18 декабря 2024 года

«Доктор Веб» запускает традиционный Новогодний Адвент: с 18 декабря по 3 января приглашаем поучаствовать в квесте — исследовать объекты на рабочем столе и определить, какие из них представляют потенциальную угрозу для вас и вашего компьютера.

Игра не только доставит вам удовольствие, но и напомнит о том, как уберечься от вредоносных программ и не потерять ценные данные.

Всех участников игры ждут гарантированные призы — лицензии Dr.Web, скидки от 15% до 30% по промокоду и наши брендированные подарки: носки, бейсболки и календари. Интересно, какой приз достанется вам?

Подробные условия и полный перечень призов вы можете найти на странице квеста. Праздник близится, так что приглашаем к новогоднему (рабочему) столу!

16 декабря 2024 года

16 декабря 2024 г. стартует специальная акция для пользователей, которые приобрели лицензию Dr.Web Security Space до 1 сентября 2024 года. При продлении лицензии вы получите уникальный промокод, который дает 50% скидку на Dr.Web Security Space для мобильных устройств.

Кто может участвовать в акции?

Все пользователи, у которых есть действующая лицензия на Dr.Web Security Space, купленная до 31 августа 2024 года включительно. Ограничений по количеству защищаемых компьютеров и сроку действия лицензии нет.

Как получить промокод?

Оформите продление лицензии в нашем интернет-магазине. После оплаты вы получите письмо с уникальным промокодом.

На какие лицензии распространяется действие промокода?

Вы можете применить промокод на 50% скидку при покупке новой лицензии Dr.Web Security Space для мобильных устройств в интернет-магазине «Доктор Веб». Скидка распространяется на лицензии с любым количеством устройств и на любой срок действия. Выбирайте вариант, который подходит именно вам.

Могу ли я поделиться промокодом с другом?

Промокод является уникальным и одноразовым, его можно применить только один раз в нашем интернет-магазине.

Если я купил продление Dr.Web Security Space для 1 компьютера на 1 год могу ли я использовать промокод для покупки лицензии Dr.Web Security Space для мобильных устройств, например, для 5 устройств на 2 года?

Да, можете.

Распространяется ли промокод на другие продукты Dr.Web для персонального использования, например, на Dr.Web Family Security?

Нет, не распространяется.

Акция стартует 16 декабря 2024 г. и продлится до 31 августа 2027.

Условия акции

Защитите все свои устройства от всех типов киберугроз с антивирусом Dr.Web.

Продлить лицензию

13 декабря 2024 года

С 3 по 16 ноября компания «Доктор Веб» провела CTF-марафон для студентов и молодых IT-специалистов. Участников ждали 16 заданий, связанных с реверс-инжинирингом и анализом файлов. Всего в CTF-марафоне приняло участие около 1000 человек! Мы подвели итоги, наградили победителей и пообщались с некоторыми из них, чтобы узнать о впечатлениях, которые оставил у них марафон.

Александр, студент МИРЭА. Дебютное участие в CTF от «Доктор Веб»

— Изначально хотел просто попробовать свои силы. А потом удачно справился с заданиями и занял призовое место, чему очень рад. Это была отличная проверка моих знаний. Для успешного решения задач пригодились навыки реверс-инжиниринга и отладки бинарных файлов. Кроме того, не менее важным оказалось умение искать информацию, это сэкономило много времени.

Задания марафона были интересными, всех уровней сложности. На некоторые из них пришлось потратить больше времени, чем я изначально планировал. Понравилось, что в каждую задачу заложена определенная идея, поняв которую, приходишь к решению. Я бы порекомендовал другим тоже поучаствовать в CTF от «Доктор Веб» — это хороший опыт в области реверс-инжиниринга и возможность применить навыки и знания на практике, узнать для себя что-то новое.

Артём, студент ИСМАРТ (САФУ). Дебютное участие в CTF от «Доктор Веб»

— Ранее я не участвовал в подобных марафонах, этот CTF стал для меня первым. Целью победу не ставил, мне было интересно просто попробовать свои силы и посмотреть, что из этого выйдет. Приятно удивлен, что удалось занять призовое место. При выполнении заданий пригодились навыки реверса, эмуляции и патчинга, именно они оказались наиболее полезными на марафоне.

