16 мая 2012 года

Компания «Доктор Веб обновила антивирусное ядро Dr.Web Virus Finding Engine до версии 7.0 в продуктах Dr.Web Enterprise Security Suite, поддерживающих централизованное управление. Обновление произойдет автоматически для пользователей серверов 6.0.3 и 6.0.2. В версиях, предшествующих 6.0.2, антивирусное ядро Dr.Web Virus Finding Engine обновляться не будет.

Увеличение скорости сканирования

Одно из ключевых преимуществ нового ядра, которое смогут оценить пользователи – многократное увеличение скорости сканирования. На тестовом комплексе серверов антивирусной лаборатории «Доктор Веб» (с испытательной коллекцией файлов объемом 3 терабайта), используемых для контроля качества выпускаемых дополнений, скорость проверки с новым ядром Dr.Web Virus Finding Engine увеличилась в несколько раз. Кроме того, четырехкратное увеличение скорости было продемонстрировано на тестовых системах, аналогичных современным рабочим станциям. Эти результаты были достигнуты благодаря использованию нового формата вирусных баз Dr.Web и улучшенного алгоритма обработки проверяемых объектов.

Производительность

Другое ключевое преимущество нового ядра – динамическое выделение памяти, учитывающее производительность и текущую загруженность системы. Перераспределение памяти происходит в реальном времени, поэтому сканирование и распаковка больших файлов не замедляют работу других приложений. Новое ядро было также оптимизировано для многоядерных систем.

ScriptHeuristic и другие технологии обнаружения угроз

Благодаря новой технологии ScriptHeuristic эвристический анализатор ядра Dr.Web Virus Finding Engine может быстро выявлять вредоносные объекты в HTML- и PDF-документах — наиболее распространенных источниках вирусных угроз. Также добавлены процедуры для извлечения и анализа «невидимых» IFRAME-элементов. Проверка по вирусным базам теперь осуществляется с учетом синтаксиса языка javascript.

Технология структурной энтропии, использованная в новой версии антивирусного ядра, не имеет аналогов и является альтернативой сигнатурным записям. Она существенно улучшает механизм обнаружения угроз.

Оптимизация технологии универсальной распаковки FLY-CODE, уже используемой в продуктах Dr.Web, почти на треть сокращает время проверки. Новые алгоритмы эвристического анализа обеспечивают близкое к 100% обнаружение высокозащищенных троянских программ. Расширение технологии Origins Tracing даст возможность использовать данный инструмент обнаружения угроз и для проверки DEX-файлов (Android).

Для пользователей обновление пройдет автоматически.

14 мая 2012 года

Компания «Доктор Веб» информирует о выходе публичной бета-версии лечащей утилиты Dr.Web CureIt! 7.0. Это приложение является популярным инструментом для удаления вредоносных программ и лечения компьютера, оно объединяет в себе все преимущества аналогичных коммерческих решений других разработчиков. Ключевыми особенностями программы является усиленный режим для противодействия угрозам-блокировщикам и, конечно же, возможность совместной работы с другими антивирусными продуктами. Данная утилита использует самые современные технологии информационной безопасности, собранные в одном приложении, способном справиться даже с наиболее опасными типами угроз.

Лечащая утилита Dr.Web CureIt! 7.0 — это не очередное обновление популярного у многочисленных пользователей продукта, а принципиально новое поколение одного из самых известных в мире инструментов для борьбы с угрозами информационной безопасности. В седьмой версии утилиты применяется новая сканирующая подсистема, способная осуществлять проверку дисков компьютера в многопоточном режиме, при этом используются все преимущества многоядерных процессоров. Утилита оптимизирована для работы с самыми современными операционными системами, что позволило не только увеличить скорость проверки, но также сделать взаимодействие с пользователем более комфортным и удобным. Значительно повысилась и стабильность работы программы, практически исключена возможность появления в процессе сканирования BSOD («синего экрана смерти») в результате вызванного работой утилиты сбоя.

В седьмой версии лечащей утилиты был полностью переработан пользовательский интерфейс. Впервые в состав программы внедрена подсистема поиска руткитов, уже использовавшаяся ранее в продуктах Антивирус Dr.Web и Dr.Web Security Space версии 7.0. Значительно расширены возможности выборочной проверки компьютера: теперь пользователь может по отдельности выполнить проверку памяти, загрузочных секторов, объектов автозапуска и т.д. В седьмой версии лечащей утилиты предусмотрена возможность блокировки сетевого подключения в процессе проверки компьютера, а также возможность завершения работы операционной системы по окончании сканирования.

В новой версии приложения реализован функционал осуществления проверки BIOS персонального компьютера на заражение «биос-китами» - вредоносными программами, инфицирующими BIOS ПК. Специалисты компании «Доктор Веб» рекомендуют пользователям выполнить проверку своих компьютеров с применением седьмой версии лечащей утилиты в целях выявления новых типов вредоносных программ. Пользователи, желающие принять участие в бета-тестировании, могут загрузить бета-версию программы Dr.Web CureIt! 7.0 с сайта.

14 мая 2012 года

В апреле 2012 года компания «Доктор Веб» — российский разработчик средств информационной безопасности — уже сообщала о том, что бот-сеть, построенная злоумышленниками на базе файлового вируса Win32.Rmnet.12, превысила по своей численности миллион инфицированных узлов. В последнее время специалистами «Доктор Веб» было отмечено распространение новой модификации вируса, получившей наименование Win32.Rmnet.16. Основное отличие данной версии вредоносной программы от ее предшественницы заключается в использовании цифровой подписи, которой подписывается IP-адрес управляющего сервера, также вирусописатели обновили основные функциональные модули приложения. Подавляющее число случаев заражения вирусом Win32.Rmnet.16 приходится на долю Великобритании и Австралии.

Файловый вирус Win32.Rmnet.16 написан на языках С и Ассемблер и состоит из нескольких функциональных модулей. Инжектор, внедряющий вирус в операционную систему, действует в точности так же, как и аналогичный компонент вируса Win32.Rmnet.12: встраивается в процессы браузера, сохраняет во временную папку собственный драйвер и запускает его в качестве системной службы Micorsoft Windows Service, затем копирует тело вируса во временную директорию и папку автозапуска со случайным именем и расширением .exe.

Функциональные возможности модуля бэкдора в целом идентичны такому же модулю, входящему в состав Win32.Rmnet.12. Данный компонент способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление вируса, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы. Однако имеются в нем и существенные отличия: Win32.Rmnet.16 использует цифровую подпись, которой подписывается IP-адрес управляющего сервера, а адреса самих командных центров теперь не зашиты в ресурсах вредоносного приложения, а генерируются по специальному алгоритму. Кроме того, модуль бэкдора обладает функционалом, позволяющим «убивать» процессы большинства наиболее распространенных антивирусных программ, что само по себе является дополнительным фактором, свидетельствующим об опасности данной вредоносной программы. Загруженные бэкдором компоненты вируса и конфигурационные файлы сохраняются в зашифрованный файл с расширением .log и именем, сгенерированным на основе информации о компьютере. Этот файл размещается в папке %APPDATA%. Модуль, реализованный в библиотеке modules.dll, загружает данные из файла с расширением .log и настраивает их непосредственно в оперативной памяти компьютера, вследствие чего используемые вирусом компоненты на жестком диске ПК не расшифровываются.

Как и предыдущая версия вируса, Win32.Rmnet.16 умеет выполнять запись в загрузочную область диска (MBR), а также сохранять свои файлы в конце диска в зашифрованном виде. После перезагрузки операционной системы управление передается инфицированной загрузочной записи, которая читает и расшифровывает в памяти вредоносные модули, после чего запускает их. Данный функциональный компонент вируса получил собственное наименование: MBR.Rmnet.1. Следует отметить, что антивирусные программы Dr.Web позволяют восстанавливать загрузочную запись, модифицированную Win32.Rmnet.

Среди других модулей, загружаемых Win32.Rmnet.16 с удаленных командных центров, следует отметить компонент Ftp Grabber v2.0, предназначенный для кражи паролей от популярных FTP-клиентов, собственный FTP-сервер, шпионский модуль и несколько других функциональных компонентов.

Инфектор в новой версии вируса полиморфный, при этом вирусный модуль инфектора загружается с удаленного сайта злоумышленников. Вирус инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и динамические библиотеки с расширением .dll, в том числе и системные, но, в отличие от Win32.Rmnet.12, не умеет копировать себя на съемные флеш-накопители.

Специалисты компании «Доктор Веб» внимательно отслеживают поведение одной из бот-сетей Win32.Rmnet.16. По данным на 11 мая 2012 года, данный ботнет насчитывает 55 310 инфицированных узлов, из которых больше половины (55,9%) расположены на территории Великобритании. На втором месте, с показателем 40% от общей численности вирусной сети, следует Австралия, почетное третье место (1,3%) делят США и Франция, менее 1% инфицированных компьютеров располагается на территории Австрии, Ирана, Индии и Германии. Наибольшее количество случаев заражения Win32.Rmnet.16 приходится на долю Лондона (5747 инфицированных ПК, или 10,4%), второй по численности выявленных ботов мегаполис — Сидней (3120 компьютеров, или 5,6%), далее следуют австралийские города Мельбурн (2670 случаев заражения, или 4,8%), Брисбен (2323 ПК, или 4,2%), Перт (1481 ПК, или 2,7%) и Аделаида (1176 ПК, или 2,1%). Порядка 1,5% инфицированных машин расположено в английских городах Бирмингеме и Манчестере. Распределение бот-сети Win32.Rmnet.16 по странам показано на представленной ниже иллюстрации.

Распространение бот-сети Win32.Rmnet.16 по странам мира

На территории России случаи заражения вирусом Win32.Rmnet.16 пока еще носят единичный характер, однако со временем ситуация может измениться. Специалисты компании «Доктор Веб» продолжают внимательно следить за данным ботнетом.