Virus troyano, estudiemos qué se eliminaría correctamente. Virus, gusanos, troyanos ¿Qué es un virus caballo de Troya, por qué es dañino para una computadora?

Un virus troyano o simplemente un "troyano" se denomina correctamente troyano. Un troyano es un tipo de software malicioso diseñado para degradar una computadora hasta el punto de falla total. A veces, los troyanos también se denominan caballos de Troya. El nombre "troyano" está asociado con antiguos guerreros que anteriormente vivían en el país de la antigua Troya y se extinguieron durante tres siglos. Sin embargo, los propios habitantes se llamaban Tevkras. Podían golpear rápida y poderosamente sus espadas al enemigo. Muchos han escuchado el nombre de "caballo de Troya". Si crees en las leyendas, este no es un caballo vivo bajo el mando de los Teucres, sino un enorme caballo especialmente construido durante la época del gran guerrero troyano.

El mismo nombre del virus troyano proviene de este mismo caballo de Troya: sus métodos de ataque son casi idénticos. Las leyendas dicen que fue a causa del caballo de Troya que cayó Troya. Como se mencionó anteriormente, un troyano tiene los mismos objetivos: primero penetra en una computadora y luego intenta deshabilitarla, transferir información legalmente a otra persona, interrumpir el rendimiento de la computadora o usar los recursos de la computadora para malos propósitos.

¿Qué son los troyanos?

Hay muchos nombres. troyano Programa malicioso, troyano. Winlock, Pinch, TDL - 4. Estrictamente hablando, los troyanos no son virus en sí mismos, sino su familia, que ya incluye a los propios virus. Pero TDL - 4 ya es un programa.

El objetivo de TDL-4 es derrotar a la computadora, después de lo cual otro usuario que usa Internet puede controlar la computadora infectada. La similitud de la acción se asemeja al programa Team Viewer, pero a diferencia de TDL - 4, este programa es completamente legal y el usuario puede ver en el monitor lo que está haciendo otro usuario en este momento. Además, si es necesario, se puede interrumpir la conexión.

Pinch es un virus muy, muy peligroso. Opera en tres etapas. Primero, ingresa a la computadora y descarga los archivos que necesita para trabajar. El tamaño del virus no supera los 25 KB. A continuación, Pinch recopila absolutamente toda la información sobre la computadora del usuario: dónde se almacenan los archivos, qué poder tiene el usuario de la tarjeta de video, la tarjeta de sonido y el procesador. También recopila información sobre navegadores instalados, antivirus, una lista de programas instalados y datos sobre el cliente FTP del usuario. Todo esto pasa desapercibido. Después de recopilar información, Pinch se empaqueta en un archivo y se adjunta a él en la primera letra. Durante la transmisión de la carta, Pinch se separa y se dirige a la computadora del hacker. Después de eso, el pirata informático puede descifrar la información utilizando el programa Parser y utilizar esta información para sus propios fines.

Además de los troyanos y los gusanos, existen otras clasificaciones de software malicioso (software), como los rootkits (Root-kit). Su objetivo es apoderarse de los derechos de administrador en la computadora del usuario y luego usarlos para sus propios fines.

¿Cómo deshacerse de los troyanos?

De la misma manera que con todos los virus, escanee su computadora en busca de virus. Sin embargo, no todos los antivirus detectan absolutamente todos los virus. A veces, para que el antivirus no encuentre el "antivirus", basta con cambiar su nombre y ubicación estándar en el disco duro. Por lo tanto, los desarrolladores inteligentes han ideado antivirus creados especialmente para cierto tipo de virus. Los antivirus pueden detectar y tratar muchos gusanos en una computadora, pero son completamente inútiles contra los rootkits y viceversa.

Los principales luchadores contra los troyanos y otros programas maliciosos son: Kaspersky Anti-Virus, Dr.Web, Eset(Nod32). Versiones pagas de las cuales se pueden comprar.

Una de las mayores molestias para los usuarios de Internet es el "caballo de Troya", un virus que los intrusos propagan en la red. Y aunque los desarrolladores de software antivirus están constantemente modificando sus programas, haciéndolos más confiables, el problema sigue ahí, porque los hackers tampoco se quedan quietos.

Después de leer este artículo, aprenderá cómo proteger su computadora para que no ingrese un troyano y también aprenderá cómo eliminar este virus si termina en su dispositivo.

¿Qué es un "caballo de Troya"?

El nombre de este virus está tomado de una leyenda que dice que los griegos hicieron un caballo de madera, dentro del cual se escondían los guerreros.

Luego, esta estructura fue entregada a las puertas de Troya (de ahí el nombre), supuestamente como un signo de reconciliación. Por la noche, los soldados griegos abrieron las puertas de la ciudad enemiga e infligieron una aplastante derrota al enemigo.

Un virus informático funciona de la misma manera. Los atacantes a menudo disfrazan un caballo de Troya como un programa regular que, cuando se descarga, infiltra malware en su computadora.

Este virus se diferencia de otros en que no se reproduce espontáneamente, sino que te llega como resultado del ataque de un hacker. En la mayoría de los casos, descarga un troyano en su dispositivo sin saberlo.

El "caballo de Troya" es un virus que puede causar muchos problemas al usuario. Siga leyendo para averiguar cuáles podrían ser las consecuencias.

Signos de infección

Si su computadora fue atacada por un troyano, puede averiguarlo mediante los siguientes cambios en su computadora:

• Primero, el dispositivo comenzará a reiniciarse sin su comando.
• En segundo lugar, cuando un "caballo de Troya" penetra en una computadora, el rendimiento del dispositivo se reduce significativamente.
• En tercer lugar, el spam se envía desde su casilla de correo electrónico.
• En cuarto lugar, se abren ventanas desconocidas con pornografía o publicidad de cualquier producto.
• En quinto lugar, el sistema operativo no se inicia y, si la descarga aún se realiza correctamente, aparece una ventana que le pide que transfiera dinero a la cuenta especificada para desbloquear el sistema.

