Автор Тема: Новости о вредоносном ПО  (Прочитано 26500 раз)

rabbit

  • Moderator
  • Hero Member
  • *****
  • Сообщений: 1 731
  • Карма: +36/-3
    • Просмотр профиля
Re: Новости о вредоносном ПО
« Ответ #15 : Февраля 16, 2009, 22:11:00 »
Спамеры предлагают читать чужие SMS-сообщения


"Лаборатория Касперского"обнаружила вредоносные спам-рассылки, которые предлагают скачать программу для чтения чужих SMS-сообщений и содержат инфицированную ссылку.

Письма из рассылки имеют заголовок: "Узнай, что в телефоне твоего любимого человека". Получателю предлагается "узнать тайны своих друзей" путем тайного получения SMS-сообщений, хранящихся в их телефонах. Для этого только нужно загрузить демонстрационную версию программы, позволяющую бесплатно скачать 40 сообщений. По приведенной ссылке вместо обещанной программы скачивается троянская программа.

Поток таких писем идет уже не первый день. Впервые они были зафиксированы специалистами компании в российском секторе интернета еще на прошлой неделе, а вредоносная программа, которая загружалась после нажатия на ссылку в тексте письма, была первоначально детектирована как Trojan.Win32.Agent2.dbq. Спамеры постоянно меняют текст писем и вид троянской программы. Один из последних - Trojan-Proxy.Win32.Small.yz.

Вирусописатели и спамеры при рассылке писем активно используют методы "социальной инженерии", основанные на использовании человеческих слабостей. Традиционно злоумышленники эксплуатируют интерес пользователей к известным персонам, новостям о скандальных событиях, завлекают якобы случайной победой в розыгрыше или лотерее.

http://www.securitylab.ru
И один в поле воин, если он знает, что он один.

rabbit

  • Moderator
  • Hero Member
  • *****
  • Сообщений: 1 731
  • Карма: +36/-3
    • Просмотр профиля
Re: Новости о вредоносном ПО
« Ответ #16 : Февраля 16, 2009, 22:12:43 »
Microsoft заплатит $250 тыс. за информацию об авторе червя Conficker


Компания Microsoft объявила в блоге MSRC о вознаграждении в 250 тыс. долларов за информацию, которая поможет арестовать и засудить вирусописателей, причастных к созданию червя Conficker.

Microsoft также сообщает о большом объеме работ, проведенных над анализом червя и разработкой мер противодействия. В блоге MSRC опубликован список доменных имен, которые могут быть зарегистрированы червем. Компания рекомендует системным администраторам запретить доступ к этим доменам.

Также сообщается о совместной работе Microsoft с ICANN и телекоммуникационными операторами, направленной на проактивное блокирование потенциально опасных доменных имен.

Напомним, что червь Conficker использует уязвимость в службе Server в Microsoft Windows. Компания Positive Technologies выпустила сетевую утилиту для идентификации этой уязвимости.


http://www.securitylab.ru
И один в поле воин, если он знает, что он один.

rabbit

  • Moderator
  • Hero Member
  • *****
  • Сообщений: 1 731
  • Карма: +36/-3
    • Просмотр профиля
Re: Новости о вредоносном ПО
« Ответ #17 : Февраля 17, 2009, 16:47:38 »
Злоумышленники используют очередную уязвимость в Internet Explorer


Злоумышленники активно эксплуатируют уязвимость в Internet explorer, которая была устранена в этом месяце компанией Microsoft. Уязвимость существует из-за некорректной обработки ошибок при попытке доступа к удаленным объектам. Удачная эксплуатация уязвимости позволяет злоумышленнику выполнить произвольный код на системе пользователя.

По данным Trend Micro, атаки начались с отправки email сообщений, содержащих .doc файл, определяемый как XML_DLOADR.A. Это файл содержит ActiveX объект, который автоматически запрашивает подключение к злонамеренному сайту, содержащему специально сформированный HTML код, определяемый как HTML_DLOADER.AS.

HTML_DLOADER.AS эксплуатирует уязвимость CVE-2009-0075. После попадания на систему пользователя, эксплоит скачивает и устанавливает бекдор BKDR_AGENT.XZMS, который передает некоторые данные с системы пользователя на сервер злоумышленника по протоколу HTTPS.

