О вирусах и методах борьбы с ними

[-RESVIK-]

Описание компонентов вирусов, спайваре, троянов и других вредоносных программ. Как и с помощью чего вы их смогли удалить. Какие программы и как использовали. Поможем друг другу!

В обсуждении могут участвовать все пользователи форума.

[☆Andr€]

Svchost.exe. Вирус или норма?

ОткрытьЗакрыть

Скрытый текст

Скрытый текст (вы должны войти под своим логином или зарегистрироваться ).
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[☆Andr€]

Эффективность антивирусного ПО: немного правды, которая заставляет задуматься

ОткрытьЗакрыть

Скрытый текст

Скрытый текст (вы должны войти под своим логином или зарегистрироваться ).
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[☆Andr€]

Троянские программы

ОткрытьЗакрыть

Trojan - вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений. К Trojan также относятся "многоцелевые" троянские программы. Т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Разновидности Троянов

Trojan-ArcBomb - эти трояны представляют собой архивы, сформированные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные (зависание или существенное замедление работы компьютера или заполнение диска большим количеством "пустых" данных). Особенно опасны "архивные бомбы" для файловых и почтовых серверов. Если на сервере используется какая-либо система автоматической обработки входящей информации — "архивная бомба" может просто остановить работу сервера;


Trojan-Banker - вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к банковским системам, системам электронных денег и пластиковых карт. Найденная информация передается злоумышленнику. Для передачи данных "хозяину" могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы;


Trojan-Clicker - вредоносная программа, предназначенная для несанкционированного пользователем обращения к Интернет-ресурсам (обычно, к веб-страницам). Достигаться это может через отсылку соответствующих команд браузеру, либо заменой системных файлов, в которых указаны "стандартные" адреса Интернет-ресурсов (например, файл hosts в MS Windows);


Trojan-DDoS - вредоносная программа, предназначенная для проведения несанкционированной пользователем DoS-атаки (Denial of Service) с пораженного компьютера на компьютер-жертву, по заранее определенному адресу. Суть атаки заключается в посылке жертве многочисленных запросов, что приводит к отказу в обслуживании, в случае если ресурсы атакуемого удаленного компьютера недостаточны для обработки всех поступающих запросов;


Trojan-Downloader - вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянов или рекламных систем. Загруженные из интернета программы затем запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы. Информация об именах и расположении загружаемых программ содержится в коде и данных троянца, либо скачивается троянцем с "управляющего" Интернет-ресурса (обычно, с веб-страницы);


Trojan-Dropper - вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев. Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение;


Trojan-GameThief - вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к сетевым играм. Найденная информация передается злоумышленнику. Для передачи данных "хозяину" могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы;


Trojan-IM - вредоносная программа, предназначенная для кражи пользовательских эккаунтов (логин и пароль) от интернет-пейджеров (например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и др.). Найденная на заражённом компьютере информация передается злоумышленнику по электронной почте, FTP, WWW (посредством указания данных в запросе) и другими способами;


Trojan-Notifier - вредоносная программа, предназначенная для несанкционированного пользователем сообщения своему "хозяину" о том, что заражённый компьютер сейчас находится "на связи". При этом на адрес злоумышленника отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т.п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице злоумышленника, ICQ-сообщением;


Trojan-Proxy - вредоносная программа, предназначенная для осуществления злоумышленником несанкционированного пользователем анонимного доступа к различным Интернет-ресурсам через компьютер-жертву;


Trojan-Ransom - вредоносная программа, предназначенная для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После захвата данных (блокировки данных), пользователю выдвигается требование выкупа. Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера;


Trojan-SMS - вредоносная программа, предназначенная для несанкционированной пользователем отсылки SMS-сообщений с пораженных мобильных устройств на дорогостоящие платные номера, которые "жестко" записаны в теле вредоносной программы;


Trojan-Spy - вредоносная программа, предназначенная для ведения электронного шпионажа за пользователем (вводимая с клавиатуры информация, снимки экрана, список активных приложений и т.д.). Найденная информация передается злоумышленнику. Для передачи используются электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы;


