• 2014-02-04 21:21 Обновление компонентов в продуктах Dr.Web 9.0 для Windows
• 2014-02-04 21:31 Мобильные угрозы в январе 2014 года
• 2014-02-04 21:31 Обзор вирусной активности в январе 2014 года
• 2014-02-04 21:33 «Доктор Веб» принял участие в «Инфофоруме-2014»
• 2014-02-05 04:23 Оценка стоимости информационных активов

Антивирусный "хостинг"

Клуб пользователей антивирусных услуг (Saas, Cloud)

KMM поделился ссылкой

Обновление компонентов в продуктах Dr.Web 9.0 для Windows

4 февраля 2014 года

Компания «Доктор Веб» сообщает об обновлении антируткитного модуля Dr.Web Anti-rootkit API (9.0.8.201401280), брандмауэра (9.0.4.01210), модуля самозащиты Dr.Web SelfPROtect (9.0.9.01210), сервиса перехвата трафика Dr.Web Net Filtering Service (9.0.8.01270) и языковых модулей в продуктах Dr.Web Security Space и Антивирус Dr.Web версии 9.0. Обновление связано с внесением ряда улучшений и исправлением выявленных ошибок.

Обновление антируткитного модуля позволило увеличить скорость загрузки продуктов и, соответственно, сократить время запуска ОС. Также был улучшен алгоритм работы системы Dr.Web Process Dumper. Вместе с тем в Dr.Web Anti-rootkit API были внесены исправления, повышающие стабильность его работы.

В брандмауэре устранена причина возможного аварийного завершения работы компонента при взаимодействии с Google Chrome.

В модуле самозащиты исправлена ошибка, не позволявшая осуществить запуск ПО для защиты информации «Континент АП».

В сервис перехвата трафика внесены изменения для корректной работы с ПО VMWare vSphere, а также с сетевыми принтерами и МФУ ряда производителей.

В продукты включена справка на испанском, японском и польском языках, а языковые модули адаптированы для работы с ними.

Обновление пройдет для пользователей автоматически, однако потребует перезагрузки компьютеров.

KMM поделился ссылкой

Мобильные угрозы в январе 2014 года

4 февраля 2014 года

Как и в минувшем году, специалисты компании «Доктор Веб» продолжают следить за статистикой, собранной с помощью мобильного антивируса Dr.Web для Android. Так, в январе 2014 года на мобильных устройствах пользователей было выявлено 11 063 873 вредоносные или нежелательные программы, при этом чаще всего антивирус блокировал деятельность различных рекламных приложений.

В период с 1 по 30 января 2014 года с использованием Dr.Web для Android были обнаружены 11 063 873 вредоносные или нежелательные программы, при этом ежедневно антивирус фиксировал порядка 300 000 угроз. Максимальное число срабатываний антивируса — 589 172 — пришлось на субботу, 11 января 2014 года, минимальное количество срабатываний составило 293 078 и было зафиксировано в первые послепраздничные новогодние сутки.

Самым «популярным» нежелательным приложением, зафиксированным на устройствах пользователей в 1 260 374 случаях, стала рекламная программа Adware.Revmob.1.origin. Лишь немного ей уступили рекламные приложения Adware.Airpush.7.origin и Adware.Airpush.21.origin (1 016 462 и 683 738 случаев обнаружения соответственно). Наиболее распространенной вредоносной программой оказался троянец Android.SmsSend.749.origin — один из представителей семейства троянцев, отправляющих без ведома пользователей платные СМС-сообщения на премиум-номера. Десять троянских программ, наиболее часто обнаруживаемых антивирусом Dr.Web на Android-устройствах, перечислены ниже.

№	Наименование угрозы	%
1	Android.SmsSend.749.origin	3,95
2	Android.SmsSend.990.origin	2,49
3	Android.SmsSend.315.origin	2,37
4	Android.SmsSend.872.origin	1,56
5	Android.SmsSend.309.origin	1,55
6	Android.Subser.1.origin	1,27
7	Android.SmsSend.758.origin	1,13
8	Android.SmsSend.859.origin	1,11
9	Android.SmsSend.466.origin	1,01
10	Android.SmsBot.25.origin	1,01

Наиболее «инфицированным» городом мира с точки зрения общего количества обнаруженных угроз для мобильной платформы Android в январе стала Москва, на втором месте расположен Багдад, третью и четвертую позицию занимают саудовские города Эр-Рияд и Джидда. Распределение населенных пунктов по числу выявленных угроз в январе 2014 года показано ниже.