SecurityLab рекомендует пользователям установить исправление к уязвимости MS09-002, вышедшее на прошлой неделе:
И один в поле воин, если он знает, что он один.

rabbit

  • Moderator
  • Hero Member
  • *****
  • Сообщений: 1 731
  • Карма: +36/-3
    • Просмотр профиля
Re: Новости о вредоносном ПО
« Ответ #18 : Февраля 20, 2009, 22:10:18 »
Появилась новая версия червя Conficker

 Компания SRI International сообщила об обнаружении первой значительной разновидности червя Conficker, известного как Downadup и Kido. Новая версия получила название Conficker B++. Впервые новый сетевой червь был зафиксирован 3 дня назад.

Специалисты SRI International говорят, что для неопытного пользователя новая версия червя практически не отличается от старой. Однако новинка использует совершенно новую технику для скачивания дополнительного злонамеренного софта, что дает создателям червя большую гибкость, с которой они могут манипулировать зараженными ПК.

В частности, к 297 подпрограммам старой версии Conficker в новой прибавилось еще 39. Кроме того, три из ранее существующих подпрограмм были изменены. Это позволяет червю использовать новые методы распространения.

Возможно, появление Conficker B++ стало ответом создателей червя на действия группы Conficker Cabal. Эта группа блокирует домены, с которыми связывается червь для получения инструкций.

Напомним, что неделю назад Microsoft предложила вознаграждение в 250 тысяч долларов за информацию, которая поможет в поимке автора или авторов Conficker. Также корпорация договорилась о партнерстве с несколькими организациями, целью которого станет уничтожение червя.

http://www.securitylab.ru
И один в поле воин, если он знает, что он один.

rabbit

  • Moderator
  • Hero Member
  • *****
  • Сообщений: 1 731
  • Карма: +36/-3
    • Просмотр профиля
Re: Новости о вредоносном ПО
« Ответ #19 : Марта 23, 2009, 11:43:17 »
1 апреля пользователям компьютеров может быть не до смеха

Как сообщается в блоге издания New York Times, на 1 апреля запланирована активизация червя Conficker.

Conficker является программой, которая распространяется через некоторые уязвимости в операционных системах Microsoft Windows, начиная с октября 2008 года. На данный момент зафиксировано более 12 млн. заражений. Напомним, компания Microsoft даже предложила премию за информацию об авторе данного червя.

Сообщается, что Conficker распознается и удаляется большинством антивирусных программ, однако последние модификации червя способны обходить антивирусы, отключать встроенные средства безопасности Windows и блокировать доступ зараженного компьютера к сайтам, которые предоставляют обновления для антивирусов и прочего ПО по обеспечению безопасности. Более того, он способен систематически открывать доступ к зараженному компьютеру, минуя брандмауэр. К тому же, в последних версиях реализована возможность распространения угрозы на основе peer-to-peer, причем зараженный компьютер может выступать и в роли клиента, и в роли сервера, что способствует передаче данных в обоих направлениях.

Учитывая, что активизация Conficker состоится уже скоро, возникает вопрос, что именно произойдет с 12 млн. зараженных компьютеров, к которым единовременно получит доступ группа злоумышленников? В самом лучшем случае все это окажется шуткой, но в это аналитики не верят. Потому ожидается, что 1 апреля, путем использования сети зараженных компьютеров, может начаться распространение огромного количества СПАМа, многие пользователи могут столкнуться с нестабильной работой компьютеров или могут потерять информацию. Один из исследователей Стефан Савадж (Stefan Savage) делает предположение, что злоумышленники планируют таким образом создать подпольную сеть по поиску и распространению конфиденциальной информации - Dark Google.

http://itc.ua
И один в поле воин, если он знает, что он один.

rabbit

  • Moderator
  • Hero Member
  • *****
  • Сообщений: 1 731
  • Карма: +36/-3
    • Просмотр профиля
Re: Новости о вредоносном ПО
« Ответ #20 : Марта 25, 2009, 10:30:22 »
Появилась новая модификация червя Conficker

Недавно сообщалось, что 1 апреля ожидается активизация червя Conficker. Теперь же компания ESET поделилась подробностями новых модификаций этой угрозы.

Так, теперь Conficker распространяется не только через Интернет, используя уязвимости операционной системы, но также и с помощью медиа-файлов. Каждый зараженный компьютер становится участником большой сети компьютеров (ботнет), используемой злоумышленниками для рассылки спама или осуществления других других угроз.

Также сообщается, что новые модификации червя обладают возможностью атаки большего количества доменов, ранее эта цифра составляла 100 доменов в день, а с 1 апреля составит 50 тыс. доменов в день. На данный момент пока не определен метод контроля всех зараженных компьютеров, но ожидается, что в дальнейшем атака будет направленно непосредственно на разрушение самой инфраструктуры Интернета.

