Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Архив

Архив раздела ‘Virus Lab’
21 Ноябрь 2013

Защищает ли avast! от вируса CryptoLocker?

howto2_enВопрос недели:  Начитался историй о вирусе CryptoLocker, блокирующий компьютер. У меня нет лишних $200 платить вымогателям за мои же личные файлы. Как я могу защитить себя от атак? Защищает ли avast! от вируса CryptoLocker?

 

«Avast! Antivirus распознает все известные варианты  вируса CryptoLocker благодаря нашей автоматизированной системе обработки информации и CommunityIQ «, сказал Павел Шрамэк, исследователь и аналитик Вирус лаборатории AVAST. «Их менее десятка, не является случаем быстро мутирующих вредоносных программ.»

CryptoLocker_RU

Что такое CryptoLocker?

CryptoLocker  — это вирус «вымогатель», который шифрует файлы на компьютерах с операционной системой Windows: фотографии, музыку, документы и даже файлы на локальных и сетевых носителях. Чтобы получить ключ на разблокировку зашифрованных файлов, вымогатели просят заплатить выкуп через систему Bitcoin или MoneyPak. У жертвы есть 72 часа, чтобы заплатить $200, по истечении этого времени стоимость повышается до $2,200.

Как распространяется CryptoLocker?

Вирус CryptoLocker часто содержится в  исполняемом файле, маскирующийся под PDF файл, прикрепленный к «фальшивому» официальному письму от банка, или от сервисов UPS или FedEx, с сообщением об информации отслеживаемой посылки. Когда вы открываете электронное письмо, вам предлагается скачать Zip-файл, который содержит исполняемый файл (. EXE), который запускает вирус. Существует также доказательство того, что заражение вирусом  CryptoLocker пошло от  банковских троянов ZeuS или Zbot. Распространяется при помощи ботнетов, чтобы загрузить и установить CryptoLocker.

Как защитить свой компьютер от CryptoLocker атак?

Пользователи AVAST будут защищены от вирусной атаки в течение короткого периода времени, пока вредоносная программа является новой  и «незамеченной», если AutoSandbox и DeepScreen активны. «Заражение предотвращается посредством динамического обнаружения», сказал Шрамэк.

«Мы, также, автоматически добавляем обнаружения для каждого нового образца, который проходит через наши серверные фильтры», сказал Иржи Сейтко, специалист Вирус лаборатории AVAST.

«Чтобы защитить свой компьютер от вымогателей-шифровальщиков, нужно всегда иметь под рукой резервную копию файлов, кто знает, когда появиться CryptoLocker v2.0″, сказал Шрамэк. «Зашифрованные вирусом файлы, фактически, не подлежат восстановлению.»

avast! Backup – создает резервное копирование и восстановление данных в облаке, который позволяет вам выбрать наборы данных или отдельные файлы, для которых вы хотите создать резервную копию. Попробуйте avast! Backup бесплатно в течении 30-ти дней, после чего, вы можете выбрать подписку, на подходящее вам по размеру, хранилище данных

Спасибо, что пользуетесь антивирусом avast! и за рекомендации друзьям и семье. О последних новостях, интересных событиях и официальных акциях компании читайте в FacebookTwitter,Вконтакте и Instagram

Comments off
10 Октябрь 2012

Спам «Одноклассников»

В последнее время мы заметили, что в наших URL-фильтрах с вредоносными программами появилось много легитимных доменов. Сначала мы думали, у нас большая проблема с ложными срабатываниями, но после анализа мы обнаружили некоторую закономерность.
Все ссылки пришли с сервера популярной социальной сети «Одноклассники». Пользователи этой сети получают поддельные сообщения со ссылками на фотографии.
Ссылки ведут на домены, которые выглядят совершенно невинно, и были зарегистрированы достаточно давно. Но все они являлись доменами 3 или 4 уровня, и привели к нескольким вредоносным IP-адресам: 69.197.136.99, 94.249.188.224 и 178.63.214.97, 94.249.189.21.

