2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как удалить NSIS: NextLive-A — Руководство по удалению Adware

Как удалить NSIS: NextLive-A — Руководство по удалению Adware

NSIS: NextLive-A это известная форма рекламного ПО, разновидность вредоносного программного обеспечения, которое запускается на вашем компьютере для отображения нежелательной рекламы без вашего согласия. NSIS: NextLive-A считается надстройкой для веб-браузера — она ​​устанавливается без вашего ведома в качестве плагина или расширения в вашем браузере.

После установки NSIS: NextLive-A начинает отображать нежелательную рекламу, когда вы просматриваете Интернет с помощью браузера. Этот тип рекламного программного обеспечения не ограничивается показом рекламы, но также может перенаправлять вас на другие вредоносные веб-сайты и постоянно отображать всплывающие рекламные объявления.

Наиболее распространенными способами, с помощью которых NSIS: NextLive-A может войти в ваш браузер, является случайный щелчок по «рекламным ссылкам», установка законного программного обеспечения, поставляемого с этим типом рекламного программного обеспечения, или установка подключаемого модуля или расширения зараженного браузера. NSIS: NextLive-A также может заразить ваш компьютер, если вы откроете вложение электронной почты или загрузите программу, уже зараженную NSIS: NextLive-A.

Как только ваш компьютер заражен NSIS: NextLive-A, он сразу же начнет вести себя злонамеренно. В дополнение к отображению нежелательных рекламных объявлений, NSIS: NextLive-A может попросить вас установить ложные обновления программного обеспечения или предоставить вашу личную и конфиденциальную информацию для сбора.

Кроме того, рекламные программы, такие как NSIS: NextLive-A, также могут изменять настройки вашего браузера. Браузеры, зараженные NSIS: NextLive-A, обычно изменяют свои настройки по умолчанию нежелательным образом. В крайних случаях NSIS: NextLive-A может нанести очень серьезный ущерб вашей системе, манипулируя реестром Windows и настройками безопасности на вашем компьютере.

Скачайте антивирусные сканер способный удалить Adware.Nextlive и (randomname).dll (загрузка начнется немедленно):

  • Удаляет файлы созданные Adware.Nextlive.
  • Удаляет ключи реестра созданные Adware.Nextlive.
  • Устраняет браузерные проблемы.
  • «Утилита для удаления тулбаров» поможет избавиться от нежелательных дополнений.
  • Удаление гарантировано — если Spyhunter Remediation Tool не справляется обратитесь за бесплатной поддержкой.
  • Тех. поддержка в режиме 24/7 включена в предложение.

We noticed that you are on smartphone or tablet now, but you need this solution on your PC. Enter your email below and we’ll automatically send you an email with the downloading link for Adware.Nextlive Removal Tool, so you can use it when you are back to your PC.

2 апреля 2014 года

В течение первого весеннего месяца специалисты компании «Доктор Веб» добавили в вирусные базы записи для множества новых угроз. Так, в начале марта был обнаружен троянец, заражающий банкоматы одного из ведущих зарубежных производителей, а в середине месяца компания сообщила о распространении вредоносной программы, взламывающей Wi-Fi-роутеры. Также в марте было выявлено большое количество неизвестных ранее троянцев для мобильной платформы Google Android.

Вирусная обстановка

Согласно данным, собранным в марте 2014 года с использованием лечащей утилиты Dr.Web CureIt!, наиболее частым «гостем» на компьютерах пользователей, как и в предыдущем месяце, стал установщик рекламных и сомнительных приложений Trojan.Packed.24524. На втором и третьем местах расположились рекламные троянцы Trojan.InstallMonster.51 и Trojan.LoadMoney.15, лишь немного им уступает еще одна рекламная вредоносная программа — Trojan.LoadMoney.1. Также среди выявленных угроз присутствует несколько модификаций троянцев семейства Trojan.BPlug — под этим названием скрываются надстройки (плагины) для браузеров, встраивающие в просматриваемые веб-страницы рекламу или «продвигающие» различные мошеннические ресурсы. Двадцатка троянцев, наиболее часто детектируемых в течение марта лечащей утилитой Dr.Web CureIt!, представлена в таблице ниже:

