Kaspersky Security Scan обнаружил активные заражения на компьютерах, защищённых решениями других вендоров

Антивирусы не дают стопроцентной защиты компьютера

Александр Панасенко 26 Марта 2013 - 11:18

...

«Лаборатория Касперского» обнародовала результаты анализа данных, полученных в течение 2013 года с помощью бесплатной утилиты Kaspersky Security Scan, предназначенной для проверки компьютера на предмет наличия вредоносных программ. Как показало исследование, значительная часть компьютеров, просканированных Kaspersky Security Scan, содержала вредоносное ПО. При этом в ряде случаев зловреды были найдены даже на тех ПК, которые были защищены как бесплатными, так и коммерческими продуктами известных антивирусных компаний.

В данном случае речь идёт именно об активных защитных решениях, поскольку специалисты «Лаборатории Касперского» исключили из выборки компьютеры, на которых были установлены устаревшие версии защитного ПО, неспособные обеспечить безопасность на высоком уровне. Также были исключены случаи, когда Kaspersky Security Scan реагировал на вредоносные объекты, помещённые защитным решением в карантин, т.е. уже не представляющие вреда. В итоговую выборку попали только те ПК, на которых были обнаружены вредоносные файлы в ключевых папках операционной системы: Windows, Program Files, Documents and Settings.

В общей сложности эксперты «Лаборатории Касперского» проанализировали данные, полученные с более чем 250 тысяч компьютеров. Абсолютное число опасных вредоносных программ, пропущенных установленными защитными решениями, разнится, но в среднем их наличие обнаруживалось у 4–5,5% пользователей в зависимости от конкретного защитного ПО.

От страны к стране статистика заражений защищённых антивирусными продуктами компьютеров также менялась. Так, наименьшая доля (менее 3%) была зафиксирована в немецкоговорящих странах: Германии, Австрии и Швейцарии. Несколько больше – 3% – было выявлено в скандинавских странах и Чехии. Больше всего заражений компьютеров с обновлёнными антивирусными базами (свыше 10%) было зарегистрировано в России, Белоруссии, Казахстане и на Украине. Кроме того, в этот список также попали Турция, Индонезия, Таиланд, Филиппины, Вьетнам, Индия и Египет.

«Лаборатория Касперского» намеренно не раскрывает названия защитных продуктов и количество компьютеров, подвергшихся заражению при их работе, поскольку такая информация потенциально может навредить деловой репутации других компаний, защищающих пользователей от вредоносного ПО, что не являлось целью исследования. При этом после завершения анализа «Лаборатория Касперского» уведомила заинтересованных вендоров и передала им сведения об обнаруженных угрозах.

«Полученные нашими специалистами данные в очередной раз подтвердили, что темпы роста количества угроз настолько стремительны, что даже современные защитные решения не всегда оперативно справляются с ними, – прокомментировал итоги исследования Олег Ишанов, руководитель лаборатории антивирусных исследований «Лаборатории Касперского». – Мы надеемся, что вендоры, которых мы оповестили, смогли оперативно выпустить обновления и ликвидировать угрозу безопасности пользователей. Кроме того, мы рассчитываем, что другие разработчики защитных решений не будут молчать о возможных недоработках в продуктах своих конкурентов. Мы хотели бы, чтобы обмен подобными данными между антивирусными компаниями проводился бы в равных объёмах. Вирусописателей всегда будет больше, чем компаний, разрабатывающих защитное ПО, и, только организовав максимально оперативный обмен данными, мы сможем адекватно отвечать растущему количеству киберугроз».

«Лаборатория Касперского» рекомендует пользователям ПК регулярно проверять свои компьютеры с помощью надёжных утилит вне зависимости от того, какие защитные решения установлены на их компьютерах.

Бесплатное приложение Kaspersky Security Scan проверяет систему на предмет вредоносных объектов. Утилита не требует установки и может использоваться даже на тех компьютерах, где уже работает какое-либо защитное решение. В случае обнаружения вредоносной программы утилита отправляет в «Лабораторию Касперского» анонимные данные о проверенной системе и найденных угрозах. Приложение было выпущено в конце мая 2012 года. С этого времени (вплоть до середины марта 2013 года) Kaspersky Security Scan скачали и установили более миллиона пользователей по всему миру.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 07 Мая 2026 - 15:39

Windows Трояны Домашние пользователи Sophos

Фейковый сайт Claude AI распространяет новый бэкдор Beagle для Windows

Исследователи Sophos обнаружили фейковый сайт Claude AI, через который распространяют вредоносную программу для Windows. Ресурс имитирует страницу популярного ИИ-сервиса Claude и предлагает скачать якобы Claude-Pro Relay — высокопроизводительный сервис для разработчиков, использующих Claude Code.

На деле загрузка ведёт к архиву Claude-Pro-windows-x64.zip размером около 505 МБ. Внутри находится MSI-установщик, который выглядит как легитимный продукт, но параллельно разворачивает вредоносную цепочку.

По данным Sophos, после запуска на устройство добавляются три файла в папку автозагрузки: NOVupdate.exe, NOVupdate.exe.dat и avk.dll. Исследователи Malwarebytes ранее отмечали, что установщик является троянизированной копией Claude: внешне программа может работать как ожидается, но в фоне запускает вредоносную цепочку PlugX.

Sophos выяснила, что одним из этапов атаки стал загрузчик DonutLoader, который подтягивает ранее неизвестный бэкдор для Windows. Его исследователи назвали Beagle. Это не тот старый червь Beagle / Bagle из 2004 года, а новый инструмент.

Функциональность Beagle пока только базовая: он может выполнять команды, загружать и скачивать файлы, создавать и удалять директории, переименовывать файлы, просматривать содержимое папок и удалять себя из системы. Но даже такого набора достаточно, чтобы закрепиться на компьютере и управлять им удалённо.

В атаке используется сторонняя загрузка DLL. Злоумышленники берут подписанный файл обновления решений G Data — NOVupdate.exe — и заставляют его загрузить вредоносную библиотеку avk.dll. Затем DLL расшифровывает и запускает содержимое файла NOVupdate.exe.dat прямо в памяти, чтобы усложнить обнаружение.

Бэкдор связывается с командным центром license[.]claude-pro[.]com по TCP через порт 443 или UDP через порт 8080. Обмен данными защищён жёстко заданным AES-ключом. По данным исследователей, сервер размещался на IP-адресе из диапазона Alibaba Cloud.

Sophos также нашла похожие образцы Beagle, загруженные на VirusTotal с февраля по апрель. Они распространялись уже через другие цепочки атак: с использованием бинарных файлов Microsoft Defender, shellcode AdaptixC2, PDF-приманок и фейковых сайтов обновлений под видом CrowdStrike, SentinelOne и Trellix.

Точно связать кампанию с конкретной группировкой исследователи пока не смогли. Однако они допускают, что операторы, связанные с PlugX, могут тестировать новый пейлоад.

Пользователям советуют скачивать Claude только с официального сайта и не доверять рекламным или подозрительным результатам поиска. А появление на системе файлов NOVupdate может быть серьёзным признаком компрометации.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!