Распределение количества обнаружений вредоносных программ для ОС Android по городам

При этом 85,7% вредоносных программ обнаруживается на мобильных телефонах и смартфонах, и лишь 14,3% — на планшетах.

Распределение обнаруженных угроз по типу устройств

Январь 2014 года запомнится пользователям появлением первого в истории буткита для операционной системы Android: эта угроза была добавлена в вирусные базы Dr.Web под именем Android.Oldboot.1. Данный троянец размещается в загрузочной области файловой системы инфицированных устройств, что позволяет ему не только запускаться на ранней стадии загрузки операционной системы, но также и значительно усложняет его полное удаление. После активации Android.Oldboot.1 извлекает из себя несколько компонентов и помещает их в системные каталоги, устанавливая, таким образом, как обычные приложения. Основное назначение вредоносной программы заключается в выполнении различных команд, поступающих от удаленного управляющего сервера.

По данным на 30 января 2014 года число мобильных устройств, инфицированных Android.Oldboot.1, превысило 850 тысяч, увеличившись с 24 января, когда компания «Доктор Веб» впервые сообщила о данной угрозе, на 240%. География его распространения представлена рядом стран Европы, Юго-Восточной Азии, а также Северной и Южной Америки. При этом стоит отметить, что большая часть пораженных устройств сосредоточена в Китае, рынок которого является основной целью киберпреступников, создавших данную вредоносную программу.

Больше всего пользователей мобильных антивирусных решений Dr.Web проживает на территории России, также Dr.Web для Android пользуется значительной популярностью у жителей Саудовской Аравии, Ирака, Казахстана, Турции и Украины. Распределение пользователей Dr.Web для Android и Dr.Web для Android Light

Распределение пользователей Dr.Web для Android по странам мира

Если говорить о жителях России, то наибольшее количество пользователей мобильных антивирусных решений Dr.Web проживает в Москве, на втором месте расположился Санкт-Петербург, на третьем — Свердловская область. Распределение пользователей по регионам Российской Федерации показано на следующей диаграмме.

Распределение пользователей антивируса Dr.Web для Android по регионам Российской Федерации

Как и в прошлом году, подавляющее большинство пользователей антивирусных решений Dr.Web для Android являются владельцами устройств производства компании Samsung. Самым популярным из них в январе 2014 года стал Samsung GT-I9300 Galaxy S III (8,26%), на втором месте расположился Samsung GT-S7562 Galaxy S Duos (3,98%), на третьем — Samsung GT-I9100 Galaxy S II (3,73%). Наименее же распространенные устройства, на которых установлен Dr.Web для Android, — это Craig CMP741D, Hisense E920, Kyocera ISW11K, Motorola A1680 и NEC N-07D (всего лишь по одному устройству в мире).

Специалисты компании «Доктор Веб» будут и в дальнейшем информировать пользователей о распространении мобильных угроз.

KMM поделился ссылкой

Обзор вирусной активности в январе 2014 года

4 февраля 2014 года

Первый месяц 2014 года оказался весьма богатым на интересные события в сфере информационной безопасности: так, в январе был обнаружен первый в истории буткит для мобильной операционной системы Android. Специалистами компании «Доктор Веб» осуществляется мониторинг данного ботнета, к которому в общей сложности на конец месяца подключилось более 850 000 инфицированных устройств. Также в январе в вирусные базы «Доктор Веб» были включены записи новых угроз для операционных систем семейства Microsoft Windows.

Вирусная обстановка

Согласно статистическим данным, собранным в январе с использованием лечащей утилиты Dr.Web CureIt!, лидером по числу обнаруженных троянцев стал Trojan.Packed.24524 — установщик рекламных программ и сомнительных приложений, который распространяется злоумышленниками под видом легитимного ПО. Второе и третье место занимают широко известные рекламные троянцы Trojan.LoadMoney.1 и Trojan.InstallMonster.38. Также среди часто встречающихся на компьютерах пользователей угроз следует отметить бэкдор BackDoor.Bulknet.1329 и троянец-майнер Trojan.BtcMine.221, предназначенный для добычи электронных криптовалют. Двадцатка наиболее «популярных» вредоносных программ, обнаруженных на жестких дисках пользовательских ПК лечащей утилитой Dr.Web CureIt! в январе 2014 года, приведена в следующей таблице.

