Adware.Egame.912
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.
По серийному номеру
На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.
По серийному номеру
- Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
- Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.
Как удалить ADW_TOOLBAR — Руководство по удалению Adware
ADW_TOOLBAR это известная форма рекламного ПО, разновидность вредоносного программного обеспечения, которое запускается на вашем компьютере для отображения нежелательной рекламы без вашего согласия. ADW_TOOLBAR считается надстройкой для веб-браузера — она устанавливается без вашего ведома в качестве плагина или расширения в вашем браузере.
После установки ADW_TOOLBAR начинает отображать нежелательную рекламу, когда вы просматриваете Интернет с помощью браузера. Этот тип рекламного программного обеспечения не ограничивается показом рекламы, но также может перенаправлять вас на другие вредоносные веб-сайты и постоянно отображать всплывающие рекламные объявления.
Наиболее распространенные методы, с помощью которых ADW_TOOLBAR может войти в ваш браузер, — это случайное нажатие на «спонсируемые ссылки», установка легального программного обеспечения, поставляемого с этим типом рекламного ПО, или установка зараженного подключаемого модуля или расширения браузера. ADW_TOOLBAR также может заразить ваш компьютер, если вы откроете вложение электронной почты или загрузите программу, уже зараженную ADW_TOOLBAR.
Как только ваш компьютер заражен ADW_TOOLBAR, он сразу же начнет вести себя злонамеренно. В дополнение к отображению нежелательных рекламных объявлений ADW_TOOLBAR может попросить вас установить ложные обновления программного обеспечения или предоставить вашу личную и конфиденциальную информацию для сбора.
Кроме того, рекламные программы, такие как ADW_TOOLBAR, также могут изменять настройки вашего браузера. Браузеры, зараженные ADW_TOOLBAR, часто изменяют свои настройки по умолчанию нежелательным образом. В крайних случаях ADW_TOOLBAR может нанести очень серьезный ущерб вашей системе, манипулируя реестром Windows и настройками безопасности на вашем компьютере.
ADW_TOOLBAR Подробнее
- Название рекламного ПО: ADW_TOOLBAR
- Уровень риска: Низкий
- Дата обнаружения: 16/04/2008
- Длина файла: 50688 байт
- Подтип: рекламное ПО
- Категория: Рекламное
ADW_TOOLBAR псевдонимы
ADW_TOOLBAR также известен под этими псевдонимами:
- Win32 / Toolbar.Babylon.H
- SecurityRisk.Downldr
Что такое Adware?
Adware — это программное приложение, которое отображает рекламные баннеры во время выполнения программы. Объявления предоставляются через всплывающие окна или панели, которые появляются в пользовательском интерфейсе программы. Рекламное программное обеспечение часто создается для компьютеров, но также может быть найдено на мобильных устройствах. Обоснование для рекламного ПО заключается в том, что оно помогает покрыть расходы на разработку программы для разработчика программного обеспечения и сократить или устранить затраты для пользователя.
Рекламное программное обеспечение приносит доход его разработчику, автоматически отображая рекламу в пользовательском интерфейсе программного обеспечения или на экране, который появляется на лице пользователя в процессе установки. Вы также можете открывать новые вкладки, видеть изменения на своей домашней странице, видеть результаты поиска, о которых вы никогда не слышали, или даже перенаправляться на сайт NSFW.
Как ADW_TOOLBAR попал на мой компьютер?
ADW_TOOLBAR иногда интегрируется в бесплатное программное обеспечение (бесплатное программное обеспечение), которое пользователь скачал откуда-то. После установки пользователь может продолжить использование программного обеспечения в рекламных целях или приобрести бесплатную версию программного обеспечения.
Производители программного обеспечения оплачивают показ объявлений при поиске определенного программного обеспечения. Эти объявления приведут вас к загрузке программного обеспечения, которое может даже не установить искомое программное обеспечение, но вы все равно получите рекламное ПО. Итак, хотя вы думаете, что все, что вы получаете, — это приличное бесплатное программное обеспечение, на самом деле вы получаете много рекламы.
