Это слово можно найти в рекламе dr web
Обновлено: 30.06.2024
В декабре антивирусные продукты Dr.Web для Android обнаружили на 25,34% меньше угроз, чем в ноябре. Согласно статистике обнаружения, количество вредоносных программ уменьшилось на 25,35%, нежелательных программ — на 21%, потенциально опасных программ — на 68,1%, рекламных программ — на 25,01%. Пользователи Android чаще всего сталкивались с рекламными троянами, вредоносными программами, способными выполнять произвольный код, и различными троянами-загрузчиками.
В середине месяца вредоносные аналитики компании «Доктор Веб» обнаружили в Google Play многофункционального троянца. Этот троян, получивший название Android.Joker.477, распространялся как приложение для сбора изображений. Также наблюдались атаки с участием различных банковских троянов, таких как Android.BankBot.684.origin и Android.BankBot.687.origin. В некоторых случаях киберпреступники маскировали их под программное обеспечение, которое якобы помогает пользователям получать государственную финансовую поддержку во время пандемии COVID-19.
ОСНОВНЫЕ ТЕНДЕНЦИИ ДЕКАБРЯ
- Уменьшено количество угроз, обнаруженных на устройствах Android.
- Рекламные трояны и трояны-загрузчики остаются одними из самых активных угроз для Android.
- Киберпреступники продолжают использовать пандемию COVID-19 при организации атак
Согласно статистике Dr.Web для Android
Android.RemoteCode.284.origin Вредоносное приложение, загружающее и выполняющее произвольный код. В зависимости от модификации он может загружать различные веб-сайты, открывать веб-ссылки, нажимать на рекламные баннеры, подписывать пользователей на платные услуги и выполнять другие действия. Android.Triada.510.origin Многофункциональный троян, выполняющий различные вредоносные действия. Это вредоносное ПО относится к семейству троянов, заражающих процессы других приложений. Некоторые модификации этого семейства были обнаружены в прошивках Android-устройств, которые злоумышленники внедрили в процессе производства. Некоторые из них также могут использовать различные уязвимости для получения доступа к защищенным системным файлам и папкам. Android.HiddenAds.1994 Android.HiddenAds.518.origin Троянцы, предназначенные для показа навязчивой рекламы и распространяемые в виде популярных приложений. В некоторых случаях они могут быть установлены в системный каталог другими вредоносными программами. Android.Click.348.origin Вредоносное приложение, которое загружает веб-сайты, нажимает на рекламные баннеры и переходит по ссылкам. Его можно распространять как безобидные программы, не вызывая подозрений у пользователей.
Program.FreeAndroidSpy.1.origin Program.NeoSpy.1.origin Программное обеспечение, которое отслеживает действия пользователей Android и может служить инструментом кибершпионажа. Эти приложения могут отслеживать местоположение устройств, собирать информацию из SMS и сообщений в социальных сетях, копировать документы, фото и видео, следить за телефонными звонками и т. д. Program.FakeAntiVirus.2.origin Имя обнаружения для рекламных программ, имитирующих антивирусное ПО. Эти приложения информируют пользователей о несуществующих угрозах, вводят их в заблуждение и требуют приобрести полную версию программного обеспечения. Program.CreditSpy.2 Детектирующее имя для программ, предназначенных для присвоения кредитных рейтингов пользователям на основе их личных данных. Эти приложения загружают SMS, контактную информацию из телефонных книг, историю звонков и другую информацию на удаленный сервер. Program.KeyLogger.2.origin Android-приложение, позволяющее записывать нажатия клавиш. Эта программа сама по себе не является вредоносной, но может использоваться для слежки за пользователями и кражи их конфиденциальной информации.
Tool.Obfuscapk.1 Имя обнаружения для приложений, защищенных средством запутывания Obfuscapk. Этот инструмент используется для автоматического изменения и скремблирования исходного кода приложений Android, чтобы затруднить обратный инжиниринг. Киберпреступники используют этот инструмент для защиты вредоносных приложений от обнаружения антивирусными программами. Tool.SilentInstaller.14.origin Tool.SilentInstaller.6.origin Tool.SilentInstaller.13.origin Tool.SilentInstaller.8.origin Платформы потенциально опасного ПО, которые позволяют приложениям запускать файлы APK без установки. Они создают виртуальную среду выполнения, которая не влияет на основную операционную систему.
