О вирусах, спаме и вредоносных программах

[Pavlon]

Троян атакует Windows-смартфоны

Компания Sophos предупреждает о появлении вредоносной программы, инфицирующей коммуникаторы под управлением Windows Mobile.

Как сообщает «Компьюлента», код трояна, получившего название Troj/Terdial-A, встроен в мобильную игру 3D Anti-terrorist Action (приложение размещено на множестве сайтов, предлагающих контент для коммуникаторов).

Пользователи, столкнувшиеся с инфицированной игрой 3D Anti-terrorist Action, сообщают, что мобильные устройства самопроизвольно совершают дорогостоящие международные звонки в Доминиканскую Республику, Сомали и пр.

По данным Sophos, троян создан неким киберпреступником с российскими корнями, по всей видимости, получающим мзду от стоимости звонков на премиум-номера.

О том, какое количество владельцев Windows-смартфонов успело загрузить инфицированную игру, не сообщается.

Telegraf.lv

[AtElEr]

Интернет-преступники осваивают новую горячую тему

Интернет-преступники осваивают новую горячую тему. На волне участившихся в Европе и Америке громких баталий между правообладателями и пользователями файлообменных сетей появились мошенники, которые пытаются использовать борьбу за копирайт для собственного обогащения. В течение недели интернет-пользователей терроризирует новый вирус. Угрожая судебным процессом, он предлагают своим жертвам выплатить «штраф» за скачивание пиратских торрентов.

Новый вирус представляется программой от некой представительной организации, выступающей от правообладателей, которой в реальности не существует. Убедительности этой афере придает следующая уловка – вирус проводит сканирование жесткого диска на наличие нем torrent-файлов, список которых потом и прилагает, как доказательство пиратской деятельности пользователя. После этого «пойманному с поличным» предлагается выплатить «штраф» в размере $400 для внесудебного решения конфликта.

Новый тип вируса и новый вид мошенничества обнаружили эксперты из компани F-Secure. По их словам, требование выплатить штраф появляется даже в случае отсутствия на жестком диске торрентов.

Вирус принуждает пользователей оставить свое имя, адрес и данные кредитной карты. В противном случае «нарушителям» угрожают привлечением к судебной ответственности с последующей выплатой штрафа в $250 тыс. и тюремным заключением на срок до пяти лет.

http://www.gazeta.ru/techzone/2010/04/15_n_3352062.shtml

[Pavlon]

Назван самый распространенный в Латвии вирус

По данным системы сбора вредоносных программ ESET ThreatSense.Net® программа Win32/Conficker является наиболее распространенной среди вирусов, обнаруженных и обезвреженных в компьютерах пользователей ESET в Латвии, а так же других странах Европы, Ближнего Востока и Африки.

Win32/Conficker остается главной угрозой с высокими показателями почти в каждой стране Европы, Ближнего Востока и Африки. В апреле наивысший показатель был зафиксирован на Украине (15.05%), в Болгарии (14.28%), Румынии (13.91%), России (12.12%), Германии (11.63%), Финляндии (11.36%), Сербии (9.84%), Великобритании (9.74%), Италии (9.02%), Чехии (6.44%) и Венгрии (5.85%) от общего числа обнаружений. Среди вирусов, обнаруженных в Латвии, эта вредоносная программа стоит на первом месте с показателем 7.58%.

Вредоносные интернет программы Win32/Conficker и INF/Autorun наиболее распространены в странах Европы, Ближнего Востока и Африки. Особенно число обнаружения этих программ увеличилось среди стран северной и западной Европы.

INF/Autorun используется для характеристики ряда вредоносных программ, использующих файл autorun.inf, как способ заражения компьютера. Этот файл содержит информацию, предназначенную для автоматического запуска, когда переносные носители (часто USB флэш-память) подключены к компьютеру пользователя Windows. INF/Autorun наиболее распространен в ЮАР (12.26%), Испании (11.67%), Объединенных Арабских Эмиратах (9.36%), Франции (8.30%), Греции (5.98%), Словакии (5.52%) и Израиле (5.35%). В Латвии число обнаружений составляет 5.81%.

Апрельские данные указывают на новую тенденцию - Win32/Agent вошел в Топ 3 угроз с показателем 3.53% от общего числа вредоносных программ обнаруженных и обезвреженных в компьютерах пользователей ESET в странах Европы, Ближнего Востока и Африки.

Компания ESET описывает это обнаружение вредоносного кода как классовый, т.к. он характеризует членов широкого семейства вредоносных программ, способных красть информацию пользователей с зараженных компьютеров. Увеличение случаев обнаружения Win32/Agent отмечен в большинстве стран Европы, Ближнего Востока и Африки, где он входит в Топ 3. Так же он является наибольшей угрозой для пользователей компьютеров в Дании (5.91%), Австрии (5.87%) и Норвегии (4.31%). Число обнаружений в Латвии Win32/Agent - 3.8%.

После долгого лидирования в списке обнаруженных вирусов, Win32/PSW.OnLineGames вышел из топа. Это семейство троянских вирусов используется для узнавания паролей и нацелено конкретно на игроков компьютерных игр: этот вид троянского вируса сопровождает запись набора на клавиатуре и руткиты, которые собирают информацию, относящуюся к on-line играм и сертификатам. Это обнаружение в апрельских результатах обосновалось на четвертом месте с результатом в 3.48% странах Европы, Ближнего Востока и Африки. В Латвии его показатель невысок - 2.32%.

В апрельском Топ 10 вредоносных программ так же находится Win32/Packed.FlyStudio.O.Gen (1.34%). Flystudio O.Gen отмечают обнаружения для запутанных модулей FlyStudio, которые не всегда вредоносны: иногда запутывание используется как средство управления правомерными цифровыми правами, препятствуя попыткам вредоносного обратного проектирования. Впрочем, использование упаковщиков и запутывателей было достоверным индикатором вредоносных попыток в течении нескольких лет и некоторые производители антивирусов определяют почти любой запутанный код как вредоносный или потенциально вредоносный. Win32/Sality занимает 7 место с результатом в 1.32%. Это полиморфный инфицирующий файл, который изменяет EXE и SCR файлы, а так же выводит из строя сервисы и процессы, имеющие отношения к защитным решениям.

В некоторых регионах первая позиция среди списка вредоносных программ отличается от общих результатов. Например, Win32/Injector, т.е. версии трянских вирусов, крадущих варианты пароля и другой чувствительной информации, является главной вредоносной интернет программой в Эстонии (7.13%) и Бельгии (4.84%). В апреле Win32/TrojanDownloader.Unruy занимал первую позицию в Словении. Распространенность этого UPX-упакованного троянского вируса в сравнении с предыдущим месяцем выросла на 1%, составив 5.84% от всех обнаружений вредоносных программ в Словении.

 Novonews.lv

[Хоттабыч]

Хакеры распространяют вирусы через финальную серию «Остаться в живых»

Хакеры используют финальный эпизод сериала «Остаться в живых» для распространения фальшивого антивируса MySecureEngine.

Специалисты PandaLabs зарегистрировали быстрое распространение веб-страниц, через которые распространяется фальшивый антивирус MySecureEngine, в поисковых системах, сообщает Securitylab. В данном случае в качестве «приманки» используется ожидаемый многими финальный эпизод сериала «Остаться в живых» (Lost).

В таком способе распространения фальшивого антивируса нет ничего необычного. Пользователь ищет в интернете информацию, связанную с сериалом: новости о последнем эпизоде, сайты, где можно посмотреть его в режиме онлайн. В результатах поиска появляются фальшивые веб-страницы. Они мастерски проиндексированы и занимают первые позиции в поисковиках. Если пользователь переходит по одной из этих ссылок, ему предлагается загрузить файл (например, кодек), и в этот момент на компьютер устанавливается фальшивый антивирус.

Другие сериалы и фильмы также часто используются в качестве приманки для распространения вредоносных кодов. PandaLabs выявила схожие атаки с использованием таких ключевых слов, как Glee, «Гриффины» (Family Guy) и «Железный человек 2» (Iron Man 2).

Имя недавно погибшего рок-певца из группы Rainbow and Black Sabbath Ронни Джеймса Дио (Ronnie James Dio) также было использовано для распространения мощной атаки кода Black Hat SEO по всей сети.

Луис Корронс, технический директор PandaLabs, отметил: «Нас не перестает удивлять скорость, с которой создаются, а затем индексируются в результатах поиска многочисленные веб-сайты. По мере приближения финального эпизода «Остаться в живых» (Lost) мы ожидаем увеличения количества вредоносных ссылок в два, а то и в три раза».

Panda Security рекомендует пользователям (особенно фанатам сериала) быть осторожными при посещении различных веб-сайтов, найденных через поисковики. Необходимо убедиться в том, что этим страницам можно доверять. Если Вы все же попали на фальшивый веб-сайт, то лучше ничего не загружайте. «Здравый смысл и надежная обновленная защита – вот два наилучших способа защиты от подобных угроз», - добавляет Корронс.


источник

[Pavlon]

Человек стал компьютерным вирусом

Первым человеком в мире, зараженным компьютерным вирусом, стал доктор Марк Гэссон из Университета Рединга. Он вживил себе в руку чип с вирусом, который позволяет негативно воздействовать на различные компьютерные системы.

Технический прогресс привел не только к тому, что в мире появились компьютеры, мобильные телефоны и другие электронные прелести жизни, но и к появлению вредоносных вирусов. Например, в мире широко используется метод радиочастотной идентификации (RFID). На его основе созданы современные охранные турникеты, системы защиты товара в магазинах от кражи, бесконтактные смарт-карты и системы слежения за перемещениями домашних животных.

То, насколько подобные системы являются уязвимыми, продемонстрировал доктор Марк Гэссон из Школы проектирования компьютерных систем при британском университете Рединга. Ученый взял микроэлемент RFID последнего поколения (то есть большой степени защиты) и записал на него вирус. После этого он вживил этот чип себе в левую руку.

Наличие этого чипа позволило ему без всякого пропуска преодолеть охранную систему в своем же университете и получить доступ к своему мобильному телефону без введения PIN-кода.

Ученый считает, что его разработка привлечет внимание к повышению уровня безопасности радиочастотной идентификации. По мнению Гэссона, подобные вирусы в будущем могут представлять угрозу людям, использующим медицинские приборы, наподобие электрокардиостимуляторов, оснащенные RFID-чипами.

Ознакомиться с работой доктора Гэссона на английском языке можно здесь .

Telegraf.lv

[NEL]

Человек стал компьютерным вирусом
доктор Марк Гэссон ....... вживил ... чип себе в левую руку.
Наличие этого чипа позволило ему без всякого пропуска преодолеть охранную систему в своем же университете и получить доступ к своему мобильному телефону без введения PIN-кода.

  Оригинально    Браво 

Фильм "МАТРИЦА"    в воспалённом мозге    шизофреника,    осложнённом компьютерными играми. 

Сочувствую и соболезную профессионалам компьютерных игр     

[Pavlon]

Компьютерные вирусы добрались до фотокамер

Цифровые камеры Olympus стали носителями вредоносного программного обеспечения, сообщает японский производитель фототехники с многолетней историей. Уже с завода устройства уходили с компьютерным вирусом, записанным во внутренней памяти.

Согласно предупреждению, опубликованному на официальном сайте Olympus, опасные файлы были обнаружены только в защищенных аппаратах Stylus Tough 6010 (в России продавались под названием μTOUGH-6010), а всего было выпущено около 1700 зараженных фотокамер. Чтобы проверить свой фотоаппарат на наличие вредоносного ПО, достаточно зайти на специально созданную страницу и ввести серийный номер устройства.

Как утверждают представители японской корпорации, вирус никак не влиял на фотографические возможности цифровых камер, зато проявлял себя, когда пользователи пытались загрузить свои фотографии в компьютер. При подключении к машине под управлением Windows он копировал себя на жесткий диск, а затем заражал все сменные носители, который мог найти в системе.

В своем сообщении представители Olympus принесли извинения пользователям, добавив, что в будущем постараются улучшить контроль качества на производстве.

Ситуации, когда вредоносное ПО обнаруживалось в новых гаджетах, случались и ранее. Так, различные вирусы и троянские приложения уже находили в GPS-навигаторах TomTom, мультимедийных плеерах Apple iPod и даже на подарочных USB-носителях IBM, которые раздавали на конференции по компьютерной безопасности.

Telegraf.lv

[Pavlon]

Вирусы атакуют компьютеры футбольных фанатов

Фанаты футбола в эти дни имеют возможность не только наблюдать за увлекательной игрой полюбившихся команд, но и явственно ощутить себя в цепких лапах разработчиков вирусов. Злоумышленники, пользуясь всеобщим интересом к происходящему на футбольном поле в ЮАР, творчески подошли к ситуации и не упустили возможность проявить себя в действии – они распространяют заражённые сообщения, с целью добраться до личной информации пользователей ПК.

Стало интересно, давно ли злоумышленники стали затрагивать футбольную тематику для проявления своего "творчества", сообщили NovoNews в компании ESET.

Итак, если пользователь своевременно не установил антивирусную защиту и все-таки, подгоняемый любопытством, открыл заражённое сообщение, он имел возможность познакомиться с довольно любопытными примерами творчества хакеров.