Además de todos los problemas anteriores, existe otro: la pérdida de dinero de una billetera electrónica o información confidencial. Si nota que esto le sucedió, luego de eliminar el troyano, debe cambiar inmediatamente todas las contraseñas.

"Caballo de Troya" (virus). ¿Cómo eliminarlo de la computadora?

Por supuesto, la penetración de un "caballo de Troya" puede causar un daño significativo al usuario (por ejemplo, financieramente), pero dado que este es un tipo de virus bastante común, puede deshacerse de él usando cualquier antivirus popular (Kaspersky, Avast , Avira, etc.).

Si sospecha que su computadora ha sido atacada por un troyano, inicie su dispositivo en modo seguro y escanee su sistema con un programa antivirus. Ponga en cuarentena el malware detectado o elimínelo inmediatamente. Después de eso, abra la sección "Programas y características" y elimine las aplicaciones sospechosas que no instaló.

A veces, el caballo de Troya también bloquea el programa antivirus. Este virus se actualiza constantemente, por lo que existen tales situaciones. En este caso, puede utilizar una de las utilidades especiales, como SuperAntiSpyware o Spyware Terminator. En general, encuentre un programa que se adapte a sus necesidades y luego utilícelo para eliminar el troyano.

Conclusión

Ahora ya sabes lo que es un "caballo de Troya". Usted mismo puede eliminar el virus discutido en este artículo si llega a su computadora.

Por supuesto, es mejor que no le suceda ese problema, pero para esto necesita instalar un buen programa antivirus, actualizar regularmente su base de datos, monitorear cuidadosamente las advertencias del programa y tampoco visitar ni descargar nada de recursos sospechosos.

Antes de descomprimir cualquier archivo descargado, asegúrese de verificarlo con un antivirus. También verifique las unidades flash: no deben contener archivos ocultos. Recuerde: un troyano puede causar muchos problemas, así que tome todas las medidas para identificarlo de manera responsable.

a recursos de red remotos). Los troyanos se distinguen por la ausencia de un mecanismo para crear sus propias copias.

Algunos troyanos son capaces de atravesar de forma autónoma la protección de un sistema informático para infiltrarse e infectar el sistema. En el caso general, un troyano ingresa al sistema junto con un virus o gusano, como resultado de las acciones descuidadas del usuario o de las acciones activas de un atacante.

La mayoría de los troyanos están diseñados para recopilar información confidencial. Su tarea, en la mayoría de los casos, es realizar acciones que permitan el acceso a datos que no están sujetos a una amplia publicidad. Dichos datos incluyen contraseñas de usuario, números de registro de programas, información de cuentas bancarias, etc. Otros troyanos se crean para causar daños directos a un sistema informático, dejándolo inoperable.

Tipos de troyanos

Los tipos de troyanos más comunes son:

• Keyloggers (Trojan-SPY)- Troyanos que están constantemente en la memoria y guardan todos los datos provenientes del teclado para luego transferir estos datos a un atacante. Por lo general, de esta manera, el atacante intenta averiguar contraseñas u otra información confidencial.
• Ladrones de contraseñas (Trojan-PSW)- Troyanos, también diseñados para obtener contraseñas, pero no utilizan rastreo de teclado. Por lo general, estos troyanos implementan métodos para extraer contraseñas de archivos en los que varias aplicaciones almacenan estas contraseñas.
• Utilidades de gestión remota (puerta trasera)- Troyanos que proporcionan control remoto completo sobre la computadora del usuario. Existen utilidades legales de la misma naturaleza, pero se diferencian en que anuncian su finalidad durante la instalación o se entregan con documentación que describe sus funciones. Las utilidades de control remoto de troyanos, por el contrario, no revelan su propósito real de ninguna manera, por lo que el usuario ni siquiera sospecha que su computadora está bajo el control de un atacante. La utilidad de control remoto más popular - Back Orifice
• Proxies y servidores smtp anónimos (Trojan-Proxy)- Troyanos que actúan como servidores de correo o proxies y se utilizan en el primer caso para el envío de spam y en el segundo caso para encubrir los rastros de los hackers.
• Modificadores de configuración del navegador (Trojan-Cliker)- Troyanos que cambian la página de inicio en el navegador, la página de búsqueda o cualquier otra configuración para organizar el acceso no autorizado a los recursos de Internet
• Otros instaladores de malware (Trojan-Dropper) Troyanos que permiten a un atacante instalar otros programas de forma encubierta
• Descargadores de software malicioso (Trojan Downloader)- Troyanos diseñados para descargar nuevas versiones de malware o adware en la computadora de la víctima
• Notificadores de ataques exitosos (Trojan-Notifier)- Los troyanos de este tipo están diseñados para informar a su "propietario" sobre una computadora infectada
• "Bombas" en los archivos (ARCBomb)- Troyanos, que son archivos especialmente diseñados para causar un comportamiento anormal de los archivadores cuando intentan descomprimir datos - congelamiento o ralentización significativa de la computadora, llenando el disco con una gran cantidad de datos "vacíos"
• Bombas Lógicas- más a menudo no tanto troyanos como componentes troyanos de gusanos y virus, cuya esencia es realizar una determinada acción bajo ciertas condiciones (fecha, hora del día, acciones del usuario, comando desde el exterior), por ejemplo, destrucción de datos
• Utilidades del marcador- un tipo de troyano relativamente nuevo, que es una utilidad de acceso telefónico para acceder a Internet a través de servicios de correo pagados. Dichos troyanos se registran en el sistema como marcadores por defecto y conllevan grandes facturas por el uso de Internet.

Cómo funcionan los troyanos

Todos los caballos de Troya tienen dos partes: cliente y servidor. El cliente gestiona la parte del servidor del programa utilizando el protocolo TCP/IP. El cliente puede tener una interfaz gráfica y contener un conjunto de comandos para administración remota.