Помимо замены рекламы вашей и вывода денег из поисковых систем, рекламное ПО также будет появляться с еще более сомнительными предложениями, например, с просьбой установить «обновление» для Adobe Flash. Все это для чего-то, что покупатель мог бесплатно скачать с нужного сайта. Разработчик бесплатного программного обеспечения не получает никакой части дохода; фактически, их репутация, вероятно, была повреждена.
Каковы симптомы ADW_TOOLBAR?
Если вы подозреваете, что ваш компьютер заражен рекламным ПО, найдите любой из следующих признаков:
- Ваш браузер неожиданно работает медленнее, чем раньше, и / или очень часто вылетает.
- Баннеры и реклама появляются на сайтах, которых у них никогда не было.
- Ваша домашняя страница каким-то образом изменилась, и вы не можете сбросить ее.
- Каждый раз, когда вы хотите посетить веб-сайт, вы будете перенаправлены на другую страницу.
- Вы заметите новые панели инструментов, плагины или расширения в вашем браузере.
- Если вы нажмете где-нибудь на странице, откроется одно или несколько всплывающих окон.
- Ваш компьютер начинает устанавливать нежелательные приложения без вашего разрешения.
Как удалить ADW_TOOLBAR?
Отключиться от интернета
Закройте все открытые окна браузера и приложения (включая электронную почту), затем отключите компьютер от Интернета.
Если вы подключены к Интернету через кабель Ethernet, самый простой способ отсоединения — просто отсоединить кабель от компьютера.
Если вы подключены через Wi-Fi
- При поиске введите «Сетевые подключения» и выберите «Показать сетевые подключения». Определите соединение, которое вы хотите отключить.
- Щелкните правой кнопкой мыши по соединению и выберите «Отключить / Активировать».
- Нажмите кнопку Windows, чтобы запустить интерфейс загрузки, затем введите по беспроводной сети.
- Нажмите Настройки, чтобы отобразить список настроек беспроводной сети.
- Нажмите на Включить или отключить беспроводную связь.
Удалите все вредоносные программы из Windows
На этом этапе мы попытаемся выявить и удалить все вредоносные программы, которые могут быть установлены на вашем компьютере.
- Зайдите в «Программы и функции».
- Найдите вредоносное ПО и удалите его.
- На экране «Программы и компоненты» отображается список всех программ, установленных на вашем ПК. Прокрутите список вниз, пока не найдете вредоносное ПО, затем щелкните по нему, чтобы выделить, затем нажмите кнопку «Удалить», которая появляется на верхней панели инструментов.
- Следуйте инструкциям на экране, чтобы удалить программу.
В следующем окне сообщения подтвердите процесс удаления, нажав Да, затем следуйте инструкциям по удалению программы.
Очистите ADW_TOOLBAR из вашего браузера
Даже если вышеуказанный шаг сработал для вас, есть вероятность, что рекламное ПО уже заразило ваш браузер, и удаление программы не избавит от рекламы. Чтобы очистить браузер, просто перезагрузите его поисковую систему (если она изменилась) и найдите расширения или надстройки, которые вы не можете распознать.
Для сброса поисковой системы:
- Зайдите в настройки браузера и найдите заголовок поиска. Это должно быть в общем разделе.
- В раскрывающемся меню выберите поисковую систему, которую вы хотите очистить (например, Google).
Для поиска расширения или надстройки рекламного ПО я рекомендую использовать сторонний инструмент, который отображает все расширения и плагины всех ваших браузеров в одном окне, включая скрытые.
Использовать антишпионскую программу
Наконец, вам, безусловно, нужно антишпионская программа который работает в фоновом режиме вашего компьютера. Вам нужна программа, которая может обнаруживать и перехватывать шпионское ПО, когда оно пытается проникнуть в ваш компьютер; он также должен уметь сканировать ваш компьютер на наличие шпионского ПО и изолировать его. Обязательно обновляйте свою антишпионскую программу новыми ежедневными или еженедельными «файлами определений», чтобы она работала эффективно. Никогда не стоит оставлять свой компьютер незащищенным и открытым для шпионского или рекламного ПО.
