Новости

• ESET: прикормить и поймать

  Раскрыта кампания кибершпионажа на Украине

  ESET обнаружила таргетированную кампанию кибершпионажа на Украине. О ней рассказал Антон Черепанов, вирусный аналитик ESET, на международном форуме Positive Hack Days.

  18.05.2016
• ESET превышает скорость на мировом рынке

  Пока рынок снижает рост до 3,7% в 2015 году

  16.05.2016
• ESET NOD32 на защите культурного наследия

  ESET продолжает сотрудничество с Российской национальной библиотекой. Антивирусную защиту учреждения обеспечивает корпоративный продукт ESET NOD32 Antivirus Business Edition.

  12.05.2016
• ESET гарантирует защиту от спама

  Функция «Антиспам» продуктов ESET NOD32 заняла первое место в сравнительных тестах независимых лабораторий Virus Bulletin и AV-Comparatives, исследующих программы для безопасности.

  10.05.2016
• ESET: мошенники охотятся за Apple ID

  Вирусная лаборатория ESET предупреждает о новой атаке на пользователей Apple.

  04.05.2016
• Интернет без угроз и ограничений

  ООО «Ростелеком – Розничные системы» и ESET защитят интернет-пользователей

  28.04.2016
• ESET защищает национальные энергетические проекты

  ESET остается на защите информационной сети ООО «Велесстрой». В компании используется решение ESET NOD32 Antivirus Business Edition.

  27.04.2016
• ESET: мошенники предлагают видеозвонки в WhatsApp

  Вирусная лаборатория ESET проанализировала новую схему мошенничества в WhatsApp. Пользователям мессенджера предлагают активировать функцию видеозвонков.

  25.04.2016
• ГК «Мортон» доверяет защиту ESET NOD32

  ESET продолжает сотрудничество с Группой компаний «Мортон». Крупнейший застройщик столичного региона продлевает лицензии корпоративного решения ESET NOD32 Antivirus Business Edition.

  22.04.2016
• МТС защитит гаджеты с помощью ESET NOD32

  ESET выпустила специальную версию мобильного антивируса ESET NOD32 Mobile Security для розничной сети МТС.

  20.04.2016
• Безопасный контент и сеть без угроз: Интернет Контроль Сервер с Ka ...

  С принятием закона о защите детей от нежелательной информации в Интернете (N 436-ФЗ) процесс организации доступа в Сеть в учебных учреждениях претерпел значительные изменения

  23.12.2015
• Фишер к нам приходит: «Лаборатория Касперского» предупреждает клие ...

  С приближением новогодних праздников традиционно повышается спрос на услуги доставки, что активно используют в своих целях злоумышленники

  23.12.2015
• Продление лицензий в ОмГТУ — подтверждение надежности антивирусной ...

  22 декабря 2015 года

  Компания «Доктор Веб» сообщает о продлении лицензий на продукты Dr.Web Enterprise Security Suite в Омском государственном техническом университете. Продлевая срок действия комплексной антивирусной защиты университета, вуз в очередной раз доверил безопасность рабочих станций и серверов высококачественному ПО отечественной разработки.

  Учебный процесс и научные разработки ОмГТУ — под надежной антивирусной защитой Dr.Web Enterprise Security Suite.

  Омский государственный технический университет — это современный технический вуз с развитой образовательной, научной и производственной инфраструктурой в области машиностроения, радиоэлектроники, нефтехимии и энергетики. Обеспечение антивирусной защиты от вирусов и интернет-угроз является современным стандартом процесса подготовки высококвалифицированных специалистов; немыслимы без нее и научные разработки, которые традиционно являются желанной целью киберпреступников. ОмГТУ доверил антивирусную безопасность ИТ-инфраструктуры вуза продуктам антивирусного комплекса Dr.Web Enterprise Security Suite и в этом году продлил срок действия лицензий.

  «Мы довольны качеством детектирования и лечения, которое обеспечивает Dr.Web, — комментирует начальник Управления информатизации ОмГТУ, заведующий кафедрой «Комплексная защита информации», кандидат технических наук Павел Ложников. — А поскольку сейчас так много случаев зашифровки файлов, мы считаем очень своевременной возможность укрепить безопасность университетской сети с помощью технологий Превентивной защиты Dr.Web».