La parte del servidor del programa se instala en la computadora de la víctima y no contiene una interfaz gráfica. La parte del servidor está diseñada para procesar (ejecutar) comandos de la parte del cliente y transferir los datos solicitados al atacante. Después de ingresar al sistema y tomar el control, la parte del servidor del troyano escucha en un puerto determinado, verifica periódicamente la conexión a Internet y, si la conexión está activa, espera los comandos de la parte del cliente. Un atacante que usa un cliente hace ping a un puerto específico de un host infectado (la computadora de la víctima). Si la parte del servidor se ha instalado, responderá con una confirmación al ping de que está lista para funcionar y, tras la confirmación, la parte del servidor informará al atacante de la dirección IP de la computadora y su nombre de red, después de lo cual la conexión. se considera establecida. Tan pronto como se haya establecido una conexión con el Servidor, el Cliente puede enviarle comandos, que el Servidor ejecutará en la máquina víctima. Además, muchos troyanos se conectan a la computadora del atacante, que está configurada para aceptar conexiones, en lugar de que el atacante mismo intente conectarse con la víctima.

Troyanos conocidos

2019

El troyano Casbaneiro persiguió a usuarios de criptomonedas brasileños y mexicanos

Al igual que Amavaldo, el troyano Casbaneiro utiliza ventanas emergentes y formularios para engañar a las víctimas. Dichos métodos de ingeniería social están dirigidos a las emociones primarias: una persona se ve obligada a tomar una decisión con urgencia, sin dudarlo. El motivo puede ser una actualización de software, verificación de tarjeta de crédito o una solicitud de un banco.

Una vez infectado, Casbaneiro restringe el acceso a varios sitios web bancarios, además de monitorear las pulsaciones de teclas y tomar capturas de pantalla. Además, el troyano monitorea el portapapeles: si el malware ve los datos personales de una billetera de criptomonedas, reemplaza la dirección del destinatario con la billetera del estafador.

La familia Casbaneiro utiliza muchos algoritmos sofisticados para enmascarar código, descifrar componentes descargados y descifrar datos de configuración. El principal método de distribución de Casbaniero es a través del phishing malicioso, al igual que el de Amavaldo.

El 8 de octubre de 2019, se supo que especialistas del laboratorio de virus Doctor Web descubrieron una copia del sitio web del Servicio Federal de Alguaciles (FSSP) de Rusia. Los piratas utilizan un sitio falso para infectar a los usuarios con el troyano Trojan.DownLoader28.58809.

Como se informó, los especialistas encontraron una copia del sitio web FSSP de Rusia en 199.247.***.***. Exteriormente, el falso es casi el mismo que el original, pero, a diferencia del sitio oficial, algunos elementos se muestran incorrectamente.

Al intentar seguir algunos de los enlaces del sitio, el usuario será redirigido a una página con una advertencia sobre la necesidad de actualizar Adobe Flash Player. Al mismo tiempo, se descargará un archivo .exe en el dispositivo del usuario, al ejecutarlo, se instalará Trojan.DownLoader28.58809.

Este troyano está configurado para cargarse automáticamente en el sistema del usuario, se conecta al servidor de comando y control y descarga otro módulo malicioso, Trojan.Siggen8.50183. Además, se descarga un archivo en el dispositivo del usuario que tiene una firma digital válida de Microsoft y está diseñado para iniciar la biblioteca maliciosa principal. Después de eso, Trojan.Siggen8.50183 recopila información sobre el sistema del usuario y la envía al servidor de comando y control. Una vez instalado, el troyano siempre se ejecutará en el dispositivo del usuario y podrá realizar diversas acciones a pedido del servidor de comando y control.

Una vez lanzado en el dispositivo de la víctima, el troyano puede:

• obtener información sobre los discos;
• obtener información sobre un archivo;
• obtener información sobre la carpeta (descubra la cantidad de archivos, subcarpetas y su tamaño);
• obtener una lista de archivos en una carpeta;
• borrar archivos;
• crear una carpeta;
• mover archivo;
• iniciar el proceso;
• detener el proceso;
• obtener una lista de procesos.

A partir de octubre de 2019, los piratas informáticos aún no han lanzado campañas virales a gran escala utilizando un sitio falso, pero podría usarse en ataques contra usuarios individuales u organizaciones.

Todas las versiones de este troyano son detectadas y eliminadas por el antivirus Dr.Web.

Android Trojan Fanta robó 35 millones de rublos en Rusia Under the gun - Usuarios de Avito

El 17 de septiembre de 2019, la empresa Group-IB informó que sus especialistas repararon la campaña del troyano Android FANTA que atacaba a clientes de 70 bancos, sistemas de pago, billeteras web en Rusia y los países de la CEI. El troyano se dirige a los usuarios que publican anuncios de compra y venta en el servicio de Internet Avito. Solo desde principios de 2019, el daño potencial de FANTA en Rusia ascendió a al menos 35 millones de rublos.

A pesar de que desde 2015 se conocen y estudian en detalle diversas variaciones de la familia Flexnet de troyanos para Android, el propio troyano y su infraestructura asociada están en constante evolución: los atacantes desarrollan nuevos esquemas de distribución efectivos, agregan funcionalidades que hacen posible robar dinero de manera más efectiva de los dispositivos infectados y eludir las defensas.

La campaña grabada utiliza páginas de phishing de alta calidad bajo el popular servicio de Internet Avito y está dirigida a usuarios que colocan anuncios para la venta. El esquema funciona así: algún tiempo después de la publicación, el vendedor recibe un SMS nominal sobre la "transferencia" a su cuenta del monto requerido: el costo total de los bienes. Se le invita a ver los detalles de pago en el enlace.