Как удалить Adware.Toolbar — Руководство по удалению Adware
Adware.Toolbar это известная форма рекламного ПО, разновидность вредоносного программного обеспечения, которое запускается на вашем компьютере для отображения нежелательной рекламы без вашего согласия. Adware.Toolbar считается надстройкой для веб-браузера — она устанавливается без вашего ведома в качестве плагина или расширения в вашем браузере.
После установки Adware.Toolbar начинает отображать нежелательную рекламу, когда вы просматриваете Интернет с помощью браузера. Этот тип рекламного программного обеспечения не ограничивается показом рекламы, но также может перенаправлять вас на другие вредоносные веб-сайты и постоянно отображать всплывающие рекламные объявления.
Наиболее распространенные методы, с помощью которых Adware.Toolbar может войти в ваш браузер, — это случайное нажатие на «спонсорские ссылки», установка законного программного обеспечения, поставляемого с этим типом рекламного ПО, или установка зараженного подключаемого модуля или расширения браузера. Adware.Toolbar также может заразить ваш компьютер, если вы откроете вложение электронной почты или загрузите программу, уже зараженную Adware.Toolbar.
Как только ваш компьютер заражен Adware.Toolbar, он сразу же начнет вести себя злонамеренно. В дополнение к отображению нежелательных рекламных объявлений Adware.Toolbar может попросить вас установить ложные обновления программного обеспечения или предоставить вашу личную и конфиденциальную информацию для сбора.
Кроме того, рекламные программы, такие как Adware.Toolbar, также могут изменять настройки вашего браузера. Браузеры, зараженные Adware.Toolbar, часто изменяют свои настройки по умолчанию нежелательным образом. В крайних случаях Adware.Toolbar может нанести очень серьезный ущерб вашей системе, манипулируя реестром Windows и настройками безопасности на вашем компьютере.
Adware.Toolbar Подробнее
- Название рекламного ПО: Adware.Toolbar
- Уровень риска: Medium
- Длина файла: неизвестный
- Подтип: рекламное ПО
- Категория: Рекламное
Что такое Adware?
Adware — это программное приложение, которое отображает рекламные баннеры во время выполнения программы. Объявления предоставляются через всплывающие окна или панели, которые появляются в пользовательском интерфейсе программы. Рекламное программное обеспечение часто создается для компьютеров, но также может быть найдено на мобильных устройствах. Обоснование для рекламного ПО заключается в том, что оно помогает покрыть расходы на разработку программы для разработчика программного обеспечения и сократить или устранить затраты для пользователя.
Рекламное программное обеспечение приносит доход его разработчику, автоматически отображая рекламу в пользовательском интерфейсе программного обеспечения или на экране, который появляется на лице пользователя в процессе установки. Вы также можете открывать новые вкладки, видеть изменения на своей домашней странице, видеть результаты поиска, о которых вы никогда не слышали, или даже перенаправляться на сайт NSFW.
Как Adware.Toolbar попал на мой компьютер?
Adware.Toolbar иногда интегрируется в бесплатное программное обеспечение (бесплатное программное обеспечение), которое пользователь скачал откуда-то. После установки пользователь может продолжить использование программного обеспечения в рекламных целях или приобрести бесплатную версию программного обеспечения.
Производители программного обеспечения оплачивают показ объявлений при поиске определенного программного обеспечения. Эти объявления приведут вас к загрузке программного обеспечения, которое может даже не установить искомое программное обеспечение, но вы все равно получите рекламное ПО. Итак, хотя вы думаете, что все, что вы получаете, — это приличное бесплатное программное обеспечение, на самом деле вы получаете много рекламы.
Помимо замены рекламы вашей и вывода денег из поисковых систем, рекламное ПО также будет появляться с еще более сомнительными предложениями, например, с просьбой установить «обновление» для Adobe Flash. Все это для чего-то, что покупатель мог бесплатно скачать с нужного сайта. Разработчик бесплатного программного обеспечения не получает никакой части дохода; фактически, их репутация, вероятно, была повреждена.
Каковы симптомы Adware.Toolbar?
Если вы подозреваете, что ваш компьютер заражен рекламным ПО, найдите любой из следующих признаков:
- Ваш браузер неожиданно работает медленнее, чем раньше, и / или очень часто вылетает.
- Баннеры и реклама появляются на сайтах, которых у них никогда не было.