НазваниеКол-во%
Trojan.Packed.24524686406.50
Trojan.InstallMonster.51214152.03
Trojan.LoadMoney.15184051.74
Trojan.LoadMoney.1164501.56
Trojan.Siggen5.64541163951.55
Trojan.InstallMonster.61150761.43
Trojan.Triosir.1142571.35
Trojan.DownLoader11.3101125101.18
Trojan.BPlug.28116641.10
Trojan.Packed.2481486460.82
Trojan.Fraudster.52483180.79
Trojan.BPlug.1082890.79
BackDoor.IRC.NgrBot.4280360.76
BackDoor.Maxplus.2479120.75
Trojan.BPlug.1778140.74
Trojan.InstallMonster.3878020.74
Trojan.Hosts.681572480.69
Trojan.MulDrop5.1007869240.66
Trojan.StartPage.5996468890.65
Trojan.Triosir.262370.59

Ботнеты

Продолжается постепенный рост бот-сети, состоящей из работающих под управлением Microsoft Windows персональных компьютеров, инфицированных файловым вирусом Win32.Rmnet.12. В марте средняя численность первой из двух подсетей этого ботнета, мониторинг которых осуществляют специалисты компании «Доктор Веб», составила в среднем 244 430 зараженных рабочих станций. Рост второй подсети в марте несколько замедлился: ее средняя численность за истекший месяц составила 157 343 инфицированных компьютеров. Несколько снизилось и количество машин, на которых антивирусное ПО Dr.Web обнаруживало вредоносный модуль Trojan.Rmnet.19: в конце марта таковых насчитывалось 2 066, что на 457 ПК меньше по сравнению с показателями прошлого месяца.

Узкоспециализированный ботнет BackDoor.Dande, с помощью которого злоумышленники похищают информацию о закупке медикаментов на компьютерах аптек и фармацевтических компаний, в марте сократился еще на 5,5% — к концу месяца его численность составила 968 зараженных машин.

В то же время количество инфицированных троянцем BackDoor.Flashback.39 компьютеров, работающих под управлением операционной системы Mac OS X, продолжает колебаться: в марте средняя численность данного ботнета составила 25 912 «маков», при этом все обращавшиеся к командному серверу в течение минувшего месяца компьютеры уже были инфицированы ранее.

Другие угрозы марта

В начале месяца специалисты компании «Доктор Веб» сообщили об обнаружении вредоносной программы Trojan.Skimer.19, представляющей угрозу для банкоматов одного из зарубежных производителей.

Заразив операционную систему банкомата, Trojan.Skimer.19 перехватывает нажатия клавиш EPP (Encrypted Pin Pad) в ожидании специальной комбинации, с использованием которой троянец активируется и может выполнить введенную злоумышленником на клавиатуре команду. Среди выполняемых команд можно перечислить следующие:

  • сохранить лог-файлы на чип карты, расшифровать PIN-коды;
  • удалить троянскую библиотеку, файлы журналов, «вылечить» файл-носитель, перезагрузить систему (злоумышленники дважды отдают команду инфицированному банкомату, второй раз – не позднее 10 секунд после первого);
  • вывести на дисплей банкомата окно со сводной статистикой: количество выполненных транзакций, уникальных карт, перехваченных ключей и т. д.;

  • уничтожить все файлы журналов;
  • перезагрузить систему;
  • обновить файл троянца, считав исполняемый файл с чипа карты.
  • Более подробную информацию о Trojan.Skimer.19 можно почерпнуть из опубликованной на сайте компании «Доктор Веб» обзорной статьи.

    Также в марте сотрудниками вирусной лаборатории «Доктор Веб» был проанализирован троянец Trojan.Rbrute, предназначенный для взлома паролей Wi-Fi-роутеров методом перебора (brute force), а также подмены адресов DNS-серверов в настройках этих устройств. Троянец способен выполнять две команды: сканирование сети по заданному диапазону IP-адресов и перебор паролей по словарю, при этом перечисленные команды не взаимосвязаны и могут выполняться троянцем по отдельности.

    В настоящее время злоумышленники используют эту троянскую программу для распространения файлового вируса Win32.Sector. Ознакомиться с особенностями работы и распространения данной угрозы можно в опубликованном нами информационном материале.

    How to remove NextLive.A PUP from your computer:

    Step 1. Stop and clean malicious running processes.

    1. Download and save » RogueKiller » utility on your computer’* (e.g. your Desktop).

    Notice*: Download version x86 or X64 according to your operating system’s version. To find your operating system’s version, «Right Click» on your computer icon, choose «Properties» and look at «System Type» section.