  Об ОмГТУ

  Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Омский государственный технический университет» образован в 1942 г. и с первых лет своего существования концентрировал вокруг себя ведущие инженерные и педагогические кадры Сибири. Сегодня ОмГТУ — современный технический вуз, имеющий в своем распоряжении 17 научно-образовательных ресурсных центров, 30 научно-исследовательских лабораторий, 47 малых предприятий, 19 студенческих конструкторских бюро, на базе которых студенты применяют на практике полученные знания и занимаются научными разработками.

  http://omgtu.ru

  22.12.2015
• Все мошенническое просто: «Лаборатория Касперского» рассказывает о ...

  Эксперты «Лаборатории Касперского» в своей практике довольно часто сталкиваются с определенным видом мошенничества, когда злоумышленники предлагают пользователям перевести денежный выигрыш на банковскую карту.

  22.12.2015
• Акция в Softkey: год защиты Dr.Web в подарок!

  21 декабря 2015 года

  Компания «Доктор Веб» и крупнейший интернет-магазин программного обеспечения в России Softkey проводят акцию для покупателей продукта комплексной антивирусной защиты Dr.Web Security Space: с 21 по 25 декабря, приобретая годовую лицензию для обеспечения безопасности двух компьютеров в интернет-магазине Softkey, защиту третьего ПК вы получаете в подарок!

  В течение пяти акционных дней посетители магазина Softkey смогут приобрести Dr.Web Security Space на 1 год для двух компьютеров и получить отличный подарок — годовую лицензию на антивирусную защиту третьего компьютера с помощью новой версии Dr.Web 11.0. Антивирус для мобильных устройств на базе Android, Symbian OS или Windows Mobile, как всегда, предоставляется бесплатно.

  Новая версия Dr.Web 11.0 для Windows открывает новые возможности для еще более надежной защиты от всевозможных угроз: усилен контроль работы всех программ и самой ОС с использованием возможностей современных аппаратных платформ; улучшена защита от атак с использованием уязвимостей «нулевого дня»; появились системы советов, сбора и хранения статистики; значительно ускорена антивирусная проверка. Технологии Превентивной защиты, входящие в состав Dr.Web Security Space, помогут значительно снизить риск заражения ПК троянцами-шифровальщиками.

  При покупке Dr.Web Security Space (1 год / 2 ПК) в Softkey защита третьего ПК — в подарок!

  Торопитесь приобрести продукт комплексной антивирусной защиты Dr.Web Security Space в Softkey на выгодных условиях! В акционные дни годовая защита трех ПК будет стоить 1790 руб. и, таким образом, экономия по сравнению с обычной стоимостью лицензии составит 400 руб.

  Акционные лицензии подходят для продления как электронных, так и коробочных продуктов Dr.Web Security Space и Антивирус Dr.Web. Если при регистрации купленной лицензии вы укажете серийный номер предыдущего продукта или его ключевой файл, срок действия новой лицензии будет увеличен на 150 дней. Если лицензия куплена для продления нескольких лицензий с разными сроками действия, при активации акционного серийного номера необходимо указать серийный номер или ключевой файл только одной вашей лицензии, выбрав ту, срок действия которой заканчивается позже всех других.

  Покупатели, которые воспользуются данным предложением, получат один серийный номер, после регистрации которого сформируется один ключевой файл, а также Dr.Web-ки за его регистрацию в программе лояльности «Я + Dr.Web». Ключевой файл начнет действовать с момента регистрации одновременно для всех компьютеров.

  Участвовать в акции

  Организатор акции — ООО «Доктор Веб».
  Территория действия акции — Российская Федерация.
  Участники акции — покупатели интернет-магазина программного обеспечения Softkey.
  Срок действия акции — 21.12.2015 — 25.12.2015 включительно.
  Цена действительна на время публикации.

  21.12.2015
• «Лаборатория Касперского» представляет решение для защиты индустри ...

  «Лаборатория Касперского» выпустила специализированное решение для защиты критически важных инфраструктур и промышленных объектов

  21.12.2015
• Выгодная покупка Dr.Web в магазинах «1С»

  18 декабря 2015 года

  Компания «Доктор Веб» и фирма «1С» представляют новую совместную акцию: до самого Нового года продукт комплексной защиты Dr.Web Security Space для 2 ПК в магазинах «1С»* можно приобрести по цене защиты 1 компьютера!

  Защита 2 ПК по цене 1: акция для покупателей Dr.Web в магазинах «1С»

  Вплоть до 31 декабря стоимость электронной лицензии Dr.Web Security Space в магазинах «1С» составит всего 1290 рублей, а экономия – 500!