- Ваша домашняя страница каким-то образом изменилась, и вы не можете сбросить ее.
- Каждый раз, когда вы хотите посетить веб-сайт, вы будете перенаправлены на другую страницу.
- Вы заметите новые панели инструментов, плагины или расширения в вашем браузере.
- Если вы нажмете где-нибудь на странице, откроется одно или несколько всплывающих окон.
- Ваш компьютер начинает устанавливать нежелательные приложения без вашего разрешения.
Как удалить Adware.Toolbar?
Отключиться от интернета
Закройте все открытые окна браузера и приложения (включая электронную почту), затем отключите компьютер от Интернета.
Если вы подключены к Интернету через кабель Ethernet, самый простой способ отсоединения — просто отсоединить кабель от компьютера.
Если вы подключены через Wi-Fi
- При поиске введите «Сетевые подключения» и выберите «Показать сетевые подключения». Определите соединение, которое вы хотите отключить.
- Щелкните правой кнопкой мыши по соединению и выберите «Отключить / Активировать».
- Нажмите кнопку Windows, чтобы запустить интерфейс загрузки, затем введите по беспроводной сети.
- Нажмите Настройки, чтобы отобразить список настроек беспроводной сети.
- Нажмите на Включить или отключить беспроводную связь.
Удалите все вредоносные программы из Windows
На этом этапе мы попытаемся выявить и удалить все вредоносные программы, которые могут быть установлены на вашем компьютере.
- Зайдите в «Программы и функции».
- Найдите вредоносное ПО и удалите его.
- На экране «Программы и компоненты» отображается список всех программ, установленных на вашем ПК. Прокрутите список вниз, пока не найдете вредоносное ПО, затем щелкните по нему, чтобы выделить, затем нажмите кнопку «Удалить», которая появляется на верхней панели инструментов.
- Следуйте инструкциям на экране, чтобы удалить программу.
В следующем окне сообщения подтвердите процесс удаления, нажав Да, затем следуйте инструкциям по удалению программы.
Очистите Adware.Toolbar из вашего браузера
Даже если вышеуказанный шаг сработал для вас, есть вероятность, что рекламное ПО уже заразило ваш браузер, и удаление программы не избавит от рекламы. Чтобы очистить браузер, просто перезагрузите его поисковую систему (если она изменилась) и найдите расширения или надстройки, которые вы не можете распознать.
Для сброса поисковой системы:
- Зайдите в настройки браузера и найдите заголовок поиска. Это должно быть в общем разделе.
- В раскрывающемся меню выберите поисковую систему, которую вы хотите очистить (например, Google).
Для поиска расширения или надстройки рекламного ПО я рекомендую использовать сторонний инструмент, который отображает все расширения и плагины всех ваших браузеров в одном окне, включая скрытые.
Использовать антишпионскую программу
Наконец, вам, безусловно, нужно антишпионская программа который работает в фоновом режиме вашего компьютера. Вам нужна программа, которая может обнаруживать и перехватывать шпионское ПО, когда оно пытается проникнуть в ваш компьютер; он также должен уметь сканировать ваш компьютер на наличие шпионского ПО и изолировать его. Обязательно обновляйте свою антишпионскую программу новыми ежедневными или еженедельными «файлами определений», чтобы она работала эффективно. Никогда не стоит оставлять свой компьютер незащищенным и открытым для шпионского или рекламного ПО.
Adware toolbar 912 что это
Следуйте за нашими новостями в удобном для вас формате
Удобные для вас новости
- Все
- О продуктах Dr.Web
- Об обновлениях
- О Dr.Web AV-Desk
- Об акциях
- Новости обучения
- Новости сообщества
- Корпоративные новости
- Политика конфиденциальности
- Политика проведения акций
- Подписка
- Ежемесячные обзоры
- Горячая лента угроз
- «Наживка»
- О вирусах
- О мобильных угрозах
- Информеры для веб-сайтов
- RSS-каналы
- Подписка
- Контакты для прессы
- Пресс-кит
- Галерея
Обзор вирусной активности в апреле 2014 года
30 апреля 2014 года Апрель 2014 года оказался достаточно урожайным с точки зрения появления новых угроз: так, в начале месяца специалистами компании «Доктор Веб» был обнаружен новый многофункциональный бэкдор, угрожавший пользователям Windows, а в середине апреля была зафиксирована очередная таргетированная атака на российские фармацевтические компании и аптеки. Помимо этого, были выявлены многочисленные случаи распространения надстроек для браузеров, созданных с целью демонстрации навязчивой рекламы пользователям Mac OS X. Также в вирусные базы было добавлено множество новых угроз для мобильной платформы Google Android.