Ещё в далёком 1998 году, во время чемпионата мира во Франции, злоумышленники пытались воспользоваться повышенным интересом болельщиков к разного рода информации о чемпионате. Так, например, потенциальным жертвам предлагалось принять участие в on-line игре и угадать которая из футбольных команд победит. Если пользователь неверно выбирал команду, ПК заражался и вирус уничтожал всю информацию с жёсткого диска пользователя.

Позже, в 2002 году, фанатов привлекли возможностью отслеживать новейшие результаты игр чемпионата мира по футболу в Корее и Японии. Вирус Brit рассылался по электронной почте и по IRC в сообщениях с названием 'RE: Korea Japan Results', в которых предлагалось установить функцию для отслеживания результатов игр. Если пользователь открывал приложение и следовал указанной в нем инструкции по разрешению ActiveX, червь самораспространялся, используя адресную книгу пользователя.

По прошествии трёх лет, в 2005 году, злоумышленниками был распространён червь Sober. Он содержался в сообщениях якобы разосланных от лица ФИФА, в которых говорилось, что пользователь выиграл бесплатные билеты на игру Чемпионата мира по футболу в Германии. Приложенный к сообщению zip файл, содержал pif файл. Открывая его, пользователь получал сообщение о неудавшемся запуске файла. Вирус, проникший в ПК в результате этих действий, собирал адреса электронной почты пользователя в системе Windows и создавал необходимые записи в реестре для самозапуска. Позже, когда червь уже установил чёрный ход, разработчик вируса получал доступ к информации пользователя и мог дистанционно управлять системами заражённого компьютера. Распространённое сообщение содержало контактную информацию ФИФА, что позволяло жертвам атаки не сомневаться в подлинности полученного сообщения. Надо ли говорить, что в следствии этого футбольная организация незаслуженно получила массу негативных отзывов, а обещанные злоумышленниками билеты так и не стали собственностью жертв компьютерного вируса.

Уже на следующий, 2006, год хакеры заманивали фанатов футбольной on-line игры Fantasy Premiere League Excel таблицей результатов, часто используемой игроками для отслеживания результатов сыгранных матчей. Как только попавшийся на удочку пользователь открывал приложение, в компьютер проникал вирус Yagnuul.A. Проникнув в компьютер, вирус самокопировался в каждый открытый Excel файл на компьютере жертвы и создавал файл 'LuuNGayDD-MM-YYYYORIG.xls', где DD-MM-YYYY – текущая дата, а ORIG - настоящее имя файла пользователя. Таким образом, вирус маскировался под стандартную таблицу игрока и никто не подозревал, что эти файлы – результат действий вируса Yagnuul.A.

В том же году, приурочив атаку к чемпионату мира в Германии, хакеры распространили троян Haxdoor. Вирус скрывался под линком в письме, предлагавшем болельщикам бесплатную диаграмму, позволяющий следить за успехами полюбившейся команды. В результате успешной атаки злоумышленники могли получить доступ к ПК и использовать его в преступных целях.

В свою очередь, в этом году, ещё до начала чемпионата в ЮАР стало известно, что предприимчивые злоумышленники рассылают письма с предложением бесплатного туристического путеводителя для фанатов в Южной Африке. Письмо содержало PDF файл с уязвимостью Adobe Reader, использовавшимся для заражения ПК жертвы. "Вредоносные программы замаскированы под ссылки на ресурсы Интернета, предлагающие жертвам значительную экономию при покупке жилья, туров, билетов и авиабилетов", говорит Кари ван Вландерен (Carey van Vlaanderen), директор представительства антивирусной компании ESET в Южной Африке.

"Видеоклипы с заманчивыми названиями об актуальных проишествиях также часто используются в качестве приманки, чтобы стимулировать любопытство зрителей", - сообщил представитель Южноафриканского ESET. Например, в этом году замечен троянский вирус PWS-Banker.gen.ad, распространяющийся вместе с видеороликом, в котором запечатлена стычка между бразильским тренером и фанатами команды. Известно, что, заразив компьютер, злоумышленники получали доступ к личной информации жертв, в том числе и к их паролям интернет-банков.

К тому же наблюдется повышенная активность вируса Koobface, распространяющегося посредством ссылок опубликованных в социальных сетях - заражение передается с уже инфицированных компьютеров "друзей". Полученное сообщение перенаправляет пользователя на сайт, где предлагается скачать якобы обновление к Adobe Flash player. Заражение происходит, если пользователь следует полученным указаниям. В результате вирус крадет личную информацию, например, номера кредитных карт пользователя и превращает машину в зомби. Потому рекомендуется обращать внимание на надёжность источников информации не только в электронной почте, но и в социальных сетях, кроме того, крайне важно, чтоб пароли к профилям были уникальны и тщательно подобраны.

Но и на этом злоумышленники не остановились – опять-таки посредством электронной почты и IRC был распространён еще и червь Chick.F. Он содержался в прикреплённых к сообщениям файлах Britney.CHM. Червь самостоятельно копировался и отсылался на первый адрес в адресной книге электронной почты пользователя сразу после того, как жертва открывала приложение.

Поэтому напоминаем, что лучший способ не получить гол противника в ворота своего ПК – это выстроить надежную защиту, вовремя оградив себя от потенциальных угроз надежным антивирусным решением и открывать заманчивые предложения лишь в том случае, если полностью уверены в надежности источника.

Novonews.lv

[Pavlon]

В Прибалтике - эпидемия вируса Win32/Agent

Вирус Win32/Agent стал угрозой номер 1 в Латвии, Литве и Эстонии – свидетельствуют данные вирусной лаборатории ESET. Еще несколько месяцев назад его активность была минимальна, но сейчас жители Прибалтики могут пострадать от его активности чаще, чем от других вирусов.

Цель хакеров, распространяющих этот вирус – кража персональных данных, паролей, кодов доступа к банковским счетам и другой информации пользователя ПК. "Сегодня вирусописание превратилось из простого ганства в криминальный бизнес, которым заняты команды профессиональных программистов, и Win32/Agent – яркий пример этому", - комментирует Свен Кинсиго, представитель антивирусной компании ESET в Латвии.

Данные, собранные специалистами международной антивирусной компании ESET с помощью технологии раннего обнаружения ThreatSense.Net®, свидетельствуют, что показатель Win32/Agent среди всех обнаруженных и обезвреженных в Латвии вирусов повысился на 2.3%, составив 8.58%. В свою очередь в Литве его показатель - 14.14%, а в Эстонии – 7.27% от общего числа обнаруженных и обезвреженных компьютерных вирусов.

Ненамного по активности отстает семейство вредоносного програмного обеспечения INF/Autorun. Вирус как способ заражения компьютера использует файл autorun.inf, который предназначен для автоматического запуска программ, при подключении носителей информации (например, флэш-карты) к компьютеру пользователя Windows. Вирус проникает именно в тот момент, когда происходит автоматический запуск файлов с подключёного к ПК носителя информации. Процент обнаружения INF/Autorun на компьютерах пользователей в Латвии составил в июне 6.71%, а в Литве – 6.31%. В Эстонии же этот вирус не занимает лидирующих позиций и составляет всего 2.3% от общего числа обнаружений.

На третем месте в июньском топе Латвии и Литвы – червь Conficker с показателем 6.59% в Латвии и 6.01% в Литве. Цель червя, так же как и вышеупомянутых вирусов - кража персональной информации пользователя ПК. Его активность продолжает снижаться – за минувший месяц число его обнаружений снизилось в Латвии на 0.99%, а в Эстонии число его обнаружений уменьшилось вплоть до 2.05%. "Постепенное снижение активности этого червя мы наблюдаем уже довольно давно, но его активность все еще высока. Защитой от него и других вредоносных программ может служить только надежное антивирусное решение", - отмечает представитель ESET Свен Кинсиго.

Novonews.lv

[Kobzik]

Обнаружен вирус, использующий новую уязвимость для распространения
Компания "ВирусБлокАда" сообщает об обнаружении вредоносной программы, использующей новую уязвимость для своего распространения.

Модули данной программы были впервые обнаружены специалистами компании "ВирусБлокАда" 17 июня 2010 года и добавлены в антивирусные базы как Trojan-Spy.0485 и Malware-Cryptor.Win32.Inject.gen.2. В процессе анализа было обнаружено, что вирус распространяется через USB-накопители. При этом заражение происходит не известным ранее способом через файл autorun.inf, а через уязвимость в обработке lnk-файлов. Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление.

Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Эти файлы были добавлены в антивирусные базы соответственно как Rootkit.TmpHider и SScope.Rookit.TmpHider.2. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. После установки драйверов происходит загрузка вредоносного кода в системные процессы, а также скрываются следы присутствия инфицированных файлов на USB-накопителе. Поэтому пользователь и не видит “лишние” файлы на флэшке.

Таким образом, данную вредоносную программу можно отнести к категории наиболее опасных, т.к. в ней используются технологии, представляющие риск для заражения многих компьютеров и начала вирусной эпидемии.

После того, как нашими специалистами были добавлены записи в антивирусную базу на описанные выше вредоносные программы, в Технической поддержке компании было зарегистрировано множество обращений с симптомами, указывающими на заражение Rootkit.TmpHider и SScope.Rookit.TmpHider.2 в нескольких точках мира, сообщает "ВирусБлокАда".

Источник

[KYKAN3D]

Последнее время начал ноутбук глючить, недавно купил Антивирус Касперского 2010года ,лицензия, решил установить(до этого небыло около полгода), ой как он глюканул когда я установил антивирус... но всё же я установил и проверил на наличие вирусов, я был в шоке 11 вредоносных программ и 72 трояна (вирусов). И подумал я, что делов то там для косперского расплюнуть, но все не так оказалось. После нажатия на кнопку быстрая проверка ноутбук заглючил, пришлось остановить проверку, решил сделать полную проверку... чуть без ноутбука остался, вот его глюкануло очень сильно, что экран блымал и звук очень неприятный был, потом синий экран и какие то цифры побежали и он перезагрузился. После включения, где то проходило 30-40сек и все автоматически повторялось хотя антивирус я уже выключил. Потом пришлось удалить каспеского... Придется менять ОС...

[Дядя Фёдор]

Придется менять ОС...

И жёсткий диск форматировать

[sssobaka]

Последнее время начал ноутбук глючить, недавно купил Антивирус Касперского 2010года ,лицензия, решил установить(до этого небыло около полгода), ой как он глюканул когда я установил антивирус... но всё же я установил и проверил на наличие вирусов, я был в шоке 11 вредоносных программ и 72 трояна (вирусов). И подумал я, что делов то там для косперского расплюнуть, но все не так оказалось. После нажатия на кнопку быстрая проверка ноутбук заглючил, пришлось остановить проверку, решил сделать полную проверку... чуть без ноутбука остался, вот его глюкануло очень сильно, что экран блымал и звук очень неприятный был, потом синий экран и какие то цифры побежали и он перезагрузился. После включения, где то проходило 30-40сек и все автоматически повторялось хотя антивирус я уже выключил. Потом пришлось удалить каспеского... Придется менять ОС...

На ноутбук ненадо ставить касперского,по мимо глюков он наченает сильно тормозить . Ставь чо попроше иапример AVIRA,AVG,PANDA,McAfee 

[Pavlon]

В Сеть попал червь для промышленного шпионажа

Компания ESET, международный разработчик антивирусов и решений в области компьютерной безопасности, сообщила NovoNews о распространении нового компьютерного червя Win32/Stuxnet, предоставляющего наибольшую угрозу предприятиям и имеющего направленность на промышленный шпионаж.

Win32/Stuxnet был обнаружен и добавлен в антивирусные базы специалистами Вирусной лаборатории компании ESET несколько дней назад. Известно, что червь распространяется посредством уязвимости в Windows® Shell и определен специалистами ESET как LNK/Autostart.A. Червь используется для атак на ПО класса SCADA, системы управления и контроля, широко используемые в мире в промышленности.

На сегодняшний день наибольшее распространение угроза получила в США и Иране, на которые пришлось 58% и 30% инфицированных компьютеров в мире соответственно. Третьей по уровню проникновения страной стала Россия, на долю которой приходится около 4% зараженных ПК.

"Обнаруженный нами червь представляет собой пример атаки, использующей уязвимость "нулевого дня", т.е. уязвимость, о которой не известно широкой общественности.

Поскольку в данном случае действия злоумышленников направлены на системы класса SCADA, то, по сути, мы имеем дело с использованием вредоносного ПО для промышленного шпионажа. Скорее всего, создание Win32/Stuxnet имеет целевую направленность, так как общеизвестных способов монетизации при анализе данного вредоносного ПО выявлено не было.

Что касается географии распространения червя - высокое проникновение угрозы наблюдается именно в США, возможно, это связано с целевой атакой, задачей которой является промышленный шпионаж", - отметил Юрай Малхо (Juraj Malcho), глава Вирусной лаборатории компании ESET в Братиславе.

Представляя наибольшую опасность промышленным объектам, червь почти не затронул пользователей частных ПК. "На данный момент имеются уже десятки тысяч зараженных компьютеров, но это число может возрости. Для пользователей же домашних ПК этот червь в среднем настолько же опасен, как любая другая вредоносная программа", - комментирует представитель ESET в Латвии Свен Кинсиго.