Название	Кол-во	%
Trojan.Packed.24524	50947	4.71
Trojan.LoadMoney.1	35783	3.31
Trojan.InstallMonster.38	19558	1.81
Trojan.Siggen5.64541	17371	1.61
BackDoor.Bulknet.1329	15929	1.47
Trojan.BtcMine.221	14100	1.30
Trojan.Siggen6.685	11673	1.08
Trojan.BPlug.10	10761	0.99
BackDoor.Maxplus.24	10622	0.98
BackDoor.IRC.NgrBot.42	10168	0.94
Trojan.InstallMonster.28	10039	0.93
Trojan.DownLoad.64782	10008	0.93
Trojan.Fraudster.502	9897	0.91
Trojan.Fraudster.524	9739	0.90
Trojan.Hosts.6815	9692	0.90
Trojan.LoadMoney.76	8237	0.76
Trojan.Packed.24814	8189	0.76
Trojan.BPlug.4	7435	0.69
Trojan.DownLoader10.56820	7220	0.67
Trojan.DownLoader10.28709	6971	0.64

Ботнеты

Бот-сеть, созданная злоумышленниками с использованием многокомпонентного файлового вируса Win32.Rmnet.12, обладающего функциями бэкдора и способного похищать пароли от различных прикладных программ, продолжает постепенно расти. Так, в первой из двух контролируемых специалистами «Доктор Веб» подсетей в течение января регистрировалось в среднем 18 000 вновь инфицированных компьютеров в сутки. Динамику данного процесса можно проследить на представленной ниже диаграмме.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в январе 2014 года
(1-я подсеть)

Во второй подсети Win32.Rmnet.12 в текущем месяце наблюдалась почти аналогичная динамика, однако количество ежесуточно подключавшихся к управляющему серверу зараженных компьютеров постепенно снижалось: если в начале месяца оно составляло порядка 20 000 рабочих станций, то в конце января — не более 12 000. Наглядно прирост второй подсети Win32.Rmnet.12 продемонстрирован на следующем графике.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в январе 2014 года
(2-я подсеть)

За истекший месяц почти не изменилось число компьютеров, на которых антивирусное ПО Dr.Web зафиксировало наличие вредоносного модуля, детектируемого как Trojan.Rmnet.19: если в конце декабря оно составляло 2 607 рабочих станций, то на 29 января в этой бот-сети насчитывалось 2 633 инфицированных ПК. Также в течение первого месяца 2014 года сократилось число компьютеров, инфицированных троянцем BackDoor.Dande, — с 1098 до 930. Напомним, что эта вредоносная программа предназначена для хищения информации из автоматизированных систем заказа медикаментов, используемых фармацевтическими компаниями и аптеками.

Число компьютеров, работающих под управлением операционной системы Mac OS X, на которых обнаружено наличие троянской программы BackDoor.Flashback.39, за первые 30 дней 2014 года также практически не изменилось: если в конце декабря 2013 года оно составляло 28 829 инфицированных «маков», то спустя месяц — 28 160. Как и прежде, наибольшее количество случаев заражения — 14 733 — приходится на долю США, за Америкой следуют Канада (5 564 случая), Великобритания (4 120 случаев) и Австралия (1582 случая). На территории России обнаружено всего лишь два инфицированных компьютера под управлением Mac OS X.

Новый рекламный троянец

В январе специалисты компании «Доктор Веб» сообщили о распространении нового рекламного троянца Trojan.Zipvideom.1, использовавшего для заражения компьютеров массовые рассылки сообщений в социальной сети Facebook. Вредоносная программа состоит из нескольких компонентов, один из которых загружает с сайта злоумышленников и устанавливает на компьютере жертвы вредоносные плагины к браузерам Mozilla Firefox и Google Chrome.

Опасность этого троянца заключается в том, что загружаемые им плагины мешают свободному просмотру сайтов, демонстрируя назойливую рекламу, а также имеют возможность скачивать на компьютер жертвы другое нежелательное программное обеспечение. Установлено, что при посещении сайтов популярных социальных сетей (Twitter, Facebook, Google, YouTube, «ВКонтакте») эти плагины загружают Java-скрипты сомнительного назначения. Более подробная информация о данной угрозе представлена в опубликованной на сайте компании «Доктор Веб» обзорной статье.

