gulaypole.info

Hard & Soft => IT-News => Тема начата: rabbit от Декабря 01, 2008, 14:50:02

Название: Новости о вредоносном ПО
Отправлено: rabbit от Декабря 01, 2008, 14:50:02
Осторожно! Рождественское malware-письмо


Websense предупреждает пользователей о появлении почтовых сообщений, в которых содержится просьба перейти по указанной ссылке для просмотра анимированной новогодней картинки. Сообщения содержат анимированную рождественскую картинку и как будто бы это сообщение было прислано Вам с сайта postcards.org, но вместо этого устанавливается связь со злонамеренным файлом, под названием postcard.exe.

После того, как malware-программа будет запущена, она даст возможность хакерам получить полный контроль над уязвимым компьютером. Файл размещается на различных серверах, включая некоторые домены верхнего уровня например таких как .com, сказано в предупреждении Websense.

Для того чтобы избежать подобной ситуации, Вы не должны открывать подозрительные рождественские письма или переходить по любым ссылкам, размещенных в данном письме, заявил Websense в своем Рождественском бюллетене безопасности.

Корпоративные сети наиболее уязвимы, поскольку служащие в преддверии Рождества очень активно используют интернет для подготовки к празднику, заявила компания.

В бюллетене говорится, что пользователи должны опасаться соблазнительных предложений, подарочных e-карт, праздничных вложений и рождественского видео. Данные уловки используются киберпреступниками, чтобы узнать данные кредитной карты или непосредственно установить malware, которое впоследствии передаст эти сведения злоумышленнику. Если у Вас есть какое-то сомнение относительно полученного сообщения, то оно должно быть удалено, а также пользователи должны избегать открытия любых вложений, говорится в бюллетене.

Статистические данные Google показывают, что 77 % пользователей делают более половины своих рождественских покупок в сети и 86 % используют интернет в качестве поиска идеи для подарка.

http://oszone.net
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Декабря 15, 2008, 16:23:28
«Доктор Веб» предупреждает о новом троянце, блокирующем доступ к файлам

Компания «Доктор Веб» сообщает о появлении нового троянца - Trojan.Locker.8, который препятствует доступу к различным папкам на жестком диске, требуя обратиться к ее авторам за получением инструкций по разблокировке.

Размер файла данного троянца довольно большой для вредоносных программ такого типа – около 2 мегабайт. Файл упакован с помощью ASPack. Сразу после его запуска появляется изображение генератора серийных номеров, который не имеет к функционалу данной вредоносной программы никакого отношения. Это свидетельствует о том, что Trojan.Locker.8 может распространяться под видом генератора серийных номеров для продуктов Adobe Systems.

После запуска Trojan.Locker.8 переименовывает файлы и папки, находящиеся во всех разделах, кроме системного, таким образом, что их новые названия не соответствуют стандартным правилам именования папок в системе Windows. Содержимое файлов и папок при этом не изменяется. Далее вредоносная программа создаёт на рабочем столе и заблокированных разделах жёсткого диска свою копию (файл answer.exe). При ее запуске появляется предупреждение о том, что файлы заблокированы, а также предложение обратиться к авторам троянца по указанным в сообщении данным.

Вопреки заверениям вирусописателей, папки и файлы блокируются и на системном диске – внутри папки «Мои документы» и на Рабочем столе.

"Лекарство" от «Доктор Веб» -  ftp://ftp.drweb.com/pub/drweb/windows/tl08unlock.exe

http://ko-online.com.ua
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Декабря 22, 2008, 09:52:34
Названы главные зловреды ноября


Юрий Машевский, ведущий антивирусный аналитик Лаборатории Касперского, представил ежемесячный рейтинг "Киберпаноптикум", собирающий самые-самые угрозы по разным критериям. В ноябре лучшими по отдельным критериям стали следующие вредоносные модули:

* Самый жадный зловред по отношению к банкам - Trojan-Spy.Win32.Egoldan.az. Атакует пользователей 20-банков (не много по сравнению с победителями предыдущих месяцев);

* Самый жадный зловред по отношению к системам электронных денег - Trojan.Win32.Obfuscated.gen. Интересуется четырьмя системами электронных денег и тремя системами пластиковых карт;

* Самый жадный зловред по отношению к пластиковым картам, Самый упакованный зловред - Trojan-PSW.Win32.LdPinch.beo – девятикратно упакованразличными программами сжатия;

* Самый маленький зловред - Trojan.BAT.Shutdown.g – 22 байта. Будучи прописанным в autorun, запускает постоянную перезагрузку компьютера. * Самый большой зловред - Trojan-Banker.Win32.Banker.kum – 19 MB (очень мало по сравнению с иными предшественниками);

* Самый популярный используемый эксплоитом на web - Exploit.JS.RealPlr.nn. Его доля от общего числа вредоносного контента составила более 8%;

* Самый распространенный зловред на вебе - Trojan-Downloader.JS.Iframe.yv – 4% от общего числа вредоносного контента, обнаруженного на web в течение месяца;

* Самое многочисленное семейство среди троянских программ - Trojan.Win32.Agent – 1723 ранее не встречавшихся модификации;

* Самое многочисленное семейство среди вирусов и червей - Worm.Win32.AutoRun – 337 ранее не встречавшихся модификации.


http://www.securitylab.ru
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Декабря 29, 2008, 19:59:29
Создателя фальшивых антивирусов будут ежедневно штрафовать за неповиновение суду

Федеральный суд вынес очередной вердикт в отношении компании Innovative Marketing, занимающейся изготовлением и продажей фальшивых антивирусов. Судья Ричард Беннетт объявил, что зарегистрированная в Белизе контора обязана будет выплачивать по 8 тысяч долларов за каждый день неповиновения предыдущему вердикту.