Программные модули, встроенные в приложения Android и предназначенные для показа назойливой рекламы на устройствах Android. В зависимости от их семейства и модификаций они могут отображать полноэкранную рекламу и блокировать окна других приложений, показывать различные уведомления, создавать ярлыки и загружать веб-сайты.
- Adware.SspSdk.1.origin.36.origin.6547
- Рекламное ПО.Myteam.2.origin
- Adware.Overlay.1.origin
Угрозы в Google Play
В декабре вредоносные аналитики компании «Доктор Веб» обнаружили в Google Play еще одного троянца. Получивший название Android.Joker.477, он представлял собой не что иное, как новую модификацию семейства троянов Android.Joker. Это вредоносное ПО распространялось как приложение для сбора стоковых изображений. Но на самом деле он подписывал пользователей на премиум-услуги, а также загружал и выполнял произвольный код.
Банковские трояны
Банкеры Android.BankBot.684.origin и Android.BankBot.687.origin были среди угроз, распространенных в прошлом месяце.Новые модификации этих троянов, обнаруженные специалистами «Доктор Веб», были нацелены на пользователей из Турции. Это вредоносное ПО распространялось через поддельные веб-сайты, где потенциальные жертвы якобы могли получить государственную финансовую поддержку для борьбы с пандемией COVID-19. Чтобы получить деньги, пользователям предлагалось загрузить и установить специальное программное обеспечение, которое, в свою очередь, являлось вредоносным ПО.
После установки банкиры запросили доступ к функциям службы специальных возможностей, чтобы получить дополнительные привилегии. Затем они скрыли свои значки из списка приложений в меню главного экрана и выполнили свою основную вредоносную программу. Банкиры пытались украсть конфиденциальную информацию через фишинговые окна, которые отображались поверх окон приложений, перехватывали SMS, могли блокировать экран и выполняли другие вредоносные действия.
В январе антивирусные продукты Dr.Web для Android обнаружили на защищаемых устройствах на 11,32 % меньше угроз по сравнению с декабрем 2020 г. Количество обнаруженных вредоносных программ уменьшилось на 11,5 %, а рекламного ПО — на 15,93 %. При этом количество обнаруженных нежелательных приложений и потенциально опасного ПО увеличилось на 11,66% и 7,26% соответственно. Согласно собранной статистике, наиболее распространенными угрозами для пользователей были рекламные трояны и вредоносные программы, предназначенные для загрузки другого программного обеспечения и выполнения произвольного кода.
В течение января аналитики вредоносного ПО компании «Доктор Веб» обнаружили большое количество угроз в Google Play. Среди них были многочисленные модификации рекламных модулей Adware.NewDich, встроенных в различные приложения. Кроме того, были обнаружены новые трояны семейства Android.FakeApp, предназначенные для загрузки мошеннических веб-сайтов, а также вредоносные приложения семейства Android.Joker, подписывающие пользователей на платные мобильные сервисы и выполняющие произвольный код.
При этом наши специалисты наблюдали новые атаки с участием банковских троянов. Один из них был обнаружен в поддельном банковском приложении, доступном в Google Play, а другие распространялись через вредоносные веб-сайты, созданные киберпреступниками.
ОСНОВНЫЕ ТЕНДЕНЦИИ ЯНВАРЯ
- Уменьшено количество угроз, обнаруженных на устройствах Android.
- Обнаружение большого количества вредоносных программ и нежелательных приложений в Google Play.
Угроза месяца
В начале января вредоносные аналитики компании «Доктор Веб» обнаружили ряд приложений со встроенными рекламными модулями Adware.NewDich, загружающими различные веб-сайты по команде C&C-сервера. Например, они могут загружать как безобидные сайты, так и сайты с рекламой, а также поддельные или мошеннические сайты, используемые для фишинга. Поскольку они загружаются, когда пользователи не взаимодействуют с приложениями, содержащими модули Adware.NewDich, владельцам Android-устройств сложно понять, почему их гаджеты ведут себя странно.