Угрозы для Android

Для пользователей мобильных устройств под управлением ОС Android январь запомнился прежде всего появлением первого в истории буткита для этой платформы. Обнаруженная специалистами по информационной безопасности вредоносная программа, внесенная в вирусную базу Dr.Web под именем Android.Oldboot.1, размещалась злоумышленниками в загрузочной области файловой системы инфицированных устройств, что позволяло ей не только запускаться на ранней стадии загрузки операционной системы, но также и значительно усложняло ее полное удаление. После активации Android.Oldboot.1 извлекал из себя и помещал в системные каталоги несколько компонентов, устанавливая их как обычные приложения. В дальнейшем эти троянские объекты, детектируемые Антивирусом Dr.Web для Android как Android.Oldboot.2 и Android.Oldboot.1.origin, осуществляют подключение к удаленному серверу и, в соответствии с получаемой в ответ командой, могут выполнять различные вредоносные действия, в том числе загрузку, установку и удаление различных программ.

Согласно полученным вирусными аналитиками компании «Доктор Веб» сведениям, число мобильных устройств, инфицированных Android.Oldboot.1, по состоянию на конец января превысило 826 тысяч, а география распространения буткита представлена рядом стран Европы, Юго-Восточной Азии, а также Северной и Южной Америки. При этом стоит отметить, что большая часть зараженных устройств сосредоточена в Китае, рынок которого является основной целью киберпреступников, создавших данную вредоносную программу.

Страны с наибольшим числом инфицированных устройств

Более подробная информация об этой угрозе содержится в соответствующей публикации, размещенной на сайте компании «Доктор Веб».

Еще одной угрозой для китайских пользователей ОС Android в январе стала вредоносная программа Android.Spy.67.origin, которая распространялась в качестве некоего программного обновления и устанавливалась под видом популярных приложений, создавая несколько соответствующих им ярлыков на главном экране мобильного устройства.

При запуске троянец удалял эти ярлыки и выполнял сбор различной конфиденциальной информации пользователя, среди которой была история СМС-сообщений, журнал вызовов и GPS-координаты. Кроме того, вредоносная программа могла активировать камеру и микрофон мобильного устройства, а также выполняла индексацию имеющихся фотографий, создавая для них файлы-миниатюры. Все полученные данные в дальнейшем загружались на принадлежащий злоумышленникам сервер. Ко всему прочему при наличии root-доступа Android.Spy.67.origin нарушал работу ряда популярных в Китае антивирусных продуктов, удаляя их вирусные базы, а также устанавливал находящуюся внутри него вредоносную программу, которая могла осуществлять скрытую инсталляцию различных приложений. Данная вредоносная программа внесена в вирусную базу под именем Android.RootInst.1.origin.

Также в минувшем месяце был зафиксирован очередной случай появления вредоносного приложения в каталоге Google Play. В частности, троянская программа, внесенная в вирусную базу под именем Android.Click.3.origin, позиционировалась разработчиком как игровое приложение Real Basketball, посвященное баскетбольной тематике, однако на самом деле представляла собой бесполезную пустышку, содержащую нежелательный функционал.

Вопреки ожиданиям пользователей, желавшим получить игру, троянец устанавливался под видом приложения для доступа к каталогу Google Play и при запуске активировал его. Одновременно с этим незаметно для владельцев инфицированных устройств вредоносная программа осуществляла скрытый переход по заданным злоумышленниками URL-адресам, тем самым помогая предприимчивым мошенникам заработать на искусственном увеличении популярности соответствующих веб-сайтов, а также на кликах по рекламным объявлениям. Число загрузок троянца из каталога приложений составило как минимум 10 тысяч, поэтому даже в случае своевременного удаления разочарованными пользователями Android.Click.3.origin мог значительно пополнить бюджет своих создателей.

Кроме того, в январе продолжилось распространение вредоносных Android-приложений среди южнокорейских пользователей. За прошедший месяц специалистами компании «Доктор Веб» было зафиксировано более 140 подобных случаев, что несколько меньше аналогичного показателя декабря 2013 года. Наибольшее распространение в минувшем месяце получили троянцы Android.Backdoor.31.origin (55%), Android.Spy.71 (9%), Android.Spy.45.origin (8%), Android.Spy.47.origin (4%), а также Android.Spy.74 (3%). Примечательно, что среди обнаруженных вредоносных программ зафиксировано большое число новых модификаций, что говорит о высокой заинтересованности киберпреступников в присутствии на мобильном рынке Южной Кореи.