Un vendedor satisfecho hace clic en el enlace: se abre una página de phishing, falsificada como la página real de Avito, que notifica al vendedor sobre la compra y contiene una descripción de su producto y el monto recibido de la "venta" del producto. Después de hacer clic en el botón "Continuar", el APK malicioso de FANTA, disfrazado de la aplicación Avito, se descarga en el teléfono del usuario. Tal disfraz adormece la vigilancia del usuario e instala una aplicación maliciosa. Los datos de las tarjetas bancarias se obtienen de la manera estándar para los troyanos de Android: al usuario se le muestran ventanas de phishing que se hacen pasar por aplicaciones móviles legítimas de los bancos, donde la propia víctima ingresa los datos de su tarjeta bancaria.

FANTA analiza qué aplicaciones se ejecutan en el dispositivo infectado. Al abrir la aplicación de destino, el troyano muestra una ventana de phishing encima de todas las demás, que es un formulario para ingresar información sobre una tarjeta bancaria. El usuario debe ingresar los siguientes datos: número de tarjeta, fecha de vencimiento de la tarjeta, CVV, nombre del titular de la tarjeta (no para todos los bancos).

Al examinar el troyano, se descubrió que, además de mostrar páginas de phishing preparadas previamente, Fanta también lee el texto de las notificaciones de unas 70 aplicaciones de bancos, sistemas de pago rápido y billeteras electrónicas.

Las páginas de phishing bajo el servicio de Internet para colocar anuncios Avito, analizadas por expertos de Group-IB Threat Hunting Intelligence, indican que fueron preparadas específicamente para una víctima específica.

Al estudiar el troyano, se descubrió que, además de Avito, los desarrolladores de FANTA se dirigen a usuarios de alrededor de 30 servicios de Internet diferentes, incluidos AliExpress, Yula, Pandao, Aviasales, Booking, Trivago, así como servicios de taxis y autos compartidos, etc.

FANTA funciona en todas las versiones de Android 4.4 o superior. Al igual que otros troyanos de Android, FANTA puede leer y enviar SMS, realizar solicitudes de USSD y mostrar sus propias ventanas en la parte superior de las aplicaciones. Sin embargo, en la campaña registrada, el troyano móvil pasó a utilizar AccessibilityService (un servicio para personas con discapacidad), que le permite leer el contenido de las notificaciones de otras aplicaciones, evitar la detección y detener la ejecución del troyano en el dispositivo infectado. .

El troyano "verifica" el tipo de dispositivo, luego de lo cual muestra un mensaje en la pantalla del teléfono inteligente del usuario, aparentemente sobre una falla del sistema. Después de eso, al usuario se le muestra la ventana "Seguridad del sistema", una solicitud para otorgar derechos para usar el Servicio de accesibilidad. Después de recibir los derechos, la aplicación, sin ayuda externa, también recibe los derechos para otras acciones en el sistema, emulando las pulsaciones de teclas del usuario.

Una función importante de FANTA, a la que los creadores prestaron especial atención, es eludir las herramientas antivirus en un teléfono inteligente Android. Así es como el troyano impide que el usuario inicie aplicaciones: Clean, Meizu Applicatiom Permission Management, MIUI Security, Kaspersky Antivirus AppLock & Web Security Beta, Mobile AntiVirus Security PRO, AVG Protection for Xperia, Samsung Smart Manager, Dr.Web Mobile Control Center , Dr.Web Security Space Life, Kaspersky Internet Security y otros.

El troyano bancario Amavaldo utiliza capturas de pantalla para robar información

El 8 de agosto de 2019, la empresa internacional de antivirus ESET anunció que había estudiado una serie de troyanos bancarios que atacan a los usuarios en América Latina.

Los troyanos clicker son malware común diseñado para estafar visitas a sitios web y monetizar el tráfico en línea. Imitan las acciones de los usuarios en las páginas web haciendo clic en los enlaces y otros elementos interactivos ubicados en ellas.

El troyano es un módulo malicioso denominado Android.Click.312.origin según la clasificación Dr.Web. Está integrado en aplicaciones comunes: diccionarios, mapas en línea, reproductores de audio, escáneres de códigos de barras y otro software. Todos estos programas son funcionales y parecen inofensivos para los propietarios de dispositivos Android. Además, cuando se lanzan, Android.Click.312.origin inicia actividad maliciosa solo después de 8 horas, para no despertar sospechas entre los usuarios.

Una vez que se inicia, el troyano envía la siguiente información sobre el dispositivo infectado al servidor de comando y control:

• fabricante y modelo;
• Versión del sistema operativo ;
• el país de residencia del usuario y el idioma predeterminado del sistema;
• identificador de agente de usuario;
• nombre del operador móvil;
• tipo de conexión a Internet;
• opciones de pantalla;
• zona horaria;
• información sobre la aplicación en la que está incrustado el troyano.

En respuesta, el servidor le envía la configuración necesaria. Algunas de las funciones de la aplicación maliciosa se implementan mediante la reflexión, y estas configuraciones contienen los nombres de métodos y clases, junto con sus parámetros. Esta configuración se usa, por ejemplo, para registrar un receptor de transmisión y un observador de contenido, que Android.Click.312.origin usa para monitorear las instalaciones y actualizaciones de software.

Cuando el cliente de Play Market instala una aplicación o descarga un archivo apk, el troyano envía información sobre este programa al servidor de comando y control junto con algunos datos técnicos sobre el dispositivo. En respuesta, Android.Click.312.origin recibe las direcciones de los sitios que luego abre en WebViews invisibles, así como los enlaces que carga en el navegador o en el catálogo de Google Play.

Por lo tanto, según la configuración del servidor de control y las instrucciones recibidas de él, el troyano no solo puede anunciar aplicaciones en Google Play, sino también descargar silenciosamente cualquier sitio, incluidos aquellos con anuncios (incluidos videos) u otro contenido dudoso. Por ejemplo, después de instalar aplicaciones en las que se incrustó este troyano, los usuarios se quejaron de las suscripciones automáticas a los costosos servicios del proveedor de contenido.