В основе угрозы лежит уязвимость Windows® OS в обработке файлов с расширением LNK, содержащихся на USB-носителе. Выполнение вредоносного кода происходит благодаря наличию уязвимости в Windows Shell, связанной с отображением специально подготовленных LNK-файлов. Новый способ распространения может повлечь появление других вредоносных программ, использующих такую технологию заражения, поскольку на данный момент уязвимость остается открытой.

"Способ заражения Win32/Stuxnet уникален, так как ПО использует неизвестную ранее уязвимость. А возможность проникновения вируса на ПК через USB-носители позволяет в короткие сроки получить большую распространенность", - отмечает представитель ESET.

Win32/Stuxnet также может обходить технологию HIPS (Host Intrusion Prevention System), которая защищает от попыток внешнего воздействия на систему. Это стало возможным благодаря наличию во вредоносной программе файлов, имеющих легальные цифровые подписи.

Novonews.lv

[Pavlon]

Мифы и реальность про антивирусы

Зачастую, если кто-нибудь рекомендует установить антивирус, мы задаемся вопросом: «А зачем?»

И действительно — зачем, ведь можно обойтись и без него, если не открывать спам и не залезать на сомнительные сайты, а уж если на компьютере установлен не Windows, а Linux или какая-нибудь другая редкая операционная система, то и подавно беспокоиться не о чем. Но действительно ли все так просто или это всего лишь миф? Читайте и решайте...

Миф № 1: вирусов мало и они безвредны

Число вирусов огромно — их сотни тысяч и появляются все новые. Многие из них созданы в ганских целях, но большинство наносят серьезный ущерб — воруют пароли, коды доступа к интернет-банкам и деньги со счетов, крадут личную и секретную информацию, могут при помощи вашего компьютера заходить на компьютеры других людей и организаций, совершая там незаконные действия от вашего имени. В результате страдаете и вы, и окружающие.

Миф № 2: антивирус не нужен, если не заходить на подозрительные сайты и не открывать спам

Осторожность, несомненно, важна, но пользователь часто не может оградиться от атак хакеров. Например, можно впустить вирус, вставив в компьютер зараженные компакт-диск или флеш-карту. А иногда достаточно подключить незащищенный компьютер к Интернету, вообще ни на какие сайты не заходить — и все равно подцепить компьютерный вирус, потому что в операционных системах и программном обеспечении хватает уязвимостей, которые с успехом используют хакеры.

Миф № 3: компьютер работает без сбоев, значит, на нем вирусов нет

Существует множество вредоносных программ, присутствие которых незаметно. Хороший же антивирус предотвращает попытки вредоносного входа в компьютер.

Миф № 4: установить антивирус сложно

Установка не требует специфических знаний и большого вложения времени — это не сложнее чем проинсталлировать игру или скачать фильм. Тем более что обычно антивирусные компании предлагают бесплатные консультации, в том числе и по установке антивируса.

Миф № 5: антивирус не нужен, если пользоваться Mac или Linux

Бытует мнение, что Mac и Linux приводят к уменьшению вредоносных атак на компьютер. Но вредоносную программу можно написать для любой операционной системы, и чем более она популярна, тем больше вероятность, что ее не обойдут стороной хакеры. Именно поэтому число вирусов для Windows гораздо больше, чем для Mac или Linux. Уже сейчас для них написано немало компьютерных вирусов и червей, и с большой вероятностью их число будет возрастать по мере увеличения числа пользователей.

Миф № 6: все антивирусы одинаковы, не важно, какой выбрать

Одинаковых антивирусов нет, об этом свидетельствуют и результаты исследований независимых тестирующих лабораторий, например, Virus Bulletin и AV-Comparatives — у каждого антивируса есть свои особенности и не все хорошо справляются с поставленной задачей. Поэтому, выбирая антивирус, посмотрите результаты тестирующих лабораторий, которые регулярно составляют рейтинги качества антивирусов. А чтобы убедиться, что антивирус полностью соответствует вашим требованиям, можете скачать бесплатную 30-дневную версию антивируса (в том числе и на страничке www.eset.lv).

Миф № 7: покупать антивирус — дорого, лучше установить бесплатную программу

Бесплатные антивирусы зачастую уступают платным, так как эти компании не обладают достаточными ресурсами для доскональной разработки программы. Тем более что бесплатные антивирусы доступны лишь для частного пользования, а не для коммерческих целей. А качественный антивирус позволяет сэкономить деньги и время, которые вы потратите на устранение проблем в случае вирусной атаки. Ведь антивирусная лицензия на 1 год обходится всего в 0,07 Ls в сутки. Вдобавок существуют различные скидки: 50-процентная скидка для студентов и школьников, для учебных заведений и госструктур, для самоуправлений и бесприбыльных организаций и др.

Миф № 8: из-за антивируса компьютер «тормозит»

Действительно, существует множество антивирусных программ, которые замедляют работу компьютера во время проверки файлов на наличие вирусов. Но можно выбрать такой антивирус, который не влияет на скорость работы компьютера, при этом оставаясь эффективным и простым в использовании. Например, при низком потреблении системных ресурсов (приблизительно 30 МБ) работа компьютера замедлена не будет.

Миф № 9: для хорошей защиты нужны 2 антивируса

Если на компьютере установлено 2 антивируса, они могут конфликтовать между собой, что может привести к сбоям в работе компьютера и даже стать причиной утери информации. Поэтому рекомендуется установить один, но надежный и качественный антивирус.

Миф № 10: производители антивирусов сами создают вирусы

Разработчики антивирусов не создают вирусы — они со всего мира получают сообщения о возможных атаках и появившихся потенциально опасных кодах и проверяют их. Ежедневно — более 120 000 уникальных экземпляров. По результатам проверки идентифицируются возможные угрозы, а в антивирус вносятся улучшения.

Если у вас все же остались сомнения или вы хотите получить бесплатную консультацию о безопасности вашего компьютера — загляните на страничку www.eset.lv или позвоните 67276520 (Латвия).

Информация подготовлена в сотрудничестве с международным разработчиком решений компьютерной безопасности компанией ESET.

Telegraf.lv

[GermanAstra19]

Бесплатные антивирусы зачастую уступают платным, так как эти компании не обладают достаточными ресурсами для доскональной разработки программы. [/url]

например, Microsoft :-)

[KVL]

Миф № 9: для хорошей защиты нужны 2 антивируса
Если на компьютере установлено 2 антивируса, они могут конфликтовать между собой, что может привести к сбоям в работе компьютера и даже стать причиной утери информации. Поэтому рекомендуется установить один, но надежный и качественный антивирус.

 Полный бред - одного, надёжного и качественного антивируса, не существует!

 У меня стоят четыре (все немного разные по своему направлению, назначению и структуре) и они полностью гармонируют друг с другом, плюс, дополнительно ещё двумя периодически проверяю, плюс - настроенный фаервол и т. д. и т. п., тут, главное - опыт и умение, чтобы знать, что и как установить, что не конфликует между собой и уметь всем этим пользоваться, а также, помимо всего - видеть глазами и удалять собственными руками ненужное и лишнее в системе, то, что иногда не видят антивирусы, но можно увидеть самому, но тут уже конечно нужен опыт, а то, можно так удалить, что вся система слетит.

[Pavlon]

Согласен. У меня у самого стоит 3 антивируса разных по направлению - NOD32, Ad-Aware и Dr.Web .
Вторым постоянно чищу всякую мелочь. Доктор Веб стоит на тот случай, если первый пропустит какой вирус-другой, тогда я им сканирую и он удаляет пропущенное.

Но, в принципе, можно обойтись и двумя антивирусами...

[Pavlon]

Первый СМС-троян для Google Android

«Лаборатория Касперского» предупреждает о появлении первого троянца, отсылающего короткие сообщения на платные (сильно платные) номера.

Троянца назвали Trojan-SMS.AndroidOS.FakePlayer.a, он маскируется под медиапроигрыватель. Подобные программы не являются новинкой в принципе, однако это первый зловред такого рода для платформы Android. «Лаборатория Касперского» призвала пользователей внимательно смотреть, какие права требуют себе при инсталляции те или иные программы — медиапроигрывателю, например, совершенно не нужен доступ к телефонному модулю устройства.
Компания намерена выпустить антивирус для платформы Android в начале следующего года.

Times.lv

[Rublik]

В Рунете началась вирусная ICQ-эпидемия
Тысячи пользователей стали жертвой нового ICQ-вируса Snatch, запустив пришедший к ним по сети ICQ одноименный .exe-файл. Вирусная эпидемия началась около полудня 16 августа; на момент написания заметки в блогосфере были сотни сообщений о вирусе.

После запуска snatch.exe вредоносная программа берет под свой контроль ICQ-аккаунт и рассылает по всему списку контактов свои копии. Настоятельно рекомендуется не принимать и не запускать этот файл. Так как в будущем название файла может измениться, стоит обратить внимание на его размер. В случае snatch.exe он составляет 916,5 килобайта.

Захватив ICQ-аккаунт, вирус способен поддерживать короткий диалог с пользователями в списке контактов. Вот некоторые фразы, которым его обучили создатели: "глянь ))", "нет, глянь )))", "ну мини игра типа )", "привет!".

Так как вирус распространяется в виде исполняемого файла .exe, в опасности находятся только пользователи Windows. Стоит отметить, что по состоянию на 16 августа большинство антивирусов не реагируют на данный файл.

Согласно отчету Virus Total, snatch.exe опознали как вредоносную программу лишь 9 антивирусов из 42:  Authentium, BitDefender, Emsisoft, F-Prot, F-Secure, GData, Ikarus, Panda и Sunbelt.
http://www.lenta.ru/news/2010/08/16/icq/

[Pavlon]

Хакеры приступили к распространению опасного банковского трояна Banbra

Антивирусная лаборатория PandaLabs обнаружила новый вредоносный код Bandra.GUC, который привлекает пользователей с помощью видеоролика о спасении застрявших чилийских шахтеров. Это новая разновидность известного банковского трояна из семейства Banbra, который впервые появился в 2003 году.

Этот троян разработан для похищения паролей пользователей в то время, когда они осуществляют банковские операции в режиме онлайн. Среди банков, подвергшихся атаке этого вредоносного кода, оказались банк Santander и банк Бразилии. Когда пользователь заходит на один из сайтов, оказавшийся под влиянием трояна, то Banbra.GUC отображает фальшивую страницу, которая в точности копирует настоящую. Как только пользователь вводит свои имя и пароль, программа автоматически закрывается и перенаправляет на подлинный сайт банка. После этого Троян автоматически отправляет украденные данные на электронную почту создателя.

«Этот троян особенно опасен, т.к. он не только похищает личные данные пользователя, но и устанавливает другое вредоносное ПО, контролируемое Интернет-мошенниками, - предупреждает Луис Корронс, Технический директор PandaLabs. – Подобные угрозы обычно распространяются через электронную почту или социальные сети, пользователям приходят сообщения, которые содержат ссылки на видеоролики YouTube. При переходе по этой ссылке, человек действительно видит видеоролик, но в это время на его ПК загружается троян».

Cybersecurity.ru

[Ippolitovich]

сегодня по нтв в новостях- было сообщение,намёк что америкосы впустили супер-вирус а сеть иранской атомной электростанции...
электронная война...

[vitsat]

Для тех, кто не посмотрел новости по телевизору : Неудержимый червь Stuxnet, или о плюшевом вредителе

[Pavlon]

Хакеры украли десятки миллионов долларов с помощью трояна российской разработки

Участники международной преступной киберсети с мая 2009 г. по сентябрь текущего года украли со счетов клиентов в крупнейших банках мира не менее $12,5 млн с помощью троянской программы Zeus предположительно российской разработки, пишет The Wall Street Journal. Всего по этому делу в США и Великобритании задержаны свыше 100 человек, из них 20, в том числе граждане Латвии, Эстонии, Белоруссии, Украины и Грузии, - в Лондоне во вторник и четверг.

Из числа задержанных восьмерым предъявлено обвинение в сговоре с целью мошенничества и отмывании денег, двоим - только обвинения в мошенническом сговоре. Они остаются под стражей и должны впервые предстать перед Вестминстерским магистратским судом Лондона. Еще девять человек были арестованы по тому же делу, но отпущены под залог.

Расследование в США смогло раскрутить преступное кольцо, сконцентрировавшись на конечных звеньях мошеннической цепочки - так называемых "мулах", открывавших банковские счета на вымышленные имена и по поддельным документам в целях обналичивания или перевода украденных средств в Восточную Европу. Вся схема выглядела так: с помощью трояна Zeus, замаскированного под безобидный email, хакеры могли следить за активностью пользователя и со временем получать доступ к его логинам и паролям. Затем средства со счетов жертв, обычно порциями по $10 000, переводились на счета "мулов", которые за комиссию 8-10% переправляли их на целевые счета.

Среди пострадавших банков в США названы JPMorgan Chase & Co., Ally Financial Inc. и PNC Financial Services Group Inc., а среди вовлеченных в схему Bank of America и TD Bank Financial Group.