    Читать еще:  Openal что это за программа

    2. Double Click to run RogueKiller.

    3. Let the prescan to complete and then press on «Scan» button to perform a full scan.

    • C:UsersAdminAppDataRoamingnewnext.menengine.dll [-] -> rundll32.exe

    3. When the full scan is completed, navigate to all tabs to select and «Delete» all malicious items found.

    • HKCUSoftwareMicrosoftWindowsCurrentVersionRun C:UsersAdminAppDataRoamingnewnext.menengine.dll
    • HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem > DisableTaskMangr
    • HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem > DisableRegistryTools

    4. Close Rogue Killer and continue to the next step.

    Step 2. Uninstall unwanted software from your computer.

    1. To do this, go to:

    • Windows 8/7/Vista: Start > Control Panel.
    • Windows XP: Start >Settings >Control Panel

    2. Double click to open

    • Add or Remove Programs if you have Windows XP
    • Programs and Features if you have Windows 8, 7 or Vista.

    3. In the program list, find and Remove (Uninstall) these applications :

    • GoforFiles
    • Software Version Updater
    • * Uninstall any other unknown application.

    Step 3: Clean Adware & Unwanted Browser Toolbars.

    1. Download and save “AdwCleaner” utility to your desktop.

    2. Close all open programs and Double Click to open ”AdwCleaner” from your desktop.

    3. Press “Scan”.

    4. When the scan is completed, press “Clean” to remove all the unwanted malicious entries.

    4. Press “OK” at “AdwCleaner – Information” and press “OK” again to restart your computer.

    5. When your computer restarts, close «AdwCleaner» information (readme) window and continue to the next step.

    Step 4. Delete “NextLive.A” hidden files

    Notice: You must enable the hidden files view to perform this task:

    1. Navigate to the following path & delete the following folders if they exist.

    • C:Users AppDataRoamingnewnext.me

    Step 5. Clean your computer from remaining malicious threats.

    Download and install one of the most reliable FREE anti malware programs today to clean your computer from remaining malicious threats. If you want to stay constantly protected from malware threats, existing and future ones, we recommend that you install Malwarebytes Anti-Malware PRO:

    1. Run «Malwarebytes Anti-Malware» and allow the program to update to it’s latest version and malicious database if needed.

    2. When the «Malwarebytes Anti-Malware» main window appears on your screen, choose the «Perform quick scan» option and then press «Scan» button and let the program scan your system for threats.

    3. When the scanning is completed, press “OK” to close the information message and then press the «Show results» button to view and remove the malicious threats found.

    4. At the «Show Results» window check – using your mouse’s left button- all the infected objects and then choose the «Remove Selected» option and let the program remove the selected threats.

    5. When the removal of infected objects process is complete, «Restart your system to remove all active threats properly»

    6. Continue to the next step.

    Step 6. Clean unwanted files and entries.

    Use “CCleaner” program and proceed to clean your system from temporary internet files and invalid registry entries.*

    *If you don’t know how to install and use “CCleaner”, read these instructions.

    Реакция на живое действие

    С Диснея Король Лев собрали меньше положительного внимания со стороны фанатов и критиков, можно только удивляться, как Bambi будет получен, особенно потому, что он будет анимирован подобным образом. По совпадению, Король ЛевАнимация была главной точкой критики для многих, поскольку животные казались бесчувственными и невыразительными.

    В таких историях, как Король Лев и BambiЭмоции — это основа хорошего рассказывания историй. Таким образом, без CGI, который может позволить животным выглядеть реалистично и в то же время демонстрировать полный спектр эмоций, маловероятно, что Bambi будет успешным с критиками или аудиторией либо.

    Бэмби | LMPC через Getty Images

    Обзор вирусной активности в январе 2014 года

    4 февраля 2014 года

    Первый месяц 2014 года оказался весьма богатым на интересные события в сфере информационной безопасности: так, в январе был обнаружен первый в истории буткит для мобильной операционной системы Android. Специалистами компании «Доктор Веб» осуществляется мониторинг данного ботнета, к которому в общей сложности на конец месяца подключилось более 850 000 инфицированных устройств. Также в январе в вирусные базы «Доктор Веб» были включены записи новых угроз для операционных систем семейства Microsoft Windows.