Предыдущий вердикт заключается в том, что Innovative Marketing обязана прекратить распространение лже-антивирусов. Запрета удалось добиться Федеральной торговой комиссии США - на основании доказательств, представленных комиссией, суд наложил временный запрет, согласно которому ответчики (помимо Innovative Marketing, в деле фигурировала также компания ByteHosting Internet Services) должны прекратить выдавать себя за специалистов в области компьютерной безопасности. Также регистраторам доменов и хостерам соответствующих сайтов, использовавшихся для обманных целей, предписано принять необходимые меры по недопущению пользователей на такие сайты.

По имеющимся данным, Innovative Marketing удалось ввести в заблуждение более миллиона человек, вытянув из них деньги. Штраф за просрочку исполнения приговора был наложен после того, как Сэм Джейн, руководитель компании, а также четверо других ответчиков не явились на заседание суда.

Стоит отметить, что решение суда о приостановлении деятельности Innovative Marketing - временное, однако FTC собирается довести дело до полного запрета. Кроме того, в комиссии рассчитывают на то, что суд обяжет ответчиков вернуть обманутым интернет-пользователям все деньги, отобранные нечестным путем.


http://www.securitylab.ru/

ЗЫ. Когда один из таких антивирусов при онлайн сканировании нашел у меня в папке Windows вирус...при том, что я дома пользуюсь Mandriva Linux... Я замучился папку Windows искать!!!
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Января 06, 2009, 11:11:58
Новый троян атакует любителей файлообмена


Компания Sophos сообщила о необычном трояне. Идентифицированный как Troj/Qhost-AC, он блокирует доступ к The Pirate Bay и Mininova, информируя своих жертв, что "downloading is wrong". Троян редактирует хост-файлы Windows и перенаправляет сайты BitTorren на localhost, делая их невозможными к загрузке. Кроме этого никаких последствий установка трояна не несет – он не содержит вредоносных функций и не ведет запись конфиденциальной информации. Источником распространения послужила пиратская копия программы, предлагавшейся к скачиванию с кейгеном. Вместо последнего в комплекте поставлялся тот самый троян, изменявший файлы для редиректа The Pirate Bay, Suprbay (форумы The Pirate Bay) и Mininova на адрес 127.0.0.1, тем самым лишая их возможности загрузиться.

Побочные эффекты присутствия трояна все же нашлись, ими оказались всплывающие окна и даже воспроизведение звукового файла, гласящего, что "downloading is wrong". Неизвестно, кто создал троян, хотя в числе наиболее вероятных авторов конечно же в первую очередь вспоминаются MPAA и RIAA. Однако, скорее всего появившийся модуль является чьей-то шуткой, а не серьезной попыткой борьбы с незаконным скачиванием в Интернете.

http://www.securitylab.ru
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Января 08, 2009, 11:56:22
Нет предела человеческой фантазии!!!!

Любопытный метод выманивая дензнаков был применен в отношении владельцев нелицензионных копий Windows. Модуль Trojan.SMSReg.1 копировал себя папку установки Windows и прописывался в автозапуске. Далее с рабочего стола убирались окна и панели, уступая место диалогу с требованием зарегистрировать используемую копию Windows с помощью SMS-сообщения.

Как это в Микрософт не додумались до такого :)

http://www.securitylab.ru
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Января 20, 2009, 19:10:31
"Червь" Downadup поразил более 8,9 млн ПК


Ведущие провайдеры компьютерной безопасности предупреждают о быстром росте числа компьютеров, инфицированных «червем» Downadup (Conficker, Kido). Впервые он был обнаружен 21 ноября 2008 года, а наиболее опасная его версия появилась в Сети непосредственно перед Новым Годом. Сейчас под этим названием известно целое семейство программ, которые весьма сложно удалить с ПК, особенно при инфицировании корпоративных сетей.

По оценкам F-Secure, за четыре дня число зараженных машин выросло с 2,4 млн до 8,9 млн. За всю прошлую пятницу компанией было зафиксировано 979499 уникальных IP (за каждым из них могут скрываться тысячи ПК), а только за первые 12 часов следующего дня - 849967 адресов.

Творение украинских программистов, Downadup, использует несколько методов распространения. Среди них недавно зарытая патчем брешь MS08-067 в Windows Server Service, угадывание сетевых паролей и инфицирование USB-флэшек. Типичной проблемой для владельца зараженного ПК является отключение его от сети. Это происходит из-за того, что программа пытается взламывать пароли методом грубой силы, что вызывает срабатывание автоматического блокирования после определенного числа неудачных вводов.

В компьютере вирус защищает себя очень агрессивно. Он закрывает брешь в Windows, размещает себя в начале списка открываемых при загрузке системы программ, вносит изменения в реестр и в права доступа, предотвращающие его удаление. Обновленные версии Downadup загружаются с вебсайтов, выбираемых из длинного списка по алгоритму, использующему текущие время и дату.

http://itc.ua
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Января 22, 2009, 23:17:23
По сообщению PandaLabs количество ПК, инфицированных червем Conficker( также известным как Downadup и Kido) продолжает расти. По результатам исследований лаборатории PandaLabs, 6% (5,77%) компьютеров по всему миру заражены этим типом червей.