Вирусная обстановка
Согласно статистической информации, собранной с использованием лечащей утилиты Dr.Web CureIt!, в апреле 2014 года на компьютерах пользователей наиболее часто встречался установщик нежелательных и сомнительных приложений Trojan.Packed.24524. На втором и третьем местах (как и в прошлом месяце) расположились уже хорошо знакомые пользователям антивирусных продуктов компании «Доктор Веб» троянцы семейства Trojan.BPlug — эти вредоносные программы представляют собой надстройки (плагины) для браузеров, встраивающие в просматриваемые веб-страницы рекламу всевозможных сомнительных сайтов. Двадцать угроз, наиболее часто обнаруживаемых лечащей утилитой Dr.Web CureIt! в апреле 2014 года, перечислены в таблице ниже:
| Название | Кол-во | % |
|---|---|---|
| Trojan.Packed.24524 | 82889 | 6.18 |
| Trojan.BPlug.35 | 40183 | 3.00 |
| Trojan.BPlug.28 | 36799 | 2.74 |
| Trojan.InstallMonster.51 | 35536 | 2.65 |
| Trojan.BPlug.17 | 23664 | 1.77 |
| Trojan.InstallMonster.61 | 19183 | 1.43 |
| Trojan.LoadMoney.1 | 13636 | 1.02 |
| Trojan.LoadMoney.15 | 12975 | 0.97 |
| Trojan.Triosir.1 | 12596 | 0.94 |
| Trojan.Siggen5.64541 | 12452 | 0.93 |
| Trojan.DownLoader11.3101 | 12104 | 0.90 |
| Trojan.Wprot.3 | 10228 | 0.76 |
| Trojan.BPlug.48 | 8807 | 0.66 |
| Trojan.Packed.25266 | 8694 | 0.65 |
| Trojan.Ormes.2 | 8346 | 0.62 |
| Trojan.BPlug.33 | 8139 | 0.61 |
| BackDoor.IRC.NgrBot.42 | 8040 | 0.60 |
| BackDoor.Maxplus.24 | 7276 | 0.54 |
| Trojan.BPlug.47 | 7193 | 0.54 |
| Trojan.Packed.24814 | 7098 | 0.53 |
Ботнеты
Бот-сеть, созданная злоумышленниками с использованием файлового вируса Win32.Rmnet.12, продолжает функционировать: в первой из двух подсетей, мониторинг которых осуществляют вирусные аналитики компании «Доктор Веб», среднесуточная активность составляет порядка 165 500 подключений инфицированных компьютеров, при этом в среднем к сети ежедневно обращалось около 13 000 вновь зараженных рабочих станций. Динамику данного процесса можно проследить на представленной ниже диаграмме: Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в апреле 2014 года
(1-я подсеть) 
Во второй подсети Win32.Rmnet.12 в среднем ежесуточно наблюдается активность 270 000 ботов, при этом ежедневно к ботнету подключается порядка 12 000 вновь инфицированных ПК. Динамика прироста второй подсети ботнета Win32.Rmnet.12 представлена на следующей диаграмме: Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в апреле 2014 года
(2-я подсеть) 
Немного снизилось число компьютеров, на которых антивирусные продукты Dr.Web фиксируют наличие вредоносного модуля Trojan.Rmnet.19: с 2 066 в конце марта до 1 866 в последних числах апреля. А вот распространение вредоносной программы BackDoor.Dande.2, о появлении которой мы недавно сообщали в одном из новостных материалов, к концу апреля существенно замедлилось. Всего на сегодняшний день в данной бот-сети зарегистрировалось 718 инфицированных компьютеров, из них наибольшее число — 616 — в период с 1 по 5 апреля. При этом, согласно имеющейся в распоряжении компании «Доктор Веб» статистике, у многих троянцев, обращающихся к бот-сети BackDoor.Dande.2, совпадают IP-адреса, что свидетельствует о факте заражения сразу нескольких компьютеров ряда предприятий, подключенных к одной локальной сети с общим выходом в Интернет. Складывается ощущение, что такие компании посетил какой-то «компьютерный мастер», установив троянскую программу сразу на все принадлежащие фирме рабочие станции. Наибольшее число инфицированных IP-адресов — 229 — территориально относится к Ростову-на-Дону и Ростовской области, довольно много случаев заражения (46 IP-адресов) принадлежат Московскому региону, также активность ботнета зафиксирована в Новосибирске, Екатеринбурге, Минеральных Водах, Владикавказе и некоторых других городах России. 