Примеры программного обеспечения, в котором были обнаружены эти рекламные модули, показаны ниже:
Примеры загружаемых веб-сайтов:
Веб-страницы различных реферальных программ, которые перенаправляют пользователей в приложения, размещенные в Google Play, часто загружаются модулями Adware.NewDich. Одним из них было приложение под названием «YBT Exchange», предположительно предназначенное для работы с одной из криптобирж. Однако вредоносные аналитики компании «Доктор Веб» установили, что данное ПО представляет собой не что иное, как новый банковский троян, который был добавлен в вирусную базу как Android.Banker.3684. Его функционал включал в себя захват логинов, паролей и кодов подтверждения. Он также смог перехватить содержимое входящих уведомлений, для которых троянец запрашивал определенные системные разрешения. После нашего обращения в Google этот банкир был удален из магазина приложений для Android.
Аналитики вредоносных программ компании «Доктор Веб» обнаружили, что по крайней мере в 21 приложении были встроены эти рекламные модули. Проведенное исследование показало, что владельцы этих приложений и разработчики Adware.NewDich, вероятно, имеют прямое отношение. Вскоре после того, как эта рекламная сеть привлекла значительное внимание ИТ-сообщества и специалистов по безопасности, ее администраторы запаниковали и начали развертывать обновления программного обеспечения, пытаясь внедрить механизмы, чтобы антивирусное программное обеспечение не обнаруживало это рекламное ПО или просто удаляло модули из приложений. Позже одна из затронутых программ была полностью удалена из Google Play. При этом ничто не мешает тем, кто стоит за Adware.NewDich, в любой момент обновить оставшееся программное обеспечение и повторно внедрить модули, что наши специалисты уже неоднократно наблюдали.
Список приложений, содержащих модули Adware.NewDich:
| Название пакета | Наличие модуля Adware.NewDich | Приложение было удалено из Google Play |
|---|---|---|
| com.qrcodescanner.barcodescanner | Присутствовал в последней актуальной версии 1.75 | Да |
| com.speak.better.correctspelling | Присутствует в соответствующей версии 679.0 | Нет |
| com.correct.spelling. Learn.english | Присутствует в соответствующей версии 50.0 | Нет |
| com.bluetooth.autoconnect.anybtdevices | Присутствует в соответствующей версии 2.5 | Нет |
| com.bluetooth.share.app | Присутствует в соответствующей версии 1.8 | Нет |
| org.strong.booster.cleaner.fixer | Отсутствует в соответствующей версии 5.9 | Нет |
| com.smartwatch.bluetooth.sync.notifications | Отсутствует в соответствующей версии 85.0 | Нет |
| com.blogspot.bidatop.nigeriacurrentaffairs2018 | Присутствует в соответствующей версии 3.2 | Нет |
| com.theantivirus.cleanerandbooster | Отсутствует в соответствующей версии 9.3 | Нет |
| com.clean.booster.optimizer< /td> | Отсутствует в соответствующей версии 9.1 | Нет |
| flashlight.free.light.bright.torch | Отсутствует в соответствующей версии 66.0 | Нет |
| com.meow.animal.translator | Отсутствует в соответствующей версии 1.9 | < td>Нет|
| com.gogamegone.superfileexplorer | Отсутствует в соответствующей версии 2.0 | Нет |
| com.super.battery.full.alarm | Отсутствует в соответствующей версии 2.2 | Нет |
| com.apps.best.notepad.writing | Отсутствует в соответствующей версии 7.7 | Нет |
| ksmart.watch .connecting | Отсутствует в соответствующей версии 32.0 | Нет |
| com.average.heart.rate | Отсутствует в соответствующей версии 7.0 | Нет |
| com.apps.best.alam.clocks | Отсутствует в соответствующей версии 4.7 | Нет |
| com.booster.game.accelerator.top | Отсутствует в соответствующей версии 2.1 | Нет< /td> |
| org.booster.accelerator.optimizer.colorful | Отсутствует в соответствующей версии 61.0 | Нет |
| com.color.game.booster | Отсутствует в соответствующей версии 2.1 | Нет |
- Он встроен в полнофункциональное программное обеспечение, чтобы скрыться от пользователей и не вызывать никаких подозрений.
- Активность развивается с задержкой (до нескольких дней) после установки и запуска приложений хостинга.
- Загрузка продвигаемых веб-сайтов выполняется, когда приложения, содержащие эти модули, закрыты, и пользователи не взаимодействуют с ними или не используют их в течение некоторого времени.
- Злоумышленники постоянно отслеживают, обнаруживает ли антивирусное программное обеспечение модули, и оперативно вносят в них изменения, чтобы выпустить новые версии, противодействующие обнаружению.