    Вирусная обстановка

    Согласно статистическим данным, собранным в январе с использованием лечащей утилиты Dr.Web CureIt!, лидером по числу обнаруженных троянцев стал Trojan.Packed.24524 — установщик рекламных программ и сомнительных приложений, который распространяется злоумышленниками под видом легитимного ПО. Второе и третье место занимают широко известные рекламные троянцы Trojan.LoadMoney.1 и Trojan.InstallMonster.38. Также среди часто встречающихся на компьютерах пользователей угроз следует отметить бэкдор BackDoor.Bulknet.1329 и троянец-майнер Trojan.BtcMine.221, предназначенный для добычи электронных криптовалют. Двадцатка наиболее «популярных» вредоносных программ, обнаруженных на жестких дисках пользовательских ПК лечащей утилитой Dr.Web CureIt! в январе 2014 года, приведена в следующей таблице.

    НазваниеКол-во%
    Trojan.Packed.24524509474.71
    Trojan.LoadMoney.1357833.31
    Trojan.InstallMonster.38195581.81
    Trojan.Siggen5.64541173711.61
    BackDoor.Bulknet.1329159291.47
    Trojan.BtcMine.221141001.30
    Trojan.Siggen6.685116731.08
    Trojan.BPlug.10107610.99
    BackDoor.Maxplus.24106220.98
    BackDoor.IRC.NgrBot.42101680.94
    Trojan.InstallMonster.28100390.93
    Trojan.DownLoad.64782100080.93
    Trojan.Fraudster.50298970.91
    Trojan.Fraudster.52497390.90
    Trojan.Hosts.681596920.90
    Trojan.LoadMoney.7682370.76
    Trojan.Packed.2481481890.76
    Trojan.BPlug.474350.69
    Trojan.DownLoader10.5682072200.67
    Trojan.DownLoader10.2870969710.64

    Ботнеты

    Бот-сеть, созданная злоумышленниками с использованием многокомпонентного файлового вируса Win32.Rmnet.12, обладающего функциями бэкдора и способного похищать пароли от различных прикладных программ, продолжает постепенно расти. Так, в первой из двух контролируемых специалистами «Доктор Веб» подсетей в течение января регистрировалось в среднем 18 000 вновь инфицированных компьютеров в сутки. Динамику данного процесса можно проследить на представленной ниже диаграмме.

    Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в январе 2014 года
    (1-я подсеть)

    Во второй подсети Win32.Rmnet.12 в текущем месяце наблюдалась почти аналогичная динамика, однако количество ежесуточно подключавшихся к управляющему серверу зараженных компьютеров постепенно снижалось: если в начале месяца оно составляло порядка 20 000 рабочих станций, то в конце января — не более 12 000. Наглядно прирост второй подсети Win32.Rmnet.12 продемонстрирован на следующем графике.

    Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в январе 2014 года
    (2-я подсеть)

    За истекший месяц почти не изменилось число компьютеров, на которых антивирусное ПО Dr.Web зафиксировало наличие вредоносного модуля, детектируемого как Trojan.Rmnet.19: если в конце декабря оно составляло 2 607 рабочих станций, то на 29 января в этой бот-сети насчитывалось 2 633 инфицированных ПК. Также в течение первого месяца 2014 года сократилось число компьютеров, инфицированных троянцем BackDoor.Dande, — с 1098 до 930. Напомним, что эта вредоносная программа предназначена для хищения информации из автоматизированных систем заказа медикаментов, используемых фармацевтическими компаниями и аптеками.

    Число компьютеров, работающих под управлением операционной системы Mac OS X, на которых обнаружено наличие троянской программы BackDoor.Flashback.39, за первые 30 дней 2014 года также практически не изменилось: если в конце декабря 2013 года оно составляло 28 829 инфицированных «маков», то спустя месяц — 28 160. Как и прежде, наибольшее количество случаев заражения — 14 733 — приходится на долю США, за Америкой следуют Канада (5 564 случая), Великобритания (4 120 случаев) и Австралия (1582 случая). На территории России обнаружено всего лишь два инфицированных компьютера под управлением Mac OS X.

    Читать еще:  Subtab что это за программа

    Новый рекламный троянец

    В январе специалисты компании «Доктор Веб» сообщили о распространении нового рекламного троянца Trojan.Zipvideom.1, использовавшего для заражения компьютеров массовые рассылки сообщений в социальной сети Facebook. Вредоносная программа состоит из нескольких компонентов, один из которых загружает с сайта злоумышленников и устанавливает на компьютере жертвы вредоносные плагины к браузерам Mozilla Firefox и Google Chrome.