Многих исполнителей преступная группа нанимала с помощью рекламы в русскоязычных газетах и социальных сетях, а среди подследственных есть граждане России, сказали WSJ в прокуратуре Манхэттена. В США по этому делу арестованы более 80 человек, в том числе четверо организаторов сетей "мулов", некоторые из подозреваемых в розыске.

Специалисты отмечают высокое совершенство троянской программы: ее новейшие версии могли не просто пересылать хакерам пароли, но перехватывать связь во время электронной сессии клиента с банком, обходя таким образом дополнительную защиту.

Сергей Смирнов, Ведомости
Comnews.ru

[Pavlon]

Вредоносные программы в октябре: коварный троянец на сайтах с клубничкой

«Лаборатория Касперского» представляет ежемесячный отчет о развитии вредоносных программ в октябре 2010 года.

Согласно данным мониторинга, абсолютным лидером по количеству заражений в Интернете в этом месяце стал размещаемый на порносайтах скрипт из семейства FakeUpdate — Trojan.JS.FakeUpdate.bp. Он предлагает скачать видео соответствующего содержания, однако для его просмотра требуется установить новый плеер, дистрибутив которого содержит еще и троянец, модифицирующий файл hosts. Этот вирус перенаправляет пользователя с популярных сайтов на страницу с требованием отправить СМС-сообщение на премиум-номер для продолжения работы в Интернете.

К очевидным тенденциям месяца можно также отнести рост популярности поддельных архивов: для получения их содержимого пользователю предлагается отправить СМС-сообщение на особый номер. В большинстве случаев после отправки СМС-ки на экране компьютера появляется инструкция по использованию торрент-трекера и/или ссылка на него.

«Возможных вариантов развития ситуации много, но результат всегда один — пользователь теряет деньги, так и не получив искомый файл. Такого рода мошенничество появилось несколько месяцев назад, и с тех пор интерес к нему со стороны злоумышленников не угасает», — комментирует автор отчета, старший вирусный аналитик «Лаборатории Касперского», Вячеслав Закоржевский. В период с июля по октябрь 2010 года эксперты компании каждый месяц фиксировали более миллиона попыток заражения вредоносными программами этого класса.

Особенным отчетный период выдался для компании Microsoft. Она побила свой рекорд, выпустив в октябре 16 бюллетеней по безопасности, закрывающих 49 различных уязвимостей. Предыдущий рекорд был установлен в августе, но тогда было исправлено только 34 «узких места». Такое положение дел может говорить о том, что киберпреступники активно используют недоработки в продуктах софтверного гиганта.

Несмотря на недавние аресты части группировки, причастной к ботнету Zeus, продолжают появляться вредоносные программы, поддерживающие его распространение. Благодаря тому, что конфигурация троянских программ семейства Zeus несложна и их легко использовать с целью кражи информации, этот троян стал одной из самых распространенных и продаваемых программ-шпионов на черном рынке Интернета.

Полная версия октябрьских рейтингов вредоносного ПО, подготовленная экспертами «Лаборатории Касперского», содержится здесь .

Telegraf.lv

[SGN]

Два новых трояна-блокера требуют деньги за восстановление данных

«Лаборатория Касперского» предупредила о распространении двух программ-блокеров, шифрующих файлы пользователя и требующих деньги за восстановление данных.
Один из зловредов представляет собой модификацию опасного троянца GpCode. Он шифрует файлы с популярными расширениями (doc, docx, txt, pdf, xls, jpg, mp3, zip, avi, mdb, rar, psd и др.), после чего самоуничтожается.
Эта программа была обнаружена аналитиками «Лаборатории Касперского» 29 ноября и детектируется как Trojan-Ransom.Win32.GpCode.ax. В настоящее время эксперты компании работают над способами восстановления зашифрованных данных.
GpCode не распространяется самостоятельно – на компьютер он попадает через зараженные сайты и уязвимости в Adobe Reader, Java, Quicktime Player или Adobe Flash. В отличие от предыдущих версий блокера, существующих еще с 2004 года, новая модификация не удаляет оригинальные файлы после расшифровки, а перезаписывает в них данные.
Вторым обнаруженным блокером стал троянец Seftad, поражающий главную загрузочную запись операционной системы (MBR). Две разновидности этой вредоносной программы добавлены в антивирусные базы компании под именами Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a.
После заражения Seftad переписывает главную загрузочную запись и требует деньги за предоставление пароля, с помощью которого можно восстановить изначальную MBR. После трех неверно введенных паролей инфицированный компьютер перезагружается, и троянец заново выводит требование о переводе средств.

3dnews.ru

[Pavlon]

Троян «Сюрприз» обнаружен на Facebook

Фирма-разработчик ПО под названием Emisoft предупредила, что в Facebook довольно быстро распространяется троян, который инсталлируется на компьютер, превращая его в машину по производству спама

Как пишет Е24, на аккаунт пользователя Facebook приходит сообщение: «У меня для тебя сюрприз www.nyhely......blogspot.com». Нажатие на линк приводит на один страницу Blogspot, которая в свою очередь направляет ничего не подозревающего пользователя на адрес hxxp://facebook-surprise-kjeg.tk/.

Далее пользователя перемещают на поддельную страницу Facebook, которая выглядит точно так же, как и настоящая.

Если на этой странице пользователь щелкает по иконке suprise.exe, то появляется картинка с подарком. В это время на компьютер скачивается вредоносная программа, которая помимо прочего (нарушения в работе компьютера и т.д.) превращает его в машину по генерированию и рассылке спама.

Telegraf.lv

[Хоттабыч]

Назван самый разрушительный вирус десятилетия



Вредоносная вирусная программа 2004 года MyDoom была наиболее дорогостоящей из всех вирусов, выпущенных за последнее десятилетие. Фирма безопасности McAfee оценила инфекцию как самую разрушительную вредоносную программу среди выпущенных с 2000 года в плане денежных потерь. Потери в результате этих крупных спам-кампаний в конечном счете составили $38 миллиардов долларов. Находясь на пике возможностей, исходящий от MyDoom спам снизил мировой интернет-трафик на 10 процентов.

Вторая наиболее разрушительная вредоносная программа вышла на заре десятилетия. Эпидемия вируса «I Love You», начавшаяся в 2000 году, нанесла ущерб, связанный с затратами на ее устранение и с потерей производительности, в размере 15 миллиардов долларов. Третьей в списке была вредоносная программа 2009 года под названием Conficker. Ущерб от инфекции оценен в 9.1 миллиарда долларов.

McAfee сообщила, что MyDoom и I Love You отразили позицию создателей вредоносных программ начала десятилетия, когда вирусы часто разрабатывались, чтобы привлечь внимание, и киберпреступники только начинали выпускать свои продукты. Более поздние образцы, такие как Conficker и ZeuS, появившиеся в конце десятилетия, были разработаны так, чтобы они функционировали незаметно, предоставляя создателю вируса контроль над компьютером жертвы на как можно больший срок.

Кроме того, вторая половина десятилетия характеризуется ростом поддельных антивирусных программ или «scareware», которые позиционируют себя как легальные программы безопасности. McAfee назвала такие scareware-операции самым распространенным онлайн мошенничеством в течение десятилетия. Другие виды распространенного мошенничества включают фишинг, аферы на сайтах онлайн знакомств и нигерийские письма, которые просят пользователей отправить деньги, чтобы поспособствовать получению более крупной суммы.

Напомним, что большинство вредоносных программ живут очень недолго - около 24 часов. Тем не менее, короткий срок жизни вовсе не означает, что пользователи персональных компьютеров и ноутбуков в безопасности.

[Pavlon]

Хакеры активно эксплуатируют Facebook-трояны

Лаборатория PandaLabs провела исследование, в ходе которого выяснилось, что тенденция распространения компьютерных угроз через самые популярные социальные сервисы, которая появилась сравнительно недавно, в 2011 году продолжит свое развитие. Всего за три дня появилось два новых вредоносных кода, которые используют Facebook, чтобы заманить жертв в ловушку.

Один из них, Aprox.N, - это троян, который попадает к потенциальным жертвам через электронную почту. В сообщении говорится о том, что аккаунт пользователя в Facebook был взломан и используется для рассылки спама, поэтому (для обеспечения безопасности) были изменены данные для входа. Во вложении к письму находится документ Word, в котором содержится новый пароль.

Текст письма:
От: Помощника Facebook <manager.no8843@facebook.com>
Тема: Сервис Facebook. Персональные данные были изменены! ID06321
Дата:

Уважаемый клиент,
С Вашего аккаунта в Facebook рассылается спам.
Ваш пароль был изменен для обеспечения безопасности.
Информация о Вашем аккаунте и новый пароль прописаны во вложенном письме.
Внимательно прочитайте информацию в письме и поменяйте пароль на более сложный.

Пожалуйста, не отвечайте на это письмо, это автоматическое уведомление!

Спасибо за внимание.
Сервис Facebook.

Вложенный в электронное письмо файл обладает необычной иконкой и называется Facebook_details.exe. На самом деле, это троян, который загружается во время запуска файла, а пользователь думает, что открывается обычный файл в формате Word.

Троян загружает файл, который открывает все возможные порты, соединяется с различными почтовыми сервисами, чтобы разослать спам как можно большему числу пользователей.

Второй вредоносный код – Lolbot.Q – распространяется через сервисы мгновенных сообщений, такие как MSN и Yahoo!, рассылая сообщения с вредоносной ссылкой. По этой ссылке загружается червь, созданный для похищения персональных данных, чтобы жертвы не могли получить доступ к своим аккаунтам в Facebook. Если пользователь пытается зайти на свою страницу в Facebook, появляется сообщение о том, что учетная запись была приостановлена. Чтобы возобновить ее работу, жертвы должны заполнить анкету, в которой также указана информация о розыгрыше различных призов, таких как ноутбуки, iPad и т.д.

После нескольких вопросов пользователю предлагается ввести номер своего мобильного телефона, на который придет сообщение с новым паролем для восстановления доступа к аккаунту в Facebook. И стоить это будет 8,52? в неделю.

Луис Корронс, Технический директор PandaLabs, отмечает: «Снова и снова кибер-мошенники используют социальные сети, чтобы обмануть жертв и заразить ПК. Учитывая растущую популярность социальных сетей, совсем не удивительно, что они используются в качестве приманки».

Cybersecurity.ru

[sambor]

В Интернете активизировался "любовный вирус"

В преддверии массовых праздников, как обычно, активизируются спамеры и мошенники. В «Лаборатории Касперского» отмечают значительное повышение уровня «любовного» спама.

Эксперты разделяют весь спам на две категории: письма с навязчивой рекламой товаров и услуг и вредоносный спам, который мошенники маскируют под открытки с поздравлениями. Пользователю предлагают перейти по ссылке, на якобы адресованную ему открытку, а взамен загружают вредоносный код. Владельцы мобильных телефонов также рискуют стать жертвой мошенников.

Получив электронную открытку или СМС, будьте внимательны, не спешите проходить по ссылке или открывать вложения, сперва убедитесь, что открытка или короткое сообщение пришли к вам от надежного отправителя.

Источник chip.ua

[haykazun]

Эксперты определили, какие мобильники чаще страдают от вирусов

Согласно новому отчету «Лаборатории Касперского», наибольшей популярностью у вирусописателей по-прежнему пользуются самые массовые мобильные платформы - Java 2 ME и Symbian, а самый популярный тип мобильного вируса - SMS-троянцы.
Компания «Лаборатория Касперского» опубликовала новое исследование вредоносных программ для мобильных устройств. По данным отчета, к концу 2010 г. эксперты компании обнаружили 153 семейства вирусов для мобильных устройств и более 1000 их модификаций, что на 65,12% больше показателей 2009 г.

По количеству обнаруженных мобильных вредоносных программ по-прежнему лидирует платформа J2ME (Java 2 Micro Edition), которая остается самой массовой - число семейств вирусов составило 45, а модификаций - 613. На втором месте Symbian с показателем в 311 зафиксированных модификаций вредоносов. Далее идут Python, Windows Mobile и Android.

Первый вирус для ОС Android был обнаружен в августе 2010 г., а всего по итогам всего года их было уже 15. Как отмечают аналитики, в будущем ожидается быстрый рост количества зловредов для Android вместе с увеличением популярности самой платформы. Количество обнаруженных вирусов для iPhone составило всего 2 модификации, при этом они способны заразить только «разлоченные» (jailbroken) смартфоны этой марки.

Среди всех мобильных вредоносных программ доминируют те, которые запрограммированы на отсылание SMS-сообщений на короткие платные номера. По словам экспертов, SMS-троянцы остаются наиболее легким и эффективным способом заработка для мошенников.

«В мире мобильного вредоносного ПО по-прежнему доминируют программы, незаметно отсылающие SMS-сообщения на короткие платные номера. Использование SMS-троянцев остается для злоумышленников самым легким и действенным способом заработать деньги. Причина проста: любое мобильное устройство, будь то смартфон или обычный мобильный телефон, непосредственно связано с реальными деньгами пользователя - с его мобильным счетом. Именно этот «прямой доступ» злоумышленники активно используют», - говорит Денис Масленников, ведущий антивирусный эксперт «Лаборатории Касперского».
Одним из трендов прошлого года стало появление троянца, который умеет звонить на международные платные номера вместо отправления SMS-сообщений - Trojan.WinCE.Terdial.a. Еще один вирус (Trojan-Spy.SymbOS.Zbot.a) позволял злоумышленникам обходить SMS-аутентификацию пользователей онлайн-банкинга и использовался преступниками в комбинации со зловредом Zbot (ZeuS) для осуществления комплексной атаки.

