Kaspersky

Актуальные киберугрозы

  • 25 February 2021
  • 7 replies
  • 792 views

Userlevel 7
Badge +5

Предлагаю делиться сведениями об актуальных угрозах, которые вам удалось получить.

На форуме сообщества "Лаборатории Касперского" не ведётся лечения вирусов, обращаться следует на форум Фан-клуба Лаборатории Касперского, при этом надо понимать, что предоставленная вами там информация,  в виде отчетов и логов, станет общедоступна.

Ресурсы ЛК по теме угроз:
https://statistics.securelist.com/ru/
https://threats.kaspersky.com/ru/threat/
https://opentip.kaspersky.com/

Вирусы в теме:
2021-02-26 Trojan-Spy.JS.Sonar
 

7 replies

Userlevel 7
Badge +5

Trojan-Spy.JS.Sonar

Trojan-Spy.JS.Sonar.a

https://threats.kaspersky.com/ru/threat/Trojan-Spy.JS.Sonar/

ttps://opentip.kaspersky.com/1A8F940EB4DAAD51ED3D1D9A1BA98B6FF0376E3027B8B0AFEBFBC1B83DA604EB/

Ответ вирусных аналитиков ЛК на предоставленный образец:

“Детектирование корректно. Срабатывание сигнатуры Trojan-Spy.JS.Sonar.a направлено на обнаружение вредоносного скрипта, который был найден в сервисе социальной активности UpToLike.

Uptolike - это виджет веб-сайта, который обеспечивает интеграцию с социальными сетями в виде кнопки "Поделиться" и подсчитывает некоторую статистику. Его используют веб-мастера на разных сайтах, в том числе и на популярных.

Вредоносный скрипт собирает данные, введенные посетителями в формы сайтов (электронные адреса, номера телефонов и т.д.), и отправляет их на сторонний ресурс.”

 

Примеры:

Критическое: Обнаружен вредоносный объект

Описание результата: Обнаружено
Тип: Троянская программа
Название: Trojan-Spy.JS.Sonar.a

Объект: C:\Users\Username\AppData\Local\Mozilla\Firefox\Profiles\mq9nyqxb.default-esr\cache2\entries\F4BCAEAECE911E8BB7F06460334194C6DA4DC561
Причина: Хеш
Дата выпуска баз: 25.02.2021 8:42:00
SHA256: 42656A6D4D0B654E89F0992D36482115312EFCE396E512A4999C5171A906B182
MD5: E9FDD759746FA3CF1DB333FA79769CF4

Объект: C:\Users\Username\AppData\Local\Microsoft\Edge\User Data\Default\Cache\f_000d25
SHA256: 1A8F940EB4DAAD51ED3D1D9A1BA98B6FF0376E3027B8B0AFEBFBC1B83DA604EB
MD5: 36105BC856519AD14E99DCBAC4F0F622

Объект: C:\Users\Username\AppData\Local\Microsoft\Windows\INetCache\Low\IE\7TQKT6DB\checking[1].js
Причина: Хеш
Дата выпуска баз: 24.02.2021 6:28:00
SHA256: 1A8F940EB4DAAD51ED3D1D9A1BA98B6FF0376E3027B8B0AFEBFBC1B83DA604EB
MD5: 36105BC856519AD14E99DCBAC4F0F622

Объект: C:\Users\Username\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00008f
Причина: Экспертный анализ
Дата выпуска баз: 25.02.2021 15:45:00
SHA256: 1A8F940EB4DAAD51ED3D1D9A1BA98B6FF0376E3027B8B0AFEBFBC1B83DA604EB
MD5: 36105BC856519AD14E99DCBAC4F0F622

Добрый день. У нас в организации тоже сработки по данному трояну - начиная с 23.02.2021 за день детектируется от 5 до 8 событий Trojan-Spy.JS.Sonar.a. С каждым днем количество только растет.

У кого нибудь есть соображение как обезопасить пользователей, помимо установленного антивируса ( например меры профилактики)? Где можно ознакомится с подробной информацией как работает данная угроза? Почему Касперский обнаруживает его только в cache браузера?

Добрый день! С 24.02 идет массовое срабатывание антивируса на событие Trojan-Spy.JS.Sonar.a, по 3-4 машины в день. Обнаруживается в кэшах браузеров. Чем опасен этот троян?

За вчерашний день еще +7 срабатываний Sonar.a. Кто нибудь в курсе при каких обстоятельствах он срабатывает? Уточняли у пользователей, они не в курсе.

Интересно посмотреть, как отрабатывает антивирусник, сразу после нажатия на кнопку UptoLike?

Добрый день. Сегодня касперский обнаружил угрозу Trojan-Spy.JS.Sonar.a имя зараженного файла checking[1].js дата создания файла 21.09.2020 года. У меня вопрос - по каким критерием Касперский обнаруживает что данный файл относится к угрозе Trojan-Spy.JS.Sonar.a?

Userlevel 7
Badge +9

Здравствуйте, @Denic22 , @viper0289 ,
Чуть ранее @Demiad предоставил подробное описание угрозы: https://threats.kaspersky.com/ru/threat/Trojan-Spy.JS.Sonar/

Очистите полностью историю и кэш,  cookie  браузеров, включите Анти-баннер, также можете установить расширение Adguard и включить блокировку лишних элементов сайта (виджиты соц. сетей).

Userlevel 7
Badge +5

@Denic22 , @viper0289 , дополнительно что-либо делать не обязательно. Антивирус всё делает сам - удаляет подгружаемый сайтом вредоносный скрипт. Пользователи-посетители, конечно, сами ничего не замечают.

Если поискать в интернете, то проблема-то совсем не нова.
Больше всего мне нравится последний пост в теме: https://ru.wordpress.org/support/topic/%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9-%D0%BA%D0%BE%D0%B4-%D0%B2-pagespeed/

От этого же человека подробный пост на Хабре про другой плагин для Wordpress, который упоминает выше “uLogin”, ситуация аналогичная: https://habr.com/ru/post/413233/

В официальном репозитории Wordpress в разделе “Поддержка” по плагину “UpToLike” тема про срабатывания антивируса аж закреплена и имеет двухгодичную давность: 
https://wordpress.org/support/topic/%d0%b0%d0%bd%d1%82%d0%b8%d0%b2%d0%b8%d1%80%d1%83%d1%81-%d1%80%d1%83%d0%b3%d0%b0%d0%b5%d1%82%d1%81%d1%8f-%d0%bd%d0%b0-%d0%ba%d0%bd%d0%be%d0%bf%d0%ba%d0%b8/

Reply