По поводу уровня сложности сказать непросто, поскольку для меня это первый опыт. Я бы порекомендовал будущим участникам попробовать силы в CTF от «Доктор Веб», потому что это интересно.

Кирилл, студент ГУАП. Участвует в разных CTF не в первый раз

— Не ставил своей целью победу, а хотел просто получить опыт в реверс-инжиниринге. Задания не рассчитаны на новичков, это особенно интересно. Наибольшую помощь при их выполнении оказали навыки поиска информации и логическое мышление. .

Я бы порекомендовал участвовать всем, кто хочет развивать мастерство реверс-инжиниринга, получить практический опыт и узнать много нового.

Иван, студент Самарского Университета. CTF от «Доктор Веб» стал для него новым, но не первым опытом

— Впервые о формате CTF узнал в 16 лет от преподавателя. С тех пор активно участвую в подобных мероприятиях. Победа не главное, хотелось получиться новому. Наиболее важным, кажется, был навык динамического анализа, благодаря ему я быстро решал сложные задачи, минуя более трудоемкий статический анализ.

Общий уровень задач марафона, на мой взгляд, средний. Некоторые были достаточно простыми, но было и несколько сложных головоломок. Определенно советую участвовать в CTF от «Доктор Веб» тем, кто уже знаком с реверс-инжинирингом. Понравился 14-дневный формат, который дает возможность накопить много новых практических знаний. Задачи интересные и креативные, а некоторые даже «боевые», приближенные к реальным кейсам.

Александр, студент. Дебютное участие в CTF от «Доктор Веб»

— Мой интерес к CTF возник благодаря старшекурсникам, которые на нашем факультете регулярно проводят тренировки и отборы среди младших курсов. Они и вдохновили меня начать заниматься реверс-инжинирингом. Теперь самостоятельно развиваю навыки анализа вредоносного ПО.

Было бы здорово победить, но в силу обстоятельств смог лишь временами решать задания и оказался в топ-10. Что касается сложности соревнования, то она была достаточно сбалансированной. Были задачи как стандартные, так и такие, которые открывали для меня новые области реверса. Самые важные навыки для меня — умение искать информацию и опыт, который я накопил за два года в реверсе.

Советую участвовать в CTF от «Доктор Веб» другим. Это отличная возможность проверить свои способности, научиться чему-то новому и просто поработать с интересными задачами.

12 декабря 2024 года

Dr.Web для UNIX-систем сочетает в себе стабильно высокое качество защиты и низкие требования к ресурсам, что делает решение подходящим для организаций любого размера. Благодаря собственным уникальным технологиям и многолетнему доверию со стороны ведущих компаний, мы уверены, что обеспечиваем надежную защиту важных корпоративных систем.

Dr.Web Mail Security Suite — программный продукт для проверки почтового трафика. Необходим для предотвращения распространения угроз и спама через входящую и исходящую электронную почту. Dr.Web Mail Security Suite не допустит, чтобы почта стала источником заражения или причиной утечки информации. Защита нацелена на блокировку угроз до того, как они попадут в корпоративную сеть и смогут нанести ущерб.

Работу Dr.Web Mail Security Suite можно интегрировать с песочницей Dr.Web vxCube, что позволит автоматически проверять почтовые вложения в реальном времени с получением детализированных отчетов по результатам анализа.

Dr.Web Gateway Security Suite — продукт для анализа интернет-трафика через протоколы HTTP, FTP, SMTP и POP3. Технология многопоточной проверки Dr.Web позволяет проводить ее рекордно быстро. С Dr.Web Gateway Security Suite организация получает гибкость в администрировании и свободу в реализации любых схем защиты, соответствующих внутренней политике безопасности.