    Опасность этого троянца заключается в том, что загружаемые им плагины мешают свободному просмотру сайтов, демонстрируя назойливую рекламу, а также имеют возможность скачивать на компьютер жертвы другое нежелательное программное обеспечение. Установлено, что при посещении сайтов популярных социальных сетей (Twitter, Facebook, Google, YouTube, «ВКонтакте») эти плагины загружают Java-скрипты сомнительного назначения. Более подробная информация о данной угрозе представлена в опубликованной на сайте компании «Доктор Веб» обзорной статье.

    Угрозы для Android

    Для пользователей мобильных устройств под управлением ОС Android январь запомнился прежде всего появлением первого в истории буткита для этой платформы. Обнаруженная специалистами по информационной безопасности вредоносная программа, внесенная в вирусную базу Dr.Web под именем Android.Oldboot.1, размещалась злоумышленниками в загрузочной области файловой системы инфицированных устройств, что позволяло ей не только запускаться на ранней стадии загрузки операционной системы, но также и значительно усложняло ее полное удаление. После активации Android.Oldboot.1 извлекал из себя и помещал в системные каталоги несколько компонентов, устанавливая их как обычные приложения. В дальнейшем эти троянские объекты, детектируемые Антивирусом Dr.Web для Android как Android.Oldboot.2 и Android.Oldboot.1.origin, осуществляют подключение к удаленному серверу и, в соответствии с получаемой в ответ командой, могут выполнять различные вредоносные действия, в том числе загрузку, установку и удаление различных программ.

    Согласно полученным вирусными аналитиками компании «Доктор Веб» сведениям, число мобильных устройств, инфицированных Android.Oldboot.1, по состоянию на конец января превысило 826 тысяч, а география распространения буткита представлена рядом стран Европы, Юго-Восточной Азии, а также Северной и Южной Америки. При этом стоит отметить, что большая часть зараженных устройств сосредоточена в Китае, рынок которого является основной целью киберпреступников, создавших данную вредоносную программу.

    Страны с наибольшим числом инфицированных устройств

    Более подробная информация об этой угрозе содержится в соответствующей публикации, размещенной на сайте компании «Доктор Веб».

    Еще одной угрозой для китайских пользователей ОС Android в январе стала вредоносная программа Android.Spy.67.origin, которая распространялась в качестве некоего программного обновления и устанавливалась под видом популярных приложений, создавая несколько соответствующих им ярлыков на главном экране мобильного устройства.

    При запуске троянец удалял эти ярлыки и выполнял сбор различной конфиденциальной информации пользователя, среди которой была история СМС-сообщений, журнал вызовов и GPS-координаты. Кроме того, вредоносная программа могла активировать камеру и микрофон мобильного устройства, а также выполняла индексацию имеющихся фотографий, создавая для них файлы-миниатюры. Все полученные данные в дальнейшем загружались на принадлежащий злоумышленникам сервер. Ко всему прочему при наличии root-доступа Android.Spy.67.origin нарушал работу ряда популярных в Китае антивирусных продуктов, удаляя их вирусные базы, а также устанавливал находящуюся внутри него вредоносную программу, которая могла осуществлять скрытую инсталляцию различных приложений. Данная вредоносная программа внесена в вирусную базу под именем Android.RootInst.1.origin.

    Также в минувшем месяце был зафиксирован очередной случай появления вредоносного приложения в каталоге Google Play. В частности, троянская программа, внесенная в вирусную базу под именем Android.Click.3.origin, позиционировалась разработчиком как игровое приложение Real Basketball, посвященное баскетбольной тематике, однако на самом деле представляла собой бесполезную пустышку, содержащую нежелательный функционал.

    Вопреки ожиданиям пользователей, желавшим получить игру, троянец устанавливался под видом приложения для доступа к каталогу Google Play и при запуске активировал его. Одновременно с этим незаметно для владельцев инфицированных устройств вредоносная программа осуществляла скрытый переход по заданным злоумышленниками URL-адресам, тем самым помогая предприимчивым мошенникам заработать на искусственном увеличении популярности соответствующих веб-сайтов, а также на кликах по рекламным объявлениям. Число загрузок троянца из каталога приложений составило как минимум 10 тысяч, поэтому даже в случае своевременного удаления разочарованными пользователями Android.Click.3.origin мог значительно пополнить бюджет своих создателей.

