Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Архив

Архив раздела ‘Virus Lab’
6 Июнь 2014

Говорящее название вируса SimplLocker: блокирует ваш телефон и вымогает деньги

Новый троян для мобильных устройств на Android — Simplocker появился на одном из подпольных российских форумов, шифрует файлы с целью вымогательства денег. Пользователи avast! Mobile Security и avast! Mobile Premium могут вздохнуть с облегчением, ведь AVAST определяет троян как Android: Simplocker и защищает от него!

Троянец был обнаружен на подпольном российском форуме исследователями безопасности компании ESET. malware, mobile malware, Trojan, SimplockerТроянец маскируется под приложение для взрослых. После установки, вредоносное приложение сканирует карту памяти устройства на наличие изображений, документов и видео, после обнаружения файлы шифруются с помощью алгоритма Advanced Encryption Standard (AES). Затем троянец выводит на экран сообщение-предупреждение на русском языке о блокировке телефона, и обвиняет пользователя в просмотре детской порнографии. Троянец требует выкуп в украинских гривнах в течении 24 часов, утверждая, что если пользователь не заплатит, то с его телефона будут удалены все зашифрованные файлы. Николос Крисадос, вирусный аналитик Android в AVAST, обнаружили, что вредоносное ПО не сможет удалить ни один из зашифрованных файлов, так как у него нет на это функциональных возможностей. Пользователь не избавится от сообщения до тех пор, пока не заплатит выкуп через платежную систему MoneXy. Троянец ждет поступлении команды об оплате с сервера (C & C) для расшифровки файлов.

Зачем нам это знать?

Хотя этот троян нацелен на определенный регион и не доступен в магазине Google Play, это не значит, что мы не должны беспокоиться. Эксперты полагают, что это начало новой эры мобильных вредоносных программ, популярность которых возрастает. Как только хакеры набьют руку и увидят, что это легкий способ получения денег, они станут хитрее, и захотят получить выгоду по полной.

Мы можем только догадываться какие способы они выдумают, чтобы в конечном итоге загрузить свои вредоносные приложения в официальные магазины, как Google Play, или же использовать альтернативу, например мобильные браузеры и почтовые вложения. Поэтому крайне важно иметь антивирусную защиту для смартфонов и планшетов. Мобильные устройства содержат огромное количество ценных данных и, следовательно, являются основной мишенью. 

Вирус-вымогатель является эффективным методом использования уязвимости в мобильных устройствах пользователей, многие из которых не пользуются резервирование данных.

Не давайте киберпреступникам шанса заработать. Защитите себя, загрузив avast! Mobile Security БЕСПЛАТНО уже сегодня.

Спасибо, что пользуетесь антивирусом avast! и за рекомендации друзьям и семье. О последних новостях, интересных событиях и официальных акциях компании читайте в Facebook,Twitter,  Google+Вконтакте и Instagram

Comments off
5 Июнь 2014

Внимание, футбольные фанаты: не все приложения умеют работать в команде, некоторые тащат одеяло на себя.

Чемпионат мира по футболу 2014 в Бразилии уже совсем скоро, и наша команда вирус-аналитиков AVAST провела свой собственный турнир по загрузке игр и приложений, связанных с темой футбола, из магазина Google Play. Мы, к сожалению, обнаружили, что некоторые из приложений были созданы явно не с целью развлечь пользователя.

AVAST обнаруживает поддельные игровые приложения связанные с футболом: Android: FakeViSport 

Некоторые из игровых приложений Android, которые мы скачали, в первую очередь показывали нам рекламу, вместо игры. Приведем пример некоторых из них: совершенно невозможно играть в Corner Kick World Cup 2014. В приложении отображается белый экран, и постоянно появляется всплывающая реклама. Это приложение показалось нам странным с самого начала из-за его размера — 1 мб. Что вы ожидаете от игры такого размера?! Игра сделана разработчиком VinoSports. Если вы проверите его остальные приложения в Google Play, то обнаружите, что они все одинаковые — пустые и напичканные рекламой.

Vinospots

К сожалению, среди разработчиков, это довольно распространенный и хитрый способ получения денег. Они wideполучают деньги за каждый клик по отображающейся рекламе в приложении,” сказалФилип Хитрый, антивирусный эксперт AVAST.

Некоторые приложения находятся в серой зоне

Хотелось бы упомянуть и другое приложение — Fifa 2014 Free – World Cup от довольно крупного разработчика игр “Top Game Kingdom LLC”. Это, однако, не означает, что приложению можно доверять. Fifa 2014 Free – World Cup можно отнести в разряд подозрительных.

Что касается приложение Football World Cup 14, также известное как «Widereceiverfree», запрашивает доступ к информации, которая не имеет ничего общего с функционированием приложения: к геолокации, журналам звонков и другой информации.