Чтобы оставаться защищенным, обновите продукты Dr.Web для UNIX, следуя инструкции:

1. Убедитесь, что установлен пакет ´drweb-repo´.
2. В зависимости от системы:
   • Для RPM-пакетов скачайте и установите обновление:
     • # rpm -U drweb-repo11.1.rpm
   • Для DEB-пакетов:
     • # dpkg -i drweb-repo11.1.deb
     • # apt-get install -f
3. Если вы используете apt, импортируйте новый ключ:

   # wget https://repo.drweb.com/drweb/drweb.gpg -O /etc/apt/trusted.gpg.d/drweb.gpg

4. Завершите обновление штатным способом и подтвердите установку нового ключа, если потребуется.

Важно: все действия выполняются с правами суперпользователя (root).

Выполнять обновления необходимо в следующих программных продуктах:

• Dr.Web для Linux
• Dr.Web для интернет-шлюзов UNIX
• Dr.Web для файловых серверов UNIX
• Dr.Web для почтовых серверов UNIX
• Сканирующий сервер в составе Dr.Web Enterprise Security Suite 13.0.1
• Dr.Web Industrial для Linux
• Dr.Web Industrial для файловых серверов UNIX
• Сканирующий сервер в составе Cервера Dr.Web Industrial 13.0.1

10 декабря 2024 года

Исследование очередного киберинцидента позволило вирусным аналитикам «Доктор Веб» выявить идущую хакерскую кампанию, в ходе которой проявились многие современные тенденции, применяемые злоумышленниками.

В компанию «Доктор Веб» обратился клиент, который заподозрил факт взлома своей компьютерной инфраструктуры. Выполняя анализ полученных данных, наши вирусные аналитики выявили ряд аналогичных случаев заражения, что позволило сделать вывод о проведении активной кампании. Усилия хакеров в основном сосредоточены на регионе Юго-Восточной Азии. В ходе атак они применяют целый комплекс вредоносного ПО, которое задействуется на разных этапах. К сожалению, нам не удалось однозначно определить то, как был получен изначальный доступ к скомпрометированным машинам. Однако мы смогли восстановить всю дальнейшую картину атаки. Наиболее примечательна эксплуатация злоумышленниками технологии eBPF (extended Berkeley Packet Filter).

Технология eBPF была разработана с целью расширения возможностей контроля над сетевой подсистемой ОС Linux и работой процессов. Она продемонстрировала довольно большой потенциал, что привлекло внимание крупных IT-компаний: практически с самого момента ее появления в фонд eBPF Foundation вошли такие гиганты как Google, Huawei, Intel и Netflix, принявшие участие в ее дальнейшей разработке. Однако еBPF заинтересовались и хакеры.

Предоставляя обширные низкоуровневые возможности, EBPF может использоваться злоумышленниками для сокрытия сетевой активности и процессов, сбора конфиденциальной информации, а также обхода сетевых экранов и систем обнаружения вторжений. Высокая сложность детектирования такого вредоносного ПО позволяет использовать его в рамках целевых АРТ-атак и в течение долгого времени маскировать активность хакеров.

Именно такими возможностями и решили воспользоваться злоумышленники, загрузив на скомпрометированную машину сразу два руткита. Первым устанавливался eBPF-руткит, который скрывал факт работы другого руткита, выполненного в виде модуля ядра, а тот, в свою очередь, подготавливал систему к установке трояна удаленного доступа. Особенностью трояна является поддержка ряда технологий туннелирования трафика, что позволяет ему связываться со злоумышленниками из приватных сегментов сети и маскировать передачу команд.

Использование вредоносного eBPF ПО набирает обороты с 2023 года. Об этом свидетельствует появление на свет нескольких семейств вредоносного ПО, основанных на данной технологии, среди которых можно отметить Boopkit, BPFDoor и Symbiote. А регулярное выявление уязвимостей лишь усугубляет ситуацию. Так, на сегодняшний день известны 217 уязвимостей BPF, причем около 100 из них датированы 2024 годом.