Trojan-Mailfinder - вредоносная программа, предназначенная для несанкционированного пользователем сбора адресов электронной почты на компьюте с последующей передачей их злоумышленнику через электронную почту, HTTP, FTP или другими способами.
Украденные адреса используются злоумышленниками при проведении последующих рассылок вредоносных программ и спама;


Trojan-PSW (Password-Stealing-Ware) - вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. При запуске, PSW-трояны ищут необходимую им информацию - системные файлы, хранящие различную конфиденциальную информацию или в реестре. При нахождении подобной информации программа отсылает найденные данные "хозяину". Для передачи данных могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы. Некоторые трояны данного типа воруют регистрационную информацию к различному программному обеспечению;


Backdoor - вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов. Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д. Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые "ботнеты", централизованно управляемые злоумышленниками в злонамеренных целях;


Rootkit  - программа, предназначенная для сокрытия в системе определенных объектов, либо активности. Сокрытию, как правило, подвергаются ключи реестра (например, отвечающие за автозапуск вредоносных объектов), файлы, процессы в памяти зараженного компьютера, вредоносная сетевая активность. Сам по себе Rootkit ничего вредоносного не делает, но данный тип программ в подавляющем большинстве случаев используется вредоносными программами для увеличения собственного времени жизни в пораженных систему в силу затрудненного обнаружения.

[☆Andr€]

Нежелательные программы

ОткрытьЗакрыть

Аплеты (applets) - прикладные программы, небольшие Java-приложения, встраиваемые в HTML страницы. Эти программы не вредоносные, но могут использоваться в злонамеренных целях. Особенно опасны аплеты для любителей он-лайновых игр. Т.к. в них аплеты Java требуются обязательно. Аплеты, как и шпионское ПО, могут использоваться для отправки собранной на компьютере информации третьей стороне.


Всплывающие окна (pop-ups) - не вредоносные программы, вид рекламного ПО, имеющие вид внезапно возникающих на экране монитора рекламных окошек.


Зомби (Zombies) - маленькие компьютерные программы, разносимые по сети Интернет компьютерными червями. Программы-зомби устанавливают себя в пораженной системе и ждут дальнейших команд к действию.


Технология ActiveX - технология модификации элементов OCX разработанная корпорацией Microsoft для создания мультимедийных клиент-серверных приложений. Благодаря наличию в ней многочисленных уязвимостей, активно используется злоумышленниками, помогающих проникать на компьютер-жертву. Отключение загрузки элементов ActiveX на компьютер производится через панель меню Internet Explorer "Сервис" - "Свойства обозревателя" - вкладка "Безопасность".


Файлы cookies - файлы с данными о пользователе, собираемые веб-серверами и хранящиеся на жестком диске компьютера. При посещении любого веб-сервера в специальных файлах, называемых cookie, сохраняется информация о предпочтениях посетителя ресурса, которая служит средством идентификации пользователя сервером. Данные, полученные из файлов cookie, используются спамерами для составления списков рассылок. Сбор информации в файлы cookie можно отключить в Internet Explorer через панель меню "Сервис" - "Свойства обозревателя" - "Дополнительно".


Веб-жучки (Web bugs) - средство слежения за пользователями сети Интернет. Представляют собой прозрачные, размером 1х1 пиксель графические файлы, используемые для сбора статистической информации о заходящем на сайт пользователе. Данная информация может включать дату и время просмотра, тип браузера, данные монитора, настройки JavaScript, cookie, адрес в сети Интернет. Такие жучки используют и спамеры, включая их в рассылаемые письма, что дает им возможность определять существует или нет в действительности такой адрес.


"Горшочки с медом" (honey pots) - страницы-приманки по описанию ресурса и ключевым словам, а так же отвечающие требованиям поиска в поисковике, но которые, на самом деле, только завлекают пользователя. Их реальное содержание страниц - всевозможные программы-эксплойты и различный нежелательный или вредоносный софт.


Перехватчики страниц (highjackers) - от английского highjack/захватывать - вид нежелательной компьютерной программы, целью написания которой является принудительная установка на компьютере нужной страницы ее заказчику в качестве стартовой, в который смог проникнуть такой троянец. Программы используют бреши в системе безопасности Интернет-браузеров и прописывают себя в системный реестр. Как правило, ручная чистка реестра не помогает, в связи с имеющейся у троянов функцией восстановления нужных им данных в реестре и средства маскировки под системные файлы. Использование таких программ практикуется владельцами массово посещаемых сайтов - музыкальных, игровых, сайтов для взрослых.


