5 декабря 2009
Успехи в борьбе с TDL3 и другие вирусные события ноября
2 декабря 2009 года
Одним из главных событий ноября 2009 года стала победа антивируса Dr.Web над новой модификацией руткита BackDoor.Tdss, который использует различные технологии сокрытия в системе, предоставляя злоумышленникам полный контроль над зараженным компьютером. Кроме того, активизировалось распространение вредоносных программ под видом ПО, якобы способного отслеживать местоположение владельцев сотовых телефонов. В качестве одного из основных каналов распространения троянских программ остаются различные типы сообщений в социальных сетях, а поток вирусов, распространяющихся в виде почтовых сообщений, претерпел к концу ноября локальный спад.
BackDoor.Tdss.565 и его последователи
12 ноября 2009 года компания «Доктор Веб» предложила своим пользователям новую версию сканера с графическим интерфейсом, который первым среди антивирусных решений получил возможность противодействовать руткиту BackDoor.Tdss.565 (также широко известному под названием TDL3), будучи запущенным непосредственно в заражённой системе.
Данный тип руткитов включает в себя множество новых разработок, которые позволяют обойти практически все существующие антивирусные технологии и внедрить вредоносную программу в систему абсолютно незаметно как для пользователя, так и для большинства антивирусных программ.
В числе таких «новинок» в составе BackDoor.Tdss.565 – новый метод установки в систему, который обманывает практически все ныне существующие поведенческие анализаторы. Этот факт показал, что вирусописатели работают не только над затруднением определения новых рассылаемых образцов с помощью сигнатурных и эвристических технологий, но также пытаются противодействовать (и в некоторых случаях успешно) современным реализациям поведенческих анализаторов.
Ещё одним экспериментом вирусописателей стало создание собственного виртуального зашифрованного диска на винчестере пользователя, где содержатся некоторые файлы, необходимые для функционирования данного троянца. Для монтирования этого диска в системе используется специально разработанный приём, позволяющий замаскировать факт использования данного дополнительного устройства.
Для своей работы руткит также заражает один из драйверов, отвечающих за функционирование дисков на компьютере. При этом автоматически определяется, какой тип интерфейса используется дисками на заражаемом компьютере, и после этого заражается драйвер, соответствующий этому интерфейсу.
BackDoor.Tdss.565 использует для своего функционирования и другие специфические методы, что поставило перед антивирусными компаниями сложную задачу определения наличия данной вредоносной программы в системе и корректного лечения. Разработчики антивируса Dr.Web первыми решили данную задачу, а результаты этой работы воплотились в актуальной версии сканера Dr.Web, который доступен во всех антивирусных продуктах Dr.Web, предназначенных для работы в ОС Windows!
Лженавигаторы и псевдопеленгаторы
До настоящего времени продолжают активно распространяться лжеантивирусы, о которых компания "Доктор Веб" неоднократно сообщала в своих обзорах и новостях.
В последнее время популярность среди злоумышленников набирает тема «мобильного» ПО. Это и не удивительно, ведь почти у каждого современного человека есть хотя бы один сотовый телефон. За последние месяцы злоумышленники, эксплуатировавшие эту тему для реализации своих схем, не использовали вредоносные программы. Но в ноябре прошло несколько русскоязычных рассылок на тему ПО, предназначенного для слежения за пользователями мобильных телефонов. Целью этих рассылок было распространение вредоносных программ, предназначенных для похищения пользовательских паролей.
В первых числах ноября рассылалось почтовое сообщение, которое якобы содержало ПО, позволяющее обнаружить точное местоположение владельца любого мобильного телефона. При этом потенциальные жертвы заинтересовывались предложением попробовать возможности программы бесплатно. На самом деле приложенный исполняемый файл представлял собой программу – похитителя паролей Trojan.PWS.AccHunt.11.
2 декабря 2009 года
Одним из главных событий ноября 2009 года стала победа антивируса Dr.Web над новой модификацией руткита BackDoor.Tdss, который использует различные технологии сокрытия в системе, предоставляя злоумышленникам полный контроль над зараженным компьютером. Кроме того, активизировалось распространение вредоносных программ под видом ПО, якобы способного отслеживать местоположение владельцев сотовых телефонов. В качестве одного из основных каналов распространения троянских программ остаются различные типы сообщений в социальных сетях, а поток вирусов, распространяющихся в виде почтовых сообщений, претерпел к концу ноября локальный спад.
BackDoor.Tdss.565 и его последователи
12 ноября 2009 года компания «Доктор Веб» предложила своим пользователям новую версию сканера с графическим интерфейсом, который первым среди антивирусных решений получил возможность противодействовать руткиту BackDoor.Tdss.565 (также широко известному под названием TDL3), будучи запущенным непосредственно в заражённой системе.
Данный тип руткитов включает в себя множество новых разработок, которые позволяют обойти практически все существующие антивирусные технологии и внедрить вредоносную программу в систему абсолютно незаметно как для пользователя, так и для большинства антивирусных программ.
В числе таких «новинок» в составе BackDoor.Tdss.565 – новый метод установки в систему, который обманывает практически все ныне существующие поведенческие анализаторы. Этот факт показал, что вирусописатели работают не только над затруднением определения новых рассылаемых образцов с помощью сигнатурных и эвристических технологий, но также пытаются противодействовать (и в некоторых случаях успешно) современным реализациям поведенческих анализаторов.
Ещё одним экспериментом вирусописателей стало создание собственного виртуального зашифрованного диска на винчестере пользователя, где содержатся некоторые файлы, необходимые для функционирования данного троянца. Для монтирования этого диска в системе используется специально разработанный приём, позволяющий замаскировать факт использования данного дополнительного устройства.
Для своей работы руткит также заражает один из драйверов, отвечающих за функционирование дисков на компьютере. При этом автоматически определяется, какой тип интерфейса используется дисками на заражаемом компьютере, и после этого заражается драйвер, соответствующий этому интерфейсу.
BackDoor.Tdss.565 использует для своего функционирования и другие специфические методы, что поставило перед антивирусными компаниями сложную задачу определения наличия данной вредоносной программы в системе и корректного лечения. Разработчики антивируса Dr.Web первыми решили данную задачу, а результаты этой работы воплотились в актуальной версии сканера Dr.Web, который доступен во всех антивирусных продуктах Dr.Web, предназначенных для работы в ОС Windows!
Лженавигаторы и псевдопеленгаторы
До настоящего времени продолжают активно распространяться лжеантивирусы, о которых компания "Доктор Веб" неоднократно сообщала в своих обзорах и новостях.
В последнее время популярность среди злоумышленников набирает тема «мобильного» ПО. Это и не удивительно, ведь почти у каждого современного человека есть хотя бы один сотовый телефон. За последние месяцы злоумышленники, эксплуатировавшие эту тему для реализации своих схем, не использовали вредоносные программы. Но в ноябре прошло несколько русскоязычных рассылок на тему ПО, предназначенного для слежения за пользователями мобильных телефонов. Целью этих рассылок было распространение вредоносных программ, предназначенных для похищения пользовательских паролей.
В первых числах ноября рассылалось почтовое сообщение, которое якобы содержало ПО, позволяющее обнаружить точное местоположение владельца любого мобильного телефона. При этом потенциальные жертвы заинтересовывались предложением попробовать возможности программы бесплатно. На самом деле приложенный исполняемый файл представлял собой программу – похитителя паролей Trojan.PWS.AccHunt.11.