    Кроме того, в январе продолжилось распространение вредоносных Android-приложений среди южнокорейских пользователей. За прошедший месяц специалистами компании «Доктор Веб» было зафиксировано более 140 подобных случаев, что несколько меньше аналогичного показателя декабря 2013 года. Наибольшее распространение в минувшем месяце получили троянцы Android.Backdoor.31.origin (55%), Android.Spy.71 (9%), Android.Spy.45.origin (8%), Android.Spy.47.origin (4%), а также Android.Spy.74 (3%). Примечательно, что среди обнаруженных вредоносных программ зафиксировано большое число новых модификаций, что говорит о высокой заинтересованности киберпреступников в присутствии на мобильном рынке Южной Кореи.

    Android-угрозы, распространявшиеся в январе среди южнокорейских пользователей при помощи СМС-спама

    2 июля 2014 года

    С точки зрения информационной безопасности первый месяц лета оказался весьма насыщенным различными событиями: в отпуск вирусописатели уходить явно не собираются. Одной из наиболее важных тенденций июня стало распространение большого количества троянцев-блокировщиков, а также шифровальщиков для мобильной платформы Google Android. Помимо этого, в начале месяца специалисты компании «Доктор Веб» обнаружили нового троянца для ОС Linux, а в конце июня было выявлено несколько массовых рассылок вредоносных программ от имени различных известных компаний, в том числе производителей антивирусного ПО.

    Вирусная обстановка

    Согласно статистическим данным, полученным с использованием лечащей утилиты Dr.Web CureIt!, в июне 2014 года чаще всего на компьютерах пользователей обнаруживался Trojan.BPlug.78 — вредоносная надстройка для браузеров, демонстрирующая назойливую рекламу при просмотре веб-страниц. На втором месте располагается установщик нежелательных приложений Trojan.Packed.24524, на третьем — еще одна разновидность рекламного плагина, Trojan.BPlug.48. Двадцатка наиболее «популярных» вредоносных программ, обнаруженных на компьютерах пользователей с помощью лечащей утилиты Dr.Web CureIt! в июне 2014 года, приведена в следующей таблице:

    НазваниеКол-во%
    Trojan.BPlug.78856151.90
    Trojan.Packed.24524748691.66
    Trojan.BPlug.48574201.27
    Trojan.BPlug.47490081.09
    Trojan.BPlug.79384060.85
    Trojan.BPlug.28379480.84
    Trojan.MulDrop5.10078363460.81
    Trojan.PWS.Panda.5661335750.75
    Trojan.InstallMonster.209262120.58
    Trojan.BPlug.91258090.57
    Trojan.Admess.4249100.55
    Trojan.BPlug.46227640.51
    Trojan.DownLoader11.3101224380.50
    Trojan.Click3.8365223080.50
    Trojan.LoadMoney.262201170.45
    Trojan.InstallMonster.51174680.39
    Trojan.Popupads.15167340.37
    Trojan.Tofsee«>Trojan.Tofsee»> Trojan.Tofsee143100.32
    Trojan.BPlug.61137580.31
    Trojan.Zadved.5135750.30

    Ботнеты

    По-прежнему фиксируется активность ботнета, состоящего из компьютеров, инфицированных файловым вирусом Win32.Rmnet.12. Как и в прошлом месяце, ежесуточная активность одной из двух контролируемых специалистами компании «Доктор Веб» подсетей ботнета Win32.Rmnet.12 составляет в среднем 165 000 обращений зараженных компьютеров к управляющему серверу. Диаграмма активности этой подсети представлена на следующем графике:

    Активность ботнета Win32.Rmnet.12 в июне 2014 года
    (1-я подсеть)

    Во второй подсети к управляющему серверу в среднем обращалось порядка 270 000 инфицированных рабочих станций ежесуточно, что несколько выше показателей прошлого месяца.

    По-прежнему активна бот-сеть, созданная злоумышленниками с использованием вредоносного модуля Trojan.Rmnet.19 — на следующей диаграмме представлено среднесуточное количество зараженных этим модулем ПК, обращавшихся в течение месяца к управляющим серверам.