Утилиты удаленного администрирования - не вредоносные программы, которые могут использоваться во вредоносных целях. Позволяют осуществлять доступ сеть и проводить в ней действия на расстоянии - из любой точки сети Интернет.


Шпионские модули-роботы (spybots) - не являющиеся вирусами программы, самостоятельные функциональные модули, автономно решающие ту или иную задачу. Используются хакерами для слежения за жизнедеятельностью сети.


Вирусные мистификаторы (Hoaxes) - не являются вредоносными почтовыми сообщениями, но написанные в подчеркнуто-нейтральном тоне, в котором указывается, например, на якобы распространяющийся новый вирус.


Дозвонщики (Dialers) - специальные компьютерные программы, разработанные для сканирования некоего диапазона телефонных номеров для нахождения такого, на который ответит модем. В дальнейшем злоумышленники используют найденные номера для накручивания оплаты за телефон жертве или для незаметного подключения пользователя через модем к дорогостоящим платным телефонным службам.


Технологии социальной инженерии (SE) - способы получения конфиденциальной информации у пользователей путем введения их в заблуждение. Очень часто это приводит к добровольной выдаче самими пользователями такой информации. Социальная инженерия не использует специальных компьютерных программ, мошенничество построено на тривиальном обмане, использовании доверчивости и наивности людей. Чаще всего рассылаются правдоподобно выглядящие письма от реально существующих кредитных организаций, в которых Вас просят подтвердить пароль доступа к счету и PIN- код кредитной карточки.


Уязвимость (Vulnerability) - часть программного кода, позволяющая использовать его для нарушения работы системы и проникновения в сети.


Шпионское ПО (Spyware) - опасные для пользователя программы (не вирусы), предназначенные для слежения за системой и отсылки собранной информации третьей стороне - создателю или заказчику такой программы.

[☆Andr€]

В России около 800 серверов заражены в ходе "Операции Windigo"

ОткрытьЗакрыть

Компания ESET опубликовала результаты анализа "Операции Windigo" – крупнейшей кибератаки, жертвами которой стали тысячи серверов. Все инфицированные системы используются злоумышленниками для:

кражи учетных данных;
перенаправления трафика на вредоносный контент;
заражения пользователей;
рассылки спама.

Предположительное время начала операция Windigo - 2011 год. На протяжении нескольких лет ее организаторы сумели скомпрометировать более 25 тыс. Linux- и UNIX-серверов, а также широкий спектр операционных систем, включая

Windows;
OS X;
OpenBSD;
FreeBSD;
Linux.

В числе пострадавших от Windigo числятся cPanel и Linux Foundation.

Для получения доступа к серверам авторы Windigo использовали только украденные учетные данные и изначально скомпрометированные приложения. В дальнейшем база учетных записей пополнялась за счет вновь зараженных машин.

На сегодняшний день в мире используется порядка 10 тыс. зараженных серверов. При этом ежедневно на набор эксплойтов перенаправляются свыше 500 тыс. посетителей скомпрометированных сайтов. В случае успешного перенаправления уровень заражения достигает 1%. Windigo отвечает также за рассылку порядка 35 млн. спам-писем в день.

Было установлено, что атакующие смогли провести операцию установки вредоносной программы на десятках тысяч серверов. А также то, что для защиты серверов не всегда использовались антивирусные продукты и механизмы двухфакторной аутентификации. В результате, злоумышленники могут установить вредоносный код и похитить аутентификационные данные учетных записей.

