О вирусах, спаме и вредоносных программах

[haykazun]

Эксперты определили, какие мобильники чаще страдают от вирусов

Согласно новому отчету «Лаборатории Касперского», наибольшей популярностью у вирусописателей по-прежнему пользуются самые массовые мобильные платформы - Java 2 ME и Symbian, а самый популярный тип мобильного вируса - SMS-троянцы.
Компания «Лаборатория Касперского» опубликовала новое исследование вредоносных программ для мобильных устройств. По данным отчета, к концу 2010 г. эксперты компании обнаружили 153 семейства вирусов для мобильных устройств и более 1000 их модификаций, что на 65,12% больше показателей 2009 г.

По количеству обнаруженных мобильных вредоносных программ по-прежнему лидирует платформа J2ME (Java 2 Micro Edition), которая остается самой массовой - число семейств вирусов составило 45, а модификаций - 613. На втором месте Symbian с показателем в 311 зафиксированных модификаций вредоносов. Далее идут Python, Windows Mobile и Android.

Первый вирус для ОС Android был обнаружен в августе 2010 г., а всего по итогам всего года их было уже 15. Как отмечают аналитики, в будущем ожидается быстрый рост количества зловредов для Android вместе с увеличением популярности самой платформы. Количество обнаруженных вирусов для iPhone составило всего 2 модификации, при этом они способны заразить только «разлоченные» (jailbroken) смартфоны этой марки.

Среди всех мобильных вредоносных программ доминируют те, которые запрограммированы на отсылание SMS-сообщений на короткие платные номера. По словам экспертов, SMS-троянцы остаются наиболее легким и эффективным способом заработка для мошенников.

«В мире мобильного вредоносного ПО по-прежнему доминируют программы, незаметно отсылающие SMS-сообщения на короткие платные номера. Использование SMS-троянцев остается для злоумышленников самым легким и действенным способом заработать деньги. Причина проста: любое мобильное устройство, будь то смартфон или обычный мобильный телефон, непосредственно связано с реальными деньгами пользователя - с его мобильным счетом. Именно этот «прямой доступ» злоумышленники активно используют», - говорит Денис Масленников, ведущий антивирусный эксперт «Лаборатории Касперского».
Одним из трендов прошлого года стало появление троянца, который умеет звонить на международные платные номера вместо отправления SMS-сообщений - Trojan.WinCE.Terdial.a. Еще один вирус (Trojan-Spy.SymbOS.Zbot.a) позволял злоумышленникам обходить SMS-аутентификацию пользователей онлайн-банкинга и использовался преступниками в комбинации со зловредом Zbot (ZeuS) для осуществления комплексной атаки.

Кроме того, аналитики подметили общее увеличение сложности вредоносных программ для мобильных устройств и атак хакеров. Благодаря быстрому развитию мобильного интернета вирусы могут чаще взаимодействовать с удаленными серверами злоумышленников и получать от них обновления и команды. Это, как говорится в отчете, преступники смогут использовать для создания мобильных ботнетов.

В целом, в своем прогнозе на текущий год эксперты предсказывают дальнейшее развитие SMS-троянцев, увеличение количества вирусов для системы Android, а также рост числа обнаруженных уязвимостей в мобильных платформах и осуществление атак с их помощью. Помимо этого, ожидается рост распространения коммерческого шпионского ПО.

Отсюда

[sambor]

Спамеры эксплуатируют трагедию в Японии


"Лаборатория Касперского" обнаружила спам-кампанию, которая воспользовалась недавним землетрясением в Японии для заражения компьютера пользователя. Речь идет о сообщениях электронной почты с текстом вроде "Землетрясение в Японии причинило самый большой ущерб в истории " и логотипами известных организаций, таких как Yahoo. Конечно же, все подобные электронные письма содержат ссылку.

После нажатия на нее жертва злоумышленников попадает на поддельный веб-сайт, который заражает компьютер вредоносными Java-программами. "Лаборатория Касперского" уже обнаружила угрозы Downloader.Java.OpenConnection.dn, Downloader.Java.OpenConnection.do и Trojan-Downloader.VBS.Small.iz.

На зараженный компьютер выводятся объявления, которые могут быть адаптированы к языку операционной системы.

В результате только одного такого успешного заражения на компьютер устанавливается до пяти вредоносных исполняемых файлов. Кроме того, на компьютере регистрируются вредоносные DLL-библиотеки в качестве сервисов операционной системы, появляются записи в планировщике заданий. Точно определить последствия заражения сложно, поскольку они зависят от конкретной вредоносной программы, установленной в системе жертвы. Похоже, эта атака является платформой для дальнейшего инфицирования.

"Мы знаем по опыту, что плохие парни всегда стремятся заработать деньги на стихийных бедствиях и других событиях, за которыми следит весь мир, — говорит Николас Брулез (Nicolas Brulez), эксперт из "Лаборатории Касперского". — Поэтому люди, которые действительно хотят помочь, должны ссылаться на официальные сайты благотворительных организаций. В любом случае, не нажимайте ссылки, размещенные в электронных письмах или на сайтах социальных сетей".

Важно также регулярно обновлять антивирусное программное обеспечение, операционную систему и все приложения, которые используют, например, Java.

 Источник

[sambor]

Спам на Facebook требует денег


В последнее время многие пользователи Facebook начали получать от своих друзей вредоносные сообщения через чат. Сначала в них идет эмоциональный текст, вроде "Отец попал в аварию и умирает! Это сообщение размещено на стене его дочери", а далее следует веб-адрес.

Дальше действует социальная инженерия. Если пользователь нажимает на ссылку, это приводит его через серию перенаправлений к вредоносному приложению для Facebook, которое запрашивает несколько разрешений. Окно приложения имеет ряд характерных признаков того, что оно вредоносное   
 

• имя выглядит случайным (в данном примере это "tomannast");

     
   

• приложение запрашивает доступ только к основной информации пользователя (например, вашего друга) и чату Facebook (в целях дальнейшего распространения).

Если далее пользователь разрешите приложению доступ к своему профилю, то оно будет распространяться через его профиль Facebook, отправляя сообщения в чат всем его друзьям, которые в данное время находятся в Интернете. В то же время пользователь видит веб-страницу, которая, используя техники социальной инженерии, пытается убедить его пройти тест на интеллект.

Киберпреступники используют IP-адреса для получения информации о географическом расположении своих жертв, чтобы как можно точнее адаптировать свою стратегию к конкретному человеку. Это гарантирует максимальную эффективность их атак, в том числе путем использования родного языка жертвы.

Вы спросите, каким образом преступники наживаются на доверчивых пользователях? После завершения викторины вас попросят отправить SMS-сообщение, чтобы получить результат. Средняя стоимость такого сообщения составляет около 3 евро.

Подобные мошенничества появляются чаще всего на Facebook. Каждый раз, когда пользователь нажимает ссылку "любовь", автоматически запускается вредоносное приложение и размещается соответствующая запись в таблице, которая увеличивает диапазон угроз. Имейте в виду, что такие ссылки могут вести к просмотру видеороликов и изображений, а тем временем заражать компьютеры жертвы и ее друзей.

Тем, кто уже попался в ловушку и перешел по ложной ссылке, эксперты из "Лаборатории Касперского советуют как можно скорее удалить информацию о ней от своих таблиц, а также как можно скорее сообщить своим друзьям об опасности на Facebook. После чего просканировать весь компьютер с помощью антивирусной программы. В конце концов, всем нам свойственно временами проявлять слабость...

 Источник

[haykazun]

ESET получил 66-ю награду VB100 в тестированиях Virus Bulletin

Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщила о получении 66-й награды VB100 в тестированиях Virus Bulletin. Независимое британское издание Virus Bulletin, специализирующееся на анализе и тестировании средств антивирусной защиты, опубликовало результаты очередного исследования эффективности антивирусных разработок. На этот раз было проведено комплексное тестирование на платформе Ubuntu Linux с целью определения качества антивирусных решений и их способности обнаружения ранее неизвестных вредоносных программ. Кроме того, для получения награды VB100 антивирусным продуктам необходимо было не допустить ложных срабатываний при проверке нескольких тысяч "чистых" файлов. Продукт ESET File Security 3.0 для Linux справился с заданием безупречно - стал лучшим среди 26 антивирусных решений от российских и международных разработчиков, обнаружив наибольшее количество "диких" вирусов и не создав ни одного ложного срабатывания.

Среди многообразия антивирусных решений на мировом рынке одним из ориентиров для пользователей являются результаты независимых тестирований, которые не только выявляют лучшие решения, но и определяют основные преимущества той или иной разработки. Джон Ховс, руководитель исследовательской лаборатории Virus Bulletin, отмечает, что помимо высоких результатов при детектировании угроз, продукт ESET File Security 3.0 для Linux отличается простотой установки и минимальным потреблением системных ресурсов.

"На сегодняшний день ОС Linux является не столь уязвимой по сравнению с другими операционными системами, однако это не значит, что данная платформа не нуждается в защите, - комментирует Михаил Дрожжевкин, глава российского представительства ESET. - Независимые исследования Virus Bulleten показали, что сегодня многие продукты выдерживают основные атаки вредоносного ПО, но именно ESET File Security 3.0 был признан лучшей антивирусной защитой для Linux. Очередная награда VB100 и лидерство среди российских и международных разработчиков по количеству премий от Virus Bulletin - это явный показатель не только качества решений ESEТ, но и развития компании в соответствии с новыми, более жесткими требованиями к антивирусной защите".

Отсюда

[Ippolitovich]

ESET получил 66-ю награду VB100 в тестированиях Virus Bulletin

ага...после него на "нортоне" нашёл ещё 36 вирусов,20 из них "троянов" ...
один так "уложил" мне "винду",что пришлось не только переустанавливать- пришлось всё "форматировать"...не смог избавится...
кстати,кому интересно - подхватил на "west-sat" - скачал и распаковал файл (непомню,ключей или п.о.)

[sambor]

Вредоносная программа берет на себя управление операционной системой


"Лаборатория Касперского" обнаружила новую вредоносную программу, которая заражает загрузочные сектора жестких дисков и загружается до операционной системы.

Новый буткит, Rookit.Win32.Fisp.a, распространяется через поддельные китайские веб-сайты, содержащие откровенные материалы порнографического характера. Rootkit.Win32.Fisp.a заражает загрузочный сектор жесткого диска и устанавливается в виде зашифрованного драйвера. Вредоносная программа берет на себя управление сразу же после включения компьютера, еще до загрузки операционной системы. Во время запуска системы буткита захватывает одну из ее функций, что позволяет ему заменить драйвер fips.sys на собственный код. Нужно отметить, что драйвер fips.sys не является необходимым для операционной системы, так что для пользователя инфицирование компьютера пройдет незамеченным.

Используя механизм, встроенный в Windows, буткит перехватывает все происходящие в системе  процессы и ищет в них следующие строки, характерные для популярных антивирусных программ:

• Beike

• Beijing Rising Information Technology

• AVG Technologies

• Trend Micro

• BITDEFENDER LLC

• Symantec Corporation

• Kaspersky Lab

• ESET, spol

• Beijing Jiangmin

• Kingsoft Software

• 360.cn

• Keniu Network Technology (Beijing) Co

• Qizhi Software (beijing) Co

Обнаружив такую строку, буткит изменяет соответствующий процесс, из-за чего некоторые антивирусные приложения могут работать неправильно.
После инсталляции буткит отправляет своим заказчикам через Интернет данные о зараженном компьютере, включая номер версии операционной системы, IP-адрес и MAC-адрес. Еще одна функция вредоносной программы — установка на компьютер жертвы инструмента, который скачивает из сети другие вредоносные программы (Trojan-Dropper.Win32.Vedio.dgs и Trojan-GameThief.Win32.OnLineGames.boas). Эти трояны воруют, в частности, данные о счетах, используеvs[ в онлайн-играх.

 Источник

[sambor]

Новая угроза атакует украинских пользователей


Компания ESET сообщает, что в Украине зафиксирована повышенная активность вредоносной программы HTML/Iframe.B, предназначенной для кражи персональных данных и конфиденциальной информации пользователей.
Согласно данным, полученных с помощью системы быстрого оповещения ThreatSense.Net, большое количество украинских пользователей стали жертвами угрозы HTML/Iframe.B. Этот универсальный вид угрозы, относящийся к семейству троянских программ, представляет собой HTML-страницу, код которой при использовании скриптов и фреймов автоматически направляет жертву на зараженные сайты или страницы для загрузки угрозы.

По словам специалистов ESET, пользователи в различных странах мира уже хорошо знакомы с вредоносным программным обеспечением HTML/Iframe.B — данная угроза начала атаковать Европу еще в июне 2010 года и быстрыми темпами распространилась по всему миру.

  Источник

[sambor]

Развитие угроз в апреле 2011 года: социальные сообщества под прицелом киберпреступников


«Лаборатория Касперского» подвела итоги вирусной активности в апреле 2011 года и отмечает повышенное внимание киберпреступников к популярным социальным сообществам в Интернете.

В начале месяца получил продолжение скандал, связанный с массированными DDoS-атаками на русскоязычную блог-платформу «Живой Журнал». Начавшись в конце марта, они продолжались на протяжении нескольких дней в апреле. «Лаборатория Касперского» наблюдала за одним из ботнетов, ответственных за атаку, что позволило выяснить некоторые подробности инцидента. Эта зомби-сеть состояла из десятков тысяч компьютеров, зараженных троянской программой (ботом) Optima. Жертвами атаки стали популярные страницы блогеров-«тысячников» Рунета, доступ к которым был периодически затруднен.

В апреле неприятности коснулись и многих пользователей интерактивной среды Play Station Network (PSN) и Sony Online Entertainment. В результате хакерской атаки их личные данные, включая электронные и почтовые адреса, даты рождения, логины и пароли, оказались в руках злоумышленников. Более того, компания Sony, которой принадлежат эти ресурсы, сообщила о краже информации о 12,7 тысяч банковских карт из устаревшей базы 2007 года. Учитывая тот факт, что в одной только PSN зарегистрировано порядка 75 млн аккаунтов, можно смело говорить о крупнейшей в истории утечке персональных данных.

В минувшем месяце под прицелом злоумышленников постоянно оказывались и владельцы мобильных телефонов. Об этом свидетельствует активное продвижение SMS-троянцев, которые отправляют платные сообщения на короткие номера. Одним из способов распространения этих зловредов стали спамовые SMS -сообщения, содержащие вредоносные ссылки. Как установили эксперты «Лаборатории Касперского», сайты, на которые вели такие ссылки, были созданы с помощью одного из популярных бесплатных онлайн-конструкторов.

На этом фоне утешительной может показаться информация об очередных успехах американских правоохранительных органов. Так, в апреле министерство юстиции США инициировало закрытие командных центров крупного ботнета Coreflood, насчитывавшего порядка 2 млн зараженных машин.



Пример спам-сообщения со ссылкой на вредоносный сайт


Источник

[Pavlon]

За рассылку спама можно будет получить до 2 лет исправительных работ

13 мая в Госдуме будут обсуждаться поправки в российское законодательство, цель которых - противодействие несанкционированным рассылкам (спам), сообщил в своем блоге депутат Госдумы Илья Пономарев. Поправки разработаны подкомитетом по технологическому развитию Комитета Госдумы по информационной политике и IT и комиссией по информационной безопасности и киберпреступности Российской ассоциации электронных коммуникаций (РАЭК). Законопроект готовился более полугода, но результаты еще очень предварительные и требуют доработки, сказал "Ведомостям" директор РАЭК Сергей Плуготаренко.

Как следует из текста проекта, касающиеся спамерских рассылок поправки могут внесены в закон "Об информации, информационных технологиях и о защите информации", в закон "О связи", российский Кодекс об административных правонарушениях и Уголовный кодекс. Если поправки будут приняты, борьбой со спамом будут заниматься надзорные органы в области связи и силовики.

В закон "Об информации.." планируется ввести такие поправки: В статью 9 об ограничении доступа к информации добавить пункт о запрете на составление списков адресов электронной почты, их распространение и использование с целью распространения не санкционированных рассылок. Кроме того, этот пункт запрещает создавать, распространять и использовать программы, которые занимаются автоматическим сбором адресов в интернете.

Также законодатели предлагают запретить рассылки, получатель которых заранее не согласился их получать. Либо он должен состоять с отправителем в "договорных, семейных, трудовых" отношениях. При этом публикация email в открытом доступе выражением согласия не является, если это не прописано специально.

Кроме того, в 10 пункте закона прописываются требования к содержанию электронных сообщений. В частности, содержащиеся в письме контактные данные должны быть действительны как минимум 30 дней со дня отправления письма; заголовок не должен вводить получателя в заблуждение о содержании письма. Эти правила касаются электронных писем, носящих рекламный характер.

В закон "О связи" предлагается внести поправки, обязывающие операторов самим принимать меры против рассылок спама. Этот пункт законопроекта предельно туманен. В нем написано, что операторы должны "документально фиксировать необходимую информацию", при этом обеспечивать ее конфиденциальность. Также они должны разработать критерии выявления и признаки спамерских сообщений. Если же оператор сам выявляет спамерскую рассылку, то он обязан сообщить об этом в "саморегулируемую организацию связи".

Кодекс об административных правонарушениях предлагается снабдить пунктом о штрафовании спамеров. Так частные лица могут быть оштрафованы за несанкционированные рассылки на 50000-100000 руб.; штраф для должностных лиц - 100000-200000 руб, для юридических лиц - 0,2-1 млн руб. Штрафы также сопровождаются изъятием компьютеров.

На те же суммы предлагается штрафовать и за создание программ, занимающихся автоматическим сбором электронных адресов. Поправки в Уголовный кодекс тоже предполагают наказание за производство и массовое распространение спама. Спамер может заплатить штраф в размере до 1 млн руб либо получить 120-180 часов исправительных работ, либо от 6 месяцев до 1 года исправительных работ.

Если же спам рассылается "группой лиц по предварительному сговору" или организованной группой с целью получения крупного дохода, то штраф может составить до 2 млн руб. Исправительные работы в таком случае могут продлиться 180-240 часов и даже 1-2 года. Крупным доходом в этом случае признается доход более 100 000 руб.

Анастасия Голицына, Ведомости
Comnews.ru

[sambor]

Лаборатория Касперского анализирует тенденции развития информационных угроз в первом квартале 2011 года

В первом квартале 2011 года в мире IT-угроз произошло немало разных событий. Предыдущие прогнозы стали сбываться очень быстро, и ситуация, в особенности с мобильными угрозами и целевыми атаками, продолжает накаляться.

 Стремительный рост популярности мобильной платформы Android не остался незамеченным для злоумышленников. Статистические данные о количестве новых сигнатур для мобильных зловредов, обнаруженных в этот период, дает экспертам «Лаборатории» Касперского» все основания предполагать, что общее количество вредоносных программ для мобильных устройств в 2011 году более чем в 2 раза превысит показатели 2010 года. Этому отчасти будет способствовать появление новых способов заражения пользователей. Так, например, в первом квартале было выявлено более 50 вредоносных приложений, написанных злоумышленниками для Android OS и распространяемых через Android Market. Они представляли собой перепакованные версии легальных программ с добавленным троянским функционалом.

 Второй важной тенденцией первого квартала 2011 года стало увеличение количества атак на различные организации. Причем речь идет не только о традиционных DDoS-атаках, которые на какое-то время выводят из строя сервисы компаний, но и о проникновении на корпоративные серверы с целью кражи информации. Все указывает на то, что часть профессиональных киберпреступников переключила свое внимание с заражений домашних компьютеров пользователей на взлом крупных корпораций. Для них это, конечно же, сопряжено с большими рисками, но ставки в целевых атаках на компании выше, а конкурентов в этом сегменте черного рынка значительно меньше.

 Для первого квартала было характерно и проведение так называемых «протестных атак», когда целью злоумышленников было не получение прибыли, а удар по репутации компании. Одним из наиболее ярких примеров подобных атак стал инцидент с американской компанией HBGary, занимающейся компьютерной безопасностью: получив доступ к конфиденциальной информации, злоумышленники выложили ее в открытый доступ. На сегодняшний день подобный подход является редким исключением из правила, и в подавляющем большинстве случаев преступники крадут информацию с целью ее последующей перепродажи или получения выкупа за нераспространение.

 Конец квартала был ознаменован атакой новой модификации опасного троянца-вымогателя GpCode, шифрующего данные на зараженном компьютере и требующего выкуп за расшифровку. В отличие от предыдущих модификаций, удалявших зашифрованные файлы, новые варианты GpCode перезаписывают файлы шифрованными данными, что делало их восстановление практически невозможным. Интересно отметить тот факт, что жертвами злоумышленников становились жители Европы и постсоветского пространства, а сама атака проводилась в течение всего лишь нескольких часов. Подобная осторожность со стороны автора троянца говорит о том, что он не стремился к массовому заражению, чтобы не привлекать излишнее внимание правоохранительных органов. Можно предположить, что дальнейшие атаки троянца-шифровальщика, скорее всего, тоже будут носить точечный характер.

 Еще одной тенденцией, которая оказывает непосредственное влияние на информационную безопасность, является рост популярности социальных сетей, блогов, торрентов, Youtube и Twitter, которая ведет к изменению цифрового ландшафта. Эти сервисы обеспечивают высокую скорость распространения данных и их доступность в каждом уголке мира. Информации, появляющейся в блогах пользователей, люди зачастую доверяют не меньше, чем официальным СМИ. На популярность такого рода ресурсов уже обратили внимание киберпреступники. Поэтому в дальнейшем стоит ожидать увеличения количества атак через эти сервисы и на эти сервисы.



Количество новых сигнатур мобильных зловредов, добавляемых в антивирусные базы



Распределение веб-ресурсов, на которых размещены вредоносные программы, по странам

 Источник

[Pavlon]

Новый руткит можно вывести только переустановкой Windows

Microsoft сообщает пользователям ОС Windows о том, что им придется переустановить операционную систему, если они будут инфицированы новым руткитом, который прячется в загрузочном секторе компьютера.

Новый вариант трояна, который Microsoft называет "Popureb", забирается так глубоко в систему, что единственный способ удалить его – вернуть Windows к своей первоначальной заводской конфигурации, написал в блоге Чун Фэн, инженер Microsoft Malware Protection Center (MMPC).

"Если ваша система будет инфицирована трояном Trojan:Win32/Popureb.E, мы советуем исправить главную загрузочную запись (MBR), а затем воспользоваться компакт-диском для восстановления системы и с помощью него восстановить систему к состоянию, в котором она была до того, как была инфицирована", - сказал Фэн.

Такие вредоносные программы, как Popureb, переписывают загрузочную запись (MBR) жесткого диска – первый сектор – место, где хранится код для загрузки операционной системы после того, как BIOS компьютера сделает проверки при запуске. Руткит остается невидимым как для операционной системы, так и для программ, отвечающих за безопасность системы, потому что он прячется в MBR.

Согласно Фэну, Popureb засекает попытки записи, направленные на MBR – например при попытке очистки – и подменяет их на операции чтения.

Хотя покажется, что операция прошла успешно, новые данные на самом деле не появляются на диске. Иными словами, очистка вообще не поможет.

Фэн опубликовал ссылки на инструкции по исправлению основной загрузочной записи для XP, Vista и Windows 7.

Xakep.ru

[Zuroww]

Google начал притворяться антивирусом

Google первой среди поисковиков стала предупреждать пользователей о том, что их компьютер может быть инфицирован. Для этого компания использует данные о трафике, который приходит на ее собственные серверы.

Поисковый сервер Google начал выдавать пользователям предупреждения о том, что их компьютер может быть заражен вирусом. Новая функция, возникшая в дополнение к сообщениям об инфицированных сайтах, поможет обеспечить безопасную работу в интернете, полагают в компании.

Принцип действия системы основан на анализе маршрута, по которому осуществляется передача данных с компьютера на серверы Google. И если этот маршрут вызывает подозрения, Google бьет тревогу. «Некоторые виды вредоносного ПО изменяют настройки компьютера таким образом, чтобы он пропускал весь сетевой трафик или какую-либо его часть через прокси-сервер, принадлежащий злоумышленникам, - пояснили в компании. - Так, когда вы отправляете в Google какой-либо запрос, его получает прокси-сервер и затем перенаправляет на настоящие серверы Google, чтобы получить результаты поиска. Когда наши системы определяют, что тот или иной запрос пришел от такого прокси-сервера, появляется предупреждение о вредоносном ПО».

Получив предупреждение, пользователь может обратиться к статье о том, как найти и обезвредить вирус. В частности, компания советует установить антивирус, если его нет, или обновить антивирусные базы и затем просканировать компьютер. Сама Google не предлагает пользователям антивирусных продуктов, просто информируя их о возможных заражениях.

По словам специалиста Google в сфере информационной безопасности Дэмиана Менщера (Damian Menscher), подозрительный трафик был выявлен в их собственном дата-центре при очередном плановом обслуживании, и на его основе теперь и создаются предупреждения. То есть, говорит Менщер, сами пользовательские системы не сканируются. В Google добавили, что новый сервис Google способен распознавать большое разнообразие вредоносных программ, заразивших компьютеры с операционной системой Windows.

Google стала первой крупной интернет-компанией, которая начала предупреждать о возможном инфицировании клиентских систем, отмечает TechCrunch. Однако в ней пока не приняли решение, будет ли новая функция работать регулярно или только в рамках данного инцидента, сообщает ресурс Search Engine Land, связавшийся с представителями компании. «Мы просто обнаружили на наших серверах подозрительный трафик и, так как стремимся сделать веб-серфинг безопасным, поспешили предупредить об этом наших пользователей», - заявили представители.

Отсюда

[sambor]

Новая волна троянцев-вымогателей: "Доктор Веб" предоставляет код бесплатно


Волны заражений ПК вредоносными программами семейства Trojan.Winlock уже давно миновали - одна из них пришлась на конец 2009 – начало 2010 года, а вторая - на лето 2010 года. Однако в настоящее время снова наблюдается тенденция к распространению угроз подобного типа.

Компания «Доктор Веб» предупреждает о новой модификации троянской программы, получившей название Trojan.Winlock.3846. Говорить об эпидемии пока преждевременно, однако это уже вторая подобная угроза, выявленная специалистами «Доктор Веб» в текущем месяце.


Так выглядит троянец Trojan.Winlock.3846. Код разблокировки: 754-896-324-589-742

В отличие от старого троянца Trojan.Winlock.3794, новая модификация программы-вымогателя записывает ссылку на себя в разделе системного реестра
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\userinit, который отвечает за запуск программ системным процессом winlogon в момент входа пользователя Windows в систему. Благодаря этому операционная система оказывается заблокированной при первой же после заражения перезагрузке компьютера.

Вместо привычного интерфейса Windows на экране инфицированного компьютера появляется сообщение о сбое некоего системного процесса по адресу 0x3BC3. Для его устранения пользователю предлагается позвонить по одному из указанных телефонных номеров и ввести код разблокировки в соответствующее поле. Звонок на эти номера, естественно, является платным.

Данная модификация «винлокера» имеет одну характерную особенность: в ресурсах троянца содержится несколько языковых версий блокирующего компьютер окна для различных локализаций Windows. Как минимум имеются варианты сообщения на английском, французском и русском языках.

Для разблокировки операционной системы, пострадавшей от действий троянца Trojan.Winlock.3846 воспользуйтесь следующим кодом разблокировки: 754-896-324-589-742

Как и прежде, компания «Доктор Веб» настоятельно рекомендует пользователям воздерживаться от запуска приложений, загруженных из неблагонадежных источников, и вложений в сообщения электронной почты, полученных от неизвестных отправителей. Следует с осторожностью относиться к возникающим в процессе просмотра веб-страниц сообщениям браузеров с предложением установки каких-либо модулей или плагинов. Если вы стали жертвой троянца Trojan.Winlock.3846, воспользуйтесь средством аварийного восстановления системы Dr.Web LiveCD и лечащей утилитой Dr.Web CureIt!.

Источник

[KVL]

 Заодно здесь размещу недавно опубликованный, аналитический отчёт по безопасности от Майкрософт (январь 2010 - май 2011)

 Борьба с угрозой Rustock — аналитический отчет по безопасности: специальный выпуск
Данный документ предназначен только для информационных целей. КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАНТИЙ, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, СВЯЗАННЫХ С ИНФОРМАЦИЕЙ В ДАННОМ ДОКУМЕНТЕ.

 Данный документ предоставляется "как есть". Информация, предоставленная в этом документе, в том числе URL-адреса и ссылки на веб-сайты, может быть изменена без уведомления. Вы используете данную информацию на свой риск.
© Корпорация Майкрософт (Microsoft Corp.), 2011. Все права защищены.

 Имена реальных компаний и продуктов, упомянутых здесь, могут быть зарегистрированными товарными знаками их владельцев.

 Авторы:
Дэвид Анселми (David Anselmi), отдел по борьбе с цифровыми преступлениями Майкрософт
Ричард Боскович (Richard Boscovich), отдел по борьбе с цифровыми преступлениями Майкрософт
Т. Дж. Кампанья (T.J. Campana), отдел по борьбе с цифровыми преступлениями Майкрософт
Саманта Доерр (Samantha Doerr), отдел по борьбе с цифровыми преступлениями Майкрософт
Марк Лориселла (Marc Lauricella), создание защищенных информационных систем Майкрософт
Тарек Сааде (Tareq Saade), Центр Майкрософт по защите от вредоносных программ.

 Холли Стюарт (Holly Stewart), Центр Майкрософт по защите от вредоносных программ.
Олег Петровски (Oleg Petrovsky), Центр Майкрософт по защите от вредоносных программ.
Руководитель программы - Фрэнк Сайморджей (Frank Simorjay), создание защищенных информационных систем Майкрософт.

 Введение.

 В этом документе представлен обзор семейства Win32/Rustock пакета троянских программ rootkit. В данном документе изучается происхождение Win32/Rustock, функциональность, механизм работы, а также предоставляются телеметрические данные угрозы и их анализ за календарный 2010 г. по май 2011 г. Кроме того, в данном документе описываются юридические и технические действия, предпринятые для разрушения ботнета Rustock, а также способы обнаружения и удаления угрозы с помощью продуктов защиты от вредоносных программ Майкрософт.

 Предисловие.

 Майкрософт и ботнет Rustock.

 16 марта 2011 г. корпорация Майкрософт объявила, что отдел по борьбе с цифровыми преступлениями Майкрософт (DCU) вместе с отраслевыми и академическими экспертами разрушили ботнет Win32/Rustock. На тот момент около миллиона компьютеров были заражены вирусом Rustock, который управлял ими и мог посылать миллиарды нежелательных сообщений каждый день, в том числе фальшивые лотерейные билеты Майкрософт и рекламу поддельных (и, вероятно, опасных) лекарств.
Операция по уничтожению Rustock была второй операцией разрушения ботнета, организованная Майкрософт, в которой участвовали отдел DCU, Центр Майкрософт по защите от вредоносных программ (MMPC) и отдел создания защищенных информационных систем Майкрософт, известный как проект MARS (Microsoft Active Response for Security). Проект MARS был инициирован как способ для нахождения и разрушения ботнетов и криминальной инфраструктуры, поддерживаемой ими, а также для помощи жертвам в восстановлении контроля над зараженными компьютерами. Первая операция по уничтожению ботнета в проекте MARS была осуществлена весной 2010 г., ее кодовое имя — "операция b49", позволившая деактивировать ботнет Waledac. Операция b49 была экспериментом для проверки подхода Майкрософт к уничтожению ботнета. За ней последовало разрушение более крупного и зловредного ботнета, известного как Rustock, в начале 2011 г. Как и в случае с Waledac, для уничтожения Rustock (с кодовым именем "операция b107") потребовалось использование юридических и технических методов для разрыва связи между структурой управления и исполнения ботнета Rustock и зараженными компьютерами, чтобы остановить вред, приносимый ботнетом.

 Такие крупномасштабные операции не могут выполняться в одиночку. Для них требуется сотрудничество отраслевых и академических экспертов, правоохранительных органов и правительств во всем мире. В данном случае корпорация Майкрософт работала с компанией Pfizer, поставщиком сетевой безопасности FireEye и Университетом Вашингтона. Компания FireEye оказала значительную помощь с техническим анализом Rustock, и все три участника предоставили исковые заявления в федеральный суд, касающиеся опасностей, создаваемых ботнетом Rustock, и его влияния на Интернет-сообщество. Корпорация Майкрософт также сотрудничала с отделом по борьбе с преступлениями в сфере высоких технологий полиции Нидерландов для разрушения структуры управления ботнета за пределами США. Кроме того, Майкрософт работала вместе с CN-CERT с целью блокировки регистрации доменов в Китае, которые использовались Rustock в качестве будущих серверов управления и исполнения.
Главный урок, полученный нами в борьбе с ботнетами, состоит в том, что сотрудничество при применении профилактических мер для разрушения вредоносной сети — ключ к успеху.
Ричард Боскович (Richard Boscovich), старший юрист, отдел по борьбе с цифровыми преступлениями Майкрософт...

 Читайте полностью в прикреплённом во вложении PDF-файле.

[haykazun]

Остальные  Внимание читать всем.pdf