Продолжает понемногу снижаться число работающих под управлением Mac OS X компьютеров, инфицированных троянской программой BackDoor.Flashback.39. За минувший месяц численность этого ботнета сократилась еще на 30%: с 25 912 в конце марта до текущих показателей в 18 305 инфицированных «маков».
Другие угрозы апреля
В начале месяца специалисты компании «Доктор Веб» сообщили об обнаружении многокомпонентного бэкдора-буткита, добавленного в вирусные базы под именем BackDoor.Gootkit.112. Функционал буткита (троянца-загрузчика) для своей поделки вирусописатели позаимствовали у вредоносных программ семейства Trojan.Mayachok, однако злоумышленники все-таки внесли в исходный код ряд существенных изменений. Для повышения своих привилегий в инфицированной системе BackDoor.Gootkit.112 использует оригинальную методику обхода защиты учетных записей (User Accounts Control, UAC). В целом алгоритм обхода UAC выглядит следующим образом:
- троянец создает и устанавливает новую базу данных;
- запускается утилита cliconfg.exe, которая стартует в системе с повышенными привилегиями;
- механизм shim выгружает оригинальный процесс и с использованием RedirectEXE запускает троянца.
Троянец позволяет выполнять следующие команды:
- перехват http-трафика;
- выполнение инжектов;
- блокировка определенных URL;
- создание снимков экрана;
- получение списка запущенных в системе процессов;
- получение списка локальных пользователей и групп;
- выгрузка заданных процессов;
- выполнение консольных команд;
- запуск исполняемых файлов;
- автообновление троянца
и некоторые другие.
Подробный анализ архитектуры, полезной нагрузки и принципов действия троянца BackDoor.Gootkit.112 вы можете найти в нашей обзорной статье.
В середине месяца специалисты компании «Доктор Веб» выявили таргетированную атаку на российские фармацевтические компании, от которой в общей сложности пострадало как минимум 400 аптек, значительная часть которых расположена в Ростовской области. Для реализации своих целей злоумышленники использовали троянскую программу BackDoor.Dande.2, предназначенную для хищения информации из системы электронного заказа медикаментов «АИАС ИНПРО-ФармРынок» производства компании «Информационные Технологии». Троянец извлекает из программы-клиента файл со сведениями о заказах лекарств и актуальных закупочных ценах, формирует архив, устанавливает для него пароль и отправляет к себе на сервер. Подробное исследование троянца BackDoor.Dande.2 компания «Доктор Веб» представила в соответствующей статье.
Во второй половине месяца участились жалобы пользователей операционной системы Mac OS X на назойливую рекламу, которую они периодически наблюдают при просмотре веб-страниц в наиболее популярных для этой платформы браузерах. Причиной данного явления стали многочисленные надстройки (плагины), которые устанавливаются в систему вместе с несколькими легитимными приложениями.