Совместными усилиями экспертов из

вирусной лаборатории ESET;
группы CERT-Bund;
исследовательского центра SNIC;
организации CERN;
других участников международной рабочей группы,
удалось выяснить, что в операции Windigo было задействовано 6 видов вредоносного ПО и сервисов:

Linux/Ebury – компрометирует серверы под управлением Linux, предоставляет злоумышленникам полный доступ к системе через командную строку и возможность кражи учетных данных SSH;

Linux/Cdorked – компрометирует веб-серверы под управлением Linux, предоставляет злоумышленникам полный доступ к системе через командную строку, отвечает за заражение вредоносным кодом пользователей Windows;

Linux/Onimiki – компрометирует DNS-серверы Linux, отвечает за преобразование доменных имен, совпадающих с определенным шаблоном, в соответствующие IP-адреса;

Perl/Calfbot – компрометирует все ОС, которые имеют в своем составе установленный пакет Perl, отвечает за рассылку спама;

Win32/Boaxxe.G – используется для организации кликфрода;

Win32/Glupteba.M – используется как прокси-сервис для Windows.
Россия стала одной из стран, с наибольшим количеством атакованных серверов. Так РФ занимает 8-ю строку списка государств, где находятся зараженные Linux/Ebury сервера, и входит в тройку стран, где обнаружено больше всего машин, пострадавших от Perl/Calfbot.

Атакующие по максимуму используют возможности скомпрометированных серверов и пользовательских устройств, запуская на них различное вредоносное ПО – в зависимости от полученного уровня доступа.

Sootnoshenie

В ESET отмечают, что вредоносные программы Windigo разработаны на достаточно высоком уровне. В них используются техники сокрытия присутствия в системе, переносимость между различными платформами, криптография.

Поэтому, чтобы детектировать заражение сервера, эксперты ESET рекомендуют веб-мастерам и системным администраторам запустить следующую команду:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
При условии, что система заражена Windigo, то потребуется полная очистка памяти, переустановка операционной системы и всего программного обеспечения. Необходимо также сменить все используемые пароли и ключи, поскольку существующие учетные данные могут быть скомпрометированы.

[☆Andr€]

PandaLabs: За второй квартал 2014 года создано свыше 15 млн угроз

ОткрытьЗакрыть

Согласно ежеквартальному отчету PandaLabs, во 2 квартале 2014 года объемы создания новых вредоносных программ имеют рекордно высокие показатели - порядка 15 млн. новых образцов вредоносных программ, т.е. примерно 160 тыс. угроз создавалось ежедневно.

Троянские программы по-прежнему являются наиболее распространенным видом вредоносных программ. Они имеют долю в 58,20% от числа новых угроз. Однако, не смотря на это, настоящее значение существенно ниже показателя предыдущего квартала (71,85%). Такое снижение вызвано не уменьшением числа троянов, а значительным ростом количества потенциально нежелательных программ (PUP) в течение этого периода.

Также в течении второго квартала увеличивались атаки на мобильные устройства. Теперь они стали направлены и на Apple iOS и на Android-устройства. Для последних, наиболее заметными стали инциденты, связанные с ложными антивирусными решениями и программами-вымогателями (ransomware).

Кроме того, второй квартал стал насыщен большим количеством существенных хакерских атак на значимые компании, представляющие различные сектора экономики. К таковым можно отнести:

eBay;
Spotify;
Domino's Pizza.

В апреле заголовки многих СМИ освещали бреши безопасности Heartbleed, которые были обнаружены в библиотеке OpenSSL, используемой для зашифрованных коммуникаций. И закрывала "ноту" СМИ корпорация Microsoft, которая прекратила оказывать поддержку для Windows XP. Это решение корпорации привело к некоторым последствиям для пользователей этой версии операционной системы.


Подъем PUP
Троянские программы теряют свою долю в силу роста числа потенциально нежелательных приложений (PUP). Так за последние месяцы наблюдается заметное увеличение числа упаковщиков ПО, которые без согласия пользователя устанавливают PUP наряду с теми программами, которые пользователь действительно хотел установить.

Однако, не смотря на это, процентное соотношение вредоносного ПО следующее:

трояны - 58,20%;
черви - 19,68%;
рекламное ПО/шпионы - 0,39%;
вирусы - 0,38%.

Инфекции в разных странах
Глобальный уровень заражения во втором квартале 2014 года составил 36,87%, что существенно выше предыдущего периода. Такой рост обусловлен, в первую очередь, широким распространением потенциально опасных приложений (PUP). Анализ уровня зараженности по странам показал, что лидерами по уровню заражения стали:

Китай - 51,05%;
Перу - 44,34%;
Турция - 44,12%.

