а также в Антивирусе Dr.Web по подписке на базе Dr.Web AV-Desk 13.0. Обновление связано с исправлением выявленной ошибки.

В рамках обновления была устранена причина невозможности удалить компонент антивируса при включённой самозащите в продуктах Dr.Web Enterprise Security Suite 12.0 и 13.0 и Антивирус Dr.Web по подписке на базе Dr.Web AV-Desk 13.0.

Обновление пройдёт автоматически.

19 июля 2022 года

Компания «Доктор Веб» сообщает об обновлении продукта Dr.Web Security Space для macOS до версии 12.6.3. Функциональные возможности приложения были расширены, а выявленные ошибки — исправлены. Также был внесён ряд внутренних изменений.

Улучшения в обновлённой версии:

• в раздел URL-фильтр добавлена категория «Вакансии», что позволяет ограничивать доступ к сайтам по поиску работы;
• добавлены настройки сбора информации о компонентах программы;
• внесён ряд других изменений и улучшений.

Исправления:

• исправлена ошибка просмотра полного пути у пропущенных в результате проверки объектов;
• устранена причина отключения Агента после первого успешного подключения к Серверу;
• исправлено отображение уведомлений программы после обновления системы.

Для перехода к использованию Dr.Web Security Space 12.6.3 для macOS необходимо скачать новый дистрибутив.

18 июля 2022 года

Компания «Доктор Веб» сообщает об обновлении подключаемого модуля Dr.Web Link Checker для Google Chrome, Mozilla Firefox, Opera и Microsoft Edge до версии 3.9.21. Модуль стал ещё дружелюбнее по отношению к русскоязычным пользователям, выявленная в его работе ошибка была исправлена, а также внесены внутренние изменения.

Изменения в Dr.Web Link Checker:

• добавлен перевод на русский язык текстов подсказок, появляющихся при наведении курсора на элементы сайта;
• исправлена ошибка при поиске информации с помощью поисковой системы Google.

Чтобы воспользоваться обновленным Dr.Web Link Checker, достаточно скачать его из соответствующего магазина расширений (в зависимости от браузера). Для тех, кто уже пользуется Dr.Web Link Checker, обновление пройдет автоматически.

18 июля 2022 года

Компания «Доктор Веб» сообщает об обновлении продукта Dr.Web Security Space для Android до версии 12.8.2. Улучшения и исправления коснулись большинства ключевых модулей приложения.

Изменения в Брандмауэре

• по пожеланиям пользователей добавлена настройка «Блокировать все соединения, кроме разрешенных правилами»;
• убраны настройки для входящих подключений;
• исправлена ошибка в работе настройки «Запретить подключения для новых приложений»;
• внесены исправления, позволяющие избежать блокировок передачи данных при работе приложений;
• внесены исправления и улучшения в работе с правилами для приложений;
• работа Брандмауэра оптимизирована, нагрузка на устройство при этом снижена.

Изменения в URL-фильтре:

• добавлена поддержка браузера Atom;
• внесены внутренние улучшения.

Изменение в Фильтре звонков и СМС:

• изменен путь сохранения файла списков номеров для тех версий ОС Android, в которых доступ к обычной папке временных файлов ограничен для пользователей.

Изменения в Антиворе:

• устранена проблема отображения наименования оператора связи в доверенной SIM-карте, возникавшая на некоторых устройствах;
• для безопасности работы приложения добавлена блокировка сброса его настроек.

Изменение в Аудиторе безопасности:

• немного изменено уведомление об оптимизации батареи.

Прочие изменения:

• устранены причины аварийных закрытий приложения;
• внесены исправления в механизмы обнаружения угроз при восстановлении файлов из карантина и проверки установленных приложений на версиях приложения, работающих в режиме централизованной защиты;
• внесены небольшие правки в интерфейсе общих настроек приложения, Брандмауэра и окна «Лицензия» на Android TV.

Для пользователей, загрузивших продукт с Google Play, обновление пройдет автоматически. Если же автоматические обновления на устройстве отключены, необходимо зайти на Google Play, выбрать в списке приложений Dr.Web Security Space Life или Dr.Web Security Space и нажать на кнопку «Обновить».

При возникновении сложностей, вызванных ограничениями со стороны Google Play, и для беспроблемной дальнейшей работы приложения рекомендуем перейти к использованию подписки. Для этого потребуется указать номер покупки, сделанной в Google Play. Также можно обратиться в службу технической поддержки.

Для обновления на сайте «Доктор Веб» можно скачать новый дистрибутив. Если в настройках включена опция «Новая версия», при обновлении вирусных баз пользователь получит уведомление о доступной новой версии, которую можно будет загрузить прямо из этого диалога.

18 июля 2022 года

Компания «Доктор Веб» сообщает об обновлении Мобильного центра управления Dr.Web для Android до версии 13.0.2. Обновлённая версия включает ряд улучшений для удобства администрирования и внутренние изменения. Также были исправлены выявленные ошибки.

Изменения в Мобильном центре управления:

• добавлена поддержка ОС Android 12, а минимальной поддерживаемой версией стала ОС Android 5.0;
• улучшена работа с группами, содержащими большое количество станций;
• реализована проверка наличия связи с защищаемыми объектами, благодаря чему запуск антивирусного сканирования на станциях, где оно не может быть выполнено, теперь невозможен;
• обновлены ссылки на документацию к продуктам Dr.Web.

Бесплатно скачать Мобильный центр управления Dr.Web для Android и ознакомиться с полным перечнем возможностей приложения можно на Google Play.

12 июля 2022 года

Компания «Доктор Веб» сообщает об обновлении модулей drweb-openssl (11.1.9-2207071902) и drweb-openssl-libs1.1 (11.1.9-2207071902) в продуктах Антивирус Dr.Web 11.1 для Linux, Антивирус Dr.Web 11.1 для файловых серверов UNIX, Антивирус Dr.Web 11.1 для почтовых серверов UNIX, Антивирус Dr.Web 11.1 для интернет-шлюзов UNIX и в Сканирующем сервере в составе Dr.Web Enterprise Security Suite 13.0.

Используемая в составе продуктов библиотека OpenSSL была обновлена до версии 1.1.1q.

Обновление осуществляется через репозиторий Dr.Web. Обращаем внимание пользователей, что для обновления Сканирующего сервера в составе Dr.Web Enterprise Security Suite 13.0 используется штатная процедура обновления run-пакетов продуктов Dr.Web для UNIX.