Исследование двух миллионов компьютеров показало, что инфекция, возникшая в Китае, теперь распространилась в 83 странах, а в таких странах как Испания, США, Тайвань, Бразилия и Мексика, она особенно опасна.

“Из двух миллионов проверенных ПК этим типом червя было заражено 115000. Такого мы еще не видели со времен эпидемий Kournikova или Blaster”, - говорит Луис Корронс, технический директор PandaLabs. “Без сомнения, в любой момент может начаться эпидемия или хуже того, если червь начнет копировать другое вредоносного ПО на компьютерах или размножаться другими способами”.

Эксперты PandaLabs собрали информацию о черве. Некоторые типы червя провоцируют жесткие атаки с целью захвата паролей зараженных компьютеров и корпоративных сетей. Повторяемость подчиненных паролей (простые слова, имена собственные и пр.) может использоваться для распространения червей. Собирая эти пароли, кибер-преступники проникают в компьютеры и используют их в своих целях.

“Это предупреждение для всех пользователей, чтобы они устанавливали сложные пароли для входа как в персональный компьютер, так и для доступа к корпоративной сети, иначе инфекция распространится по всей компании”, - объясняет Корронс.

Червь сконструирован таким образом, что также может распространяться через USB-устройства: когда вы вставляете устройство, на панели Windows появляется опция для запуска программы (активирующая вредоносное ПО) под видом безопасной опции открытия папки для просмотра файлов. Таким образом, когда пользователи просто хотят посмотреть, что находится в папке, они могут запустить червя и заразить свой компьютер.

http://www.securitylab.ru
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Января 29, 2009, 22:25:08
Антивирусная индустрия нагнута

Sp0Raw (sporaw), опубликовал в своем блоге мнение об антивирусной индустрии в связи с эпидемией Downadup и последними тенденциями в области разработки вредоносного ПО. Предлагаем читателям ознакомиться с копией этого сообщения, которое вызвало горячее обсуждение.

Уже три с половиной недели можно публично наблюдать очень забавную вещь. А именно: антивирусная индустрия нагнута. Забавно смотреть на этот шуршащий муравейник.

Одни компании - просто отмалчиваются. Как будто ничего не происходит вокруг. Вообще ничего.

Это все равно, что где-нибудь взорвалась бы АЭС, а в какой-нибудь из граничащих стран люди делали бы вид, что ничего не произошло и не происходит. Они спокойно ездили бы на пикники, гуляли бы и веселились под дождем. Этакий "эффект страуса" или детское закрывание лица ладошками ("я в домике - меня не видно").

Вот так и эти компании. Продолжают писать о rogue antispyware, о каких-то нелепых троянах на Visual Basic, обсуждать о том, как они получили награду "top downloads" или "false positives free" и т.п. Некоторые, все же мельком (и по чужим материалам) обмолвились, вот, мол, существует некая угроза, но от нее можно избавиться без проблем.

Другие компании ("монстры индустрии") - пиарятся как только могут. "Поймали волну". Задача: пока есть возможность - заработать как можно больше дивидендов на происходящем вокруг. В целом, политика нормальная. Это бизнес. Надеюсь, никто не думает, что в том же Касперском, F-Secure (привет Питерскому офису - ну что, все до сих пор смешно еще?), Symantec (Norton Antivirus), McAfee, ESET (NOD) и др. есть какие-то люди, реально, искренне заботящиеся о пользователях, желающие им как-то помочь и т.п.? Сейчас важно как можно больше набрать новых клиентов, и удержать старых, показать насколько технологии АВ-индустрии развиты (а реально это совсем не так) и не показать (т.е. скрыть как только это возможно), что не просто упали лицом в грязь, а их туда успешно ткнули, схватив за шкирку, и помазюкали. Да так, что отмываться придется очень долго. (Не для простых людей, конечно; для большинства это останется незамеченным).

Мониторю сейчас все самые интересные блоги почти в real-time. Смотрю какой уровень опасности стоит, меняется ли он. И вообще, что пишут. Как они друг у друга копируют списки паролей, как хвалятся "разгаданными" алгоритмами генерации доменов и т.п. Как они пишут инструкции по удалению. Эти инструкции размещают на своих же сайтах. Нет, ну они серьезно всех окружающих за идиотов считают или у самих как с головой? Вот сами же пишут, что блокируются домены (и себя в списке могут легко найти), и у себя же на сайтах размещают "подробную инструкцию по удалению". Я уж не говорю, что ее просто не прочитать. Уж не говорю как забавно выглядит "скачайте вот эту утилиту с нашего же сайта". Ну ладно, пусть на другом компьютере кто-то прочитает, скачает. Даже принесет. Но вот чего они все молчат (нигде еще не нашел упоминаний), что их утилиты-то так же заблокированы и блокируются? Т.е. это практически как выложить на сайт unrar.rar, да еще и DNS сайта побить, зароутив его на localhost. "Уважаемый пользователь, скачайте наш де-архиватор, распакуйте его и используйте".

Китаец из McAfee вообще порадовал. Видимо, жжет самолюбие. Сейчас процитирую: "We believe that this can be accomplished by an average programmer who understands the basics of exploitation and has decent programming skills".