Android-угрозы, распространявшиеся в январе среди южнокорейских пользователей при помощи СМС-спама

Вредоносные файлы, обнаруженные в почтовом трафике в январе

01.01.2014 00:00 - 31.01.2014 23:00
1	Trojan.DownLoad3.28161	0.84%
2	Trojan.DownLoader9.22851	0.78%
3	Trojan.Inject2.23	0.68%
4	Trojan.DownLoad3.31532	0.66%
5	Trojan.DownLoader9.15291	0.64%
6	Trojan.DownLoad3.31401	0.61%
7	Trojan.DownLoad3.30075	0.59%
8	Trojan.DownLoader9.14962	0.50%
9	Trojan.Siggen6.1747	0.48%
10	Trojan.DownLoad.64857	0.40%
11	Trojan.DownLoad3.31541	0.38%
12	Trojan.DownLoader9.15295	0.38%
13	Trojan.Siggen6.5311	0.36%
14	Trojan.DownLoad3.31617	0.36%
15	Trojan.PWS.Panda.4795	0.35%
16	Trojan.DownLoad3.31533	0.30%
17	Trojan.DownLoad3.31534	0.30%
18	Trojan.PWS.Panda.547	0.30%
19	Trojan.Packed.666	0.30%
20	Trojan.DownLoader9.13584	0.29%

Вредоносные файлы, обнаруженные в январе на компьютерах пользователей

01.01.2014 00:00 - 31.01.2014 23:00
1	SCRIPT.Virus	1.00%
2	Adware.Downware.915	0.63%
3	Trojan.Fraudster.524	0.58%
4	Tool.Unwanted.JS.SMSFraud.26	0.57%
5	Trojan.Packed.24524	0.55%
6	Trojan.LoadMoney.1	0.55%
7	Tool.Skymonk.14	0.53%
8	Adware.NextLive.2	0.52%
9	Adware.Downware.179	0.48%
10	Trojan.LoadMoney.15	0.45%
11	Trojan.Fraudster.502	0.41%
12	JS.Redirector.209	0.41%
13	Trojan.InstallMonster.47	0.40%
14	Tool.Skymonk.17	0.39%
15	BackDoor.IRC.NgrBot.42	0.37%
16	Trojan.Packed.24814	0.37%
17	Adware.InstallCore.90	0.36%
18	BackDoor.PHP.Shell.6	0.34%
19	Adware.NextLive.1	0.31%
20	Adware.Downware.1655	0.31%

KMM поделился ссылкой

«Доктор Веб» принял участие в «Инфофоруме-2014»

4 февраля 2014 года

Компания «Доктор Веб» приняла участие в 16-м Национальном форуме информационной безопасности «Инфофорум-2014», проходившем в Москве 30-31 января 2014 года. Это мероприятие было проведено при поддержке Аппарата Правительства РФ, ФСБ России, ФСТЭК России, ФСО России, Роскомнадзора, Министерства обороны РФ и других федеральных министерств и ведомств, а соорганизаторами форума выступили Комитет Госдумы РФ по безопасности и противодействию коррупции, Аппарат Совета Безопасности РФ, Минкомсвязь России, МВД России и НП «ИНФОФОРУМ». От «Доктор Веб» выступил старший аналитик отдела развития компании Вячеслав Медведев.

В рамках форума состоялось пленарное заседание «Информационная безопасность России: новые вызовы, угрозы, решения» и ряд тематических заседаний, круглых столов и панельных дискуссий по актуальным проблемам информационной безопасности.

Были затронуты такие вопросы как несовершенство нынешнего законодательства в области ИБ, создание качественно новой защиты критически важной для обеспечения жизнедеятельности населения инфраструктуры, организация противодействия современным угрозам в рамках межгосударственных объединений и ряд других тем, особо актуальных на сегодняшний день.

Вячеслав Медведев в своем выступлении обратил внимание на необходимость отказа от устаревших стандартов безопасности и призвал к качественно новому подходу к выработке требований к мерам и средствам защиты информации. В его докладе также были затронуты вопросы разрыва между выработкой этих требований и возможностью их реализации.

KMM поделился ссылкой

Оценка стоимости информационных активов

Материал продолжает начатный цикл статей, в который информационную безопасность рассматривается с точки зрения ее экономической составляющей. В данной публикации остановимся на вопросах определения информации как ценного актива компании, а также рассмотрим методику оценки его стоимости. По мнению автора данная методика позволяет наиболее объективно измерить информационные активы, и является связующим звеном между информационной безопасностью, как прикладной сферой деятельности, и её финансово-экономической базой.

подробнее