Los especialistas de Doctor Web no pudieron recrear las condiciones para la descarga de dichos sitios por parte del troyano, sin embargo, la posible implementación de este esquema fraudulento en el caso de Android.Click.312.origin es bastante simple. Dado que el troyano le informa al servidor de control información sobre el tipo de conexión a Internet actual, si hay una conexión a través de la red del operador móvil, el servidor puede enviar un comando para abrir el sitio web de uno de los servicios asociados que admiten la tecnología WAP-Click. . Esta tecnología simplifica la conexión de varios servicios premium, pero a menudo se usa para suscribir ilegalmente a los usuarios a servicios premium. La empresa cubrió el problema especificado en 2017 y 2018. En algunos casos, no se requiere la confirmación del usuario para conectar un servicio innecesario: un script publicado en la misma página o el propio troyano pueden hacerlo por ellos. Él "pulsará" el botón de confirmación. Y dado que Android.Click.312.origin abrirá la página de dicho sitio en un WebView invisible, todo el procedimiento se llevará a cabo sin el conocimiento y la participación de la víctima.

El troyano de puerta trasera se hace pasar por software de actualización de interfaz gráfica de usuario OpenGL ES

El troyano Node.js extrae la criptomoneda TurtleCoin

Estas notificaciones son compatibles con navegadores de PC y portátiles y dispositivos móviles. Por lo general, la víctima llega a un recurso dudoso de spammers haciendo clic en un enlace especialmente diseñado o en un banner publicitario. Android.FakeApp.174 es uno de los primeros troyanos que "ayuda" a los atacantes a aumentar el número de visitantes a estos sitios y suscribir a los usuarios de teléfonos inteligentes y tabletas a este tipo de notificaciones.

Android.FakeApp.174 se distribuye bajo la apariencia de programas útiles, por ejemplo, software oficial de marcas conocidas. Los analistas de virus de Doctor Web descubrieron dos modificaciones de este tipo del troyano a principios de junio en el catálogo de Google Play. Después de contactar a Google, el malware fue eliminado, pero más de 1100 usuarios lograron descargarlo.

Cuando se inicia, el troyano carga un sitio web en el navegador Google Chrome, cuya dirección se especifica en la configuración de la aplicación maliciosa. Desde este sitio, de acuerdo con sus parámetros, se realizan a su vez varios redireccionamientos a las páginas de varios programas de afiliados. En cada uno de ellos, se solicita al usuario que permita recibir notificaciones. Para convencer a la víctima, se le dice a la víctima que se está realizando algún tipo de verificación (por ejemplo, que el usuario no es un robot), o simplemente se le da una pista sobre qué botón del cuadro de diálogo debe presionar. Esto se hace para aumentar el número de suscripciones exitosas.

Después de activar la suscripción, los sitios comienzan a enviar al usuario numerosas notificaciones de contenido dudoso. Vienen incluso si el navegador está cerrado y el troyano ya se ha eliminado, y se muestran en la barra de estado del sistema operativo. Su contenido puede ser cualquier cosa. Por ejemplo, notificaciones falsas sobre la recepción de ciertos bonos en efectivo o transferencias, sobre mensajes recibidos en redes sociales, publicidad de horóscopos, casinos, bienes y servicios, e incluso “noticias” varias.

Muchos de ellos parecen notificaciones reales de servicios y aplicaciones en línea reales que se pueden instalar en el dispositivo. Por ejemplo, muestran el logo de un banco, sitio de citas, agencia de noticias o red social, además de un atractivo banner. Los propietarios de dispositivos Android pueden recibir docenas de este tipo de mensajes de spam por día.

A pesar de que estas notificaciones también contienen la dirección del sitio de donde provienen, es posible que un usuario no preparado simplemente no lo note o no le dé mucha importancia.

Al hacer clic en dicha notificación, se redirige al usuario a un sitio con contenido cuestionable. Pueden ser anuncios de casinos, casas de apuestas y varias aplicaciones en Google Play, ofertas de descuentos y cupones, encuestas en línea falsas y sorteos de premios ficticios, un sitio agregador de enlaces de socios y otros recursos en línea que varían según el país de residencia del usuario.

Muchos de estos recursos están involucrados en conocidos esquemas fraudulentos de robo de dinero, sin embargo, los atacantes pueden organizar un ataque en cualquier momento para robar datos confidenciales. Por ejemplo, enviando una notificación “importante” a través del navegador en nombre de un banco o una red social. Una víctima potencial puede confundir una notificación falsa con una real, hacer clic en ella e ir a un sitio de phishing, donde se le pedirá que proporcione un nombre, nombre de usuario, contraseña, dirección de correo electrónico, número de tarjeta bancaria y otra información confidencial.

Los expertos de Doctor Web creen que los ciberdelincuentes utilizarán más activamente este método de promoción de servicios dudosos, por lo que cuando visiten sitios web, los usuarios de dispositivos móviles deben leer detenidamente su contenido y no suscribirse a las notificaciones si el recurso no les resulta familiar o parece sospechoso. Si ya se ha suscrito a las notificaciones de spam no deseadas, debe hacer lo siguiente:

• vaya a la configuración de Google Chrome, seleccione la opción "Configuración del sitio" y luego - "Notificaciones";
• en la lista de sitios web y notificaciones que aparece, busque la dirección del recurso de su interés, haga clic en él y seleccione la opción "Borrar y restablecer".

Este troyano aún no ha sido detectado por antivirus de ningún proveedor de software de seguridad. Se distribuyó a través de una serie de exploits basados ​​en secuencias de comandos del centro de control, incluida la octava vulnerabilidad más explotada: inyección de comandos en encabezados HTTP. Los investigadores de Check Point consideran que Speakup es una amenaza grave porque puede usarse para descargar y distribuir cualquier tipo de malware.