    Среднесуточная активность ботнета Trojan.Rmnet.19

    Продолжает действовать крупнейшая на сегодняшний день бот-сеть, состоящая из Apple-совместимых компьютеров, работающих под управлением операционной системы Mac OS X и зараженных троянской программой BackDoor.Flashback.39. В июне среднее число инфицированных «маков» снизилось еще примерно на 1 000 и составило 14 216. График активности данного ботнета представлен на следующей диаграмме:

    Читать еще:  Hohobnd что это за программа

    Среднесуточная активность ботнета BackDoor.Flashback.39

    Специалисты компании «Доктор Веб» продолжают следить за крупным ботнетом, созданным злоумышленниками с использованием файлового вируса Win32.Sector. Назначение этой угрозы — загрузка из P2P-сети различных вредоносных программ и их запуск на инфицированном компьютере. За минувший месяц активность данной бот-сети ничуть не снизилась, при этом распространение вируса продолжается прежними темпами. Ниже представлен график активности бот-сети Win32.Sector в июне 2014 года:

    Среднесуточная активность ботнета Win32.Sector

    Другие угрозы июня

    Количество вредоносных программ для ОС Linux, обнаруженных специалистами компании «Доктор Веб», продолжает расти. Так, в июне в вирусные базы была добавлена запись для троянца Linux.BackDoor.Gates.5, предназначенного для организации DDoS-атак и реализующего функции классического бэкдора. Троянец ориентирован на 32-разрядные дистрибутивы Linux, в процессе своей работы он собирает и передает злоумышленникам информацию об инфицированном компьютере, включая сведения о количестве ядер процессора, его скорости, параметрах использования, объеме памяти, данные о сетевых интерфейсах и MAC-адресе сетевых устройств и др. Вредоносная программа запускается на инфицированном компьютере как демон, устанавливает соединение с управляющим сервером и получает от него данные для выполнения задания. По команде злоумышленников троянец способен осуществить автообновление, начать или прервать DDoS-атаку на удаленный узел с заданным IP-адресом и портом или установить соединение для выполнения других команд с удаленным узлом, имеющим заданный IP-адрес. Более подробно об архитектуре и принципах работы Linux.BackDoor.Gates.5 рассказано в опубликованной нами обзорной статье.

    Еще одна вредоносная программа, исследованная специалистами компании «Доктор Веб» в начале июня 2014 года, получила название BackDoor.Zetbo.1, и, судя по ряду характерных признаков, ее авторами являются турецкие вирусописатели. Основное назначение этого троянца — выполнение на инфицированном компьютере различных команд, поступающих от управляющего сервера (адрес которого «зашит» в теле самого бота), в том числе команд на обновление, удаление файлов, проверку наличия на диске собственных компонентов, завершение работы системы. Троянец способен передавать злоумышленникам различную информацию о зараженной машине. Примечателен способ получения бэкдором управляющей информации от командного сервера: BackDoor.Zetbo.1 ищет размещенную на нем злоумышленниками специальную веб-страницу, на которой расположено несколько кнопок, анализируя HTML-код которых, троянец определяет необходимые для своей работы конфигурационные данные.

    Более детальные сведения об этой угрозе представлены в информационном материале, размещенном в новостном разделе сайта компании «Доктор Веб».

    Во второй половине июня вирусные аналитики компании «Доктор Веб» завершили исследование сложного многокомпонентного троянца Trojan.Tofsee и обнаружили среди заложенных в него вирусописателями функциональных возможностей одну весьма любопытную особенность. Главная цель, с которой создавался Trojan.Tofsee, — это рассылка спама, однако помимо этого он может выполнять и иные задачи, например, защищать инфицированный компьютер от других вредоносных программ. Один из модулей троянца позволяет ему выполнять поиск файлов на диске и запущенных в Windows процессов, удаляя обнаруженные объекты по списку. Таким образом Trojan.Tofsee борется на зараженной машине с «конкурентами».

    Распространяется эта вредоносная программа несколькими различными способами, например, посредством съемных носителей информации, а также через социальные сети Twitter, Facebook, «ВКонтакте» и через программу Skype. Trojan.Tofsee отсылает потенциальным жертвам сообщения о якобы опубликованном в сети компрометирующем контенте, для просмотра которого требуется установить специальный плагин — под видом этого приложения и распространяется данная угроза.

    Обладает Trojan.Tofsee и иными любопытными особенностями – например, формирует сообщения для последующей массовой рассылки с помощью специального макроязыка, что является весьма редким явлением в мире вредоносного ПО. Подробную информацию об архитектуре и принципах действия данной угрозы читайте в нашем информационном обзоре.