  Участники акции получают отличную возможность защитить сразу два компьютера при помощи новой, 11-й версии Dr.Web Security Space, в состав которой включены самые современные технологии защиты на опережение, позволяющие предотвратить проникновение в систему вредоносных объектов, еще не попавших на анализ в антивирусные лаборатории. К наиболее опасным из них относятся троянцы-шифровальщики, распространение которых на сегодняшний день приобрело колоссальный размах.

  Напомним, что в лицензию Dr.Web Security Space включена защита для мобильных устройств на базе Android, Symbian OS и Windows Mobile – таким образом, участие в акции открывает возможность и для защиты дополнительного смартфона!

  Встречайте Новый год под защитой Dr.Web!

  * Акционные лицензии Dr.Web можно приобрести в розничных магазинах «1С Интерес», а также интернет-магазинах «1С Интерес» и «1С Онлайн».

  18.12.2015
• Обновление сканирующего сервиса в Dr.Web CureIt!

  15 декабря 2015 года

  Компания «Доктор Веб» сообщает об обновлении сканирующего сервиса Dr.Web Scanning Engine (10.0.10.201512140) в лечащей утилите Dr.Web CureIt!. Обновление связано с исправлением выявленной ошибки.

  Была устранена причина возникновения ошибки 1011 при активации серийных номеров продуктов Dr.Web, если до этого в системе запускалась утилита Dr.Web CureIt!.

  Скачать Dr.Web CureIt!

  15.12.2015
• Обновление управляющего сервиса в Dr.Web Katana 1.0

  15 декабря 2015 года

  Компания «Доктор Веб» сообщает об обновлении управляющего сервиса Dr.Web Control Service (11.1.1.12110) в продукте Dr.Web Katana версии 1.0. Обновление связано с исправлением выявленной ошибки.

  Была устранена причина аварийного завершения работы компонента, если в настройках защиты переключатель пункта «Системные службы» установлен в положение «Спрашивать».

  Обновление пройдет для пользователей автоматически.

  15.12.2015
• Банковский троянец Android.ZBot использует «веб-инжекты» для кражи ...

  15 декабря 2015 года

  Крадущие деньги с банковских счетов троянцы в настоящее время представляют серьезную угрозу для владельцев мобильных устройств под управлением ОС Android. Одним из таких вредоносных приложений является банкер Android.ZBot, различные модификации которого атакуют смартфоны и планшеты российских пользователей с февраля текущего года. Данный троянец интересен тем, что может похищать логины, пароли и другую конфиденциальную информацию при помощи показываемых поверх любых приложений мошеннических форм ввода, внешний вид которых генерируется по команде киберпреступников. При этом сами формы «привязываются» к атакуемым программам, создавая иллюзию того, что они настоящие и принадлежат соответствующему ПО. Полученные специалистами компании «Доктор Веб» данные говорят о том, что зараженные Android.ZBot устройства объединяются в бот-сети, при этом число последних в настоящий момент составляет более десятка. Однако не исключено, что со временем их количество будет только расти, т. к. вирусописатели по-прежнему активно распространяют эту вредоносную программу.

  Первая модификация банковского троянца Android.ZBot была обнаружена еще в феврале этого года и получила по классификации Dr.Web имя Android.ZBot.1.origin. Начиная с этого момента вирусные аналитики компании «Доктор Веб» стали пристально следить за активностью данного вредоносного приложения.

  Как и многие другие Android-троянцы, Android.ZBot.1.origin распространяется злоумышленниками под видом безобидной программы (в данном случае – приложения Google Play), которая скачивается на мобильные устройства при посещении мошеннических или взломанных веб-сайтов, либо загружается другим вредоносным ПО. После того как жертва установит и запустит банкер, тот запрашивает у нее доступ к функциям администратора зараженного смартфона или планшета и в случае успеха выводит на экран сообщение об ошибке, предлагая перезагрузить устройство.

   

  Если же пользователь отказывается предоставить троянцу необходимые полномочия, Android.ZBot.1.origin тут же пытается украсть у него подробные сведения о его банковской карте, включая ее номер и срок действия, трехзначный код безопасности CVV, а также имя владельца. Для этого банкер показывает жертве поддельное окно, имитирующее оригинальную форму ввода соответствующей информации настоящего приложения Google Play. Примечательно, что аналогичное окно троянец отображает и после получения требуемых функций администратора, однако лишь через некоторое время после установки на целевом устройстве.