Так, одна из упомянутых программ носит наименование Downlite и распространяется с сайта популярного торрент-трекера: нажав на кнопку Download, пользователь перенаправляется на другой интернет-ресурс, с которого загружается установщик Downlite (Антивирус Dr.Web идентифицирует его как Trojan.Downlite.1), который обладает любопытной особенностью: он устанавливает легитимное приложение DlLite.app и несколько надстроек к браузеру. Также в систему устанавливается приложение dev.Jack, предназначенное для контроля над браузерами Mozilla Firefox, Google Chrome, Safari и детектируемое антивирусным ПО Dr.Web как Trojan.Downlite.2. Кроме того, рекламные плагины распространяются вместе с другими приложениями (MacVideoTunes, MediaCenter_XBMC, Popcorn-Time, VideoPlayer_MPlayerX). Результатом всех этих манипуляций является появление в окне браузера навязчивой рекламы следующих типов:
- подчеркнутые ключевые слова, при наведении на которые курсора появляется всплывающее окошко с рекламой;
- небольшое окошко в левом нижнем углу с кнопкой Hide Ad;
- появление баннеров на страницах поисковых систем и на отдельных популярных сайтах.
Более подробную информацию об этом инциденте можно получить, ознакомившись с опубликованным на сайте компании «Доктор Веб» информационным материалом.
Угрозы для мобильных устройств
Апрель, как и предыдущие месяцы, не стал исключением в плане появления разнообразных Android-угроз и преподнес пользователям мобильных устройств сразу несколько «сюрпризов». Так, одним из главных событий в сфере безопасности ОС Android стало появление новой модификации буткита Android.Oldboot, который получил широкую известность в январе текущего года. По своему функционалу обновленная версия троянца практически ничем не отличается от своего предшественника и предназначена, главным образом, для незаметной загрузки и установки различных приложений. Однако вместе с тем у нее появился и ряд новых особенностей. В частности, некоторые компоненты буткита после своего запуска удаляют исходные файлы и продолжают функционировать только в оперативной памяти мобильного устройства, что может значительно затруднить обнаружение и удаление данной угрозы. Кроме того, для усложнения борьбы с обновленным Android.Oldboot злоумышленники применили обфускацию некоторых его модулей, а также добавили троянцу возможность удаления ряда антивирусных приложений.
Не остался без внимания злоумышленников и официальный каталог Android-программ Google Play: в прошедшем месяце в нем было зафиксировано появление нескольких троянских приложений, выполняющих скрытую добычу (майнинг) электронной криптовалюты Bitcoin. Обнаруженные троянцы, добавленные в вирусную базу Dr.Web под именем Android.CoinMine.1, скрывались в безобидных «живых обоях» и начинали свою вредоносную деятельность, если зараженное мобильное устройство не использовалось в течение определенного времени.
Как и аналогичные вредоносные программы, которые были обнаружены в марте, новые троянцы-майнеры могли причинить пострадавшим пользователям не только финансовый ущерб из-за существенного потребления интернет-трафика, но и негативно повлиять на работу самого мобильного устройства.
Также в апреле продолжились атаки на южнокорейских пользователей Android с использованием нежелательных СМС-сообщений, которые содержали ссылку на загрузку вредоносной программы. Специалисты компании «Доктор Веб» зафиксировали 232 подобные спам-рассылки, а наиболее распространенными среди обнаруженных троянцев стали Android.Spy.64.origin, Android.SmsBot.75.origin, Android.Spy.40.origin, Android.SmsSpy.78.origin, Android.BankBot.6.origin, а также Android.SmsSend.685.
При этом отдельного внимания заслуживает троянец Android.SmsBot.75.origin, для распространения которого злоумышленники организовали более 40 спам-рассылок, уведомлялявших пользователей о якобы неполученном почтовом отправлении. В случае перехода по указанному в СМС веб-адресу пользователь перенаправлялся на страницу одного из мошеннических блогов, где ему предлагалось загрузить некое приложение, которое в действительности оказывалось троянцем, способным красть различную конфиденциальную информацию, а также выполнять ряд направляемых киберпреступниками команд. Подробнее об этой угрозе сообщалось в одной из публикаций на сайте компании «Доктор Веб».
Использование СМС-спама как средства распространения вредоносных приложений популярно не только в Южной Корее, но и в ряде других стран, в том числе в России. Так, в апреле злоумышленники организовали рассылку сообщений якобы от имени сервиса бесплатных объявлений Avito.ru, в которых сообщалось о получении отклика на размещенное ранее объявление. Для ознакомления с новой информацией пользователям предлагалось посетить некий сайт, адрес которого был указан в тексте СМС, однако в действительности данный веб-портал не имел никакого отношения к упоминаемому сервису и являлся источником распространения Android-троянца Android.SmsSpy.88.origin.