Следующей необычной особенностью кампании является довольно креативный подход к хранению настроек трояна. Если раньше для подобных нужд чаще всего использовались выделенные серверы, то теперь все чаще можно встретить случаи, когда конфигурация вредоносного ПО хранится в открытом доступе на публичных площадках. Так, исследуемое ПО обращалось к платформам Github и даже к страницам одного китайского блога. Такая особенность позволяет меньше привлекать внимание к трафику скомпрометированной машины — ведь та взаимодействует с безопасным узлом сети, — а также не заботиться о поддержании доступа к управляющему серверу с настройками. В целом идея использования публично-доступных сервисов в качестве управляющей инфраструктуры не нова, и ранее хакеры уже применяли для этой цели Dropbox, Google Drive, OneDrive и даже Discord. Однако региональные блокировки этих сервисов в ряде стран, в первую очередь в Китае, делают их менее привлекательными с точки зрения доступности. При этом доступ к Github сохраняется у большинства провайдеров, что делает его предпочтительным в глазах взломщиков.

Настройки, хранящиеся на Gitlab и в блоге, посвященном безопасности. Курьезно, что во втором случае взломщик просит помощи в расшифровке стороннего кода, который в дальнейшем будет отправляться трояну в качестве аргумента одной из команд

Ещё одной особенностью данной кампании стало применение трояна в составе фреймворка для постэксплуатации, то есть комплекса ПО, применяемого на дальнейших этапах атаки после получения доступа к компьютеру. Сами по себе такие фреймворки не являются чем-то запрещённым — их используют компании, официально предоставляющие услуги по аудиту безопасности. Наиболее популярными инструментами являются Cobalt Strike и Metasploit, которые позволяют автоматизировать большое количество проверок и имеют встроенную базу уязвимостей.

Пример карты сети, построенной Cobalt Strike (источник: сайт разработчика)

Конечно, такие возможности высоко ценятся и в среде хакеров. В 2022 году широкому кругу лиц стала доступна взломанная версия ПО Cobalt Strike, что обеспечило всплеск хакерской активности. Значительная часть инфраструктуры Cobalt Strike размещена в Китае. Отметим, что разработчик предпринимает усилия по отслеживанию установок фреймворка, а серверы со взломанными версиями регулярно блокируются органами правопорядка. Поэтому в настоящее время наблюдается устойчивый тренд перехода к использованию фреймворков с открытым исходным кодом, которые изначально поддерживают возможность расширения и видоизменения сетевой активности между зараженным устройством и сервером управления. Такая стратегия является предпочтительной, так как позволяет не привлекать дополнительное внимание к инфраструктуре взломщиков.

По результатам расследования все выявленные угрозы были добавлены в наши базы вредоносного ПО, дополнительно в алгоритмы эвристика были внесены признаки вредоносных eBPF-программ.

Подробнее об Trojan.Siggen28.58279

Индикаторы компрометации

2 декабря 2024 года

Со 2 декабря 2024 г. по 31 марта 2025 г. «Доктор Веб» дарит уникальную возможность приобрести антивирусную защиту для ваших персональных устройств с выгодой. При единовременной покупке годовых лицензий на Dr.Web Security Space для 1 компьютера и Dr.Web Security Space для мобильных устройств для 1 устройства — вы получите скидку 10% на оба продукта.

Не упустите: комплект антивирусной защиты Dr.Web Security Space и Dr.Web Security Space для мобильных устройств всего за 1790 руб. вместо 1989 руб.

Антивирус Dr.Web — это надежная защита от всех типов киберугроз: вирусов, троянов, фишинга, кражи данных. Он фильтрует спам, гарантирует безопасность онлайн-платежей и защищает конфиденциальность ваших переписок в мессенджерах и не только.

Для каждого из акционных продуктов предусмотрен свой серийный номер, который будет необходимо зарегистрировать отдельно.

27 ноября 2024 года

«Доктор Веб» обновляет Dr.Web для мобильных устройств для операционной системы Android до версии 12.9.5. Изменения коснулись продуктов как для персонального, так и для профессионального использования.