  

  Далее Android.ZBot.1.origin удаляет свой значок с экрана приложений, «прячась» от пользователя, и начинает контролировать системные события, связанные с загрузкой ОС. Тем самым троянец обеспечивает себе автоматический запуск при каждом включении инфицированного устройства. Как только вредоносная программа получает управление, она связывается с удаленным узлом, регистрирует на нем зараженный смартфон или планшет и ожидает дальнейших указаний злоумышленников. В зависимости от полученной директивы сервера банкер выполняет следующие действия:

  • отправляет СМС с заданным текстом на указанный номер;
  • совершает телефонный звонок;
  • отправляет СМС по всем телефонным номерам из книги контактов;
  • перехватывает входящие СМС;
  • получает текущие GPS-координаты;
  • показывает специально сформированное диалоговое окно поверх заданного приложения.

  Например, сразу после того как на управляющем сервере регистрируется новое зараженное устройство, троянец получает команду на проверку состояния банковского баланса пользователя. Если вредоносная программа обнаруживает наличие денег, она автоматически переводит заданную злоумышленниками сумму на подконтрольные им счета. Таким образом, Android.ZBot.1.origin может получить доступ к управлению банковскими счетами владельцев мобильных Android-устройств и незаметно для пользователей похитить деньги при помощи специальных СМС-команд, предусмотренных тем или иным сервисом мобильного банкинга. При этом жертва не будет подозревать о краже, т. к. вредоносная программа перехватывает поступающие от банков сообщения с проверочными кодами транзакций.

  Примечательно, что часть вредоносного функционала Android.ZBot.1.origin (например, отправка СМС-сообщений) реализована вирусописателями в виде отдельной Linux-библиотеки c именем libandroid-v7-support.so, которая хранится внутри программного пакета троянца. Это обеспечивает банкеру защиту от детектирования антивирусами и позволяет ему дольше находиться на зараженных устройствах необнаруженным.

  Однако одна из главных особенностей Android.ZBot.1.origin заключается в его способности похищать логины и пароли для доступа к сервисам мобильного банкинга при помощи поддельных форм ввода, генерируемых по указанию управляющего сервера и предназначенных для создания видимости их принадлежности к тем или иным программам. Данная атака представляет собой классический фишинг, но механизм ее любопытен. Вначале троянец получает от злоумышленников команду, содержащую название целевого приложения, после чего с определенной периодичностью начинает проверять, запущена ли пользователем соответствующая программа. В настоящий момент троянец контролирует запуск следующих приложений:

  • ru.sberbank.ivom
  • ru.sberbank_sbbol
  • ru.raiffeisennews
  • ru.vtb24.mobilebanking.android
  • PSB.Droid
  • com.idamob.tinkoff.android
  • ru.simpls.brs2.mobbank
  • ru.kykyryza
  • com.smpbank.android
  • ru.ftc.faktura.sovkombank
  • hu.eqlsoft.otpdirektru
  • ru.ftc.faktura.sovkombank
  • uk.co.danwms.fcprem
  • ru.sberbankmobile
  • ru.alfabank.mobile.android
  • ru.alfabank.oavdo.amc
  • com.openbank
  • ru.ucb.android
  • com.idamobile.android.hcb
  • com.idamobile.android.ubrr
  • com.NGSE.Ubrir
  • com.citibank.mobile.ru
  • com.ubrir
  • ru.rshb.mbank
  • com.bssys.android.SCB
  • ru.bpc.mobilebank.android
  • ua.privatbank.ap24.old
  • ru.bspb
  • com.svyaznoybank.ui
  • ru.avangard
  • ru.minbank.android
  • ru.letobank.Prometheus
  • rusfinance.mb.client.android
  • com.artofweb.mkb
  • com.compassplus.InternetBankingJava.wscb
  • ru.stepup.MDMmobileBank
  • ru.abr
  • com.intervale.mobilebank.rosbank
  • ru.pkb
  • ru.stepup.vbank
  • ru.vbrr
  • com.idamobile.android.Trust
  • org.bms.khmb
  • ru.tcb.dbo.android
  • ru.beeline.card
  • ru.rocketbank.r2d2

  Как только необходимая программа начинает работу, банкер при помощи функции WebView формирует специальную веб-форму, содержимое которой загружает с удаленного узла.