После установки и запуска данная вредоносная программа передавала злоумышленникам ряд сведений о зараженном мобильном устройстве, после чего ожидала поступления команд, среди которых могли быть указания на перехват входящих сообщений, рассылку СМС с заданными параметрами, а также включение переадресации для всех поступающих телефонных звонков. Таким образом, Android.SmsSpy.88.origin не только выполнял функцию СМС-троянца, но также мог осуществлять и шпионскую деятельность. Более полная информация о данном инциденте размещена в соответствующей статье.
Кроме того, в апреле стало известно об очередном троянце, который угрожал пользователям взломанных мобильных устройств от корпорации Apple. Вредоносная программа IPhoneOS.PWS.Stealer.1, обнаруженная у ряда китайских пользователей, осуществляла кражу аутентификационных данных учетной записи Apple ID, предоставляющей доступ к большинству сервисов компании, включая каталог приложений App Store, файловое хранилище iCloud и ряд других. Таким образом, компрометация этих данных могла серьезно отразиться на пострадавших пользователях.
Вредоносные файлы, обнаруженные в почтовом трафике в апреле
| 01.04.2014 00:00 — 30.04.2014 14:00 | ||
| 1 | Trojan.DownLoad3.28161 | 0.95% |
| 2 | Trojan.Fraudster.778 | 0.76% |
| 3 | Trojan.PWS.Panda.5676 | 0.74% |
| 4 | Trojan.DownLoad3.32784 | 0.68% |
| 5 | Trojan.Oficla.zip | 0.67% |
| 6 | Trojan.DownLoader9.61937 | 0.65% |
| 7 | Trojan.Winlock.8811 | 0.57% |
| 8 | Trojan.VbCrypt.150 | 0.50% |
| 9 | Trojan.DownLoad3.30075 | 0.47% |
| 10 | Win32.HLLM.MyDoom.54464 | 0.42% |
| 11 | Trojan.PWS.Panda.547 | 0.41% |
| 12 | Trojan.Siggen6.14201 | 0.39% |
| 13 | Java.Siggen.90 | 0.38% |
| 14 | Win32.HLLM.MyDoom.33808 | 0.36% |
| 15 | Trojan.PWS.Panda.6971 | 0.36% |
| 16 | Trojan.PWS.Panda.4795 | 0.35% |
| 17 | Trojan.Packed.26385 | 0.32% |
| 18 | Trojan.PWS.Panda.2401 | 0.32% |
| 19 | BackDoor.Comet.884 | 0.29% |
| 20 | Trojan.Fraudster.517 | 0.29% |
Вредоносные файлы, обнаруженные в апреле на компьютерах пользователей
| 01.04.2014 00:00 — 30.04.2014 14:00 | ||
| 1 | SCRIPT.Virus | 1.25% |
| 2 | Trojan.InstallMonster.51 | 0.66% |
| 3 | Trojan.Packed.24524 | 0.65% |
| 4 | Tool.Unwanted.JS.SMSFraud.26 | 0.46% |
| 5 | JS.Redirector.228 | 0.44% |
| 6 | Adware.Downware.2095 | 0.42% |
| 7 | Adware.Downware.179 | 0.38% |
| 8 | Adware.Toolbar.240 | 0.37% |
| 9 | Adware.NextLive.2 | 0.37% |
| 10 | Adware.OpenCandy.3 | 0.35% |
| 11 | Adware.OpenCandy.4 | 0.35% |
| 12 | Tool.Skymonk.14 | 0.33% |
| 13 | JS.IFrame.566 | 0.33% |
| 14 | Adware.Webalta.13 | 0.33% |
| 15 | BackDoor.PHP.Shell.6 | 0.32% |
| 16 | Adware.InstallCore.90 | 0.31% |
| 17 | BackDoor.IRC.NgrBot.42 | 0.30% |
| 18 | Adware.Conduit.33 | 0.30% |
| 19 | Adware.Bandoo.13 | 0.30% |
| 20 | Trojan.LoadMoney.257 | 0.29% |