Symantec - вообще молодцы. Уже почти "Войну и Мир" по объему написали в своем блоге. Про технические детали, про что, как и почему. Как всегда куча фантазий и предположений о том, что и зачем, и куда все это движется (различные 'suspects' и проч.). А еще больше радуют (точнее - продолжают радовать, ибо они не одиноки) их инструкции. Из разряда "Обновите Ваш Symantec Norton Antivirus". Так и хочется сказать: "Вы прочитайте свое же описание. Там вообще-то вполне четко говорится о том, что практически все ПО по безопасности (в т.ч. и Ваш антивирус) блокируется по вопросу апдейтов, сайтов и т.д.". Но, видимо, трафик в блогах генерировать лучше, чем писать Правду (тут без BHC не обойтись, ясное дело).

Так же они радуют вот таким вопросом-ответом из FAQ. Я даже комментировать это не буду. Просто процитирую полностью. В данном случае даже линк приведу! Вот тут. Цитата:

Q: Can't I just run free antivirus software?
A: Yes, but they're not thorough or comprehensive. While some of the legitimate free antivirus products aren't bad at detecting viruses in files, they only provide basic protection, in general they are weak at detecting modern threats such as drive-by-downloads, malicious web sites and intrusion attempts. Worse, the internet is overflowing with fake free security scanners that actually infect your computer. Fake scanners such as "Antivirus 2008" are difficult to identify and have plagued hundreds of thousands of users around the world.

Про Microsoft и блог Windows Defender пока говорить не буду (может позже) -- там тоже ребята радуют разными вещами. Но им проще, относительно других производителей.

Зато отметился Касперский сегодня. Тоже сделав вид, что "ну как бы так, промежду дел, уделили тут 15 минут, чисто так, особо это не нужно, да и вообще никаких проблем нет". Смотрим набор цитат:
- "13 января мы опубликовали 'оранжевый' (средний уровень опасности) алерт для семейства червей Kido" (Ну да, особых проблем-то нет),

- "Семейству Kido это удалось потому, что его представители распространялись не только с помощью эксплойтов критических уязвимостей, но и взламывая слабые пароли методом подбора, таким образом получая доступ к другим компьютерам в локальной сети. Из-за этого (и по некоторым другим причинам) избавиться от Kido может быть очень сложно" (Ого! Интересно, по каким же? Из-за того, что он "распространяется с помощью эксплоитов" пришлось выпустить утилиту? Не, ну на кого это расчитано, серьезно?)

- "Если вам не помог ваш антивирус, то попробуйте воспользоваться нашей бесплатной утилитой" (А вот это вообще шутка дня - они его хоть разбирали? Ну, или серьезно думают, что данная утилита что-то сделает? Я уж не говорю даже про то, как ее скачают).

В общем, наблюдаем дальше за индустрией. Это очень и очень интересно, как себя проявляют компании. Становятся прозрачны и возможности (технические, по анализу и т.п.), и реальные цели/задачи.

Все всплывает. Все на поверхности.

P.S. На всякий случай: Downadup, Conficker, Conflicker, Kido.


http://www.securitylab.ru
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Февраля 07, 2009, 09:58:27
Российский троян-долгожитель заражает компьютеры пользователей


Компьютерный вирус под названием Pinch представляет собой вредоносное приложение, на базе которого киберпреступники могут собирать собственных «троянов», предназначенных для кражи электронной корреспонденции, IM-сообщений и другой конфиденциальной информации.

Этот вирус был создан российскими хакерами Ермишкиным и Фархутдиновым. Вирусописатели были задержаны правоохранительными органами еще в 2007 году, но уголовное дело в их отношении так и не было заведено.

Эксперты в области информационной безопасности из компании Prevx сообщают, что в сети появляются все новые и новые разновидности вируса. При этом, большинство современных антивирусов от ведущих производителей (включая Symantiec, Mcafee, Kaspersky и AVG) по прежнему не способны справиться с этим «крепким орешком».

По информации Prevx, около 4'000 обитателей Интернета ежедневно становятся жертвами одного из «детей» знаменитого троянского приложения.

Столь потрясающая живучесть приложения вполне объяснима, ведь внести необходимые изменения в базовый код может любой начинающий хакер, обладающий базовыми навыками программирования. Впрочем, сам факт существования вируса-долгожителя ставит под угрозу репутацию производителей средств защиты, для которых полное и окончательное уничтожение Pinch должно стать вопросом престижа.

http://www.securitylab.ru
Название: Re: Новости о вредоносном ПО
Отправлено: andy от Февраля 07, 2009, 10:59:23
Эксперты в области информационной безопасности из компании Prevx сообщают, ...

Эксперты в области говнопиара из компании Prevx сообщают, ...
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Февраля 09, 2009, 20:17:43

Червь Downadup не дал взлететь французским истребителям

Компьютерный червь Downadup (также известный как Conficker и Kido) заразил компьютеры ВМС Франции, в результате чего пилоты некоторых французских истребителей Dassault Rafale 15 и 16 января не смогли загрузить планы полетов и были вынуждены остаться на земле.

Французские СМИ сообщают, что командование ВМС Франции проигнорировало предупреждения об угрозе данного вируса и не приняло необходимых мер безопасности. Червь заразил внутреннюю компьютерную систему военно-морских сил страны.

Пресс-атташе ВМС Франции Жером Эрулен пояснил, что вирус затронул систему обмена информацией, но сама информация не пострадала.

Во время устранения неполадок вызванных червем военные были вынуждены прибегнуть к более традиционным видам коммуникации: телефону, факсу и почте. Французские военные утверждают, что вирус инфицировал компьютеры ВМС в результате чьей-то неосторожности и не стал следствием намеренных действий по нарушению национальной безопасности.

http://www.securitylab.ru

ЗЫ. хе - хе. Скайнет наступает.. или Linux forever :)
Название: Re: Новости о вредоносном ПО
Отправлено: andy от Февраля 09, 2009, 20:55:04
ЗЫ. хе - хе. Скайнет наступает.. или Linux forever :)

> ff.exe /n "*.Linux.*" /count
> Found: 7589 file(s).