«Доктор Веб» первой в России выпустила антивирусное ПО для мобильной операционной системы Android в 2010 году. На данный момент продукт скачан более 140 млн пользователями, и продолжает свое активное развитие обеспечивая безопасность не только смартфонов, но и Smart TV и игровых консолей на ОС Android. Количество детектируемых угроз для мобильных устройств постоянно растет, только в III квартале этого года более 1 300 000 пользователей из 197 стран мира пострадали от бэкдора Android.Vo1d.

Продукты Dr.Web для Android предоставляют защиту от:

• Новых, неизвестных вредоносных программ с помощью собственной технологии Origins Tracing;
• Утечек важной информации по сети с помощью брандмауэра Dr.Web;
• Вредоносных и нежелательных ресурсов в сети Интернет с помощью компонента URL-фильтр;
• Уязвимостей в устройстве, а также небезопасных настроек с помощью компонента Аудитор Безопасности.

Помимо защиты от распространяемых угроз, также есть дополнительный функционал - Фильтр звонков и СМС, который позволит избавиться от нежелательных спам-звонков и рассылок, Родительских контроль, который позволит ограничивать посещаемые веб-сайты и используемые приложения на устройствах детей и пожилых родственников.

Полный список изменений, вошедших в данное обновление отображен на отдельной странице - Changelog.

Обращаем внимание пользователей, если ваш антивирус был установлен с нашего сайта или работает в режиме централизованного управления: для обновления потребуется переустановка приложения. В остальных случаях обновление пройдет автоматически.

Скачать бесплатную демоверсию Dr.Web Security Space для мобильных устройств на 14 дней можно на этой странице.

20 ноября 2024 года

«Доктор Веб» дает старт черной пятнице, которая продлится неделю — с 20 по 26 ноября. Именно в эти дни комплексная защита Dr.Web Security Space для 1 компьютера на 2 года доступна со скидкой 20%!

Стоимость акционной лицензии составит всего 2319,20 рублей вместо обычных 2899,00 рублей.

Dr.Web Security Space защитит ваш компьютер от всех типов интернет-угроз, не позволит злоумышленникам украсть ваши персональные данные, отфильтрует спам и обеспечит безопасность онлайн-платежей.

Воспользоваться выгодным предложением можно здесь.

11 ноября 2024 года

Задачей многих троянов Android.FakeApp является переход по ссылкам на различные сайты, и с технической точки зрения такие вредоносные программы довольно примитивны. При запуске они получают команду на открытие заданного веб-адреса, в результате чего установившие их пользователи вместо ожидаемой программы или игры видят на экранах своих устройств содержимое нежелательного сайта. Однако иногда среди таких подделок все же встречаются примечательные образцы — такие как Android.FakeApp.1669. От большинства подобных угроз он отличается использованием модифицированной библиотеки dnsjava, с помощью которой получает конфигурацию с вредоносного DNS-сервера, содержащую целевую ссылку. При этом такая конфигурация поступает ему только при подключении к интернету через определенных провайдеров — например, мобильного интернета. В иных же случаях троян никак себя не проявляет.

Android.FakeApp.1669 представлен большим числом модификаций, которые под видом тех или иных приложений распространяются в том числе через каталог Google Play. Так, известные в настоящий момент варианты трояна были загружены из официального электронного магазина ОС Android по меньшей мере 2 160 000 раз.

Примеры программ, в которых скрывался Android.FakeApp.1669

Ниже перечислены варианты Android.FakeApp.1669, которые вирусные аналитики «Доктор Веб» выявили в Google Play. Наши специалисты обнаружили больше троянских программ, но часть из них в этом магазине приложений уже отсутствует.

При запуске Android.FakeApp.1669 выполняет DNS-запрос к управляющему серверу для получения TXT-записи, ассоциированной с именем целевого домена. В свою очередь, сервер отдает эту запись трояну, только если зараженное устройство подключено к Сети через целевых провайдеров, среди которых — провайдеры мобильного интернета. Такие TXT-записи обычно содержат сведения о домене и некоторую другую техническую информацию, однако в случае с Android.FakeApp.1669 в ней находится закодированная конфигурация для вредоносной программы.

Для отправки DNS-запросов Android.FakeApp.1669 использует модифицированный код Open Source-библиотеки dnsjava.