Все сайты, которые мы проверили имели домены второго уровня( xx.yy / www.XX.YY), ведущие на «чистые» легитимные сайты. Только 3-й уровень(ZZ.XX.YY) вел на вредоносные сайты. Сначала мы думали о краже паролей и модификации записей в DNS-хостинге(таком, как GoDaddy или таких, где подобные нападения были зафиксированы в прошлом). Но поскольку мы видели их слишком много, мы поняли, что нам нужно искать другое объяснение.

Тогда мы заметили, что все домены размещены на серверах afraid.org. Эта служба предоставляет бесплатный DNS-хостинг, что делает ее очень популярнай как для злоумышленников, так и для обычных пользователей. Ознакомиться с их реестром можно здесь(http://freedns.afraid.org/domain/registry/) — большая часть топовых доменов известна вирусным аналитикам как хостинг вредоносных программ. Но домены, которые мы нашли, не определенно были созданы для этой цели. Мы связались с владельцем сервиса и были удивлены тем фактом, что любой человек может зарегистрироваться и создать поддомен для любого из доменов, размещенных на afraid.org. Лично я считаю, что подобная свобода — это хорошо, но должна быть и ответственность.

Все эти ссылки на изображения вели к исполняемым файлам из семейства троянов Bicololo, которое мы впервые обнаружили более двух месяцев назад. Они имеют несколько характеристик: исполняемые файлы являются установщиками, в данном случае созданными с помощью Nullsoft Installer; всегда распаковываются 3 файла в директорию %PROGRAMFILES%\s1\s1 –  .bat, .jpg и .exe – далее они выполняются в этом порядке. Наиболее важный файлы в атаке — .bat, в данном случае он называется «090909.bat»( https://www.virustotal.com/file/606d720d0447f00b1df527978174347762b5371160783816b1ed3524c6b66a8d/analysis/1347352288/). Этот файл добавляет IP-адреса и домены поддельных русских социальных сетей и почтовых сайтов  - my.mail.ru, vk.com, odnoklassniki.ru, и т.д. —  в %WINDIR%\System32\etc\hosts. Сам скрипт до определенной степени рандомизирован и использует различные имена переменных и под-строки, содержащие элементы пути и URL-адресов в каждом варианте трояна.

 


Файл .jpg – всего лишь изображение, как правило обнаженной девушки, взятое из социальных сетей.

Третий файл является исполняемым файлом, в нашем случае он называется «lublu_vinograd.exe»( https://www.virustotal.com/file/07a63db075fb163f46a6dee091ae5498cf574de6130872d4d99aaca24bbe4b16/analysis/). Этот файл создан в Borland Delphi и содержит в основном «мертвый» код из неопасного проект Delphi — в данном случае, «Chart FX 3″, и статически прилинкованной библиотеки Indy для поддержки HTTP-соединений. Что на самом деле выполняется – это небольшой блок кода заглушки, добавленный к программе, который делает etc\hosts скрытым, создает новый, пустой файл в System32\Drivers\etc c названием «hоsts», где «о» является символом кириллицы. Таким образом, это считается, другим именем файла и служит прикрытием для скрытого инфицированных оригинала. Далее выполняется HTTP запрос к URL-адресу, собирающему статистику, так троян сигнализирует об успешном инфицировании автору этой вредоносной программы. Она не пытается размножиться или добавить себя в автозапуск.


Таким образом, на момент написания этого сообщения в блоге, целями этого вредоносного ПО являются перенаправление трафика крупных русских социальных сетей на IP-адреса серверов атакующих и кража данных учетных записей. После установки, когда зараженный пользователь посещает сайт социальной сети, он/она видит почти идеальную копию русской версии сайта, датированной 2011 годом(атакующие ламы забыли изменить год в копирайте на некоторых страницах и даже не пытаются использовать сервисы геолокации, чтобы обеспечить выдачу на языке пользователя, так vk.com отображается на английском языке при открытии из Праги; к тому же они забыли о последнем графический редизайне vk.com).

Настоящий VK.com



Поддельный VK.com


С последней версией вирусных баз, avast! Обнаруживает вредоносные файлы, блокирует доступ к скачиванию вирусов, а также блокирует доступ к серверам перенаправляющим на сайты злоумышленников.

Comments off