Согласно статистике Dr.Web для Android
Android.RemoteCode.284.origin Вредоносное приложение, загружающее и выполняющее произвольный код. В зависимости от модификации он может загружать различные веб-сайты, открывать веб-ссылки, нажимать на рекламные баннеры, подписывать пользователей на платные услуги и выполнять другие действия. Android.HiddenAds.1994 Android.HiddenAds.518.origin Троянцы, предназначенные для показа навязчивой рекламы и распространяемые в виде популярных приложений. В некоторых случаях они могут быть установлены в системный каталог другими вредоносными программами. Android.Triada.510.origin Многофункциональный троян, выполняющий различные вредоносные действия. Это вредоносное ПО относится к семейству троянов, заражающих процессы других приложений. Некоторые модификации этого семейства были обнаружены в прошивках Android-устройств, которые злоумышленники внедрили в процессе производства. Некоторые из них также могут использовать различные уязвимости для получения доступа к защищенным системным файлам и папкам. Android.Click.348.origin Вредоносное приложение, которое загружает веб-сайты, нажимает на рекламные баннеры и переходит по ссылкам. Его можно распространять как безобидные программы, не вызывая подозрений у пользователей.
Program.FreeAndroidSpy.1.origin Program.NeoSpy.1.origin Program.Mrecorder.1.origin Program.Reptilicus.7.origin Программное обеспечение, которое отслеживает действия пользователей Android и может служить инструментом кибершпионажа. Эти приложения могут отслеживать местоположение устройств, собирать информацию из SMS и сообщений в социальных сетях, копировать документы, фото и видео, следить за телефонными звонками и т. д. Program.FakeAntiVirus.2.origin Имя обнаружения для рекламных программ, имитирующих антивирусное ПО. Эти приложения информируют пользователей о несуществующих угрозах, вводят их в заблуждение и требуют приобрести полную версию программного обеспечения. Program.CreditSpy.2 Детектирующее имя для программ, предназначенных для присвоения кредитных рейтингов пользователям на основе их личных данных. Эти приложения загружают SMS, контактную информацию из телефонных книг, историю звонков и другую информацию на удаленный сервер.
Tool.SilentInstaller.6.origin Tool.SilentInstaller.7.origin Tool.SilentInstaller.13.origin Tool.SilentInstaller.14.origin Платформы потенциально опасного ПО, которые позволяют приложениям запускать файлы APK без установки. Они создают виртуальную среду выполнения, которая не влияет на основную операционную систему. Tool.Obfuscapk.1 Имя обнаружения для приложений, защищенных средством запутывания Obfuscapk. Этот инструмент используется для автоматического изменения и скремблирования исходного кода приложений Android, чтобы затруднить обратный инжиниринг.Киберпреступники используют этот инструмент для защиты вредоносных приложений от обнаружения антивирусными программами.
Программные модули, встроенные в приложения Android и предназначенные для показа назойливой рекламы на устройствах Android. В зависимости от их семейства и модификаций они могут отображать полноэкранную рекламу и блокировать окна других приложений, показывать различные уведомления, создавать ярлыки и загружать веб-сайты.
Угрозы в Google Play
Помимо приложений со встроенными рекламными модулями Adware.NewDich специалисты компании «Доктор Веб» обнаружили большое количество троянов семейства Android.FakeApp, которые распространялись как справочное ПО и справочники с информацией о возврате налогов и наличии социальные выплаты и другие социальные компенсации. Существовали и другие модификации этих троянцев, замаскированные, например, под программы, предназначенные для поиска информации о лотереях и получения подарков от популярных блогеров.
Подобно другим обнаруженным ранее троянцам этого типа, текущие модификации загружали мошеннические сайты, где потенциальные жертвы информировались о предполагаемых выплатах от государства. Чтобы «получить» деньги, пользователей просили предоставить свои личные данные, а также оплатить время юристов, подготовку документов и налог или сборы за перевод денег на банковский счет. На самом деле жертвы не получили никаких средств, но злоумышленники украли их конфиденциальную информацию и деньги.
Кроме того, в некоторых модификациях этих вредоносных приложений периодически отображались уведомления, в которых пользователи также информировались о доступных «выплатах» и «компенсациях». Таким образом злоумышленники пытались привлечь дополнительное внимание потенциальных жертв, чтобы они чаще посещали мошеннические сайты.