Это я спросил у индексатора колекции зверушек сколько у нас в базе есть зверушек под линукс.
Хе-хе.
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Февраля 09, 2009, 23:40:52
ЗЫ. хе - хе. Скайнет наступает.. или Linux forever :)

> ff.exe /n "*.Linux.*" /count
> Found: 7589 file(s).

Это я спросил у индексатора колекции зверушек сколько у нас в базе есть зверушек под линукс.
Хе-хе.

Андрюх никаких претензий или "наездов" на Windows. Честное слово. Подразумевалось немного другое :)

ЗЫ.. в догонку.. из за чьего то разгильдяйства может получиться полная задница..
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Февраля 16, 2009, 22:08:35
Создатель "Пенетратора" заплатит 3000 рублей


Сегодня в Калининграде суд Балтийского района вынес приговор создателю вируса "Пенетратор". Вредоносная программа, написанная студентом одного из калининградских вузов Дмитрием Уваровым, уничтожила тысячи документов на компьютерах в Амурской области.

В мае 2007 года Уваров переслал вредоносную программу по электронной почте в Благовещенск своему знакомому, который распространил ее на компьютеры, находящиеся в Амурской области. В итоге после активации "Пенетратора" с 1 января 2008 года была нарушена работа компьютеров ряда организаций города Благовещенска и Амурской области.

В частности, атаке вредоносной программы подверглись компьютеры исполнительных органов государственной власти Амурской области, городской Думы города Благовещенска, избирательной комиссии по Амурской области, Благовещенского городского суда, УВД по Амурской области, ОГИБДД УВД по городу Благовещенску, управления Федеральной службы судебных приставов, Амурского фонда обязательного медицинского страхования и другие.

Милиционерам отдела «К» потребовалось несколько месяцев для того, чтобы найти создателя вредоносной программы.

Максимальное наказание, предусмотренное законом за подобное преступление, – 7 лет лишения свободы. Однако суд учел то, что подсудимый раскаялся и признал, что создал вредоносную программу.

3000 рублей штраф и подписка о невыезде – таково решения суда. Если в течение 10 суток приговор не будет обжалован, то Калининградский вирусописатель за тысячи испорченных документов расплатится деньгами.

http://www.securitylab.ru

ЗЫ. знаем, видали, юморной такой вирус...
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Февраля 16, 2009, 22:11:00
Спамеры предлагают читать чужие SMS-сообщения


"Лаборатория Касперского"обнаружила вредоносные спам-рассылки, которые предлагают скачать программу для чтения чужих SMS-сообщений и содержат инфицированную ссылку.

Письма из рассылки имеют заголовок: "Узнай, что в телефоне твоего любимого человека". Получателю предлагается "узнать тайны своих друзей" путем тайного получения SMS-сообщений, хранящихся в их телефонах. Для этого только нужно загрузить демонстрационную версию программы, позволяющую бесплатно скачать 40 сообщений. По приведенной ссылке вместо обещанной программы скачивается троянская программа.

Поток таких писем идет уже не первый день. Впервые они были зафиксированы специалистами компании в российском секторе интернета еще на прошлой неделе, а вредоносная программа, которая загружалась после нажатия на ссылку в тексте письма, была первоначально детектирована как Trojan.Win32.Agent2.dbq. Спамеры постоянно меняют текст писем и вид троянской программы. Один из последних - Trojan-Proxy.Win32.Small.yz.

Вирусописатели и спамеры при рассылке писем активно используют методы "социальной инженерии", основанные на использовании человеческих слабостей. Традиционно злоумышленники эксплуатируют интерес пользователей к известным персонам, новостям о скандальных событиях, завлекают якобы случайной победой в розыгрыше или лотерее.

http://www.securitylab.ru
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Февраля 16, 2009, 22:12:43
Microsoft заплатит $250 тыс. за информацию об авторе червя Conficker


Компания Microsoft объявила в блоге MSRC о вознаграждении в 250 тыс. долларов за информацию, которая поможет арестовать и засудить вирусописателей, причастных к созданию червя Conficker.

Microsoft также сообщает о большом объеме работ, проведенных над анализом червя и разработкой мер противодействия. В блоге MSRC опубликован список доменных имен, которые могут быть зарегистрированы червем. Компания рекомендует системным администраторам запретить доступ к этим доменам.

Также сообщается о совместной работе Microsoft с ICANN и телекоммуникационными операторами, направленной на проактивное блокирование потенциально опасных доменных имен.

Напомним, что червь Conficker использует уязвимость в службе Server в Microsoft Windows. Компания Positive Technologies выпустила сетевую утилиту для идентификации этой уязвимости.


http://www.securitylab.ru
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Февраля 17, 2009, 16:47:38
Злоумышленники используют очередную уязвимость в Internet Explorer


Злоумышленники активно эксплуатируют уязвимость в Internet explorer, которая была устранена в этом месяце компанией Microsoft. Уязвимость существует из-за некорректной обработки ошибок при попытке доступа к удаленным объектам. Удачная эксплуатация уязвимости позволяет злоумышленнику выполнить произвольный код на системе пользователя.

