abit.ee

Dr.Web предупреждает: вирус, отключающий антивирусы и троян, ворующий SMS-ки.


Dr.Wed-antivirus
Компания Dr.Web опубликовала на своем официальном сайте интересную информацию о новых возможностях вредоносных программ -  о вирусе из семейства Win32.Rmnet, который «научился» отключать антивирусное ПО, а также о новом трояне из семейства Android.Pincer, способном перехватывать SMS-сообщения.

Trojan.Rmnet.19 – вирус, отключающий антивирусное ПО.

Trojan.Rmnet.19 – модификация известного зловреда Win32.Rmnet. По данным Dr.Web, этим вирусом заражено уже не менее 18 000 компьютеров. Выделяет Trojan.Rmnet.19 из среды себе подобных способность отключать антивирусные программы, эмулируя нажатия мышью на определенные значки. Целью атаки выбраны такие известные и популярные антивирусы, как Avast, Microsoft Security Essential, Norton Antivisus, Eset NOD32, Bitdefender, AVG. Антивирус Dr.Web успешно справляется с попытками Trojan.Rmnet.19, так как для его выгрузки требуется ввести каптчу, с чем данный вирус пока не справляется.

Trojan.Rmnet.19
Всего Trojan.Rmnet.19 загружает на зараженный компьютер семь различных модулей:

  • новый модуль, позволяющий отключать антивирусные программы;
  • модуль для кражи файлов cookies;
  • локальный FTP-сервер;
  • модуль для выполнения веб-инжектов;
  • модуль для кражи паролей от FTP-клиентов;
  • новый модуль, позволяющий детектировать наличие виртуальных машин;
  • модуль для организации удаленного доступа к инфицированной системе.

По данным лаборатории Dr.Web, основной мишенью для атаки Trojan.Rmnet.19 стали Великобритания и Ирландия.

Android.Pincer.2.origin – троян, перехватывающий SMS-сообщения.

Новый троян из семейства Android.Pincer, Android.Pincer.2.origin представляет довольно серьёзную опасность для владельцев устройств под управлением Android. Эта вредоносная программа способна перехватывать SMS-сообщения и отправлять их на указанный злоумышленниками номер.


Android.Pincer.2.origin-001

Как и предыдущая версия трояна Android.Pincer, Android.Pincer.2.origin при установке маскируется под сертификат. Если неосторожный владелец Android-устройства даст согласие на установку ложного сертификата, то Android.Pincer.2.origin продемонстрирует отчет об успешной установке и «заляжет на дно».


Android.Pincer.2.origin-002

При этом Android.Pincer.2.origin регистрирует системный сервис CheckCommandServices, который позволит трояну загрузиться после очередной перезагрузки системы. Если старт Android.Pincer.2.origin происходит успешно, то на удаленный сервис злоумышленников отправляется следующая информация о зараженном планшете или смартфоне:

  • название модели;
  • серийный номер устройства;
  • IMEI-идентификатор;
  • название используемого оператора связи;
  • номер сотового телефона;
  • язык, использующийся по умолчанию в системе;
  • версия операционной системы;
  • информация о том, имеется ли root-доступ.


Android.Pincer.2.origin-003

После этого троян ждет поступления одной из следующих команд:

  • start_sms_forwarding [номер телефона] — начать перехват сообщений с указанного номера;
  • stop_sms_forwarding — завершить перехват сообщений;
  • send_sms [номер телефона и текст] — отправить СМС с указанными параметрами;
  • simple_execute_ussd — выполнить USSD-запрос;
  • stop_program — прекратить работу;
  • show_message — вывести сообщение на экран мобильного устройства;
  • set_urls — изменить адрес управляющего сервера;
  • ping — отправить СМС с текстом pong на заранее указанный номер;
  • set_sms_number — изменить номер, на который уходит сообщение с текстом pong.

Как утверждают представители компании Dr.Web, одноименный антивирус успешно противостоит как вирусу Trojan.Rmnet.19, так и трояну Android.Pincer.2.origin.

Официальный сайт Dr.Web

Опубликовано в: Программы - БЕЗОПАСНОСТЬ

новое

Рейтинг@Mail.ru