Рейтинг показывает, что наиболее зараженными регионами остаются Азия и Латинская Америка. Однако и Россия продемонстрировала уровень заражения выше среднемирового значения, заняв в данном рейтинге шестое место с показателем 42,89%.

Европа является регионом с наименьшим уровнем заражения. Здесь девять европейских стран попали в список наименее зараженных стран мира:

Швеция - 22,13%;
Норвегия - 22,26%;
Германия - 22,88%.

В это же время Япония, с показателем 24,21%, стала единственной неевропейской страной в десятке наименее инфицированных стран мира.

[☆Andr€]

Вредоносная реклама на сервисах DoubleClick и Zedo

Специалисты из компании Malwarebytes уведомляют, что online-сервисы DoubleClick и Zedo распространяют рекламные объявления, которые поводят скрытую установку вредоносной программы на персональные компьютеры пользователей.

ОткрытьЗакрыть

Кроме двух выше перечисленных сервисов, вредоносную рекламу среди web-сайтов также распространяли следующие ресурсы:

The Times of Israel;
The Jerusalem Post;
Last.fm music.

Специалист компании Жером Сегура (Jerome Segura) отметил, что вредоносные рекламные сообщения инфицируют компьютеры пользователей набором эксплоитов "Nuclear", однако для этих целей потенциальные жертвы переправляются на определенные хостинги. Данные эксплоиты предназначены для определения ПК на предмет наличия уязвимостей в программном обеспечении, например, в Adobe Flash и Internet Explorer. При успешной атаке, на компьютер пользователя будет установлена вредоносная программа Zemot. В дальнейшем это вредоносное ПО произведет подключение к удаленному серверу злоумышленников в целях загрузки другого вредоносного кода.

И хотя рекламные сервисы пытаются тщательным образом фильтровать вредоносные объявления, часть из них все же обходит средства защиты сайта. Это на web-ресурсах с высоким уровнем трафика способно привести к огромному количеству случаев заражения компьютеров пользователей. В большинстве случаев руководство web-ресурсов, через которые распространяется вредоносная реклама, просто не осведомлено об этой проблеме.

[☆Andr€]

Атаки при помощи 64-битного трояна Miras

Специалисты по IT-безопасности компании Trend Micro зафиксировали целевую атаку на одну из европейских IT-компаний, в ходе которой были похищены некоторые данные. В ходе ее изучения удалось установить, что для похищения этих данных был использован усовершенствованный 64-битный троян Miras.

ОткрытьЗакрыть

В дальнейшем, в ходе изучения уже вредоносного ПО Miras, было установлено, что модуль его файлового и дискового менеджера собирает информацию об устанавливаемых на атакуемый компьютер обновлениях. Для похищения данных жертвы используется менеджер процессов вредоносного ПО, который сообщает злоумышленникам дату и время создания процесса.

Возвращаясь непосредственно к атаке. Она представляет особую угрозу, поскольку ее функционал предназначен для запуска последующих атак. В свою очередь фукнционал бэкдора дает атакующим доступ к модулям, которые задействованы в других процессах. Это позволяет применить подмену DLL-файлов (DLL hijacking) или осуществить атаку  с помощью эксплоита, конечно, в зависимости от того, какие модули системы жертвы просматриваются.

Статистика показывает, что за последние полгода количество специфических целевых атак значительно возросло. По этой причине очень важно, чтобы компании научились отслеживать и оперативно устранять угрозы. Компании должны понимать, что целевые атаки больше не сводятся к отдельным случаям, все чаще это явление приобретает глобальные масштабы. Стоит отметить, что основной угрозой сегодня являются именно уникальные атаки, которые разработаны специально для получения доступа к определенным данным той или иной компании.

Эксперты уведомляют, что одним из фактов присутствия Miras в системе, является наличие файла

%System%/wbem/raswmi.dll

[☆Andr€]

Вирус Citadel используется для совершения целенаправленных атак

Специалисты из компании Trusteer провели исследование, в результате которого установили, что хакеры, совершающие целенаправленные атаки, стали использовать усовершенствованную версию вредоноса Citadel для проведения кибератак на несколько ближневосточных нефтехимических компаний.