     

     

  В частности, киберпреступники могут задать размер демонстрируемого окна, его внешний вид, включая заголовок и сопроводительный текст, количество полей для ввода данных, сопутствующие изображения и т. п. При этом выводимая на экран форма «привязывается» к атакуемому приложению: если потенциальная жертва фишинга попытается избавиться от показанного сообщения и вернуться к окну оригинальной программы при помощи аппаратной кнопки «Назад», Android.ZBot.1.origin перенаправит пользователя на главный экран операционной системы, закрыв само приложение. В результате у владельца зараженного мобильного устройства может сложиться впечатление, что увиденный им ранее запрос в действительности принадлежит соответствующей программе, и ему все-таки необходимо ввести требуемую информацию. Как только троянец получает от жертвы ее логин и пароль, эти данные загружаются на удаленный узел, после чего злоумышленники обретают полный контроль над учетными записями мобильного банкинга пользователей и могут управлять их счетами.

  Примечательно, что сами вирусописатели часто позиционируют такие вредоносные функции в качестве веб-инжектов, однако они таковыми не являются, т. к. из-за ограничений ОС Android троянцы не могут встроить посторонний HTML-код в экранные формы атакуемых программ.

  

  На данный момент вирусным аналитикам компании «Доктор Веб» известно о нескольких модификациях вредоносного приложения Android.ZBot.1.origin, которое киберпреступники применяют преимущественно против российских пользователей. В частности, обнаруженная в феврале первая версия троянца до сих пор весьма активна: только в прошедшем ноябре антивирусные продукты Dr.Web для Android зафиксировали банкера на более чем 1100 устройствах. А за весь период наблюдений на Android-смартфонах и планшетах троянец был найден в общей сложности 25 218 раз.

  Другую модификацию вредоносной программы, получившую имя Android.ZBot.2.origin, вирусные аналитики «Доктор Веб» выявили в июне. Эта версия троянца обладает аналогичным Android.ZBot.1.origin функционалом и отличается от своего предшественника лишь тем, что ее код зашифрован, чтобы усложнить обнаружение антивирусами. В ноябре банкер Android.ZBot.2.origin был найден на 6238 смартфонах и планшетах, а с момента внесения его в вирусную базу антивирусное ПО Dr.Web для Android зафиксировало 27 033 случая проникновения троянца на Android-устройства.

  Динамика детектирования вредоносной программы Android.ZBot на Android-смартфонах и планшетах за прошедшие десять месяцев наглядно проиллюстрирована на следующем графике:

  

  При изучении банкера вирусные аналитики «Доктор Веб» выяснили, что все его известные варианты контролируются киберпреступниками через различные управляющие серверы, адрес каждого из которых хранится в специальной базе данных конкретной версии вредоносного приложения. В результате зараженные различными модификациями Android.ZBot.1.origin мобильные устройства «общаются» только со своими удаленными узлами и образуют самостоятельные бот-сети. В общей сложности специалисты «Доктор Веб» зафиксировали более 20 управляющих серверов троянца, при этом как минимум 15 из них по-прежнему продолжают свою работу. В настоящий момент нашим вирусным аналитикам удалось получить доступ к трем подсетям ботнета Android.ZBot.1.origin. Каждая из них состоит из десятков и даже тысяч инфицированных устройств и насчитывает от 140 до более чем 2300 зараженных смартфонов и планшетов.

  Наличие большого числа активных подсетей Android.ZBot.1.origin может говорить о том, что этот банковский троянец представляет собой коммерческий продукт и реализуется вирусописателями через подпольные хакерские площадки, где его приобретают злоумышленники-одиночки или организованные группы киберпреступников. В пользу этого говорит и тот факт, что панель администрирования для бот-сетей, построенных на основе зараженных Android.ZBot.1.origin мобильных устройств, имеет ограниченную лицензию и фактически используется как услуга по подписке. Нельзя исключать и того, что сетевые мошенники не ограничатся атаками на российских пользователей и в скором времени расширят географию применения вредоносного приложения на другие страны, включая Европу и США.

  Компания «Доктор Веб» рекомендует владельцам смартфонов и планшетов под управлением ОС Android использовать для загрузки приложений только проверенные источники ПО и не устанавливать подозрительные программы. Все известные модификации троянца Android.ZBot.1.origin успешно детектируются антивирусными средствами Dr.Web для Android, поэтому для наших пользователей опасности не представляют.

  Подробнее о троянце

  15.12.2015