En enero, las primeras cuatro líneas de la clasificación de los programas maliciosos más activos fueron ocupadas por criptomineros. Coinhive sigue siendo el principal malware que ataca al 12 % de las organizaciones en todo el mundo. XMRig fue nuevamente el segundo malware más común (8 %), seguido de Cryptoloot (6 %). Aunque cuatro criptomineros aparecen en el informe de enero, la mitad de todas las formas maliciosas entre las diez principales se pueden usar para descargar malware adicional en las máquinas infectadas.

El malware más activo en enero de 2019:

(Las flechas muestran el cambio de posición con respecto al mes anterior).

• ↔ Coinhive (12%) - un criptominero diseñado para la minería en línea de la criptomoneda Monero sin el conocimiento del usuario cuando visita una página web. El JavaScript incorporado utiliza una gran cantidad de recursos informáticos de las computadoras de los usuarios finales para la minería y puede causar fallas en el sistema.
• ↔ XMRig (8 %): software de código abierto descubierto por primera vez en mayo de 2017. Se utiliza para minar la criptomoneda Monero.
• Cryptoloot (6%): un criptominero que utiliza la potencia de la CPU o la tarjeta de video de la víctima y otros recursos para extraer criptomonedas, el malware agrega transacciones a la cadena de bloques y emite una nueva moneda.

Cuando el usuario instala y ejecuta la aplicación maliciosa, aparecerá una ventana emergente en la pantalla. Informa que el programa no puede ejecutarse en el dispositivo y será eliminado. Eset observó muestras con mensajes en inglés y persa (según la configuración del idioma). Después de "eliminar", el icono de la aplicación desaparecerá y el troyano seguirá funcionando oculto para el usuario.

Los operadores de HeroRat administran los dispositivos infectados a través de Telegram usando un bot. El troyano le permite interceptar y enviar mensajes, robar contactos, realizar llamadas, grabar audio, tomar capturas de pantalla, determinar la ubicación del dispositivo y cambiar la configuración. Para controlar las funciones, se proporcionan botones interactivos en la interfaz del bot de Telegram: el usuario recibe un conjunto de herramientas de acuerdo con la configuración seleccionada.

El envío de comandos y el robo de datos de dispositivos infectados se implementa en el marco del protocolo Telegram; esta medida le permite contrarrestar la detección de un troyano.

Los productos antivirus de Eset detectan la amenaza como Android/Spy.Agent.AMS y Android/Agent.AQO.

Informe de inteligencia de seguridad de Microsoft

Cómo distinguir las aplicaciones falsas de las genuinas

1. Las aplicaciones oficiales se distribuirán únicamente a través de Google Play; Los enlaces de descarga se publican en los sitios web de los propios bancos. Si las aplicaciones están alojadas en otro lugar, lo más probable es que sean falsas.
2. Se debe prestar especial atención a los nombres de dominio desde donde se propone descargar la aplicación. Los atacantes suelen utilizar dominios cuyos nombres son similares a los oficiales, pero difieren en uno o dos caracteres, o utilizan dominios de segundo nivel e inferiores.
3. Los teléfonos inteligentes están equipados con medidas de protección contra las amenazas más comunes, y si un teléfono inteligente muestra un mensaje de que una aplicación es una amenaza, nunca debe instalarse. En caso de detección de aplicaciones bancarias falsas, es muy recomendable avisar a los servicios de seguridad de los bancos. Al hacer esto, los usuarios se salvarán a sí mismos y a otros de muchos problemas.
4. Si nota algo sospechoso en el sitio desde el que se le ofrece descargar la aplicación, informe inmediatamente al servicio de seguridad del banco o al grupo oficial del banco en las redes sociales, recordando adjuntar una captura de pantalla.

Troyano ransomware paralizó el trabajo de una ciudad entera en los Estados Unidos

El condado de Licking, Ohio, se vio obligado a cerrar sus servidores y sistemas telefónicos en febrero para detener la propagación de un troyano ransomware.

Se supo que más de mil computadoras en los Estados Unidos, pertenecientes a las redes de la administración de uno de los distritos estadounidenses, fueron infectadas. Todos los sistemas se cerraron para bloquear una mayor propagación del malware, evitar la pérdida de datos y preservar las pruebas para la investigación.

Todas las instituciones de recepción y administrativas funcionan, pero trabajar con ellas solo es posible con una visita personal.

Los representantes de la administración no mencionan el monto del rescate requerido; también se niegan a comentar sobre la probabilidad de un pago. El comisionado del condado de Licking, Tim Bubb, dijo que ahora se están realizando consultas con expertos en seguridad cibernética y la policía.

Modo manual

El cierre de las líneas telefónicas y las comunicaciones de la red significa que todos los servicios del distrito que usan tecnología de la información han cambiado al "modo manual". Esto se aplica incluso al centro de ayuda del 911: los teléfonos y los walkie-talkies de los rescatistas funcionan, pero no hay acceso a las computadoras. Como mínimo, todavía se aceptan llamadas de policía, bomberos y ambulancias, pero, como dijo Sean Grady, director del centro de rescate, el trabajo del servicio en términos de velocidad de procesamiento de llamadas se ha retrasado un cuarto de año. siglo.

Y privar a la universidad de la oportunidad de devolver el acceso a los datos.

Inmediatamente quedó claro que era imposible restaurar los datos de las copias de seguridad. Después de una reunión con los expertos en seguridad involucrados, la administración del colegio llegó a la conclusión de que no tenía otra opción que pagar la cantidad requerida.

$ 28,000 es el rescate más grande que se ha hecho público. Según algunos informes, hay pagos más grandes, pero las víctimas, generalmente grandes, prefieren no publicitarlos. En 2016, la “tasa” promedio de ransomware fue de $679, frente a los $294 del año anterior.

El aumento de más del doble parece deberse a un mayor número de incidentes que terminan en pagos de rescate y en cantidades significativamente más altas que la "tasa promedio". En febrero de 2016, el Hollywood-Presbyterian Medical Center pagó un rescate de $17 000 después de un ataque de ransomware.