Примеры загрузки сайтов различными модификациями троянов Android.FakeApp:
Примеры мошеннических уведомлений с информацией о «выплатах» и «компенсациях», отображаемых этими вредоносными приложениями:
Кроме того, были обнаружены и другие многофункциональные трояны из семейства Android.Joker — они получили названия Android.Joker.496, Android.Joker.534 и Android.Joker.535. Эти трояны распространялись под видом безобидных приложений, таких как программы-переводчики и программы для редактирования мультимедиа, предназначенные для создания GIF-анимаций. Однако их реальная функциональность заключалась в загрузке и выполнении произвольного кода, а также в перехвате содержимого входящих уведомлений и подписке пользователей на платные услуги.
Новый банковский троян под названием Android.Banker.3679 также оказался среди обнаруженных угроз. Он был распространен как приложение, предназначенное для работы с программой скидок и бонусов Esfera банка Santander для бразильских пользователей. Основными функциями Android.Banker.3679 были фишинг и кража конфиденциальных данных, а его основной целью было банковское приложение Santander Empresas.
При установке и запуске троянец запрашивал доступ к функции Accessibility Service ОС Android — якобы для продолжения работы с приложением. На самом деле ему нужна была запрошенная функциональность для автоматического выполнения вредоносных действий. Если жертва соглашалась предоставить необходимые системные привилегии, банкир получал контроль над зараженным устройством и мог нажимать на различные элементы меню, кнопки, читать содержимое окон других приложений и т. д.
30 апреля 2014 г.
Апрель 2014 года оказался достаточно плодотворным в плане появления новых угроз. В частности, специалисты по безопасности компании «Доктор Веб» обнаружили новый многоцелевой бэкдор, нацеленный на Windows. Также были зарегистрированы многочисленные инциденты, связанные с рекламными расширениями браузера для Mac OS X. Кроме того, в вирусные базы были добавлены различные сигнатуры вредоносных программ для Android.
Вирусы
Согласно статистике, собранной Dr.Web CureIt!, в апреле 2014 года на ПК чаще всего обнаруживался Trojan.Packed.24524, устанавливающий нежелательные и сомнительные приложения на взломанные системы. Как и в предыдущем месяце, программы Trojan.BPlug заняли второе и третье места. Реализованные в виде плагинов для браузера, они рекламируют сомнительные веб-сайты на загруженных веб-страницах. 20 наиболее часто обнаруживаемых Dr.Web CureIt! в апреле 2014 г. перечислены в таблице ниже:
| Имя | Количество | % |
|---|---|---|
| Trojan. Packed.24524 | 82889 | 6.18 |
| Trojan.BPlug.35 | 40183 | 3.00 |
| Trojan.BPlug.28 | 36799 | 2.74 |
| Trojan.InstallMonster.51 | 35536 | 2.65 |
| Trojan.BPlug.17 | 23664 | 1.77 |
| Trojan.InstallMonster.61 | 19183 | 1.43 |
| Trojan.LoadMoney.1 | 13636 | 1.02 |
| Trojan.LoadMoney.15 | 12975 | 0,97 |
| Trojan.Triosir.1 | 12596 | 0,94< /td> |
| Trojan.Siggen5.64541 | 12452 | 0.93 |
| Trojan.DownLoader11.3101 | 12104 | 0,90 |
| Trojan.Wprot.3 | 10228 | 0,76 |
| Trojan.BPlug.48 | 8807 | 0,66 |
| Trojan.Packed.25266 | 8694 | 0,65 | Trojan.Ormes.2 | 8346 | 0.62 |
| Trojan.BPlug.33 | < td>81390,61 | |
| BackDoor.IRC.NgrBot.42 | 8040 | 0,60 |
| BackDoor.Maxplus.24 | 7276 | 0,54 |
| Trojan.BPlug .47 | 7193 | 0,54 |
| Trojan.Packed.24814 | 7098 | < td>0,53
Ботнеты
Ботнет, созданный хакерами с помощью файлового вируса Win32.Rmnet.12, все еще работает. В первой из двух ее подсетей, которые контролируются вирусными аналитиками компании «Доктор Веб», ежедневно к ней подключалось в среднем 165 500 зараженных компьютеров, при этом ежедневно к ботнету присоединялось около 13 000 новых зараженных рабочих станций. На диаграмме ниже показано, как расширилась сеть:
Рост ботнета Win32.Rmnet.12 в апреле 2014 г.