Tom game kingdom

Приложения c рекламой не обязательно являются зловредными. Много приложений, особенно бесплатных, финансируются за счет рекламы, которая может раздражать, особенно когда ее невозможно закрыть, и она не дает пользоваться самим приложением. Приложения, которые запрашивают больше информации , чем им нужна для функционирования, могут казаться безобидными, тем более, что нет никаких видимых доказательств, что они могут нанести вред. Именно такие приложения и могут принести больше вреда, чем вы можете ожидать.

В нашем avast! Mobile Premium есть функция Ad Detector, которая предупреждает о рекламных сетях и системах отслеживания, которые показывают нежелательную рекламу, в то время как собирают личную информацию.

Мы рекомендуем прежде чем скачать, присматривайтесь повнимательнее к приложениям, появляющимся во время чемпионата: игровые приложения, приложения для просмотра прямых трансляций, или те, которые принимают ставки на вашу сборную”, сказалФилип Хитрый. “Для уверенности, что вы не подхватите программы-шпионы и программы показа рекламы, проверьте и сравните функции приложения, а также доступ, который они запрашивают к вашим данным. Кроме того, ознакомьтесь с комментариями пользователей и постарайтесь скачивать все приложения связанные с темой чемпионата мира по футболу с официальных источников, таких, как FIFA.«

Спасибо, что пользуетесь антивирусом avast! и за рекомендации друзьям и семье. О последних новостях, интересных событиях и официальных акциях компании читайте в Facebook,Twitter,  Google+Вконтакте и Instagram

Comments off
21 Ноябрь 2013

Защищает ли avast! от вируса CryptoLocker?

howto2_enВопрос недели:  Начитался историй о вирусе CryptoLocker, блокирующий компьютер. У меня нет лишних $200 платить вымогателям за мои же личные файлы. Как я могу защитить себя от атак? Защищает ли avast! от вируса CryptoLocker?

 

«Avast! Antivirus распознает все известные варианты  вируса CryptoLocker благодаря нашей автоматизированной системе обработки информации и CommunityIQ «, сказал Павел Шрамэк, исследователь и аналитик Вирус лаборатории AVAST. «Их менее десятка, не является случаем быстро мутирующих вредоносных программ.»

CryptoLocker_RU

Что такое CryptoLocker?

CryptoLocker  — это вирус «вымогатель», который шифрует файлы на компьютерах с операционной системой Windows: фотографии, музыку, документы и даже файлы на локальных и сетевых носителях. Чтобы получить ключ на разблокировку зашифрованных файлов, вымогатели просят заплатить выкуп через систему Bitcoin или MoneyPak. У жертвы есть 72 часа, чтобы заплатить $200, по истечении этого времени стоимость повышается до $2,200.

Как распространяется CryptoLocker?

Вирус CryptoLocker часто содержится в  исполняемом файле, маскирующийся под PDF файл, прикрепленный к «фальшивому» официальному письму от банка, или от сервисов UPS или FedEx, с сообщением об информации отслеживаемой посылки. Когда вы открываете электронное письмо, вам предлагается скачать Zip-файл, который содержит исполняемый файл (. EXE), который запускает вирус. Существует также доказательство того, что заражение вирусом  CryptoLocker пошло от  банковских троянов ZeuS или Zbot. Распространяется при помощи ботнетов, чтобы загрузить и установить CryptoLocker.

Как защитить свой компьютер от CryptoLocker атак?

Пользователи AVAST будут защищены от вирусной атаки в течение короткого периода времени, пока вредоносная программа является новой  и «незамеченной», если AutoSandbox и DeepScreen активны. «Заражение предотвращается посредством динамического обнаружения», сказал Шрамэк.

«Мы, также, автоматически добавляем обнаружения для каждого нового образца, который проходит через наши серверные фильтры», сказал Иржи Сейтко, специалист Вирус лаборатории AVAST.

«Чтобы защитить свой компьютер от вымогателей-шифровальщиков, нужно всегда иметь под рукой резервную копию файлов, кто знает, когда появиться CryptoLocker v2.0″, сказал Шрамэк. «Зашифрованные вирусом файлы, фактически, не подлежат восстановлению.»

avast! Backup – создает резервное копирование и восстановление данных в облаке, который позволяет вам выбрать наборы данных или отдельные файлы, для которых вы хотите создать резервную копию. Попробуйте avast! Backup бесплатно в течении 30-ти дней, после чего, вы можете выбрать подписку, на подходящее вам по размеру, хранилище данных

Спасибо, что пользуетесь антивирусом avast! и за рекомендации друзьям и семье. О последних новостях, интересных событиях и официальных акциях компании читайте в FacebookTwitter,Вконтакте и Instagram

Comments off
10 Октябрь 2012

Спам «Одноклассников»

В последнее время мы заметили, что в наших URL-фильтрах с вредоносными программами появилось много легитимных доменов. Сначала мы думали, у нас большая проблема с ложными срабатываниями, но после анализа мы обнаружили некоторую закономерность.
Все ссылки пришли с сервера популярной социальной сети «Одноклассники». Пользователи этой сети получают поддельные сообщения со ссылками на фотографии.
Ссылки ведут на домены, которые выглядят совершенно невинно, и были зарегистрированы достаточно давно. Но все они являлись доменами 3 или 4 уровня, и привели к нескольким вредоносным IP-адресам: 69.197.136.99, 94.249.188.224 и 178.63.214.97, 94.249.189.21.