A veces, bajo la apariencia de software legal (software), un programa malicioso penetra en la computadora. Independientemente de las acciones del usuario, se propaga por sí solo e infecta un sistema vulnerable. Un troyano es peligroso porque el virus no solo destruye información e interrumpe el rendimiento de la computadora, sino que también transfiere recursos a un atacante.

que es un troyano

Como se sabe por la mitología griega antigua, los guerreros se escondían en un caballo de madera, que fue obsequiado a los habitantes de Troya. Abrieron las puertas de la ciudad por la noche y dejaron entrar a sus camaradas. Después de eso, la ciudad cayó. Una utilidad maliciosa recibió su nombre del caballo de madera que destruyó Troya. ¿Qué es un virus troyano? Un programa con este término fue creado por personas para modificar y destruir información en una computadora, así como para usar los recursos de otras personas para los propósitos de un atacante.

A diferencia de otros gusanos que se propagan solos, es introducido por humanos. En esencia, un troyano no es un virus. Su acción puede no ser dañina. Un pirata informático a menudo quiere entrar en la computadora de otra persona solo para obtener la información que necesita. Los troyanos se han ganado una mala reputación por ser utilizados en la instalación de programas para ser reintroducidos en el sistema.

Características de los troyanos

Un virus caballo de Troya es un tipo de spyware. La característica principal de los troyanos es la recopilación encubierta de información confidencial y la transferencia a un tercero. Incluye datos de tarjetas bancarias, contraseñas para sistemas de pago, datos de pasaporte y otra información. El virus troyano no se propaga por la red, no destruye datos, no causa una falla fatal de hardware. El algoritmo de esta utilidad de virus no se parece a las acciones de un gamberro callejero que destruye todo a su paso. Un troyano es un saboteador sentado en una emboscada y esperando entre bastidores.

Tipos de troyanos

El troyano consta de 2 partes: servidor y cliente. El intercambio de datos entre ellos se realiza a través del protocolo TCP/IP en cualquier puerto. En la PC de trabajo de la víctima, se instala la parte del servidor, que funciona de manera invisible, mientras que la parte del cliente se encuentra con el propietario o cliente de la utilidad maliciosa. Para disfrazarlos, los troyanos tienen nombres similares a los de oficina y sus extensiones son las mismas que las de los populares: DOC, GIF, RAR y otros. Los tipos de troyanos se dividen según el tipo de acciones realizadas en un sistema informático:

1. Descargador de troyanos. Un programa de descarga que instala nuevas versiones de utilidades peligrosas, incluido el adware, en la PC de la víctima.
2. Cuentagotas troyano. Desactivador de programas de seguridad. Utilizado por piratas informáticos para bloquear la detección de virus.
3. rescate troyano. Ataque a una PC para interrumpir el rendimiento. El usuario no puede trabajar de forma remota sin pagar al atacante la cantidad de dinero requerida.
4. Explotar. Contiene código que puede explotar una vulnerabilidad de software en una computadora remota o local.
5. Puerta trasera. Permite a los estafadores controlar de forma remota un sistema informático infectado, incluida la descarga, apertura, envío, modificación de archivos, difusión de información falsa, registro de pulsaciones de teclas, reinicio. Utilizado para PC, tableta, teléfono inteligente.
6. rootkit. Diseñado para ocultar las acciones u objetos necesarios en el sistema. El objetivo principal es aumentar el tiempo de trabajo no autorizado.

¿Qué actividades maliciosas realizan los troyanos?

Los troyanos son monstruos de red. La infección se produce mediante una unidad flash u otro dispositivo informático. Las principales acciones maliciosas de los troyanos son la penetración en la PC del propietario, la descarga de sus datos personales en su computadora, la copia de archivos, el robo de información valiosa y el monitoreo de acciones en un recurso abierto. La información obtenida no se utiliza a favor de la víctima. El tipo de acción más peligroso es el control total sobre el sistema informático de otra persona con la función de administrar una PC infectada. Los estafadores realizan discretamente ciertas operaciones en nombre de la víctima.

Cómo encontrar un troyano en una computadora

Los troyanos y la protección contra ellos se determinan según la clase del virus. Puede buscar troyanos usando antivirus. Para hacer esto, debe descargar una de las aplicaciones, como Kaspersky Virus o Dr. Web. Sin embargo, debe recordarse que la descarga de un programa antivirus no siempre ayudará a detectar y eliminar todos los troyanos, ya que el cuerpo de una utilidad maliciosa puede crear muchas copias. Si los productos descritos no hicieron frente a la tarea, busque manualmente en los directorios como runonce, run, windows, soft en el registro de su PC para buscar archivos infectados.

Eliminación de troyanos

Si la PC está infectada, debe tratarse con urgencia. ¿Cómo eliminar un troyano? Utilice el software gratuito Kaspersky antivirus, Spyware Terminator, Malwarebytes o Trojan Remover de pago. Estos productos serán escaneados, mostrarán los resultados, ofrecerán eliminar los virus encontrados. Si vuelven a aparecer nuevas aplicaciones, se muestran descargas de videos o se toman capturas de pantalla, entonces la eliminación de los troyanos no tuvo éxito. En este caso, debería intentar descargar una herramienta para escanear rápidamente los archivos infectados desde una fuente alternativa, como CureIt.

Hoy en la World Wide Web puedes encontrar tantos arrecifes submarinos en forma de virus que no puedes contarlos. Naturalmente, todas las amenazas se clasifican según el método de penetración en el sistema, el daño causado y los métodos de eliminación. Lamentablemente, uno de los más peligrosos es el virus troyano (o troyano). ¿Qué es esta amenaza, vamos a tratar de considerar. Al final, también descubriremos cómo eliminar de manera segura esta basura de una computadora o dispositivo móvil.

"Troyano" - ¿qué es?

Los virus troyanos son de tipo autocopiativo con sus propios códigos ejecutables o incrustados en otras aplicaciones que suponen una amenaza bastante grave para cualquier ordenador o sistema móvil.