Кроме того, аналитики подметили общее увеличение сложности вредоносных программ для мобильных устройств и атак хакеров. Благодаря быстрому развитию мобильного интернета вирусы могут чаще взаимодействовать с удаленными серверами злоумышленников и получать от них обновления и команды. Это, как говорится в отчете, преступники смогут использовать для создания мобильных ботнетов.

В целом, в своем прогнозе на текущий год эксперты предсказывают дальнейшее развитие SMS-троянцев, увеличение количества вирусов для системы Android, а также рост числа обнаруженных уязвимостей в мобильных платформах и осуществление атак с их помощью. Помимо этого, ожидается рост распространения коммерческого шпионского ПО.

Отсюда

[sambor]

Спамеры эксплуатируют трагедию в Японии


"Лаборатория Касперского" обнаружила спам-кампанию, которая воспользовалась недавним землетрясением в Японии для заражения компьютера пользователя. Речь идет о сообщениях электронной почты с текстом вроде "Землетрясение в Японии причинило самый большой ущерб в истории " и логотипами известных организаций, таких как Yahoo. Конечно же, все подобные электронные письма содержат ссылку.

После нажатия на нее жертва злоумышленников попадает на поддельный веб-сайт, который заражает компьютер вредоносными Java-программами. "Лаборатория Касперского" уже обнаружила угрозы Downloader.Java.OpenConnection.dn, Downloader.Java.OpenConnection.do и Trojan-Downloader.VBS.Small.iz.

На зараженный компьютер выводятся объявления, которые могут быть адаптированы к языку операционной системы.

В результате только одного такого успешного заражения на компьютер устанавливается до пяти вредоносных исполняемых файлов. Кроме того, на компьютере регистрируются вредоносные DLL-библиотеки в качестве сервисов операционной системы, появляются записи в планировщике заданий. Точно определить последствия заражения сложно, поскольку они зависят от конкретной вредоносной программы, установленной в системе жертвы. Похоже, эта атака является платформой для дальнейшего инфицирования.

"Мы знаем по опыту, что плохие парни всегда стремятся заработать деньги на стихийных бедствиях и других событиях, за которыми следит весь мир, — говорит Николас Брулез (Nicolas Brulez), эксперт из "Лаборатории Касперского". — Поэтому люди, которые действительно хотят помочь, должны ссылаться на официальные сайты благотворительных организаций. В любом случае, не нажимайте ссылки, размещенные в электронных письмах или на сайтах социальных сетей".

Важно также регулярно обновлять антивирусное программное обеспечение, операционную систему и все приложения, которые используют, например, Java.

 Источник

[sambor]

Спам на Facebook требует денег


В последнее время многие пользователи Facebook начали получать от своих друзей вредоносные сообщения через чат. Сначала в них идет эмоциональный текст, вроде "Отец попал в аварию и умирает! Это сообщение размещено на стене его дочери", а далее следует веб-адрес.

Дальше действует социальная инженерия. Если пользователь нажимает на ссылку, это приводит его через серию перенаправлений к вредоносному приложению для Facebook, которое запрашивает несколько разрешений. Окно приложения имеет ряд характерных признаков того, что оно вредоносное   
 

• имя выглядит случайным (в данном примере это "tomannast");

     
   

• приложение запрашивает доступ только к основной информации пользователя (например, вашего друга) и чату Facebook (в целях дальнейшего распространения).

Если далее пользователь разрешите приложению доступ к своему профилю, то оно будет распространяться через его профиль Facebook, отправляя сообщения в чат всем его друзьям, которые в данное время находятся в Интернете. В то же время пользователь видит веб-страницу, которая, используя техники социальной инженерии, пытается убедить его пройти тест на интеллект.

Киберпреступники используют IP-адреса для получения информации о географическом расположении своих жертв, чтобы как можно точнее адаптировать свою стратегию к конкретному человеку. Это гарантирует максимальную эффективность их атак, в том числе путем использования родного языка жертвы.

Вы спросите, каким образом преступники наживаются на доверчивых пользователях? После завершения викторины вас попросят отправить SMS-сообщение, чтобы получить результат. Средняя стоимость такого сообщения составляет около 3 евро.

Подобные мошенничества появляются чаще всего на Facebook. Каждый раз, когда пользователь нажимает ссылку "любовь", автоматически запускается вредоносное приложение и размещается соответствующая запись в таблице, которая увеличивает диапазон угроз. Имейте в виду, что такие ссылки могут вести к просмотру видеороликов и изображений, а тем временем заражать компьютеры жертвы и ее друзей.

Тем, кто уже попался в ловушку и перешел по ложной ссылке, эксперты из "Лаборатории Касперского советуют как можно скорее удалить информацию о ней от своих таблиц, а также как можно скорее сообщить своим друзьям об опасности на Facebook. После чего просканировать весь компьютер с помощью антивирусной программы. В конце концов, всем нам свойственно временами проявлять слабость...

 Источник

[haykazun]

ESET получил 66-ю награду VB100 в тестированиях Virus Bulletin

Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщила о получении 66-й награды VB100 в тестированиях Virus Bulletin. Независимое британское издание Virus Bulletin, специализирующееся на анализе и тестировании средств антивирусной защиты, опубликовало результаты очередного исследования эффективности антивирусных разработок. На этот раз было проведено комплексное тестирование на платформе Ubuntu Linux с целью определения качества антивирусных решений и их способности обнаружения ранее неизвестных вредоносных программ. Кроме того, для получения награды VB100 антивирусным продуктам необходимо было не допустить ложных срабатываний при проверке нескольких тысяч "чистых" файлов. Продукт ESET File Security 3.0 для Linux справился с заданием безупречно - стал лучшим среди 26 антивирусных решений от российских и международных разработчиков, обнаружив наибольшее количество "диких" вирусов и не создав ни одного ложного срабатывания.

Среди многообразия антивирусных решений на мировом рынке одним из ориентиров для пользователей являются результаты независимых тестирований, которые не только выявляют лучшие решения, но и определяют основные преимущества той или иной разработки. Джон Ховс, руководитель исследовательской лаборатории Virus Bulletin, отмечает, что помимо высоких результатов при детектировании угроз, продукт ESET File Security 3.0 для Linux отличается простотой установки и минимальным потреблением системных ресурсов.

"На сегодняшний день ОС Linux является не столь уязвимой по сравнению с другими операционными системами, однако это не значит, что данная платформа не нуждается в защите, - комментирует Михаил Дрожжевкин, глава российского представительства ESET. - Независимые исследования Virus Bulleten показали, что сегодня многие продукты выдерживают основные атаки вредоносного ПО, но именно ESET File Security 3.0 был признан лучшей антивирусной защитой для Linux. Очередная награда VB100 и лидерство среди российских и международных разработчиков по количеству премий от Virus Bulletin - это явный показатель не только качества решений ESEТ, но и развития компании в соответствии с новыми, более жесткими требованиями к антивирусной защите".

Отсюда

[Ippolitovich]

ESET получил 66-ю награду VB100 в тестированиях Virus Bulletin

ага...после него на "нортоне" нашёл ещё 36 вирусов,20 из них "троянов" ...
один так "уложил" мне "винду",что пришлось не только переустанавливать- пришлось всё "форматировать"...не смог избавится...
кстати,кому интересно - подхватил на "west-sat" - скачал и распаковал файл (непомню,ключей или п.о.)

[sambor]

Вредоносная программа берет на себя управление операционной системой


"Лаборатория Касперского" обнаружила новую вредоносную программу, которая заражает загрузочные сектора жестких дисков и загружается до операционной системы.

Новый буткит, Rookit.Win32.Fisp.a, распространяется через поддельные китайские веб-сайты, содержащие откровенные материалы порнографического характера. Rootkit.Win32.Fisp.a заражает загрузочный сектор жесткого диска и устанавливается в виде зашифрованного драйвера. Вредоносная программа берет на себя управление сразу же после включения компьютера, еще до загрузки операционной системы. Во время запуска системы буткита захватывает одну из ее функций, что позволяет ему заменить драйвер fips.sys на собственный код. Нужно отметить, что драйвер fips.sys не является необходимым для операционной системы, так что для пользователя инфицирование компьютера пройдет незамеченным.

Используя механизм, встроенный в Windows, буткит перехватывает все происходящие в системе  процессы и ищет в них следующие строки, характерные для популярных антивирусных программ:

• Beike

• Beijing Rising Information Technology

• AVG Technologies

• Trend Micro

• BITDEFENDER LLC

• Symantec Corporation

• Kaspersky Lab

• ESET, spol

• Beijing Jiangmin

• Kingsoft Software

• 360.cn

• Keniu Network Technology (Beijing) Co

• Qizhi Software (beijing) Co

Обнаружив такую строку, буткит изменяет соответствующий процесс, из-за чего некоторые антивирусные приложения могут работать неправильно.
После инсталляции буткит отправляет своим заказчикам через Интернет данные о зараженном компьютере, включая номер версии операционной системы, IP-адрес и MAC-адрес. Еще одна функция вредоносной программы — установка на компьютер жертвы инструмента, который скачивает из сети другие вредоносные программы (Trojan-Dropper.Win32.Vedio.dgs и Trojan-GameThief.Win32.OnLineGames.boas). Эти трояны воруют, в частности, данные о счетах, используеvs[ в онлайн-играх.

 Источник

[sambor]

Новая угроза атакует украинских пользователей


Компания ESET сообщает, что в Украине зафиксирована повышенная активность вредоносной программы HTML/Iframe.B, предназначенной для кражи персональных данных и конфиденциальной информации пользователей.
Согласно данным, полученных с помощью системы быстрого оповещения ThreatSense.Net, большое количество украинских пользователей стали жертвами угрозы HTML/Iframe.B. Этот универсальный вид угрозы, относящийся к семейству троянских программ, представляет собой HTML-страницу, код которой при использовании скриптов и фреймов автоматически направляет жертву на зараженные сайты или страницы для загрузки угрозы.

По словам специалистов ESET, пользователи в различных странах мира уже хорошо знакомы с вредоносным программным обеспечением HTML/Iframe.B — данная угроза начала атаковать Европу еще в июне 2010 года и быстрыми темпами распространилась по всему миру.

  Источник

[sambor]

Развитие угроз в апреле 2011 года: социальные сообщества под прицелом киберпреступников


«Лаборатория Касперского» подвела итоги вирусной активности в апреле 2011 года и отмечает повышенное внимание киберпреступников к популярным социальным сообществам в Интернете.

В начале месяца получил продолжение скандал, связанный с массированными DDoS-атаками на русскоязычную блог-платформу «Живой Журнал». Начавшись в конце марта, они продолжались на протяжении нескольких дней в апреле. «Лаборатория Касперского» наблюдала за одним из ботнетов, ответственных за атаку, что позволило выяснить некоторые подробности инцидента. Эта зомби-сеть состояла из десятков тысяч компьютеров, зараженных троянской программой (ботом) Optima. Жертвами атаки стали популярные страницы блогеров-«тысячников» Рунета, доступ к которым был периодически затруднен.

В апреле неприятности коснулись и многих пользователей интерактивной среды Play Station Network (PSN) и Sony Online Entertainment. В результате хакерской атаки их личные данные, включая электронные и почтовые адреса, даты рождения, логины и пароли, оказались в руках злоумышленников. Более того, компания Sony, которой принадлежат эти ресурсы, сообщила о краже информации о 12,7 тысяч банковских карт из устаревшей базы 2007 года. Учитывая тот факт, что в одной только PSN зарегистрировано порядка 75 млн аккаунтов, можно смело говорить о крупнейшей в истории утечке персональных данных.

В минувшем месяце под прицелом злоумышленников постоянно оказывались и владельцы мобильных телефонов. Об этом свидетельствует активное продвижение SMS-троянцев, которые отправляют платные сообщения на короткие номера. Одним из способов распространения этих зловредов стали спамовые SMS -сообщения, содержащие вредоносные ссылки. Как установили эксперты «Лаборатории Касперского», сайты, на которые вели такие ссылки, были созданы с помощью одного из популярных бесплатных онлайн-конструкторов.

На этом фоне утешительной может показаться информация об очередных успехах американских правоохранительных органов. Так, в апреле министерство юстиции США инициировало закрытие командных центров крупного ботнета Coreflood, насчитывавшего порядка 2 млн зараженных машин.



Пример спам-сообщения со ссылкой на вредоносный сайт


Источник

[Pavlon]

За рассылку спама можно будет получить до 2 лет исправительных работ

13 мая в Госдуме будут обсуждаться поправки в российское законодательство, цель которых - противодействие несанкционированным рассылкам (спам), сообщил в своем блоге депутат Госдумы Илья Пономарев. Поправки разработаны подкомитетом по технологическому развитию Комитета Госдумы по информационной политике и IT и комиссией по информационной безопасности и киберпреступности Российской ассоциации электронных коммуникаций (РАЭК). Законопроект готовился более полугода, но результаты еще очень предварительные и требуют доработки, сказал "Ведомостям" директор РАЭК Сергей Плуготаренко.