По данным Trend Micro, атаки начались с отправки email сообщений, содержащих .doc файл, определяемый как XML_DLOADR.A. Это файл содержит ActiveX объект, который автоматически запрашивает подключение к злонамеренному сайту, содержащему специально сформированный HTML код, определяемый как HTML_DLOADER.AS.

HTML_DLOADER.AS эксплуатирует уязвимость CVE-2009-0075. После попадания на систему пользователя, эксплоит скачивает и устанавливает бекдор BKDR_AGENT.XZMS, который передает некоторые данные с системы пользователя на сервер злоумышленника по протоколу HTTPS.

SecurityLab рекомендует пользователям установить исправление к уязвимости MS09-002, вышедшее на прошлой неделе:
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Февраля 20, 2009, 22:10:18
Появилась новая версия червя Conficker

 Компания SRI International сообщила об обнаружении первой значительной разновидности червя Conficker, известного как Downadup и Kido. Новая версия получила название Conficker B++. Впервые новый сетевой червь был зафиксирован 3 дня назад.

Специалисты SRI International говорят, что для неопытного пользователя новая версия червя практически не отличается от старой. Однако новинка использует совершенно новую технику для скачивания дополнительного злонамеренного софта, что дает создателям червя большую гибкость, с которой они могут манипулировать зараженными ПК.

В частности, к 297 подпрограммам старой версии Conficker в новой прибавилось еще 39. Кроме того, три из ранее существующих подпрограмм были изменены. Это позволяет червю использовать новые методы распространения.

Возможно, появление Conficker B++ стало ответом создателей червя на действия группы Conficker Cabal. Эта группа блокирует домены, с которыми связывается червь для получения инструкций.

Напомним, что неделю назад Microsoft предложила вознаграждение в 250 тысяч долларов за информацию, которая поможет в поимке автора или авторов Conficker. Также корпорация договорилась о партнерстве с несколькими организациями, целью которого станет уничтожение червя.

http://www.securitylab.ru
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Марта 23, 2009, 11:43:17
1 апреля пользователям компьютеров может быть не до смеха

Как сообщается в блоге издания New York Times, на 1 апреля запланирована активизация червя Conficker.

Conficker является программой, которая распространяется через некоторые уязвимости в операционных системах Microsoft Windows, начиная с октября 2008 года. На данный момент зафиксировано более 12 млн. заражений. Напомним, компания Microsoft даже предложила премию за информацию об авторе данного червя.

Сообщается, что Conficker распознается и удаляется большинством антивирусных программ, однако последние модификации червя способны обходить антивирусы, отключать встроенные средства безопасности Windows и блокировать доступ зараженного компьютера к сайтам, которые предоставляют обновления для антивирусов и прочего ПО по обеспечению безопасности. Более того, он способен систематически открывать доступ к зараженному компьютеру, минуя брандмауэр. К тому же, в последних версиях реализована возможность распространения угрозы на основе peer-to-peer, причем зараженный компьютер может выступать и в роли клиента, и в роли сервера, что способствует передаче данных в обоих направлениях.

Учитывая, что активизация Conficker состоится уже скоро, возникает вопрос, что именно произойдет с 12 млн. зараженных компьютеров, к которым единовременно получит доступ группа злоумышленников? В самом лучшем случае все это окажется шуткой, но в это аналитики не верят. Потому ожидается, что 1 апреля, путем использования сети зараженных компьютеров, может начаться распространение огромного количества СПАМа, многие пользователи могут столкнуться с нестабильной работой компьютеров или могут потерять информацию. Один из исследователей Стефан Савадж (Stefan Savage) делает предположение, что злоумышленники планируют таким образом создать подпольную сеть по поиску и распространению конфиденциальной информации - Dark Google.

http://itc.ua
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Марта 25, 2009, 10:30:22
Появилась новая модификация червя Conficker

Недавно сообщалось, что 1 апреля ожидается активизация червя Conficker. Теперь же компания ESET поделилась подробностями новых модификаций этой угрозы.

Так, теперь Conficker распространяется не только через Интернет, используя уязвимости операционной системы, но также и с помощью медиа-файлов. Каждый зараженный компьютер становится участником большой сети компьютеров (ботнет), используемой злоумышленниками для рассылки спама или осуществления других других угроз.

Также сообщается, что новые модификации червя обладают возможностью атаки большего количества доменов, ранее эта цифра составляла 100 доменов в день, а с 1 апреля составит 50 тыс. доменов в день. На данный момент пока не определен метод контроля всех зараженных компьютеров, но ожидается, что в дальнейшем атака будет направленно непосредственно на разрушение самой инфраструктуры Интернета.

Для защиты компьютера от Conficker рекомендуется своевременно устанавливать обновления операционной системы, а также использовать антивирусные программы с наиболее актуальными базами. Дополнительно специалисты ESET разработали утилиту для обнаружения и удаления данной угрозы - Conficker removal tool  http://www.eset.eu/press-conficker-continues.

http://itc.ua
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Марта 26, 2009, 10:11:46
А вот совсем интересно:

Новый червь инфицирует роутеры и модемы

Ресурс apcmag сообщает, что в Австралии была зарегистрирована новая сеть ботнет psyb0t, распространяющая червь, особенностью которого является тот факт, что заражению подвергаются не компьютеры, а роутеры и DSL-модемы.

Аналитики делают заключение, что целью создания данного ботнета являлась задача тестирования технологии такого метода распространения угрозы. После обнаружения сети общественностью она сразу же была выключена ее оператором. Однако к тому моменту за короткий срок было заражено уже более 100 тыс. устройств.