En su mayor parte, los sistemas Windows y Android son los más afectados. Hasta hace poco, se creía que estos virus no tenían ningún efecto en los sistemas operativos tipo UNIX. Sin embargo, hace apenas unas semanas, los dispositivos móviles de Apple también fueron atacados por un virus. Se cree que el troyano es la amenaza. Qué es este virus, ahora lo veremos.

analogía con la historia

La comparación con hechos históricos no es casual. Y antes de que lo averigüemos, volvamos a la obra inmortal de la "Ilíada" de Homero, que describe la captura de la recalcitrante Troya. Como sabéis, era imposible entrar en la ciudad de la forma habitual o tomarla por asalto, por lo que se decidió regalar a los habitantes un enorme caballo en señal de reconciliación.

Al final resultó que, había soldados en su interior, que abrieron las puertas de la ciudad, después de lo cual cayó Troya. El programa troyano se comporta de la misma manera. Lo más triste es que estos virus no se propagan espontáneamente, como otras amenazas, sino a propósito.

Cómo entra la amenaza en el sistema

La forma más común que se usa para penetrar una computadora o un sistema móvil es disfrazarse de algún tipo de programa fácil de usar o incluso estándar. En algunos casos, un virus puede incrustar sus propios códigos en las aplicaciones existentes (la mayoría de las veces se trata de servicios del sistema o programas de usuario).

Finalmente, los códigos maliciosos pueden infiltrarse en computadoras y redes en forma de gráficos o incluso documentos HTML, ya sea como archivos adjuntos de correo electrónico o copiados de medios extraíbles.

Con todo esto, si el código está incrustado en una aplicación estándar, aún puede realizar parcialmente sus funciones, mientras que el propio virus se activa cuando se inicia el servicio correspondiente. Peor aún, cuando el servicio está en carga automática y se inicia con el sistema.

Consecuencias de la exposición

En cuanto al impacto del virus, puede causar parcialmente fallas en el sistema o interrupción del acceso a Internet. Pero este no es su objetivo principal. La tarea principal del troyano es robar datos confidenciales para su uso por parte de terceros.

Aquí encontrará códigos PIN para tarjetas bancarias, e inicios de sesión con contraseñas para acceder a ciertos recursos de Internet, y datos de registro estatales (números y números de identificación personal, etc.), en general, todo lo que no está sujeto a divulgación, según la opinión. del titular del ordenador o dispositivo móvil (por supuesto, siempre que dichos datos se almacenen allí).

Por desgracia, cuando se roba dicha información, es imposible predecir cómo se utilizará en el futuro. Por otro lado, no deberías sorprenderte si un día te llaman de algún banco y te dicen que tienes una deuda de préstamo, o si desaparece todo el dinero de tu tarjeta bancaria. Y eso es sólo las flores.

en Windows

Ahora pasemos a lo más importante: cómo hacerlo no es tan fácil como creen algunos usuarios ingenuos. Por supuesto, en algunos casos, puedes encontrar y neutralizar el cuerpo del virus, pero dado que, como se mencionó anteriormente, es capaz de crear sus propias copias, y no solo una o dos, encontrarlas y eliminarlas puede ser un verdadero dolor de cabeza. . Al mismo tiempo, ni el cortafuegos ni la protección antivirus estándar, si el virus ya ha pasado y se ha infiltrado en el sistema, no ayudarán.

En este caso, se recomienda eliminar el troyano con la ayuda de utilidades antivirus portátiles y, en caso de incautación de RAM, con programas especiales que se cargan antes de iniciar el sistema operativo desde un medio óptico (disco) o USB dispositivo.

Entre las aplicaciones portátiles, cabe destacar productos como Dr. Web Cure It y Kaspersky Virus Removal Tool. De los programas de disco, Kaspersky Rescue Disc es el más funcional. No hace falta decir que su uso no es un dogma. Hoy en día, dicho software se puede encontrar en cualquier lugar.

Cómo eliminar un troyano de Android

En cuanto a los sistemas Android, las cosas no son tan sencillas. No se crean aplicaciones portátiles para ellos. En principio, como opción, puede intentar conectar el dispositivo a una computadora y escanear la memoria interna y externa con una utilidad informática. Pero si miras la otra cara de la moneda, ¿dónde está la garantía de que el virus no penetre en el ordenador cuando esté conectado?

En tal situación, el problema de cómo eliminar un troyano de Android se resuelve instalando el software apropiado, por ejemplo, desde Google Market. Por supuesto, hay tantas cosas aquí que simplemente te pierdes en adivinar qué elegir.

Pero la mayoría de los expertos y especialistas en el campo de la protección de datos se inclinan a pensar que la aplicación 360 Security es la mejor, que no solo puede detectar amenazas de casi todos los tipos conocidos, sino que también brinda protección integral para un dispositivo móvil en el futuro. . No hace falta decir que se colgará constantemente en la RAM, creando una carga adicional, pero, verá, la seguridad es aún más importante.

¿A qué más vale la pena prestar atención?

Entonces descubrimos el tema "Troyano: ¿qué es este tipo de virus?". Por separado, me gustaría llamar la atención de los usuarios de todos los sistemas, sin excepción, sobre algunos puntos más. En primer lugar, antes de abrir archivos adjuntos de correo electrónico, analícelos siempre con un antivirus. Al instalar programas, lea atentamente las sugerencias para instalar componentes adicionales, como complementos o paneles para el navegador (el virus también se puede ocultar allí). No visite sitios sospechosos si ve una advertencia del sistema antivirus. No utilice los antivirus gratuitos más simples (es mejor instalar el mismo paquete de Eset Smart Security y activarlo con claves gratuitas cada 30 días). Finalmente, almacene contraseñas, códigos PIN, números de tarjetas bancarias y, en general, todo en forma encriptada exclusivamente en medios extraíbles. Solo en este caso se puede estar al menos parcialmente seguro de que no serán robados o, peor aún, utilizados con fines maliciosos.