Все модификации трояна привязаны к конкретным доменным именам, что позволяет DNS-серверу передавать каждой из них свою конфигурацию. Более того, имена субдоменов целевых доменов уникальны для каждого зараженного устройства. В них закодированы данные об устройстве, в том числе чувствительные:

• модель и бренд устройства;
• размеры экрана;
• идентификатор (состоит из двух чисел: первое — время установки троянского приложения, второе — случайное число);
• заряжается ли батарея и каков текущий процент ее заряда;
• включены ли настройки разработчика.

Например, вариант Android.FakeApp.1669, который скрывается в приложении Goal Achievement Planner, при анализе запросил у сервера TXT-запись для домена 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com., вариант из программы Split it: Checks and Tips — запись для домена 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital., а вариант из DessertDreams Recipes — для домена 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com..

Пример TXT-записи целевого домена, которую DNS-сервер отдал при запросе через Linux-утилиту dig при анализе одной из модификаций Android.FakeApp.1669

Для расшифровки содержимого этих TXT-записей необходимо выполнить следующие шаги:

• перевернуть строку;
• декодировать Base64;
• разжать gzip;
• разбить на строки по символу ÷.

В результате получатся данные следующего вида (пример ниже относится к TXT-записи для приложения Goal Achievement Planner):

url
hxxps[:]//goalachievplan[.]pro
af_id
DF3DgrCPUNxkkx7eiStQ6E
os_id
f109ec36-c6a8-481c-a8ff-3ac6b6131954

В них содержится ссылка, которую троян загружает в WebView внутри своего окна поверх основного интерфейса. Эта ссылка ведет на сайт, запускающий длинную цепочку перенаправлений, в конце которой оказывается сайт онлайн-казино. В результате Android.FakeApp.1669 фактически превращается в веб-приложение, которое демонстрирует содержимое загруженного веб-сайта, а не ту функциональность, которая заявлена на странице приложения в Google Play.

Вредоносная программа вместо ожидаемой функциональности отобразила содержимое загруженного сайта онлайн-казино

В то же время, когда трояну доступно интернет-соединение не через целевых поставщиков (а также в офлайн-режиме), он работает как обещанная программа — при условии, если создатели той или иной модификации предусмотрели какую-либо функциональность на такой случай.

Троян не получил конфигурацию от управляющего сервера и запустился как обычная программа

Dr.Web Security Space для мобильных устройств успешно детектирует и удаляет все известные модификации Android.FakeApp.1669, поэтому для наших пользователей этот троян опасности не представляет.

Индикаторы компрометации

Подробнее об Android.FakeApp.1669

30 октября 2024 года

«Доктор Веб» ведет долгое и плодотворное сотрудничество с компанией «Открытая мобильная платформа» — разработчиком ОС Аврора. В 2020 году Dr.Web стал первым антивирусом для данной отечественной операционной системы, а в 2023 году устройства на ОС Аврора с предустановленным Dr.Web Mobile Security Suite стали доступны не только для представителей госсектора и бизнеса, но и для обычных пользователей.

Поддержка и взаимодействие с российскими разработчиками - одни из наших главных приоритетов.

Новая версия продукта Dr.Web Mobile Security Suite совместима с Аврора 5.1.0 и с более поздними сборками версии 5.

Продукт Dr.Web Mobile Security Suite версии 3.1 доступен сразу для двух архитектур — AArch64 и ARMv7hl. Основное их различие в том, что AArch64 поддерживает 64-битные операции, а ARMv7hl — 32-битные. Поддержка обеих архитектур позволяет охватить наибольшее количество устройств. Также все версии продукта продолжают поддерживать взаимодействие с «Аврора Центр» - данное программное обеспечение предназначено для централизованного управления мобильными устройствами на ОС Аврора и Android.

Обращаем внимание пользователей, что для скачивания доступно две версии продукта 3.1 - отдельно для ОС Аврора версии 4 и отдельно для версии 5.

Скачать Dr.Web Mobile Security Suite (Аврора) теперь можно с сайта, для установки рекомендуем воспользоваться инструкцией.