    Вредоносные рассылки

    Во второй половине июня заметно повысилась активность злоумышленников, осуществляющих массовые рассылки вредоносных программ по электронной почте. Так, 26 июня мы сообщали о рассылке киберпреступниками почтовых сообщений от имени нескольких производителей антивирусного ПО, в том числе и компании «Доктор Веб»: с помощью этих писем распространялся опасный троянец BAT.encoder. А уже 27 июня вирусописатели организовали новую массовую рассылку, уже от имени известной интернет-компании Amazon.

    К письму прилагался ZIP-архив, в котором содержался троянец-загрузчик BackDoor.Tishop.122, способный скачивать с принадлежащих злоумышленникам серверов и устанавливать на инфицированном компьютере другие вредоносные приложения. Об этом инциденте мы также рассказывали в одном из своих новостных материалов. Компания «Доктор Веб» призывает пользователей проявлять бдительность и не открывать вложения в сообщениях электронной почты, полученных от незнакомых отправителей.

    Угрозы для ОС Android

    Одним из главных событий последних недель в сфере безопасности мобильных устройств по праву можно считать появление разнообразных блокировщиков и троянцев-энкодеров семейства Android.Locker, работающих в среде ОС Android. Впервые подобные вредоносные приложения зафиксированы специалистами компании «Доктор Веб» еще в минувшем мае, когда были обнаружены троянцы Android.Locker.1.origin и чрезвычайно опасный Android.Locker.2.origin. Последний, запускаясь на заражаемом мобильном устройстве, зашифровывал хранящиеся на карте памяти файлы с расширениями .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, и .3gp, после чего блокировал экран сообщением с требованием оплаты их восстановления.

    Однако именно первый летний месяц был отмечен массовым появлением Android- блокировщиков семейства Android.Locker: в июне специалистами компании «Доктор Веб» было выявлено сразу пять вредоносных приложений, блокирующих работу мобильных устройств и во многих случаях требующих выкуп за снятие установленных ограничений. Например, ориентированные на американских пользователей вредоносные программы Android.Locker.6.origin и Android.Locker.7.origin распространялись под видом проигрывателя Adobe Flash и после запуска блокировали экран мобильного устройства якобы из-за обнаружения незаконного контента, вымогая у жертвы $200 за разблокировку.

    Помимо этого, они похищали данные из адресной книги пользователя (включая имена контактов, номера телефонов и адреса email), отслеживали входящие и исходящие вызовы и при необходимости их блокировали. Кроме того, в момент своей установки Android.Locker.6.origin и Android.Locker.7.origin проверяли наличие на инфицированном устройстве следующих приложений, принадлежащих различным кредитным и финансовым организациям:

    • com.usaa.mobile.android.usaa;
    • com.citi.citimobile;
    • com.americanexpress.android.acctsvcs.us;
    • com.wf.wellsfargomobile;
    • com.tablet.bofa;
    • com.infonow.bofa;
    • com.tdbank;
    • com.chase.sig.android;
    • com.bbt.androidapp.activity;
    • com.regions.mobbanking.

    Вся собранная информация, в том числе о телефонных звонках и об успешно обнаруженных программах, передавалась на управляющий сервер.

    Другой троянец, добавленный в вирусную базу под именем Android.Locker.5.origin, предназначался для китайских пользователей и после своего запуска блокировал мобильное устройство, демонстрируя на его экране сообщение о том, что данное приложение позволит заблокированному телефону «немного отдохнуть». При этом в нижней части окна располагался таймер, отсчитывающий 24 часа, — по истечении этого времени мобильное устройство должно было автоматически разблокироваться. Таким образом, в отличие от большинства известных на данный момент Android-блокировщиков, Android.Locker.5.origin не требовал какой-либо оплаты за восстановление работоспособности зараженного смартфона или планшета и был создан, судя по всему, ради шутки. Тем не менее, троянец препятствовал нормальному использованию устройства и не позволял выполнять на нем никаких действий, что в определенных случаях могло дорого стоить пострадавшим пользователям.

    Наблюдаемая тенденция увеличения числа разнообразных Android-блокировщиков и вымогателей, а также заметная уже сейчас широкая география их потенциального распространения позволяет сделать вывод о том, что в ближайшем будущем число таких вредоносных приложений будет только расти. При этом не использующие современное антивирусное ПО владельцы мобильных устройств рискуют столкнуться не только с относительно безобидной блокировкой, но также и с более опасной потерей важных данных и своих финансов.

    Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector