Hard & Soft > IT-News
Новости о вредоносном ПО
rabbit:
Нет предела человеческой фантазии!!!!
Любопытный метод выманивая дензнаков был применен в отношении владельцев нелицензионных копий Windows. Модуль Trojan.SMSReg.1 копировал себя папку установки Windows и прописывался в автозапуске. Далее с рабочего стола убирались окна и панели, уступая место диалогу с требованием зарегистрировать используемую копию Windows с помощью SMS-сообщения.
Как это в Микрософт не додумались до такого :)
http://www.securitylab.ru
rabbit:
"Червь" Downadup поразил более 8,9 млн ПК
Ведущие провайдеры компьютерной безопасности предупреждают о быстром росте числа компьютеров, инфицированных «червем» Downadup (Conficker, Kido). Впервые он был обнаружен 21 ноября 2008 года, а наиболее опасная его версия появилась в Сети непосредственно перед Новым Годом. Сейчас под этим названием известно целое семейство программ, которые весьма сложно удалить с ПК, особенно при инфицировании корпоративных сетей.
По оценкам F-Secure, за четыре дня число зараженных машин выросло с 2,4 млн до 8,9 млн. За всю прошлую пятницу компанией было зафиксировано 979499 уникальных IP (за каждым из них могут скрываться тысячи ПК), а только за первые 12 часов следующего дня - 849967 адресов.
Творение украинских программистов, Downadup, использует несколько методов распространения. Среди них недавно зарытая патчем брешь MS08-067 в Windows Server Service, угадывание сетевых паролей и инфицирование USB-флэшек. Типичной проблемой для владельца зараженного ПК является отключение его от сети. Это происходит из-за того, что программа пытается взламывать пароли методом грубой силы, что вызывает срабатывание автоматического блокирования после определенного числа неудачных вводов.
В компьютере вирус защищает себя очень агрессивно. Он закрывает брешь в Windows, размещает себя в начале списка открываемых при загрузке системы программ, вносит изменения в реестр и в права доступа, предотвращающие его удаление. Обновленные версии Downadup загружаются с вебсайтов, выбираемых из длинного списка по алгоритму, использующему текущие время и дату.
http://itc.ua
rabbit:
По сообщению PandaLabs количество ПК, инфицированных червем Conficker( также известным как Downadup и Kido) продолжает расти. По результатам исследований лаборатории PandaLabs, 6% (5,77%) компьютеров по всему миру заражены этим типом червей.
Исследование двух миллионов компьютеров показало, что инфекция, возникшая в Китае, теперь распространилась в 83 странах, а в таких странах как Испания, США, Тайвань, Бразилия и Мексика, она особенно опасна.
“Из двух миллионов проверенных ПК этим типом червя было заражено 115000. Такого мы еще не видели со времен эпидемий Kournikova или Blaster”, - говорит Луис Корронс, технический директор PandaLabs. “Без сомнения, в любой момент может начаться эпидемия или хуже того, если червь начнет копировать другое вредоносного ПО на компьютерах или размножаться другими способами”.
Эксперты PandaLabs собрали информацию о черве. Некоторые типы червя провоцируют жесткие атаки с целью захвата паролей зараженных компьютеров и корпоративных сетей. Повторяемость подчиненных паролей (простые слова, имена собственные и пр.) может использоваться для распространения червей. Собирая эти пароли, кибер-преступники проникают в компьютеры и используют их в своих целях.
“Это предупреждение для всех пользователей, чтобы они устанавливали сложные пароли для входа как в персональный компьютер, так и для доступа к корпоративной сети, иначе инфекция распространится по всей компании”, - объясняет Корронс.
Червь сконструирован таким образом, что также может распространяться через USB-устройства: когда вы вставляете устройство, на панели Windows появляется опция для запуска программы (активирующая вредоносное ПО) под видом безопасной опции открытия папки для просмотра файлов. Таким образом, когда пользователи просто хотят посмотреть, что находится в папке, они могут запустить червя и заразить свой компьютер.
http://www.securitylab.ru
rabbit:
Антивирусная индустрия нагнута
Sp0Raw (sporaw), опубликовал в своем блоге мнение об антивирусной индустрии в связи с эпидемией Downadup и последними тенденциями в области разработки вредоносного ПО. Предлагаем читателям ознакомиться с копией этого сообщения, которое вызвало горячее обсуждение.
Уже три с половиной недели можно публично наблюдать очень забавную вещь. А именно: антивирусная индустрия нагнута. Забавно смотреть на этот шуршащий муравейник.
Одни компании - просто отмалчиваются. Как будто ничего не происходит вокруг. Вообще ничего.
Это все равно, что где-нибудь взорвалась бы АЭС, а в какой-нибудь из граничащих стран люди делали бы вид, что ничего не произошло и не происходит. Они спокойно ездили бы на пикники, гуляли бы и веселились под дождем. Этакий "эффект страуса" или детское закрывание лица ладошками ("я в домике - меня не видно").
Вот так и эти компании. Продолжают писать о rogue antispyware, о каких-то нелепых троянах на Visual Basic, обсуждать о том, как они получили награду "top downloads" или "false positives free" и т.п. Некоторые, все же мельком (и по чужим материалам) обмолвились, вот, мол, существует некая угроза, но от нее можно избавиться без проблем.
Другие компании ("монстры индустрии") - пиарятся как только могут. "Поймали волну". Задача: пока есть возможность - заработать как можно больше дивидендов на происходящем вокруг. В целом, политика нормальная. Это бизнес. Надеюсь, никто не думает, что в том же Касперском, F-Secure (привет Питерскому офису - ну что, все до сих пор смешно еще?), Symantec (Norton Antivirus), McAfee, ESET (NOD) и др. есть какие-то люди, реально, искренне заботящиеся о пользователях, желающие им как-то помочь и т.п.? Сейчас важно как можно больше набрать новых клиентов, и удержать старых, показать насколько технологии АВ-индустрии развиты (а реально это совсем не так) и не показать (т.е. скрыть как только это возможно), что не просто упали лицом в грязь, а их туда успешно ткнули, схватив за шкирку, и помазюкали. Да так, что отмываться придется очень долго. (Не для простых людей, конечно; для большинства это останется незамеченным).
Мониторю сейчас все самые интересные блоги почти в real-time. Смотрю какой уровень опасности стоит, меняется ли он. И вообще, что пишут. Как они друг у друга копируют списки паролей, как хвалятся "разгаданными" алгоритмами генерации доменов и т.п. Как они пишут инструкции по удалению. Эти инструкции размещают на своих же сайтах. Нет, ну они серьезно всех окружающих за идиотов считают или у самих как с головой? Вот сами же пишут, что блокируются домены (и себя в списке могут легко найти), и у себя же на сайтах размещают "подробную инструкцию по удалению". Я уж не говорю, что ее просто не прочитать. Уж не говорю как забавно выглядит "скачайте вот эту утилиту с нашего же сайта". Ну ладно, пусть на другом компьютере кто-то прочитает, скачает. Даже принесет. Но вот чего они все молчат (нигде еще не нашел упоминаний), что их утилиты-то так же заблокированы и блокируются? Т.е. это практически как выложить на сайт unrar.rar, да еще и DNS сайта побить, зароутив его на localhost. "Уважаемый пользователь, скачайте наш де-архиватор, распакуйте его и используйте".
Китаец из McAfee вообще порадовал. Видимо, жжет самолюбие. Сейчас процитирую: "We believe that this can be accomplished by an average programmer who understands the basics of exploitation and has decent programming skills".
Symantec - вообще молодцы. Уже почти "Войну и Мир" по объему написали в своем блоге. Про технические детали, про что, как и почему. Как всегда куча фантазий и предположений о том, что и зачем, и куда все это движется (различные 'suspects' и проч.). А еще больше радуют (точнее - продолжают радовать, ибо они не одиноки) их инструкции. Из разряда "Обновите Ваш Symantec Norton Antivirus". Так и хочется сказать: "Вы прочитайте свое же описание. Там вообще-то вполне четко говорится о том, что практически все ПО по безопасности (в т.ч. и Ваш антивирус) блокируется по вопросу апдейтов, сайтов и т.д.". Но, видимо, трафик в блогах генерировать лучше, чем писать Правду (тут без BHC не обойтись, ясное дело).
Так же они радуют вот таким вопросом-ответом из FAQ. Я даже комментировать это не буду. Просто процитирую полностью. В данном случае даже линк приведу! Вот тут. Цитата:
Q: Can't I just run free antivirus software?
A: Yes, but they're not thorough or comprehensive. While some of the legitimate free antivirus products aren't bad at detecting viruses in files, they only provide basic protection, in general they are weak at detecting modern threats such as drive-by-downloads, malicious web sites and intrusion attempts. Worse, the internet is overflowing with fake free security scanners that actually infect your computer. Fake scanners such as "Antivirus 2008" are difficult to identify and have plagued hundreds of thousands of users around the world.
Про Microsoft и блог Windows Defender пока говорить не буду (может позже) -- там тоже ребята радуют разными вещами. Но им проще, относительно других производителей.
Зато отметился Касперский сегодня. Тоже сделав вид, что "ну как бы так, промежду дел, уделили тут 15 минут, чисто так, особо это не нужно, да и вообще никаких проблем нет". Смотрим набор цитат:
- "13 января мы опубликовали 'оранжевый' (средний уровень опасности) алерт для семейства червей Kido" (Ну да, особых проблем-то нет),
- "Семейству Kido это удалось потому, что его представители распространялись не только с помощью эксплойтов критических уязвимостей, но и взламывая слабые пароли методом подбора, таким образом получая доступ к другим компьютерам в локальной сети. Из-за этого (и по некоторым другим причинам) избавиться от Kido может быть очень сложно" (Ого! Интересно, по каким же? Из-за того, что он "распространяется с помощью эксплоитов" пришлось выпустить утилиту? Не, ну на кого это расчитано, серьезно?)
- "Если вам не помог ваш антивирус, то попробуйте воспользоваться нашей бесплатной утилитой" (А вот это вообще шутка дня - они его хоть разбирали? Ну, или серьезно думают, что данная утилита что-то сделает? Я уж не говорю даже про то, как ее скачают).
В общем, наблюдаем дальше за индустрией. Это очень и очень интересно, как себя проявляют компании. Становятся прозрачны и возможности (технические, по анализу и т.п.), и реальные цели/задачи.
Все всплывает. Все на поверхности.
P.S. На всякий случай: Downadup, Conficker, Conflicker, Kido.
http://www.securitylab.ru
rabbit:
Российский троян-долгожитель заражает компьютеры пользователей
Компьютерный вирус под названием Pinch представляет собой вредоносное приложение, на базе которого киберпреступники могут собирать собственных «троянов», предназначенных для кражи электронной корреспонденции, IM-сообщений и другой конфиденциальной информации.
Этот вирус был создан российскими хакерами Ермишкиным и Фархутдиновым. Вирусописатели были задержаны правоохранительными органами еще в 2007 году, но уголовное дело в их отношении так и не было заведено.
Эксперты в области информационной безопасности из компании Prevx сообщают, что в сети появляются все новые и новые разновидности вируса. При этом, большинство современных антивирусов от ведущих производителей (включая Symantiec, Mcafee, Kaspersky и AVG) по прежнему не способны справиться с этим «крепким орешком».
По информации Prevx, около 4'000 обитателей Интернета ежедневно становятся жертвами одного из «детей» знаменитого троянского приложения.
Столь потрясающая живучесть приложения вполне объяснима, ведь внести необходимые изменения в базовый код может любой начинающий хакер, обладающий базовыми навыками программирования. Впрочем, сам факт существования вируса-долгожителя ставит под угрозу репутацию производителей средств защиты, для которых полное и окончательное уничтожение Pinch должно стать вопросом престижа.
http://www.securitylab.ru
Навигация
Перейти к полной версии