(1-я подсеть)
Во второй подсети Win32.Rmnet.12 ежедневно работало в среднем 270 000 ботов, а каждые 24 часа к сети подключалось около 12 000 новых зараженных ПК. Рост второй подсети Win32.Rmnet.12 можно проследить на следующей диаграмме:
Рост ботнета Win32.Rmnet.12 в апреле 2014 г.
(2-я подсеть)
Количество машин, на которых антивирусное ПО Dr.Web детектировало вредоносный модуль Trojan.Rmnet.19, немного уменьшилось — с 2066 ботов в конце марта до 1866 в последние дни апреля.
Количество компьютеров под управлением Mac OS X, зараженных BackDoor.Flashback.39, также постепенно снижается. За последний месяц количество ботнетов сократилось еще на 30 % — с 25 912 на конец марта до нынешних 18 305 зараженных компьютеров Mac.
Другие угрозы в апреле
В начале апреля компания «Доктор Веб» сообщила об обнаружении многокомпонентного бэкдор-буткита BackDoor.Gootkit.112. Создатели вредоносного ПО для своего мастерства позаимствовали функции буткита у программ семейства Trojan.Mayachok, но злоумышленники внесли существенные изменения в исходный код.
Для обхода UAC и повышения его привилегий в зараженной системе BackDoor.Gootkit.112 использует прокладку (инфраструктуру совместимости приложений Microsoft Windows). В целом схема обхода UAC выглядит следующим образом:
- Троянец создает и устанавливает новую базу данных исправлений (shim);
- Затем он запускает cliconfg.exe с повышенными привилегиями;
- Прокладка выгружает исходный процесс и использует RedirectEXE для запуска троянца.
Троянец может выполнять следующие команды:
Подробный анализ архитектуры, полезной нагрузки и принципов работы троянца BackDoor.Gootkit.112 можно найти в нашем обзоре.
Во второй половине апреля участились жалобы пользователей Mac OS X на надоедливую рекламу, которую они периодически видели на веб-страницах, загружаемых в популярных браузерах. Причиной этой неприятности является несколько расширений браузера, которые устанавливаются в систему вместе с некоторыми законными программами.
Одной из таких программ является Downlite, которую можно загрузить с популярного сайта торрент-трекеров, нажав «Загрузить». В результате пользователь перенаправляется на другой сайт, с которого скачивается установщик Downlite (Антивирус Dr.Web идентифицирует его как Trojan.Downlite.1). Исполняемый файл устанавливает законное приложение DlLite.app и несколько плагинов для браузера. Также установлено приложение dev.Jack, предназначенное для управления Mozilla Firefox, Google Chrome и Safari. Антивирусом Dr.Web детектируется как Trojan.Downlite.2. Кроме того, рекламные плагины связаны с другими приложениями (MacVideoTunes, MediaCenter_XBMC, Popcorn-Time и VideoPlayer_MPlayerX). Итогом всех этих манипуляций является то, что в окнах браузера появляется назойливая реклама следующих типов:
- Подчеркнутые ключевые слова; при наведении курсора мыши на такие слова появляются рекламные всплывающие окна;
- Небольшое окно с кнопкой "Скрыть рекламу" в левом нижнем углу.
- Баннеры на страницах результатов поиска и на популярных сайтах.
Подробнее об этой вредоносной программе можно прочитать в соответствующем обзоре, опубликованном компанией «Доктор Веб» на своем сайте.
Угрозы для портативных компьютеров
Что касается новых вредоносных программ для Android, то апрель не был исключительным — он даже преподнес несколько неприятных сюрпризов. Таким образом, появление новой модификации буткита Android.Oldboot, получившего известность в январе 2014 года, стало крупным событием в сфере безопасности Android. Полезная нагрузка этого обновленного троянца почти не отличается от его предшественника: основная цель программы — скрытая загрузка и установка других приложений. Тем не менее, он также включает в себя несколько новых функций. В частности, при запуске некоторые компоненты буткита удаляют исходные файлы и работают только в памяти устройства. Это может существенно усложнить обнаружение и обезвреживание данной угрозы. Кроме того, чтобы усложнить нейтрализацию обновленного Android.Oldboot, злоумышленники прибегли к обфускации кода некоторых его модулей. Они также улучшили его, добавив возможность удалять ряд антивирусных приложений.
