- Trojan.Rmnet.19 - вірус, що відключає антивірусне ПЗ.
- Android.Pincer.2.origin - троян, що перехоплює SMS-повідомлення.
Компанія Dr.Web опублікувала на своєму офіційному сайті цікаву інформацію про нові можливості шкідливих програм - про вірус із сімейства Win32.Rmnet, який «навчився» відключати антивірусне ПЗ, а також про новий троян з сімейства Android.Pincer, здатному перехоплювати SMS-повідомлення.
Trojan.Rmnet.19 - вірус, що відключає антивірусне ПЗ.
Trojan.Rmnet.19 - модифікація відомого зловреда Win32.Rmnet. За даними Dr.Web, цим вірусом заражено вже не менше 18 000 комп'ютерів. Виділяє Trojan.Rmnet.19 з середовища собі подібних здатність відключати антивірусні програми, емулюючи натискання мишею на певні значки. Метою атаки обрані такі відомі і популярні антивіруси, як Avast, Microsoft Security Essential, Norton Antivisus, Eset NOD32, Bitdefender, AVG. Антивірус Dr.Web успішно справляється зі спробами Trojan.Rmnet.19, так як для його вивантаження потрібно ввести каптчу, з чим даний вірус поки не справляється.
Всього Trojan.Rmnet.19 завантажує на заражений комп'ютер сім різних модулів:
- новий модуль, що дозволяє відключати антивірусні програми;
- модуль для крадіжки файлів cookies;
- локальний FTP-сервер;
- модуль для виконання веб-Інжект;
- модуль для крадіжки паролів від FTP-клієнтів;
- новий модуль, що дозволяє детектувати наявність віртуальних машин;
- модуль для організації віддаленого доступу до інфікованої системі.
За даними лабораторії Dr.Web, основною мішенню для атаки Trojan.Rmnet.19 стали Великобританія та Ірландія.
Android.Pincer.2.origin - троян, що перехоплює SMS-повідомлення.
Новий троян з сімейства Android.Pincer, Android.Pincer.2.origin представляє досить серйозну небезпеку для власників пристроїв під управлінням Android. Ця шкідлива програма здатна перехоплювати SMS-повідомлення і відправляти їх на вказаний зловмисниками номер.
Як і попередня версія трояна Android.Pincer, Android.Pincer.2.origin при установці маскується під сертифікат. Якщо необережний власник Android-пристрої дасть згоду на установку помилкового сертифіката, то Android.Pincer.2.origin продемонструє звіт про успішну установку і «заляже на дно».
При цьому Android.Pincer.2.origin реєструє системний сервіс CheckCommandServices, який дозволить трояни завантажитися після чергового перезавантаження системи. Якщо старт Android.Pincer.2.origin відбувається успішно, то на віддалений сервіс зловмисників відправляється наступна інформація про зараженому планшеті або смартфоні:
- назва моделі;
- серійний номер пристрою;
- IMEI-ідентифікатор;
- назва використовуваного оператора зв'язку;
- номер стільникового телефону;
- мова, що використовується за умовчанням в системі;
- версія операційної системи;
- інформація про те, чи є root-доступ.
Після цього троян чекає надходження однієї з наступних команд:
- start_sms_forwarding [номер телефону] - почати перехоплення повідомлень з зазначеного номера;
- stop_sms_forwarding - завершити перехоплення повідомлень;
- send_sms [номер телефону і текст] - відправити СМС із зазначеними параметрами;
- simple_execute_ussd - виконати USSD-запит;
- stop_program - припинити роботу;
- show_message - вивести повідомлення на екран мобільного пристрою;
- set_urls - змінити адресу керуючого сервера;
- ping - відправити СМС з текстом pong на заздалегідь зазначений номер;
- set_sms_number - змінити номер, на який йде повідомлення з текстом pong.
Як стверджують представники компанії Dr.Web, однойменний антивірус успішно протистоїть як вірусу Trojan.Rmnet.19, так і трояни Android.Pincer.2.origin.
Офіційний сайт Dr.Web