Все сайты, которые мы проверили имели домены второго уровня( xx.yy / www.XX.YY), ведущие на «чистые» легитимные сайты. Только 3-й уровень(ZZ.XX.YY) вел на вредоносные сайты. Сначала мы думали о краже паролей и модификации записей в DNS-хостинге(таком, как GoDaddy или таких, где подобные нападения были зафиксированы в прошлом). Но поскольку мы видели их слишком много, мы поняли, что нам нужно искать другое объяснение.

Тогда мы заметили, что все домены размещены на серверах afraid.org. Эта служба предоставляет бесплатный DNS-хостинг, что делает ее очень популярнай как для злоумышленников, так и для обычных пользователей. Ознакомиться с их реестром можно здесь(http://freedns.afraid.org/domain/registry/) — большая часть топовых доменов известна вирусным аналитикам как хостинг вредоносных программ. Но домены, которые мы нашли, не определенно были созданы для этой цели. Мы связались с владельцем сервиса и были удивлены тем фактом, что любой человек может зарегистрироваться и создать поддомен для любого из доменов, размещенных на afraid.org. Лично я считаю, что подобная свобода — это хорошо, но должна быть и ответственность.

Все эти ссылки на изображения вели к исполняемым файлам из семейства троянов Bicololo, которое мы впервые обнаружили более двух месяцев назад. Они имеют несколько характеристик: исполняемые файлы являются установщиками, в данном случае созданными с помощью Nullsoft Installer; всегда распаковываются 3 файла в директорию %PROGRAMFILES%\s1\s1 –  .bat, .jpg и .exe – далее они выполняются в этом порядке. Наиболее важный файлы в атаке — .bat, в данном случае он называется «090909.bat»( http://www.virustotal.com/file/606d720d0447f00b1df527978174347762b5371160783816b1ed3524c6b66a8d/analysis/1347352288/). Этот файл добавляет IP-адреса и домены поддельных русских социальных сетей и почтовых сайтов  - my.mail.ru, vk.com, odnoklassniki.ru, и т.д. —  в %WINDIR%\System32\etc\hosts. Сам скрипт до определенной степени рандомизирован и использует различные имена переменных и под-строки, содержащие элементы пути и URL-адресов в каждом варианте трояна.

 


Файл .jpg – всего лишь изображение, как правило обнаженной девушки, взятое из социальных сетей.

Третий файл является исполняемым файлом, в нашем случае он называется «lublu_vinograd.exe»( http://www.virustotal.com/file/07a63db075fb163f46a6dee091ae5498cf574de6130872d4d99aaca24bbe4b16/analysis/). Этот файл создан в Borland Delphi и содержит в основном «мертвый» код из неопасного проект Delphi — в данном случае, «Chart FX 3″, и статически прилинкованной библиотеки Indy для поддержки HTTP-соединений. Что на самом деле выполняется – это небольшой блок кода заглушки, добавленный к программе, который делает etc\hosts скрытым, создает новый, пустой файл в System32\Drivers\etc c названием «hоsts», где «о» является символом кириллицы. Таким образом, это считается, другим именем файла и служит прикрытием для скрытого инфицированных оригинала. Далее выполняется HTTP запрос к URL-адресу, собирающему статистику, так троян сигнализирует об успешном инфицировании автору этой вредоносной программы. Она не пытается размножиться или добавить себя в автозапуск.


Таким образом, на момент написания этого сообщения в блоге, целями этого вредоносного ПО являются перенаправление трафика крупных русских социальных сетей на IP-адреса серверов атакующих и кража данных учетных записей. После установки, когда зараженный пользователь посещает сайт социальной сети, он/она видит почти идеальную копию русской версии сайта, датированной 2011 годом(атакующие ламы забыли изменить год в копирайте на некоторых страницах и даже не пытаются использовать сервисы геолокации, чтобы обеспечить выдачу на языке пользователя, так vk.com отображается на английском языке при открытии из Праги; к тому же они забыли о последнем графический редизайне vk.com).

Настоящий VK.com



Поддельный VK.com


С последней версией вирусных баз, avast! Обнаруживает вредоносные файлы, блокирует доступ к скачиванию вирусов, а также блокирует доступ к серверам перенаправляющим на сайты злоумышленников.

Comments off