Google Play также не остался незамеченным злоумышленниками: за последний месяц в каталоге появилось несколько троянских приложений для скрытого майнинга биткойнов. Обнаруженные трояны были добавлены в вирусную базу Dr.Web как Android.CoinMine.1. Прикрываясь безобидными «живыми обоями», они начинали свою вредоносную деятельность при условии бездействия зараженного мобильного устройства в течение определенного периода времени.
Как и обнаруженные в марте вредоносные программы, новые троянцы-майнеры могут причинить не только финансовые потери из-за существенного потребления интернет-трафика, но и негативно сказаться на работе самого мобильного устройства.
Dr.Web LiveDisk — это бесплатный инструмент для системных администраторов и пользователей, позволяющий восстанавливать не загружающиеся компьютерные системы Windows.
Эта программа была разработана специально для ситуаций, когда атаки вредоносных программ или лечение приводят к неправильной загрузке устройств Windows.
Программа восстановления системы предлагается в виде ISO-образа, который можно записать на чистый компакт-диск или DVD-диск, а также в виде версии для USB-накопителей.
Последний файл необходимо запустить — это исполняемый файл — чтобы начать процесс установки приложения на подключенный USB-накопитель.
Dr.Web LiveDisk отображает диалоговое окно при выполнении, в котором предлагается выбрать один из подключенных съемных дисков для создания среды аварийного восстановления системы администратора. Существующие файлы не будут удалены во время процесса, если вы не установите флажок «Форматировать USB-накопитель перед созданием Dr.Web LiveDisk. Обратите внимание, что накопитель должен быть отформатирован в файловой системе Fat32.
Единственная информация, которая может быть перезаписана, — это загрузочная информация. Если вы уже используете выбранный USB-накопитель в качестве загрузочного диска, эта информация будет заменена во время создания новой среды восстановления системы.
ЖивойДиск Dr.Web
После того как вы создали компакт-диск, DVD-диск или флэш-накопитель со средой восстановления, вы можете загрузить компьютер с его помощью.
В зависимости от того, как настроен ПК, вы можете сделать это, просто вставив компакт-диск или DVD-диск в подключенный оптический дисковод или подключив флэш-накопитель USB к порту на устройстве. Если это не сработает, вам нужно сначала изменить приоритет загрузки в BIOS, чтобы установить приоритет устройства, с которого загружается среда.
При загрузке аварийной среды отображаются три параметра. Вместо этого вы можете запустить Dr.Web LiveDisk, выполнить тест памяти или загрузиться с первого жесткого диска. На начальном экране также есть возможность изменить язык.
Опция проверки памяти запускает Memtest86+, LiveDisk — фактическую среду восстановления. На рабочем столе отображаются различные значки, которые можно использовать для восстановления системы.
Он включает в себя три программы Dr.Web — редактор реестра, антивирус и средство обновления Dr.Web — и четыре сторонние программы — Midnight Commander, Mozilla Firefox, Mate Terminal и File Manager — которые вы можете запускать сразу.
Следующий шаг зависит от того, чего вы хотите достичь. Если вы подозреваете, что компьютер был поврежден в результате атаки вредоносного ПО, вы можете запустить антивирусное решение, чтобы тщательно просканировать систему.
Редактор реестра пригодится, если вредоносное ПО изменило важные ключи реестра, так как вы можете исправить их с помощью редактора.
Другие программы также полезны.Firefox для поиска тем в Интернете, файловый коммандер для работы с файлами в системе.
Я предлагаю вам ознакомиться с документацией (PDF) для получения подробных инструкций по функциям сред восстановления.
Совет. Ознакомьтесь со следующими альтернативами среды восстановления:
Заключительные слова
Dr.Web LiveDisk – это бесплатная среда восстановления, предназначенная для восстановления ПК с Windows, если он больше не загружается или заражен вредоносным ПО, и его нельзя загружать до тех пор, пока вредоносное ПО не будет удалено из системы.
Он поставляется с некоторыми дополнительными параметрами тестирования, в первую очередь с тестированием памяти и редактированием реестра, но в нем отсутствуют другие инструменты, которые могут пригодиться администраторам и пользователям при восстановлении системы.
Читайте также: