«доктор веб»: обзор вирусной активности в феврале 2019 года

Опасно ли рекламное ПО (adware)?

Рекламное ПО (adware) больше раздражает, чем представляют серьезную опасность. Наблюдается постоянный показ баннеров, текстовых рекламных объявлений и всплывающих окон, которые появляются внутри окна с вашим браузером при поиске информации в Интернете. Неожиданно могут открываться случайные окна и закладки. Ваш компьютер начинает медленнее работать, все чаще происходят различные сбои в его работе.

Бывают также случаи, когда рекламное ПО может проводить сбор ваших данных. В этом случае производитель может продавать ваши рекламные данные, которые могут содержать вашу историю просмотра сайтов и включать в себя ваш IP-адрес, поисковые запросы и посещенные сайты.

How do I get adware?

There are two main ways by which adware sneaks onto your system. In the first one, you download a program—usually freeware or shareware—and it quietly installs adware without your knowledge, or permission. That’s because the program’s author signed up with the adware vendor. Why? Because the revenue generated by the advertisements enables the program to be offered gratis (although even paid software from an untrustworthy source can deliver an adware payload). Then the adware launches its mischief, and the user learns there’s a price to pay for “free.”

“There are two main ways by which adware sneaks onto your system.”

The second method is just as insidious. You’re visiting a website. Maybe it’s a trusted site; maybe it’s a sketchy one. Either way, it can be infected with adware, which takes advantage of a vulnerability in the user’s web browser to deliver a drive-by download. After it burrows in, the adware starts collecting your information, redirecting you to malicious websites, and throwing more advertisements into your browser.

Mobile adware

There’s not much real estate room on a mobile’s screen. So when a mysterious icon moves into your start screen, or scads of ads start clogging your notification bar, you’ve probably got an uninvited adware guest. No big surprise, since thousands of Android apps now contain the gift that keeps on shoving icons and ads at you without warning.

There are two methods through which mobiles come down with adware: through the browser and through downloaded applications.

  • Infection by browser refers to a known exploit, caused by the way most browsers handle redirections executed by JavaScript code. It’s a weakness that can cause ad pop-ups; and advertising affiliates know about it, and how to exploit it. If your mobile’s browser has been compromised, then the best way to block the pop-ups is to use a different browser, disable JavaScript, or install a browser with ad blocking. Another remedy to pop-ups is to back out of them using Android’s back key. Or you can clear your history and cache, which will also stop the ads from coming back.

  • Infection by downloaded applications refers to getting infected with persistent ads through adware apps installed on a phone. They present in different forms, from full screen ads inside and outside of the infected app, to the device notifications and on the lock screen. Typically, a third-party app store installs this kind of adware app. So it’s best to avoid third-party app stores, although even Google Play has been an unwitting source of adware-infested apps.

Despite its being an annoying pest, take some small comfort in the fact that such adware is generally not blatantly malicious, threatening your device like malware might. Many of the free apps you download to your phone often include third-party ad content, providing software developers an alternative revenue stream so you can have their offering for free. Still, adware is not generally benevolent; so faced with a free app that stuffs your device with adware, and a paid program that plays nicely, consider the best choice for you.

Вредоносное и нежелательное ПО для мобильных устройств

В течение сентября в каталоге Google Play было выявлено множество вредоносных программ. В начале месяца вирусные аналитики «Доктор Веб» обнаружили банковского троянца Android.Banker.347.origin, который атаковал пользователей из Бразилии. Он перехватывал СМС-сообщения с одноразовыми кодами и мог загружать мошеннические веб-сайты по команде злоумышленников. Другой банкер, найденный в конце месяца, получил имя Android.Banker.352.origin. Он крал данные авторизации пользователей криптовалютной биржи YoBit.

Среди распространявшихся через Google Play угроз были троянцы-загрузчики Android.DownLoader.920.origin и Android.DownLoader.921.origin, которые скачивали другие вредоносные приложения. Кроме того, вирусные аналитики зафиксировали рекламных троянцев Android.HiddenAds. Помимо них, наши специалисты обнаружили несколько модификаций троянцев семейства Android.Joker. Они подписывали пользователей на дорогостоящие услуги, могли перехватывать СМС и передавали злоумышленникам данные из телефонной книги зараженных устройств. Также эти троянцы скачивали, а потом запускали вспомогательные модули и были способны исполнять произвольный код.

Кроме того, вирусные аналитики выявили новые версии потенциально опасных программ, предназначенных для кибершпионажа.

Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:

  • распространение вредоносных программ через каталог Google Play;
  • обнаружение новых версий ПО для кибершпионажа.

Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце специалисты компании «Доктор Веб» выявили множество вредоносных и нежелательных программ для ОС Android. В середине февраля вирусные аналитики зафиксировали рекламную кампанию, которою злоумышленники организовали для распространения троянцев Android.HiddenAds. В рекламе на популярных онлайн-ресурсах Instagram и YouTube потенциальным жертвам предлагалось установить программы для редактирования фотографий и видео. Однако в этих приложениях скрывались троянцы.

В течение февраля в вирусную базу было добавлено несколько новых записей для детектирования вредоносных приложений семейства Android.FakeApp. Эти троянцы загружали мошеннические веб-сайты, на которых пользователям за вознаграждение предлагалось пройти опросы. Для получения денег потенциальные жертвы должны были оплатить комиссию за перевод или выполнить некий проверочный платеж для подтверждения своей личности. Если они соглашались на это, то фактически отдавали мошенникам свои деньги и не получали никакого обещанного вознаграждения.

Кроме того, вирусописатели распространяли троянца Android.RemoteCode.2958, который скачивал на Android-устройства другие вредоносные приложения. Был выявлен троянец Android.Proxy.4, превращавший зараженные смартфоны и планшеты в прокси-серверы. Также вирусная база Dr.Web пополнилась записями для детектирования программ с нежелательным рекламным модулем Adware.Sharf.2 и новыми представителями семейства Adware.Patacore.

Наиболее заметное событие, связанное с «мобильной» безопасностью в феврале:

распространение вредоносных программ в Google Play.

Более подробно о вирусной обстановке для мобильных устройств в феврале читайте в нашем обзоре.

Как Adware проникает в Windows?

Вирус-adware может инфицировать операционную систему двумя способами:

1. В процессе инсталляции бесплатных и условно-бесплатных программ.

Некоторые недобросовестные разработчики «вживляют» в инсталляторы специальные модули. После распаковки они интегрируются в браузеры и без ведома пользователя вставляют рекламные блоки на все открываемые сайты (в том числе и на страницы поисковых систем). Таким образом, через показы продукции и услуг рекламодателей на компьютере у жертвы взимается плата за пользование программным продуктом.

2. Через инфицированные веб-ресурсы. При посещении заражённой страницы автоматически срабатывает специальный программный механизм, который через браузер загружает и инсталлирует вирус Adware. В некоторых случаях злоумышленники через уловки социальной инженерии вводят пользователя в заблуждение, чтобы он своими действиями лично произвёл запуск зловреда

Например, кликнул по фейковому баннеру с надписью «Осторожно! У вас на ПК вирусы, удалите их»

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Trojan.BPlug.3835
Вредоносное расширение для браузера, предназначенное для осуществления веб-инжектов в просматриваемые пользователями интернет-страницы и блокировки сторонней рекламы.
Adware.Elemental.17
Семейство рекламных программ, попадающих на устройства путем подмены ссылок на файлообменных сервисах. Вместо ожидаемых файлов жертвы получают эти приложения, которые показывают рекламу, а также инсталлируют ненужное ПО.
Adware.Softobase.15
Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.
Adware.Ubar.13
Торрент-клиент, устанавливающий нежелательное ПО на устройство.
Adware.Downware.19722
Рекламное ПО, часто выступающее в роли промежуточного установщика пиратских программ.
Trojan.SpyBot.699
Многомодульный банковский троян. Позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и исполнять произвольный код.
Exploit.CVE-2012-0158
Измененный документ Microsoft Office Word, использующий уязвимость CVE-2012-0158 для выполнения вредоносного кода.
W97M.DownLoader.2938
Семейство троянов-загрузчиков, использующих в работе уязвимости документов Microsoft Office. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
Tool.KMS.7
Хакерские утилиты, которые используются для активации продуктов Microsoft с поддельной лицензией.
Exploit.ShellCode.69
Вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.

Что такое Adware?

Adware — это программы, которые предназначены для показа рекламы на вашем компьютере, перенаправления запросов поиска на рекламные веб-сайты и сбора маркетинговой информации о вас (например, какого рода сайты вы посещаете), чтобы реклама соответствовала вашим интересам.

Adware-программы, которые собирают данные с вашего согласия, не следует путать с троянскими программами-шпионами, которые собирают информацию без вашего разрешения и ведома. Если Adware-программа не уведомляет о сборе информации, она считается вредоносной, например, вредоносная программа троянец-шпион (Trojan-Spy).

Что нужно знать о программах Adware

За исключением показа рекламы и сбора данных такие программы, как правило, не проявляют своего присутствия в системе. Обычно у такой программы отсутствует значок на панели задач, и в меню программ она тоже отсутствует.

Adware-программы могут попасть на ваш компьютер двумя основными путями:

  • C бесплатным или условно-бесплатным программным обеспечением. Adware-программы могут входить на вполне законных основаниях в состав некоторых бесплатных или условно-бесплатных программ в качестве рекламной составляющей. Доходы от такой рекламы помогают финансировать их разработку.
  • Через зараженные веб-сайты.

Посещение зараженного веб-сайта может привести к несанкционированной установке Adware-программы на ваш компьютер. В этих целях часто используются хакерские технологии. Например, для проникновения на компьютер может использоваться уязвимость браузера и троянская программа, предназначенная для незаметной установки Adware. Действующие таким образом Adware-программы часто называют Browser Hijackers.

Как защититься от Adware-программ

Часто Adware-программы не имеют процедуры удаления и могут использовать технологии, подобные тем, что используют вирусы для проникновения на компьютер и незаметного запуска. Однако, так как Adware-программы могут присутствовать на вашем компьютере на законных основаниях, антивирусные решения не всегда могут определить степень опасности конкретной Adware-программы.

Существует много причин, чтобы подозревать, что Adware-программа, обнаруженная антивирусом, представляет собой угрозу. Например, если вы не давали согласия на установку программы и не знаете о ее происхождении или вы прочитали описание этой программы и у вас появились сомнения в том, что она безопасна. В таких случаях антивирусное программное обеспечение поможет избавиться от такой Adware-программы.

Отказ от обнаружения Adware-программ

В том случае если Adware-программа обнаружена антивирусом, но вы уверены в том, что это разрешенная вами программа, можно принять решение о том, что эта программа не нанесет вреда вашим устройствам или данным. Продукты «Лаборатории Касперского» позволяют отключить детектирование таких программ. Кроме того, конкретные программы можно добавить в список исключений, чтобы антивирусное ядро не отмечало их как вредоносные.

Многие бесплатные или условно-бесплатные программы перестают отображать рекламу после их регистрации или приобретения. Однако, в некоторых программах используются сторонние Adware-утилиты. Иногда такие утилиты остаются установленными на компьютере пользователя и после регистрации или приобретения программы. В некоторых случаях удаление Adware-компонента может привести к нарушению функционирования программы.

Шаг 1: Удаление Adware соответствующих программ с вашего компьютера

Следуя первой части инструкции, вы сможете отслеживать и полностью избавиться от непрошеных гостей и беспорядков:

  1. Для завершения Adware приложения из системы, используйте инструкции, которые подходят вам:

Windows XP/Vista/7:Выберите кнопку Пуск , а затем перейдите на Панель управления.

Windows 8: Переехали курсор мыши с правой стороны, край. Выберите Поиск и начать поиск «Панель управления». Другой способ добраться туда — чтобы сделать правый клик на горячий угол слева (просто, кнопку Пуск) и идти на Панель управления выбора.

Как вы попадете в Панель управления, затем найдите раздел программы и выберите Удаление программы. В случае, если панель управления имеет Классическийвид, вам нужно нажать два раза на программы и компоненты.

Скачать утилитучтобы удалить Adware

Use WiperSoft Malware Removal Tool only for detection purposes. Learn more about WiperSoft’s Spyware Detection Tool and steps to uninstall WiperSoft.

Когда программы и функции/удалить программу Windows появляется, Взгляните на перечень, найти и удалить один или все программы, нашел:

  • Adware; HD-всего плюс; RemoveThaeAdAopp; UTUobEAdaBlock; SafeSaver; SupTab;
  • ValueApps; Леденец; Обновление версии программного обеспечения; DP1815; Видео проигрыватель; ;
  • Плюс HD 1.3; BetterSurf; Доверенные веб; PassShow; LyricsBuddy-1; Yupdate4.flashplayes.info 1.2;
  • Media Player 1.1; Экономия быка; Feven Pro 1.1;Websteroids; Экономия быка; 3.5 HD-Plus;Re-markit.

Кроме того вам следует удалить любое приложение, которая была установлена короткое время назад. Чтобы найти эти недавно установленного applcations, нажмите на Установлена на раздел и здесь расследование программы, основанные на датах, были установлены. Лучше посмотрите на этот список еще раз и удалить любые незнакомые программы.
Это может также случиться, что вы не можете найти какой-либо из выше перечисленных программ, которые вы посоветовали удалить. Если вы понимаете, что вы не признают любые ненадежные и невидимый программы, выполните следующие шаги в данном руководстве деинсталляции.

Автоматическое удаление рекламного ПО

Данный способ являет наиболее быстрым и эффективным по борьбе со зловредами Adware. В особенности для тех пользователей, которые общаются с компьютером на Вы (слабо ориентируются в опциях системы, настройках браузеров).

Рассмотрим решения, которые наиболее успешно зарекомендовали себя в пользовательской практике.

AdwCleaner

Крохотная утилита с большими возможностями. Предельно точно детектирует и нейтрализует рекламное и шпионское ПО, нежелательные панели инструментов, хайджекеры (угонщики стартовой страницы) в браузерах, директориях системы и реестре.

1. Откройте официальную страничку для скачивания AdwCleaner — https://toolslib.net/downloads/viewdownload/1-adwcleaner/.

2. Клацните в правой панели ссылку «Download Now» (скачать сейчас).

3. Запустите инсталлятор приложения от имени администратора (клик правой кнопкой → контекстное меню).

4. В установщике, под текстом условий использования, щёлкните «Я согласен».

5. По завершении установки и апдейта AdwCleaner нажмите в панели управления кнопку «Сканировать».

6. Нейтрализуйте найденные элементы вируса: кликните «Очистка».

7. После удаления Adware в окне «Перезагрузка» нажмите «OK», чтобы перезапустить ПК.

8. В вылеченной Windows автоматически откроется файл с результатами работы AdwCleaner.

Junkware Removal Tools

Миниатюрная утилита без графического интерфейса от компании MalwareBytes.

Уничтожает PUP (нежелательное ПО), Adware и другие вредоносы, которые основные анитивирусы детектируют как доверенные приложения.

1. На странице https://ru.malwarebytes.org/junkwareremovaltool/ клацните «Загрузить».

2. Запустите скачанную утилиту.

3. Чтобы начать проверку, нажмите любую клавишу.

4. Дождитесь окончания сканирования (проверенные объекты системы будут появляться в списке).

5. Ознакомьтесь с результатами проверки и очистки в лог-файле JRT.txt (он откроется автоматически).

Malwarebytes Anti-Malware

Мощное дополнительное антивирусное средство для обнаружения вирусов на ПК. Умеет находить самые скрытные руткиты и трояны, полностью освобождает от модулей Adware практически все популярные браузеры.

1. На официальной странице приложения — https://ru.malwarebytes.org/antimalware/ — кликните «Бесплатная загрузка».

2. Проинсталлируйте Anti-Malware в Windows.

3. После обновления сигнатурной базы перейдите на вкладку «Проверка».

4. Выберите режим проверки (полная или выборочная) и при необходимости настройте его.

5. Запустите сканирование. Нейтрализуйте из ОС обнаруженные файлы и записи в реестре вируса-Adware.

Dr.Web CureIt!

Антивирусный сканер. Отлично дополняет на компьютере основную антивирусную защиту. Выявляет большинство актуальных угроз безопасности, может использоваться в качестве профилактического средства против SpyWare, Adware, Riskware, Pornware, различных троянов и червей.

2. На новой страничке снова клацните «Скачать».

3. Запустите загруженный дистрибутив.

4. Кликните окошко «Я согласен принять… ». Нажмите «Продолжить».

5. Клацните опцию «Выбрать объекты… ».

6. Установите «галочки» возле элементов, которые необходимо просканировать. Нажмите «Запустить проверку».

7. Удалите выявленные Dr.Web CureIt! вирусы и потенциально опасные файлы, записи в реестре.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.Downware.19741
Рекламное ПО, часто выступающее в роли промежуточного установщика пиратских программ.
Adware.Elemental.17
Семейство рекламных программ, попадающих на устройства путем подмены ссылок на файлообменных сервисах. Вместо ожидаемых файлов жертвы получают эти приложения, которые показывают рекламу, а также инсталлируют ненужное ПО.
Adware.Softobase.15
Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.
Trojan.LoadMoney.4020
Семейство программ-установщиков, вместе с требуемыми приложениями инсталлирующих на компьютеры жертв всевозможные дополнительные компоненты. Некоторые модификации трояна могут собирать и передавать злоумышленникам различную информацию об атакованном компьютере.
Trojan.AutoIt.289
Утилита, написанная на скриптовом языке AutoIt и распространяемая в составе майнера или RAT-трояна. Выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.Elemental.17
Семейство рекламных программ, попадающих на устройства путем подмены ссылок на файлообменных сервисах. Вместо ожидаемых файлов жертвы получают эти приложения, которые показывают рекламу, а также инсталлируют ненужное ПО.
Trojan.BPlug.3867
Вредоносное расширение для браузера, предназначенное для веб-инжектов в просматриваемые пользователями интернет-страницы и блокировки сторонней рекламы.
Adware.SweetLabs.4
Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.
Adware.Softobase.15
Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.
Adware.Downware.19629
Рекламное ПО, часто выступающее в роли промежуточного установщика пиратских программ.

По данным серверов статистики «Доктор Веб»

Угрозы этого месяца:

Trojan.Packed.24060
Устанавливает вредоносные расширения для браузеров, перенаправляющие с результатов выдачи в поисковых системах на другие сайты.
Adware.Softobase.12
Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.
Adware.OpenCandy.243
Семейство приложений, предназначенных для установки различного ПО. Программы данного семейства используются разработчиками бесплатных приложений в целях монетизации.
Adware.Ubar.13
Торрент-клиент, устанавливающий нежелательное ПО на устройство.
Trojan.Starter.7394
Троянец, предназначенный для запуска другого вредоносного ПО на устройстве.

Снизилось количество угроз от:

Trojan.MulDrop8.60634
Устанавливает других троянцев в систему. Все устанавливаемые компоненты содержатся в самом теле Trojan.MulDrop.
Adware.Downware.19283
Программа-установщик, обычно распространяется с пиратским контентом. При установке может менять настройки браузеров и устанавливать другие нежелательные программы.

All about adware

Here’s how it happens. You go online with your nice, well-behaved browser, only to see it fly into a virtual tantrum, as an onslaught of advertisements either pops up, slides in from the side, or otherwise inserts itself to interrupt and even redirect your intended activity. And no matter how much you click to close those windows, they keep buzzing you like flies at a picnic.

That bothersome phenomenon results from adware, short for advertising supported software. And just as your picnic food attracts the pests that come after it, money—or the revenue generated by unbidden ads—is what draws adware to your PC or mobile device. Below, we offer a short primer on adware, what it is, how you get it, what it tries to do to you, how to deal with it, and what to do in the future to avoid this irritant.

И все же автоматика лучше!

Если ручной метод — не для вас, и хочется более легкий путь, существует множество специализированного ПО, которое сделает всю работу за вас. Я рекомендую воспользоваться UnHackMe от Greatis Software, выполнив все по пошаговой инструкции.

UnHackMe выполнит все указанные шаги, проверяя по своей базе, всего за одну минуту.

При этом UnHackMe скорее всего найдет и другие вредоносные программы, а не только редиректор на ADWARE.CONVERTAD.

При ручном удалении могут возникнуть проблемы с удалением открытых файлов. Закрываемые процессы могут немедленно запускаться вновь, либо могут сделать это после перезагрузки. Часто возникают ситуации, когда недостаточно прав для удалении ключа реестра или файла.

UnHackMe легко со всем справится и выполнит всю трудную работу во время перезагрузки.

И это еще не все. Если после удаления редиректа на ADWARE.CONVERTAD какие то проблемы остались, то в UnHackMe есть ручной режим, в котором можно самостоятельно определять вредоносные программы в списке всех программ.

Вредоносное и нежелательное ПО для мобильных устройств

Согласно статистике детектирований, полученной антивирусными продуктами Dr.Web для Android, в ноябре на защищаемых устройствах было выявлено на 5.14% меньше угроз по сравнению с октябрем.

В каталоге Google Play по-прежнему появляются различные вредоносные приложения. Так, в прошедшем месяце вирусные аналитики «Доктор Веб» обнаружили в нем очередных троянов. Среди них были представители семейства Android.Joker, способные выполнять произвольный код и подписывать пользователей на дорогостоящие мобильные услуги, а также многофункциональный троян Android.Mixi.44.origin.

Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:

  • снижение общего числа угроз, обнаруженных на защищаемых Android-устройствах;
  • обнаружение новых троянов в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.

How do I protect myself from adware?

Finally, even before all the above precautions, download a reputable cybersecurity program for your PC or mobile phone. Perform scans frequently, and keep your updates, well, up to date. Of course, we recommend any of our Malwarebytes family of anti-malware products as a prudent measure: Malwarebytes for Windows, Malwarebytes for Mac, Malwarebytes for Android, Malwarebytes for Chromebook, and Malwarebytes for iOS. By arming yourself with knowledge, and protecting yourself with a robust cybersecurity program, you can take the steps necessary for an adware-free life online.

See all our reporting on adware at Malwarebytes Labs. 

«Доктор Веб»: обзор вирусной активности в марте 2019 года

В марте вирусные аналитики компании «Доктор Веб» завершили исследование троянца, угрожавшего игрокам Counter-Strike 1.6. Среди главных угроз марта наблюдается динамика по сравнению с цифрами прошлого месяца. К примеру, активность Trojan.MulDrop8.60634 снизилась почти в три раза, а число таких угроз, как Trojan.Packed.24060 и Adware.OpenCandy.243, резко возросло за последний месяц. Также в базу нерекомендуемых и вредоносных сайтов было добавлено меньше доменных имен, чем в прошлом месяце, а в техническую поддержку «Доктор Веб» поступило больше запросов на расшифровку данных.

Главные тенденции марта

  • Увеличилось количество вредоносных расширений для браузеров
  • Выросла активность распространения рекламного ПО и нежелательных программ
  • Увеличилось число запросов на расшифровку данных