Для защиты компьютера от Conficker рекомендуется своевременно устанавливать обновления операционной системы, а также использовать антивирусные программы с наиболее актуальными базами. Дополнительно специалисты ESET разработали утилиту для обнаружения и удаления данной угрозы - Conficker removal tool  http://www.eset.eu/press-conficker-continues.

http://itc.ua
И один в поле воин, если он знает, что он один.

gulaypole.info

Re: Новости о вредоносном ПО
« Ответ #20 : Марта 25, 2009, 10:30:22 »


rabbit

  • Moderator
  • Hero Member
  • *****
  • Сообщений: 1 731
  • Карма: +36/-3
    • Просмотр профиля
Re: Новости о вредоносном ПО
« Ответ #21 : Марта 26, 2009, 10:11:46 »
А вот совсем интересно:

Новый червь инфицирует роутеры и модемы

Ресурс apcmag сообщает, что в Австралии была зарегистрирована новая сеть ботнет psyb0t, распространяющая червь, особенностью которого является тот факт, что заражению подвергаются не компьютеры, а роутеры и DSL-модемы.

Аналитики делают заключение, что целью создания данного ботнета являлась задача тестирования технологии такого метода распространения угрозы. После обнаружения сети общественностью она сразу же была выключена ее оператором. Однако к тому моменту за короткий срок было заражено уже более 100 тыс. устройств.

Первое поколение червя способно было атаковать лишь несколько моделей роутеров, но уже последняя версия - 18 по счету - может внедряться в несколько десятков моделей устройств: более 30 моделей Linksys, 10 Netgear и 15 других. Также червь содержит информацию о 6000 именах пользователей и 12000 паролей к ним, что позволяет легко внедряться в роутеры, а далее получать доступ к проводным и беспроводным сетям.


Сообщается, что угрозе подвержены все роутеры, основанные на процессоре MIPS, которые управляются операционной системой Linux Mipsel, и изделия с операционной системой Vxworks. Пользователям таких устройств рекомендуется сменить пароли на трудноподбираемые варианты. О других моделях пока не сообщается, но это не значит, что они не подвержены риску заражения. Внедрение осуществляется путем входа с типовым логином и паролем на открытый для внешней сети web-интерфейс или SSH/telnet порт, при этом при последовательном введении неправильной комбинации доступ не блокируется. Также известно, что червь способен сканировать уязвимые установки PHPMyAdmin и MySQL. В случае заражения червь блокирует доступ к интерфейсу управления роутером, в таком случае единственным вариантом его удаления является сброс настроек на заводские с очисткой памяти.

Аналитики сообщают, что выявить подобного червя крайне проблематично, так как антивирусы не имеют доступа к роутерам. Единственным возможным вариантом обнаружения угрозы является постоянный мониторинг трафика роутера, но лишь немногие модели оснащаются отдельным портом для подключения к компьютеру и диагностики его состояния и производительности. Как правило, в домашних моделях такие порты не используются с целью экономии средств и снижения цены готового изделия.

На данный момент производители роутеров уведомлены об опасности заражения, потому стоит в скором времени ожидать появления новых прошивок для повышения их уровня безопасности. Также напомним, что ранее была обнаружена уязвимость процессоров Intel, которая позволяет запускать произвольный код, минуя антивирусы.

http://itc.ua/news/
И один в поле воин, если он знает, что он один.

gint

  • Hero Member
  • *****
  • Сообщений: 568
  • Карма: +21/-5
    • Просмотр профиля
Re: Новости о вредоносном ПО
« Ответ #22 : Марта 26, 2009, 21:42:51 »
Внедрение осуществляется путем входа с типовым логином и паролем на открытый для внешней сети web-интерфейс или SSH/telnet порт,
Вот что самое странное в этой истории... сколько роутеров уже перебрал и понастраивал (класа SOHO разумеется), практически во всех по дефолту WEB-интерфейс через WAN-порт недоступен, т.е. эта опция по дефолту не включена! За каким хреном ее включать? И тем более потом еще ставить логин/пароль типа Admin/Admin :) На кой Х?

rabbit

  • Moderator
  • Hero Member
  • *****
  • Сообщений: 1 731
  • Карма: +36/-3
    • Просмотр профиля
Re: Новости о вредоносном ПО
« Ответ #23 : Апреля 13, 2009, 15:03:20 »
Обнаружен троян, блокирующий Windows



 Компания «Доктор Веб» предупреждает о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.
Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки. Форма доступна на сайте компании.