Первое поколение червя способно было атаковать лишь несколько моделей роутеров, но уже последняя версия - 18 по счету - может внедряться в несколько десятков моделей устройств: более 30 моделей Linksys, 10 Netgear и 15 других. Также червь содержит информацию о 6000 именах пользователей и 12000 паролей к ним, что позволяет легко внедряться в роутеры, а далее получать доступ к проводным и беспроводным сетям.

(http://itc.ua/files/pics/1(18).jpg)

Сообщается, что угрозе подвержены все роутеры, основанные на процессоре MIPS, которые управляются операционной системой Linux Mipsel, и изделия с операционной системой Vxworks. Пользователям таких устройств рекомендуется сменить пароли на трудноподбираемые варианты. О других моделях пока не сообщается, но это не значит, что они не подвержены риску заражения. Внедрение осуществляется путем входа с типовым логином и паролем на открытый для внешней сети web-интерфейс или SSH/telnet порт, при этом при последовательном введении неправильной комбинации доступ не блокируется. Также известно, что червь способен сканировать уязвимые установки PHPMyAdmin и MySQL. В случае заражения червь блокирует доступ к интерфейсу управления роутером, в таком случае единственным вариантом его удаления является сброс настроек на заводские с очисткой памяти.

Аналитики сообщают, что выявить подобного червя крайне проблематично, так как антивирусы не имеют доступа к роутерам. Единственным возможным вариантом обнаружения угрозы является постоянный мониторинг трафика роутера, но лишь немногие модели оснащаются отдельным портом для подключения к компьютеру и диагностики его состояния и производительности. Как правило, в домашних моделях такие порты не используются с целью экономии средств и снижения цены готового изделия.

На данный момент производители роутеров уведомлены об опасности заражения, потому стоит в скором времени ожидать появления новых прошивок для повышения их уровня безопасности. Также напомним, что ранее была обнаружена уязвимость процессоров Intel, которая позволяет запускать произвольный код, минуя антивирусы.

http://itc.ua/news/
Название: Re: Новости о вредоносном ПО
Отправлено: gint от Марта 26, 2009, 21:42:51
Внедрение осуществляется путем входа с типовым логином и паролем на открытый для внешней сети web-интерфейс или SSH/telnet порт,
Вот что самое странное в этой истории... сколько роутеров уже перебрал и понастраивал (класа SOHO разумеется), практически во всех по дефолту WEB-интерфейс через WAN-порт недоступен, т.е. эта опция по дефолту не включена! За каким хреном ее включать? И тем более потом еще ставить логин/пароль типа Admin/Admin :) На кой Х?
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Апреля 13, 2009, 15:03:20
Обнаружен троян, блокирующий Windows

(http://www.securitylab.ru/upload/iblock/ed7/ed7cd79a2d75417c8328f0d904e982c2.jpg)


 Компания «Доктор Веб» предупреждает о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.
Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки. Форма доступна на сайте компании.

(С) Секлаб
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Апреля 13, 2009, 15:04:27
Лаборатория Касперского сообщила подробности о новой версии Conficker

Лаборатория Касперского сообщила о найденной новой версии Kido, известной также как Conficker и Downadup. В ночь с 8 на 9 апреля компьютеры, зараженные Trojan-Downloader.Win32.Kido, взаимодействуя друг с другом через p2p-соединения, отдали команду другим зараженным машинам на загрузку новых файлов. Ботнет Kido активизировался. Новый вариант Kido отличается от своих предыдущих версий, и теперь это снова червь. Первичный анализ кода позволяет говорить о том, что текущая версия Kido будет функционировать до 3 мая 2009 года.

Согласно последним данным, червь загружает на зараженные ПК поддельный антивирус SpywareProtect2009. Его работа в системе видна пользователям, чьи компьютеры заражены.

Выглядит это примерно так: поддельный антивирус постоянно, каждые несколько минут, показывает на экране различные сообщения об «обнаружении вирусов», «сетевых атаках», «проблемах с браузером» и так далее.

Назойливость этого поддельного антивируса настолько велика, что неискушенный пользователь с большой вероятностью может кликнуть на предложение об оплате «лечения» и не только потерять 50 долларов США, но и «подарить» данные своей кредитной карточки злоумышленникам — с самым непредсказуемым результатом.

Кроме того, Kido загружает на зараженные компьютеры червя Iksmas, также известного как Waledac. Он появился в январе 2009 года. Предназначение Iksmas - кража персональных данных и рассылка спама.

В среднем один компьютер, зараженный Iksmas, отправляет в сутки 80 тысяч спам-сообщений. Практически все домены, с которыми связываются Iksmas для получения инструкций, находятся в Китае.

Впервые атака червя Kido(Conficker) была зафиксирована в начале 2009 года. В течение нескольких дней он заразил десять миллионов компьютеров. Ботнет, образованный этими компьютерами, является одним из крупнейших в мире.

(С) секлаб
Название: Re: Новости о вредоносном ПО
Отправлено: andy от Апреля 13, 2009, 15:45:42
KidoKiller

В связи с появлением новой модификации червя Kido (general name: Net-Worm.Win32.Kido.js) ЛК выпустило новую версию бесплатной лечащей утилиты, которая теперь называется KK (догадайтесь почему) :)

Скачать версию 3.4.5 можно тут: http://www.secureblog.info/files/KK.rar

Без дополнительных ключей запуска, она сканирует только места
возможного заражения.