ОткрытьЗакрыть

Пострадавшие компании получили уведомления, что на них ведется направленная кибератака. Среди жертв данной хакерской атаки числятся поставщик нефтехимических элементов и один из наибольших продавцов нефтехимической продукции в регионе. Личности киберпреступников пока установить не удалось.

Специалисты говорят, что модификация банковских троянов под инструменты для совершения целенаправленных атак не является чем-то новым. Однако, не смотря на это, данная атака является первой, в которой Citadel использовали для получения доступа к внутренним сетям компаний, хищения интеллектуальной собственности или перехвата внутренней почты.

Более ранние версии Citadel использовались киберпреступниками для совершения атак "человек посередине", а также для похищения финансовых данных. Модифицированная версия вредоноса способна нанести гораздо больше вреда. Так новый вариант Citadel способен:

перехватывать логины и пароли при входе на корпоративную почту;
записывать нажатия клавиш;
делать скриншоты;
встраивать вредоносный код в web-страницы;
предоставлять хакерам полный контроль над ПК жертвы.

Более того, вредоносная программа использует продвинутые технологии антидетекции и обфускации кода, которые защищают ее от обнаружения антивирусными программами и возможности исследования.

Специалисты подчеркивают, что благодаря массовому распространению вредоносного ПО киберпреступникам больше не требуется совершать целенаправленные фишинг-атаки. Вместо этого хакеры стараются заразить как можно больше ПК.

[-RESVIK-]

Компания Dr. Web сообщает о новом трояне, который устанавливает на заражённые компьютеры приложение TeamViewer. Злоумышленники используют его в качестве прокси и таким образом скрывают свои истинные IP-адреса.

Троян, получивший название BackDoor.TeamViewer.49, был обнаружен в начале мая специалистами Dr. Web и «Яндекса». Для его распространения применяется замысловатая многоступенчатая схема. Жертвами BackDoor.TeamViewer.49 становятся пользователи, чьи компьютеры поражены другим трояном — Trojan.MulDrop6.39120. Обычно он распространяется с заражёнными инсталляторами Adobe Flash Player, которые можно встретить в неофициальных источниках.

Trojan.MulDrop6.39120 без ведома пользователя скачивает и устанавливает TeamViewer — популярное и совершенно легальное приложение, которое служит для удалённого управления компьютером, обмена файлами и проведения телеконференций. Известны случаи, когда злоумышленники применяли TeamViewer для того, чтобы получить контроль над машиной жертвы. BackDoor.TeamViewer.49 необычен тем, что его создатели нашли для TeamViewer другое сомнительное назначение.

BackDoor.TeamViewer.49 скрывается в модифицированной версии динамической библиотеки avicap32.dll, которую TeamViewer загружает при запуске. При установке приложение добавляет себя в список автозапуска и автоматически включается после каждой перезагрузки заражённого компьютера. После этого вредоносная программа убирает иконку TeamViewer из области уведомлений Windows, открывает защищённое соединение с командным сервером и ждёт дальнейших указаний.

Та версия трояна, которую анализировали специалисты Dr. Web, исполняла роль прокси, но это не значит, что BackDoor.TeamViewer.49 больше ни на что не способен. «Когда система заражена, преступники могут делать с ней практически всё, что угодно, — цитирует издание Softpedia слова представителя разработчиков TeamViewer. — В зависимости от сложности вредоносного софта, он может взять под контроль всю систему, перехватывать информацию, манипулировать ей и так далее».

[★SergeyI]

Новый троянец поразил компьютеры россиян.

ОткрытьЗакрыть

Скрытый текст

Скрытый текст (вы должны войти под своим логином или зарегистрироваться ).
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[★₽en$]

"Но самый лучший возможный способ борьбы с компьютерным вирусом – это наличие на вашем устройстве антивирусного программного обеспечения. Вредоносные вирусные программы представлены разными видами, основные из которых – это файловые вирусы, загрузочные вирусы, макровирусы, полиморфные вирусы, резидентные вирусы, логические бомбы, вирусы-вымогатели", цитата из статьи "Что такое компьютерный вирус и как от него защититься?"

Предложение на Форуме - ключи для продуктов NORTON: Вам не разрешено просматривать ссылки
Зарегистрируйтесь или войдите на форум

и много других вариантов.