Как следует из текста проекта, касающиеся спамерских рассылок поправки могут внесены в закон "Об информации, информационных технологиях и о защите информации", в закон "О связи", российский Кодекс об административных правонарушениях и Уголовный кодекс. Если поправки будут приняты, борьбой со спамом будут заниматься надзорные органы в области связи и силовики.

В закон "Об информации.." планируется ввести такие поправки: В статью 9 об ограничении доступа к информации добавить пункт о запрете на составление списков адресов электронной почты, их распространение и использование с целью распространения не санкционированных рассылок. Кроме того, этот пункт запрещает создавать, распространять и использовать программы, которые занимаются автоматическим сбором адресов в интернете.

Также законодатели предлагают запретить рассылки, получатель которых заранее не согласился их получать. Либо он должен состоять с отправителем в "договорных, семейных, трудовых" отношениях. При этом публикация email в открытом доступе выражением согласия не является, если это не прописано специально.

Кроме того, в 10 пункте закона прописываются требования к содержанию электронных сообщений. В частности, содержащиеся в письме контактные данные должны быть действительны как минимум 30 дней со дня отправления письма; заголовок не должен вводить получателя в заблуждение о содержании письма. Эти правила касаются электронных писем, носящих рекламный характер.

В закон "О связи" предлагается внести поправки, обязывающие операторов самим принимать меры против рассылок спама. Этот пункт законопроекта предельно туманен. В нем написано, что операторы должны "документально фиксировать необходимую информацию", при этом обеспечивать ее конфиденциальность. Также они должны разработать критерии выявления и признаки спамерских сообщений. Если же оператор сам выявляет спамерскую рассылку, то он обязан сообщить об этом в "саморегулируемую организацию связи".

Кодекс об административных правонарушениях предлагается снабдить пунктом о штрафовании спамеров. Так частные лица могут быть оштрафованы за несанкционированные рассылки на 50000-100000 руб.; штраф для должностных лиц - 100000-200000 руб, для юридических лиц - 0,2-1 млн руб. Штрафы также сопровождаются изъятием компьютеров.

На те же суммы предлагается штрафовать и за создание программ, занимающихся автоматическим сбором электронных адресов. Поправки в Уголовный кодекс тоже предполагают наказание за производство и массовое распространение спама. Спамер может заплатить штраф в размере до 1 млн руб либо получить 120-180 часов исправительных работ, либо от 6 месяцев до 1 года исправительных работ.

Если же спам рассылается "группой лиц по предварительному сговору" или организованной группой с целью получения крупного дохода, то штраф может составить до 2 млн руб. Исправительные работы в таком случае могут продлиться 180-240 часов и даже 1-2 года. Крупным доходом в этом случае признается доход более 100 000 руб.

Анастасия Голицына, Ведомости
Comnews.ru

[sambor]

Лаборатория Касперского анализирует тенденции развития информационных угроз в первом квартале 2011 года

В первом квартале 2011 года в мире IT-угроз произошло немало разных событий. Предыдущие прогнозы стали сбываться очень быстро, и ситуация, в особенности с мобильными угрозами и целевыми атаками, продолжает накаляться.

 Стремительный рост популярности мобильной платформы Android не остался незамеченным для злоумышленников. Статистические данные о количестве новых сигнатур для мобильных зловредов, обнаруженных в этот период, дает экспертам «Лаборатории» Касперского» все основания предполагать, что общее количество вредоносных программ для мобильных устройств в 2011 году более чем в 2 раза превысит показатели 2010 года. Этому отчасти будет способствовать появление новых способов заражения пользователей. Так, например, в первом квартале было выявлено более 50 вредоносных приложений, написанных злоумышленниками для Android OS и распространяемых через Android Market. Они представляли собой перепакованные версии легальных программ с добавленным троянским функционалом.

 Второй важной тенденцией первого квартала 2011 года стало увеличение количества атак на различные организации. Причем речь идет не только о традиционных DDoS-атаках, которые на какое-то время выводят из строя сервисы компаний, но и о проникновении на корпоративные серверы с целью кражи информации. Все указывает на то, что часть профессиональных киберпреступников переключила свое внимание с заражений домашних компьютеров пользователей на взлом крупных корпораций. Для них это, конечно же, сопряжено с большими рисками, но ставки в целевых атаках на компании выше, а конкурентов в этом сегменте черного рынка значительно меньше.

 Для первого квартала было характерно и проведение так называемых «протестных атак», когда целью злоумышленников было не получение прибыли, а удар по репутации компании. Одним из наиболее ярких примеров подобных атак стал инцидент с американской компанией HBGary, занимающейся компьютерной безопасностью: получив доступ к конфиденциальной информации, злоумышленники выложили ее в открытый доступ. На сегодняшний день подобный подход является редким исключением из правила, и в подавляющем большинстве случаев преступники крадут информацию с целью ее последующей перепродажи или получения выкупа за нераспространение.

 Конец квартала был ознаменован атакой новой модификации опасного троянца-вымогателя GpCode, шифрующего данные на зараженном компьютере и требующего выкуп за расшифровку. В отличие от предыдущих модификаций, удалявших зашифрованные файлы, новые варианты GpCode перезаписывают файлы шифрованными данными, что делало их восстановление практически невозможным. Интересно отметить тот факт, что жертвами злоумышленников становились жители Европы и постсоветского пространства, а сама атака проводилась в течение всего лишь нескольких часов. Подобная осторожность со стороны автора троянца говорит о том, что он не стремился к массовому заражению, чтобы не привлекать излишнее внимание правоохранительных органов. Можно предположить, что дальнейшие атаки троянца-шифровальщика, скорее всего, тоже будут носить точечный характер.

 Еще одной тенденцией, которая оказывает непосредственное влияние на информационную безопасность, является рост популярности социальных сетей, блогов, торрентов, Youtube и Twitter, которая ведет к изменению цифрового ландшафта. Эти сервисы обеспечивают высокую скорость распространения данных и их доступность в каждом уголке мира. Информации, появляющейся в блогах пользователей, люди зачастую доверяют не меньше, чем официальным СМИ. На популярность такого рода ресурсов уже обратили внимание киберпреступники. Поэтому в дальнейшем стоит ожидать увеличения количества атак через эти сервисы и на эти сервисы.



Количество новых сигнатур мобильных зловредов, добавляемых в антивирусные базы



Распределение веб-ресурсов, на которых размещены вредоносные программы, по странам

 Источник

[Pavlon]

Новый руткит можно вывести только переустановкой Windows

Microsoft сообщает пользователям ОС Windows о том, что им придется переустановить операционную систему, если они будут инфицированы новым руткитом, который прячется в загрузочном секторе компьютера.

Новый вариант трояна, который Microsoft называет "Popureb", забирается так глубоко в систему, что единственный способ удалить его – вернуть Windows к своей первоначальной заводской конфигурации, написал в блоге Чун Фэн, инженер Microsoft Malware Protection Center (MMPC).

"Если ваша система будет инфицирована трояном Trojan:Win32/Popureb.E, мы советуем исправить главную загрузочную запись (MBR), а затем воспользоваться компакт-диском для восстановления системы и с помощью него восстановить систему к состоянию, в котором она была до того, как была инфицирована", - сказал Фэн.

Такие вредоносные программы, как Popureb, переписывают загрузочную запись (MBR) жесткого диска – первый сектор – место, где хранится код для загрузки операционной системы после того, как BIOS компьютера сделает проверки при запуске. Руткит остается невидимым как для операционной системы, так и для программ, отвечающих за безопасность системы, потому что он прячется в MBR.

Согласно Фэну, Popureb засекает попытки записи, направленные на MBR – например при попытке очистки – и подменяет их на операции чтения.

Хотя покажется, что операция прошла успешно, новые данные на самом деле не появляются на диске. Иными словами, очистка вообще не поможет.

Фэн опубликовал ссылки на инструкции по исправлению основной загрузочной записи для XP, Vista и Windows 7.

Xakep.ru

[Zuroww]

Google начал притворяться антивирусом

Google первой среди поисковиков стала предупреждать пользователей о том, что их компьютер может быть инфицирован. Для этого компания использует данные о трафике, который приходит на ее собственные серверы.

Поисковый сервер Google начал выдавать пользователям предупреждения о том, что их компьютер может быть заражен вирусом. Новая функция, возникшая в дополнение к сообщениям об инфицированных сайтах, поможет обеспечить безопасную работу в интернете, полагают в компании.

Принцип действия системы основан на анализе маршрута, по которому осуществляется передача данных с компьютера на серверы Google. И если этот маршрут вызывает подозрения, Google бьет тревогу. «Некоторые виды вредоносного ПО изменяют настройки компьютера таким образом, чтобы он пропускал весь сетевой трафик или какую-либо его часть через прокси-сервер, принадлежащий злоумышленникам, - пояснили в компании. - Так, когда вы отправляете в Google какой-либо запрос, его получает прокси-сервер и затем перенаправляет на настоящие серверы Google, чтобы получить результаты поиска. Когда наши системы определяют, что тот или иной запрос пришел от такого прокси-сервера, появляется предупреждение о вредоносном ПО».

Получив предупреждение, пользователь может обратиться к статье о том, как найти и обезвредить вирус. В частности, компания советует установить антивирус, если его нет, или обновить антивирусные базы и затем просканировать компьютер. Сама Google не предлагает пользователям антивирусных продуктов, просто информируя их о возможных заражениях.

По словам специалиста Google в сфере информационной безопасности Дэмиана Менщера (Damian Menscher), подозрительный трафик был выявлен в их собственном дата-центре при очередном плановом обслуживании, и на его основе теперь и создаются предупреждения. То есть, говорит Менщер, сами пользовательские системы не сканируются. В Google добавили, что новый сервис Google способен распознавать большое разнообразие вредоносных программ, заразивших компьютеры с операционной системой Windows.

Google стала первой крупной интернет-компанией, которая начала предупреждать о возможном инфицировании клиентских систем, отмечает TechCrunch. Однако в ней пока не приняли решение, будет ли новая функция работать регулярно или только в рамках данного инцидента, сообщает ресурс Search Engine Land, связавшийся с представителями компании. «Мы просто обнаружили на наших серверах подозрительный трафик и, так как стремимся сделать веб-серфинг безопасным, поспешили предупредить об этом наших пользователей», - заявили представители.

Отсюда

[sambor]

Новая волна троянцев-вымогателей: "Доктор Веб" предоставляет код бесплатно


Волны заражений ПК вредоносными программами семейства Trojan.Winlock уже давно миновали - одна из них пришлась на конец 2009 – начало 2010 года, а вторая - на лето 2010 года. Однако в настоящее время снова наблюдается тенденция к распространению угроз подобного типа.

Компания «Доктор Веб» предупреждает о новой модификации троянской программы, получившей название Trojan.Winlock.3846. Говорить об эпидемии пока преждевременно, однако это уже вторая подобная угроза, выявленная специалистами «Доктор Веб» в текущем месяце.


Так выглядит троянец Trojan.Winlock.3846. Код разблокировки: 754-896-324-589-742

В отличие от старого троянца Trojan.Winlock.3794, новая модификация программы-вымогателя записывает ссылку на себя в разделе системного реестра
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\userinit, который отвечает за запуск программ системным процессом winlogon в момент входа пользователя Windows в систему. Благодаря этому операционная система оказывается заблокированной при первой же после заражения перезагрузке компьютера.

Вместо привычного интерфейса Windows на экране инфицированного компьютера появляется сообщение о сбое некоего системного процесса по адресу 0x3BC3. Для его устранения пользователю предлагается позвонить по одному из указанных телефонных номеров и ввести код разблокировки в соответствующее поле. Звонок на эти номера, естественно, является платным.

Данная модификация «винлокера» имеет одну характерную особенность: в ресурсах троянца содержится несколько языковых версий блокирующего компьютер окна для различных локализаций Windows. Как минимум имеются варианты сообщения на английском, французском и русском языках.

Для разблокировки операционной системы, пострадавшей от действий троянца Trojan.Winlock.3846 воспользуйтесь следующим кодом разблокировки: 754-896-324-589-742

Как и прежде, компания «Доктор Веб» настоятельно рекомендует пользователям воздерживаться от запуска приложений, загруженных из неблагонадежных источников, и вложений в сообщения электронной почты, полученных от неизвестных отправителей. Следует с осторожностью относиться к возникающим в процессе просмотра веб-страниц сообщениям браузеров с предложением установки каких-либо модулей или плагинов. Если вы стали жертвой троянца Trojan.Winlock.3846, воспользуйтесь средством аварийного восстановления системы Dr.Web LiveCD и лечащей утилитой Dr.Web CureIt!.

Источник

[KVL]

 Заодно здесь размещу недавно опубликованный, аналитический отчёт по безопасности от Майкрософт (январь 2010 - май 2011)

 Борьба с угрозой Rustock — аналитический отчет по безопасности: специальный выпуск
Данный документ предназначен только для информационных целей. КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАНТИЙ, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, СВЯЗАННЫХ С ИНФОРМАЦИЕЙ В ДАННОМ ДОКУМЕНТЕ.

 Данный документ предоставляется "как есть". Информация, предоставленная в этом документе, в том числе URL-адреса и ссылки на веб-сайты, может быть изменена без уведомления. Вы используете данную информацию на свой риск.
© Корпорация Майкрософт (Microsoft Corp.), 2011. Все права защищены.

 Имена реальных компаний и продуктов, упомянутых здесь, могут быть зарегистрированными товарными знаками их владельцев.

 Авторы:
Дэвид Анселми (David Anselmi), отдел по борьбе с цифровыми преступлениями Майкрософт
Ричард Боскович (Richard Boscovich), отдел по борьбе с цифровыми преступлениями Майкрософт
Т. Дж. Кампанья (T.J. Campana), отдел по борьбе с цифровыми преступлениями Майкрософт
Саманта Доерр (Samantha Doerr), отдел по борьбе с цифровыми преступлениями Майкрософт
Марк Лориселла (Marc Lauricella), создание защищенных информационных систем Майкрософт
Тарек Сааде (Tareq Saade), Центр Майкрософт по защите от вредоносных программ.

 Холли Стюарт (Holly Stewart), Центр Майкрософт по защите от вредоносных программ.
Олег Петровски (Oleg Petrovsky), Центр Майкрософт по защите от вредоносных программ.
Руководитель программы - Фрэнк Сайморджей (Frank Simorjay), создание защищенных информационных систем Майкрософт.

 Введение.

 В этом документе представлен обзор семейства Win32/Rustock пакета троянских программ rootkit. В данном документе изучается происхождение Win32/Rustock, функциональность, механизм работы, а также предоставляются телеметрические данные угрозы и их анализ за календарный 2010 г. по май 2011 г. Кроме того, в данном документе описываются юридические и технические действия, предпринятые для разрушения ботнета Rustock, а также способы обнаружения и удаления угрозы с помощью продуктов защиты от вредоносных программ Майкрософт.

 Предисловие.

 Майкрософт и ботнет Rustock.

 16 марта 2011 г. корпорация Майкрософт объявила, что отдел по борьбе с цифровыми преступлениями Майкрософт (DCU) вместе с отраслевыми и академическими экспертами разрушили ботнет Win32/Rustock. На тот момент около миллиона компьютеров были заражены вирусом Rustock, который управлял ими и мог посылать миллиарды нежелательных сообщений каждый день, в том числе фальшивые лотерейные билеты Майкрософт и рекламу поддельных (и, вероятно, опасных) лекарств.
Операция по уничтожению Rustock была второй операцией разрушения ботнета, организованная Майкрософт, в которой участвовали отдел DCU, Центр Майкрософт по защите от вредоносных программ (MMPC) и отдел создания защищенных информационных систем Майкрософт, известный как проект MARS (Microsoft Active Response for Security). Проект MARS был инициирован как способ для нахождения и разрушения ботнетов и криминальной инфраструктуры, поддерживаемой ими, а также для помощи жертвам в восстановлении контроля над зараженными компьютерами. Первая операция по уничтожению ботнета в проекте MARS была осуществлена весной 2010 г., ее кодовое имя — "операция b49", позволившая деактивировать ботнет Waledac. Операция b49 была экспериментом для проверки подхода Майкрософт к уничтожению ботнета. За ней последовало разрушение более крупного и зловредного ботнета, известного как Rustock, в начале 2011 г. Как и в случае с Waledac, для уничтожения Rustock (с кодовым именем "операция b107") потребовалось использование юридических и технических методов для разрыва связи между структурой управления и исполнения ботнета Rustock и зараженными компьютерами, чтобы остановить вред, приносимый ботнетом.

 Такие крупномасштабные операции не могут выполняться в одиночку. Для них требуется сотрудничество отраслевых и академических экспертов, правоохранительных органов и правительств во всем мире. В данном случае корпорация Майкрософт работала с компанией Pfizer, поставщиком сетевой безопасности FireEye и Университетом Вашингтона. Компания FireEye оказала значительную помощь с техническим анализом Rustock, и все три участника предоставили исковые заявления в федеральный суд, касающиеся опасностей, создаваемых ботнетом Rustock, и его влияния на Интернет-сообщество. Корпорация Майкрософт также сотрудничала с отделом по борьбе с преступлениями в сфере высоких технологий полиции Нидерландов для разрушения структуры управления ботнета за пределами США. Кроме того, Майкрософт работала вместе с CN-CERT с целью блокировки регистрации доменов в Китае, которые использовались Rustock в качестве будущих серверов управления и исполнения.
Главный урок, полученный нами в борьбе с ботнетами, состоит в том, что сотрудничество при применении профилактических мер для разрушения вредоносной сети — ключ к успеху.
Ричард Боскович (Richard Boscovich), старший юрист, отдел по борьбе с цифровыми преступлениями Майкрософт...

 Читайте полностью в прикреплённом во вложении PDF-файле.

[haykazun]

Остальные  Внимание читать всем.pdf

[Kobzik]

В интернете появился троян, ориентированный только на белорусских пользователей
Интернет Winlock блокирует компьютеры, якобы за просмотр порнографии. Для разблокирования он требует перевода 100 тысяч рублей на определенный электронный кошелек WebMoney.

Компания «ВирусБлокАда» сообщила о появлении «чисто белорусского» Trojan. Winlock.
Trojan. Winlock - семейство вредоносных программ, которые блокируют или затрудняют работу компьютера и требуют перечисления денег злоумышленникам за восстановление его работоспособности. Впервые такие появились в конце 2007 года. Некоторые вирусы заражали десятки тысяч компьютеров.
Белорусский троян блокирует Рабочий стол Windows и сообщает изумленному пользователю:



«Ваш компьютер был заблокирован за просмотр, копирование и тиражирование видеоматериалов с элементами педофилии и насилия над детьми. Для разблокирования компьютера Вам необходимо заплатить штраф в размере 100 000 белорусских рублей через терминал для оплаты сотовой связи, или в любом салоне сотовой связи, либо в пользу нашего партнера WebMoney на счет ВXXXXXXXXXXXX. В случае оплаты суммы равной штрафу или превышающей его на фиксированном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку "Разблокировать". Если в течение 12 часов штраф не будет оплачен, все сведения на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для рассмотрения по статье 242 ч.1 УК Беларуси.

Статья 242.1 Изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних. Наказывается лишением свободы на срок от двух до четырех лет либо без такового».

Компания, специализирующаяся на антивирусных программах, советует в случае заражения Trojan. Winlock ни в коем случае не выполнять требования злоумышленников. Практически во всех случаях после отправки SMS обещанный код разблокирования не приходит.

Компания предоставляет ряд технических советов, как действовать в случае атаки трояна.

Белорусский Winlock представляет собой исполненный файл, написанный на языке Borland Delphi, упакованный криптером на языке программирования Visual Basic. Попадая в систему, троян записывает ссылку на самого себя в ветке системного реестра, которая отвечает за автозагрузку приложений. После этого троянская программа завершает процесс explorer.exe (Рабочий стол) и taskmgr.exe (Диспетчер задач).

В результате блокируется нормальная работа Windows как в обычном, так и в безопасном режиме.

Код разблокирования троянца - 079156005

Источник

[Kobzik]

Новый вирус заражает белорусов через Facebook

Антивирусная компания ESET сообщает о высоком распространении вредоносной программы Win32/Delf.QCZ, которая заражает компьютер через социальную сеть Facebook.

Наиболее подверженными данной угрозе стали пользователи Украины, России, Беларуси и другие.

По данным компании ESET, троянская программа-загрузчик Win32/Delf.QCZ получила свое широкое распространение в социальной сети Facebook. При проникновении на компьютер пользователя эта угроза устанавливает другое вредоносное ПО. Для своего распространения Win32/Delf.QCZ использует чат соцсети, где с помощью бота рассылает сообщения от имени друзей со ссылкой на ресурс, содержащий злонамеренное ПО, последствия заражения которым могут быть разными – начиная от потери идентификационных данных (логин-пароль от социальной сети), до кражи персональной информации или финансовых средств. Кроме того, Win32/Delf.QCZ обладает функционалом, способным заблокировать антивирусную защиту, если она не была вовремя обновлена.

На сегодняшний день троянская программа Win32/Delf.QCZ получила наибольшее распространение в русскоговорящем сегменте Facebook, а именно среди пользователей из Украины (39% от общего числа), России (19%), Беларуси (9%).
Источник

[Pavlon]

Новый Mac-троянец маскируется под Flash Player

Компания Intego сообщает об обнаружении нового троянского программного обеспечения, рассчитанного на работу в среде операционной системы Mac OS X. Как и обнаруженный компанией F-Secure пару месяцев назад Mac-троянец, новый вредоносный код также маскируется под инсталлятор Flash Player, что позволяет ввести пользователей в заблуждение.

Однако в отличие от ранее обнаруженного троянца, изменявшего один файл в системном разделе, новый код представляет собой более сложное решение, которое вначале деактивирует системы сетевой безопасности Mac OS X, а также инсталлирует библиотеку dyld, запускающую проект и размещающую код внутри приложения, с которым пользователь работает. Новый троянец также пытается передать персональную информацию пользователя и данные о его компьютере на удаленные серверы.

Intego заявляет, что новый код Trojan OSX/flashback.A и пока точно исследовать алгоритм его работы не удалось, однако нет сомнений в том, что он компрометирует систему, в которую попадает, подделывает изображение инсталлятора Flash Player, использует иконки и логотипы Flash.

В блоге Intego говорится, что пока распространение нового троянца имеет крайне ограниченный характер, а дабы не попасть под его воздействие инсталлировать Flash Player следует только получив его из доверенных источников, например, с сайта разработчика продукта.

Также специалисты говорят, что новый троянец не способен распространяться, так что на новую систему он может попасть только в том случае, если пользователь вручную установит его. Дабы свести к минимуму опасность заражения Intego советует обзавестись надежным антивирусом, отключить автооткрытие скачанных из интернета программ, а также пользоваться здравым смыслом при работе в интернете.

Cybersecurity.ru

[sambor]

Спам в Skype и мобильные троянцы для смартфонов


«Лаборатория Касперского» проанализировала развитие киберугроз в сентябре 2011 года. Внимание экспертов привлекли таргетированные атаки на бизнес, а также новые уловки вирусописателей по распространению вредоносного кода для мобильных устройств.

 Одним из громких событий месяца стала очередная крупная победа над зомби-сетями. Благодаря совместным действиям «Лаборатории Касперского», Microsoft и Kyrus Tech удалось закрыть крупный ботнет Hlux/Kelihos, объединявший более 40 000 компьютеров. Он был способен рассылать ежедневно десятки миллионов спам-писем, проводить DDoS-атаки и загружать на компьютеры жертв различные вредоносные программы. Одновременно с этим была отключена и доменная зона cz.cc, которая на протяжении этого года представляла собой настоящий рассадник различных угроз: от поддельных антивирусов (в том числе и для MacOS), до шпионских программ. В ней же находились и центры управления нескольких десятков ботнетов.

 В сентябре была отмечена новая волна инцидентов, связанных с распространением поддельных антивирусов с использованием Skype. Для начала преступники подбирали имена учетных записей пользователей, которым затем звонили незнакомцы с именем «URGENT NOTICE» и сообщали, что защита их компьютера якобы не активна. Чтобы ее активировать, надо было зайти на специальный сайт и заплатить $19,95. Избавиться от такого рода спама в Skype можно, если установить в настройках безопасности этой программы опции, позволяющие принимать звонки, видео и чат только от пользователей из списка контактов.

Количество угроз для мобильных устройств по-прежнему продолжает расти, и сентябрь в этом плане не стал исключением. Так, в минувшем месяце было обнаружено 680 модификаций вредоносных программ для мобильных платформ, из которых 559 – это зловреды для ОС Android.

 В конце сентября были зафиксированы первые попытки атак с использованием QR-кодов (от англ. «quick response» – «быстрый отклик»). Сегодня многие пользователи ищут новые программы для своих мобильных устройств с помощью персональных компьютеров, и эта технология помогает упростить установку ПО на смартфоны, Достаточно сканировать штрих-код мобильным устройством, и начинается процесс закачки на него приложения. Злоумышленники стали использовать новую технология для распространения вредоносного ПО. В результате в Сети появились сайты с размещенными на них QR-кодами для мобильных приложений (например, Jimm или Opera Mini), в которые была зашифрована ссылка на вредоносный файл. После сканирования зараженного кода, на смартфон загружался троянец, отправляющий SMS-сообщения на короткие платные номера.

 К началу октября эксперты «Лаборатории Касперского» обнаружили QR-коды, которые связаны со зловредами для наиболее популярных у злоумышленников мобильных платформ Android и J2ME.

 Прошедший месяц не обошелся без очередных громких атак на крупные компании и государственные структуры разных стран. Жертвой одной из них стала японская корпорация Mitsubishi. Было заражено около 80 компьютеров и серверов заводов, которые занимаются производством оборудования для подводных лодок, ракет и атомной промышленности. Как выяснили эксперты «Лаборатории Касперского», атака началась еще в июле и была проведена по классическому для подобных угроз сценарию.