(С) Секлаб
И один в поле воин, если он знает, что он один.

rabbit

  • Moderator
  • Hero Member
  • *****
  • Сообщений: 1 731
  • Карма: +36/-3
    • Просмотр профиля
Re: Новости о вредоносном ПО
« Ответ #24 : Апреля 13, 2009, 15:04:27 »
Лаборатория Касперского сообщила подробности о новой версии Conficker

Лаборатория Касперского сообщила о найденной новой версии Kido, известной также как Conficker и Downadup. В ночь с 8 на 9 апреля компьютеры, зараженные Trojan-Downloader.Win32.Kido, взаимодействуя друг с другом через p2p-соединения, отдали команду другим зараженным машинам на загрузку новых файлов. Ботнет Kido активизировался. Новый вариант Kido отличается от своих предыдущих версий, и теперь это снова червь. Первичный анализ кода позволяет говорить о том, что текущая версия Kido будет функционировать до 3 мая 2009 года.

Согласно последним данным, червь загружает на зараженные ПК поддельный антивирус SpywareProtect2009. Его работа в системе видна пользователям, чьи компьютеры заражены.

Выглядит это примерно так: поддельный антивирус постоянно, каждые несколько минут, показывает на экране различные сообщения об «обнаружении вирусов», «сетевых атаках», «проблемах с браузером» и так далее.

Назойливость этого поддельного антивируса настолько велика, что неискушенный пользователь с большой вероятностью может кликнуть на предложение об оплате «лечения» и не только потерять 50 долларов США, но и «подарить» данные своей кредитной карточки злоумышленникам — с самым непредсказуемым результатом.

Кроме того, Kido загружает на зараженные компьютеры червя Iksmas, также известного как Waledac. Он появился в январе 2009 года. Предназначение Iksmas - кража персональных данных и рассылка спама.

В среднем один компьютер, зараженный Iksmas, отправляет в сутки 80 тысяч спам-сообщений. Практически все домены, с которыми связываются Iksmas для получения инструкций, находятся в Китае.

Впервые атака червя Kido(Conficker) была зафиксирована в начале 2009 года. В течение нескольких дней он заразил десять миллионов компьютеров. Ботнет, образованный этими компьютерами, является одним из крупнейших в мире.

(С) секлаб
И один в поле воин, если он знает, что он один.

andy

  • Hero Member
  • *****
  • Сообщений: 2 245
  • Карма: +1/-5001
    • Просмотр профиля
Re: Новости о вредоносном ПО
« Ответ #25 : Апреля 13, 2009, 15:45:42 »
KidoKiller

В связи с появлением новой модификации червя Kido (general name: Net-Worm.Win32.Kido.js) ЛК выпустило новую версию бесплатной лечащей утилиты, которая теперь называется KK (догадайтесь почему) :)

Скачать версию 3.4.5 можно тут: http://www.secureblog.info/files/KK.rar

Без дополнительных ключей запуска, она сканирует только места
возможного заражения.


дополнительные ключи:

сканировать определённый каталог: -p path
сканировать жёсткие диски: -f
сканировать сетевые диски: -n
сканировать флешки: -r
не ждать нажатия anykey: -y
тихий режим(без чёрного окна): -s
запись информации в лог -l log_name
ведение расширенного лога(вместе с -l) -v
восстановление служб Background Intelligent Transfer Service (BITS), Windows Automatic Update Service (wuauserv), Error Reporting Service (ERSvc/WerSvc) -z
восстановление возможности показа скрытых и системных файлов -x
отключение автозапуска со всех носителей -a
режим мониторинга потоков, заданий, сервисов -m
удаление из реестра сервисов, оставшихся после лечения червя нашими продуктами -t
восстановление ветки реестра SafeBoot(при ее удалении компьютер не может загрузиться в безопасном режиме) -j

В случае если у клиента установлен Outpost, после использования
настоятельно рекомендуем перезагрузить компьютер.

Список изменений :

- Добавлено лечение последней версии червя (Net-Worm.Win32.Kido.js) — так как этот червь представляет собой отдельное приложение, добавлено сканирование запущенных процессов.
- Расширен набор масок для детектирования по md5
- Улучшено детектирование зловредных потоков под Windows XP x64, 2003 x64

Внимание!
В связи с тем, что последние модификации kido блокируют запуск процессов, названия которых содержат слово "kido" и "kill", утилита переименована в KK.exe
«Понял, что намазываю масло на хлеб очень уж по-бандеровски. А манера накладывать салат - вообще экстремистская. Теперь боюсь заваривать чай.»

rabbit

  • Moderator
  • Hero Member
  • *****
  • Сообщений: 1 731
  • Карма: +36/-3
    • Просмотр профиля
Re: Новости о вредоносном ПО
« Ответ #26 : Апреля 29, 2009, 08:14:04 »
Специалист ЛК учит бороться с вирусом-шантажистом



Специалист Лаборатории Касперского Олег Зайцев опубликовал заметку о том, как можно бороться с вирусом-шантажистом.

Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер они прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.

Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.

"Мне стало интересно, всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний?", - задался вопросом Олег Зайцев. В результате изысканий был обнаружен довольно простой алгоритм. Сначала необходимо нажать комбинацию WIN-U, что вызовет окно специальных возможностей, изображенное на рисунке.

Оно обладает очень высоким приоритетом и не блокируется трояном. В появившемся окне выбираем экранную лупу, а в окошке данного инструмента кликаем на гиперссылку "Веб-узел Майкрософт". Это приведет к запуску IE, из которого можно загружать любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.

И один в поле воин, если он знает, что он один.

rabbit

  • Moderator
  • Hero Member
  • *****
  • Сообщений: 1 731
  • Карма: +36/-3
    • Просмотр профиля
Re: Новости о вредоносном ПО
« Ответ #27 : Июня 01, 2009, 10:57:16 »
Sophos обнаружила троянскую программу, созданную для борьбы с пиратством

Специалисты Sophos обнаружили троянскую Windows-программу, созданную некими принципиальными энтузиастами с целью нанести удар по музыкальному пиратству.

Троян маскируется под mp3-файл с записью песни некой индонезийской группы Samsons, являясь при этом исполняемым файлом вида <имя>.mp3.exe с пиктограммой от плеера WinAmp. Попытка прослушать эту "песню", запустив файл из Проводника Windows, приводит к ряду вредоносных действий.

Так, троян создаёт в системной папке файл winamp.dll.exe и делает несколько записей в системном Реестре. При этом, в частности, блокируется работа плеера WinAmp, а также программы regedit, предназначенной для просмотра и редактирования реестра. Кроме того, он цепляется ко всем обнаруженным на жёстком диске компьютера mp3-файлам, превращая их в зараженные exe-шники того же вида (<старое имя>.mp3.exe).

Наконец, при каждой загрузке зараженной системы пользователю выдаётся сообщение на индонезийском языке с призывом прекратить воровать интеллектуальную собственность музыкальной индустрии и не использовать больше mp3. В Sophos ничего не говорят о том, умеет ли троян отличать музыкальные файлы, защищённые авторским правом, от тех, на которые действие копирайта не распространяется.

Стоит отметить, что в Windows по умолчанию скрываются стандартные расширения файлов, в том числе исполняемых, так что файлы вида <имя>.mp3.exe выглядят в Проводнике как <имя>.mp3. Эта практика сохранилась и в релиз-кандидате грядущей ОС Windows 7.

http://www.securitylab.ru
И один в поле воин, если он знает, что он один.

rabbit

  • Moderator
  • Hero Member
  • *****
  • Сообщений: 1 731
  • Карма: +36/-3
    • Просмотр профиля
Re: Новости о вредоносном ПО
« Ответ #28 : Июня 09, 2009, 09:33:38 »
В интернете появился троян - убийца файлов


Компания «Доктор Веб» сообщила о появлении в Интернете опасного трояна, уничтожающего все файлы и папки на зараженном компьютере. Первые случаи инфицирования Trojan.KillFiles.904 зафиксированы в начале июня 2009 года.

Проникая в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные и съемные диски в порядке от Z до A. В найденном диске троян начинает удалять папки и файлы, перебирая их названия по алфавиту. Если удалить файл не удается, к примеру, по причине его использования, троян делает его скрытым. Особая опасность заключается в том, что действия Trojan.KillFiles.904 касаются всех файлов и папок, находящихся на жестком диске компьютера жертвы, за исключением системных. Таким образом, пользователь может потерять все данные на дисках, при этом его операционная система продолжит свою работу.

Уникальным для современных вредоносных программ свойством данного трояна является нанесение максимального урона пользователю. В отличие от получивших в последнее время широкое распространение программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо финансовых вложениях и не пытается что-либо украсть – он просто уничтожает всю информацию, хранящуюся в зараженной системе.

Можно предположить, что данный троян, появившийся в начале июня 2009 года, продолжает традицию вируса Win32.HLLW.Kati, также известного как Penetrator, который повреждает файлы форматов Microsoft Word и Excel, а также фотографии и мультимедийные файлы. За тем исключением, что Trojan.KillFiles.904 представляет еще большую угрозу

http://www.securitylab.ru/news/381018.php
И один в поле воин, если он знает, что он один.