дополнительные ключи:

сканировать определённый каталог: -p path
сканировать жёсткие диски: -f
сканировать сетевые диски: -n
сканировать флешки: -r
не ждать нажатия anykey: -y
тихий режим(без чёрного окна): -s
запись информации в лог -l log_name
ведение расширенного лога(вместе с -l) -v
восстановление служб Background Intelligent Transfer Service (BITS), Windows Automatic Update Service (wuauserv), Error Reporting Service (ERSvc/WerSvc) -z
восстановление возможности показа скрытых и системных файлов -x
отключение автозапуска со всех носителей -a
режим мониторинга потоков, заданий, сервисов -m
удаление из реестра сервисов, оставшихся после лечения червя нашими продуктами -t
восстановление ветки реестра SafeBoot(при ее удалении компьютер не может загрузиться в безопасном режиме) -j

В случае если у клиента установлен Outpost, после использования
настоятельно рекомендуем перезагрузить компьютер.

Список изменений :

- Добавлено лечение последней версии червя (Net-Worm.Win32.Kido.js) — так как этот червь представляет собой отдельное приложение, добавлено сканирование запущенных процессов.
- Расширен набор масок для детектирования по md5
- Улучшено детектирование зловредных потоков под Windows XP x64, 2003 x64

Внимание!
В связи с тем, что последние модификации kido блокируют запуск процессов, названия которых содержат слово "kido" и "kill", утилита переименована в KK.exe
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Апреля 29, 2009, 08:14:04
Специалист ЛК учит бороться с вирусом-шантажистом

(http://www.securitylab.ru/upload/iblock/fa6/fa63ca66ae07f9536c78421f291dea2f.jpg)


Специалист Лаборатории Касперского Олег Зайцев опубликовал заметку о том, как можно бороться с вирусом-шантажистом.

Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер они прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.

Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.

"Мне стало интересно, всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний?", - задался вопросом Олег Зайцев. В результате изысканий был обнаружен довольно простой алгоритм. Сначала необходимо нажать комбинацию WIN-U, что вызовет окно специальных возможностей, изображенное на рисунке.

Оно обладает очень высоким приоритетом и не блокируется трояном. В появившемся окне выбираем экранную лупу, а в окошке данного инструмента кликаем на гиперссылку "Веб-узел Майкрософт". Это приведет к запуску IE, из которого можно загружать любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.

Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Июня 01, 2009, 10:57:16
Sophos обнаружила троянскую программу, созданную для борьбы с пиратством

Специалисты Sophos обнаружили троянскую Windows-программу, созданную некими принципиальными энтузиастами с целью нанести удар по музыкальному пиратству.

Троян маскируется под mp3-файл с записью песни некой индонезийской группы Samsons, являясь при этом исполняемым файлом вида <имя>.mp3.exe с пиктограммой от плеера WinAmp. Попытка прослушать эту "песню", запустив файл из Проводника Windows, приводит к ряду вредоносных действий.

Так, троян создаёт в системной папке файл winamp.dll.exe и делает несколько записей в системном Реестре. При этом, в частности, блокируется работа плеера WinAmp, а также программы regedit, предназначенной для просмотра и редактирования реестра. Кроме того, он цепляется ко всем обнаруженным на жёстком диске компьютера mp3-файлам, превращая их в зараженные exe-шники того же вида (<старое имя>.mp3.exe).

Наконец, при каждой загрузке зараженной системы пользователю выдаётся сообщение на индонезийском языке с призывом прекратить воровать интеллектуальную собственность музыкальной индустрии и не использовать больше mp3. В Sophos ничего не говорят о том, умеет ли троян отличать музыкальные файлы, защищённые авторским правом, от тех, на которые действие копирайта не распространяется.

Стоит отметить, что в Windows по умолчанию скрываются стандартные расширения файлов, в том числе исполняемых, так что файлы вида <имя>.mp3.exe выглядят в Проводнике как <имя>.mp3. Эта практика сохранилась и в релиз-кандидате грядущей ОС Windows 7.

http://www.securitylab.ru
Название: Re: Новости о вредоносном ПО
Отправлено: rabbit от Июня 09, 2009, 09:33:38
В интернете появился троян - убийца файлов


Компания «Доктор Веб» сообщила о появлении в Интернете опасного трояна, уничтожающего все файлы и папки на зараженном компьютере. Первые случаи инфицирования Trojan.KillFiles.904 зафиксированы в начале июня 2009 года.

Проникая в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные и съемные диски в порядке от Z до A. В найденном диске троян начинает удалять папки и файлы, перебирая их названия по алфавиту. Если удалить файл не удается, к примеру, по причине его использования, троян делает его скрытым. Особая опасность заключается в том, что действия Trojan.KillFiles.904 касаются всех файлов и папок, находящихся на жестком диске компьютера жертвы, за исключением системных. Таким образом, пользователь может потерять все данные на дисках, при этом его операционная система продолжит свою работу.

Уникальным для современных вредоносных программ свойством данного трояна является нанесение максимального урона пользователю. В отличие от получивших в последнее время широкое распространение программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо финансовых вложениях и не пытается что-либо украсть – он просто уничтожает всю информацию, хранящуюся в зараженной системе.

Можно предположить, что данный троян, появившийся в начале июня 2009 года, продолжает традицию вируса Win32.HLLW.Kati, также известного как Penetrator, который повреждает файлы форматов Microsoft Word и Excel, а также фотографии и мультимедийные файлы. За тем исключением, что Trojan.KillFiles.904 представляет еще большую угрозу

http://www.securitylab.ru/news/381018.php