 Ряду сотрудников Mitsubishi злоумышленники направили письма, содержащие PDF-файл, который представлял собой эксплойт уязвимости в Adobe Reader. После открытия этого файла происходила установка вредоносного модуля, открывающего хакерам полный удаленный доступ к системе. Другой, еще более серьезный инцидент получил название Lurid. Он был связан со взломом и заражением полутора тысяч компьютеров, расположенных, в основном, в России, странах бывшего Советского Союза, а также Восточной Европе. Атакующих интересовали предприятия авиакосмической отрасли, научно-исследовательские институты, ряд коммерческих организаций, государственные ведомства и некоторые СМИ. Как и в случае с атакой на Mitsubishi, на первом этапе здесь также использовались письма в электронной почте.

Фрагмент сайта с вредоносной ссылкой и QR-кодом


chip.ua

[haykazun]

Антивирус Avira идентифицировал себя как вирус 

Антивирусная программа Avira после очередного обновления антивирусных баз нашла вирус в самой себе.

Как передает Оszone.net, файл AESCRIPT.dll, который необходим для функционирования программы, был назван трояном TR/Spy.463227 и идентифицирован как шпион.

На официальном сайте разработчика уже появилась запись о том, что срабатывание ложное.

Напомним, что месяцем ранее в похожую ситуацию попала компания Microsoft. Тогда фирменный антивирус компании Microsoft Security Essentials находили вирус в Google Chrome. Microsoft оперативно выпустила исправляющее ошибку обновление и извинилась перед пользователями.

Отсюда

[haykazun]

«Яндекс» будет сообщать о вирусах

Российская поисковая система "Яндекс" начнет оповещать администраторов о заражении их сайтов. Сообщения будут приходить по электронной почте.
В "Яндексе" рассказали, что администрация ресурсов часто поздно узнает, что их сайт распространяет вирусный код. На 20% зараженных сайтов вирус "живет" больше года. Об этом передает агентство РИА "Новости".
Владельцы и администраторы ресурсов, чьи сайт заражены, начнут получать извещения от поисковика по электронной почте. Письма отправят на адреса, указанные в регистрационных данных домена или на стандартные адреса (webmaster@, root@, postmaster@). Раньше подобные извещения получали лишь пользователи сервиса "Яндекс. Вебмастер".
Каждый день "Яндекс" проверяет более 21 млн страниц. На 3 тыс сайтов ежедневно обнаруживается вредоносный код. Сейчас в базе "Яндекс" более 430 тыс зараженных ресурсов.
Около половины зараженных сайтов встречаются на домене .com (более 46%), второе и третье место по числу зараженных сайтов заняли .ru и .net (соответственно 10% и 8%). Самой безопасной зоной в "Яндекс" называют .uk (Великобритания, около 1%).
В прошлом году компания запустила собственную антивирусную технологию, которая находит сайты с неизвестными вирусами и сигнализирует пользователям об опасности.

Отсюда

[Pavlon]

Вирусы смотрят за вами

Вирус, способный перехватывать изображение с веб-камеры, нашли российские вирусологи из компании DrWeb.

Новый вирус получил наименование BackDoor.Webcam.9. Этот троянец позволяет выполнять на инфицированной машине различные команды, поступающие от удаленного сервера злоумышленников, а также перехватывает изображение с подключенной к инфицированному компьютеру веб-камеры. Таким образом, личная жизнь пользователей может быть скомпрометирована.

Telegraf.lv

[mare]

 Это не открытие, этот вирус  использовался в свое время  для спец служб . И выкинули его за не надобностью пол года назад после скандала в Германии ..  Но это не значит что такой вирус исчёз в использовании , она есть , просто закриптованная и простой  антивирус его не увидит. 

[Pavlon]

Apple могут заражать вирусами ПК с Windows
 
 ПК, работающие на операционной системе Windows, могут подхватить троян от зараженного компьютера Apple Mac. Разновидностью эксплойта, которая может проникнуть и на операционку от Microsoft, инфицирован каждый пятый «мак». Об этом говорится в новом исследовании антивирусной компании Sophos.

В то же время вредоносным ПО, разработанным исключительно для Mac OS X, заражены 2,7% компьютеров Apple. Эксперты пришли к такому выводу, проанализировав данные со 100 тысяч «маков», на которых была установлена бесплатная версия антивируса Sophos. Трояны, созданные для Windows, не причинят вреда Mac, однако все равно могут попасть на ПК с USB-флешки или со съемного носителя, предупредили специалисты.

По словам старшего технического консультанта Sophos Грэма Клули, злоумышленники принимают владельцев компьютеров Apple за легкую мишень, поскольку многие из них не ставят антивирус и имеют более высокий уровень дохода по сравнению с типичным пользователем Windows. «Пользователи Mac должны защитить свои компьютеры сейчас, или проблема с вредоносным ПО на «маках» может стать такой же серьезной, как на ПК», — призвал он.

Проблема уязвимости «маков» начала широко обсуждаться после появления трояна Flashback, заразившего свыше 600 тысяч компьютеров Apple по всему миру. Этот червь проникал в систему через уязвимость в Java, записывал историю посещений браузера, собирал логины и пароли, после чего отправлял данные киберпреступникам.

Тем временем специалисты из компании Intego обнаружили «поумневшую» разновидность Flashback. Она сама устанавливается в корневую папку, не спрашивая пароля администратора, и скрывает следы своего присутствия, удаляя Java-апплет из папки ~/Library/Caches/Java/cache. Пользователям, установившим последнее обновление безопасности, этот троян не угрожает.

Telegraf.lv

[sambor]

Компьютеры украинцев страдают от ЕВРО-2012


В Украине появилось множество мошеннических атак, эксплуатирующих тему только что начавшегося Чемпионата Европы по футболу. Об этом «proIT» сообщили в компании Symantec, которая занимается разработкой решений для обеспечения безопасности.

В Symantec отмечают, что пользователи начали получать спам-письма, сообщающие об их победе в промо-лотерее, и запрашивающие для оформления выигрыша их персональные данные.
В сообщение вложен файл UEFA.pdf, в котором говорится, что адресат стал победителем в промо-лотерее Чемпионата, и далее мошенники подробно объясняют, как к ним попал данный адрес электронной почты, и почему именно он стал победителем среди огромного количества участников.

В заключение адресата просят прислать выигрышные идентификационные номера, заполнив онлайн форму, включающую такие поля, как имя, адрес, возраст, род занятий и номер телефона. В мошенническом сообщении также говорится, что адреса электронной почты получены от авторитетных компаний, которые являются брендами в своих областях (названия компаний намеренно размыты).

В Symantec прогнозируют рост количества мошеннических действий и других видов атак в течение ближайших нескольких дней и советуют пользователям проявлять осторожность при открытии нежелательных сообщений электронной почты, особенно связанных с ЕВРО-2012.

Более подробно читать здесь

[Данил]

Троян Android.Dropdialer был скачан с Google Play около 100000 раз

 Корпорация Symantec сообщила об обнаружении нового вредоносного ПО, опубликованного в официальном каталоге Google Play. Угрозы были размещены под двумя популярными названиями – «Super Mario Bros.» и «GTA 3 Moscow City». Оба пакета были опубликованы на Google Play 24 июня и с тех пор были загружены от 50 000 до 100 000 раз.

Наиболее интересной особенностью данного вредоносного ПО является то, что угрозе удалось оставаться на Google Play настолько долго, чтобы получить значительное количество загрузок до своего обнаружения. Специалисты Symantec подозревают, что данный эффект достигался за счет удаленного загрузчика, используемого в троянской программе.

Эту техника уже применялась ранее: автор вредоносного приложения разбивает его на несколько отдельных загружаемых по очереди частей, чтобы избежать детектирования аномалий по время автоматического процесса проверки приложений (QA). В случае с Android.Dropdialer, первая часть ПО была размещена на Google Play. После установки она загружает дополнительный пакет, размещенный на Dropbox: ‘Activator.apk’.

Дополнительный пакет отправляет SMS на платный номер. Интересной особенностью второго компонента является предложение удалить его после отправки одного SMS – простая попытка скрыть истинные цели вредоносного приложения. Платные SMS отправляются в Восточную Европу.

В Symantec отмечают молниеносную реакцию группы Android Security - приложения были удалены сразу после уведомления специалистов.

Новость отсюда

Меня пронесло,я такое не скачивал

[sambor]

Шесть украинских серверов одной из крупнейших ботсетей в мире «обезврежены»
 


Эксперты из компании FireEye, занимающейся разработкой продуктов для информационной безопасности, совместно с российской группой по реагированию на инциденты информбезопасности CERT-GIB отключили бот-сеть Grum, считающуюся третьей по величине в мире, сообщает пресс-служба FireEye.

По данным специалистов, на пике своей активности через Grum, в котором, по разным данным, находилось от 100 до 300 тысяч зараженных компьютеров, рассылалось около 18 миллиардов мусорных сообщений в день, что примерно соответствовало 18% от мирового объема спама.

Именно на такую величину, по данным компании, он сократился после того, как ночью в четверг специалистам FireEye удалось отключить серверы управления бот-сетью, расположенные в Нидерландах и Панаме.

«После закрытия сервера в Панаме большая часть бот-сети перестала быть активной. Это хорошие новости. Но были и плохие», - сказал Атив Маштак, сотрудник лаборатории по исследованию вредоносного ПО.

Плохой новостью оказалось то, что после закрытия панамского сервера управления Grum злоумышленники оперативно создали шесть резервных серверов на Украине и один в России. На этом этапе, по обращению специалистов FireEye, к операции подключились сотрудники CERT-GIB - российской группы по реагированию на инциденты информационной безопасности, созданной компанией Group-IB. Усилиями российских специалистов удалось закрыть украинские серверы, но с российским возникли проблемы.

Как сообщили «РИА Новости» в CERT-GIB, отключение серверов, используемых для управления бот-сетью, - нетривиальная задача. Злоумышленники арендуют готовые подсети и регистрируют их на подставные компании. Обращаться в такие организации бесполезно, так как они игнорируют все запросы. Кроме того, не всегда удается оперативно установить, что компания является подставной.

«Поэтому приходится действовать альтернативными путями и обращаться к вышестоящим провайдерам для отключения подсетей, что, конечно, занимает определенное время. Тем не менее, сейчас серверы управления Grum полностью нейтрализованы», - сказал РИА Новости представитель CERT-GIB.

Он также отметил, что говорить о прекращении ее деятельности преждевременно, поскольку организаторы бот-сети не установлены и находятся на свободе.

В CERT-GIB рассказали, что бот-сеть Grum предназначена для рассылки спама и проведения DDoS-атак. По словам экспертов, ее владелец активно участвует в различных в партнерских программах, занимающихся реализацией контрафактных медикаментов («Виагра», «Сиалис» и пр.).

«Ранее Grum долгое время занимала первое место по объемам рассылаемого спама. Точная дата ее создания неизвестна, но есть данные, которые указывают, что бот-сеть могла быть сформирована в начале 2008 года», - сообщили в CERT-GIB.

Эксперт добавил, что создателями бот-сети, скорее всего, являются выходцы из стран бывшего СССР.

Grum стала второй крупной бот-сетью, специализировавшейся на спаме и DDoS-атаках, закрытой в последние годы. В марте 2011 года компания Microsoft совместно с правоохранительными органами США прекратила деятельность бот-сети Rustock, насчитывавшей около 800 тысяч компьютеров.

Эскалация борьбы с бот-сетями, наблюдающаяся в последние годы, обусловлена огромным вредом, который они наносят интернету и его пользователям. Помимо рекламы контрафактных товаров и некачественных лекарств, злоумышленники используют спам для распространения вредоносного ПО для похищения персональных данных и электронных денег. По данным российской антивирусной компании «Лаборатория Касперского», только в июне 2012 года доля спама в мировом почтовом трафике составила около 72%, а в среднем за 2011 год его доля составила около 80%.

proit

[BAKILI]

Не знаю, в тему или нет, сегодня хотел зайти в flysat.com. Выходит предупредительная информация, что "Имеется информация, что эта веб-страница атакует компьютеры". Очень хороший сайт был. До сих пор такое не было. 

[Zuroww]

Не знаю, в тему или нет, сегодня хотел зайти в flysat.com. Выходит предупредительная информация, что "Имеется информация, что эта веб-страница атакует компьютеры". Очень хороший сайт был. До сих пор такое не было. 

Если идти по ссылке с Гугла, то да. А Яндекс считает, что все ОК!

[BAKILI]

Через Яндекс тоже самое

[KVL]

Не знаю, в тему или нет, сегодня хотел зайти в flysat.com. Выходит предупредительная информация, что "Имеется информация, что эта веб-страница атакует компьютеры". Очень хороший сайт был. До сих пор такое не было.  

 Года два назад, я с этого сайта взял скрипт и вставил его вниз страницы форума, на следующий день, форум упал, хорошо, что это всё было проделано на тестовом форуме.

 Только что Dr. Web проверил ссылку на главную страницу:

 Проверка: http://ad.adnetwork.net/st?ad_type=iframe&ad_size=120x600&section=1594773
Размер файла: 4506 байт
MD5 файла: d30c7c5634f1ffdc28ae55025113c86e

 http://ad.adnetwork.net/st?ad_type=iframe&ad_size=120x600&section=1594773 - archive JS-HTML
>http://ad.adnetwork.net/st?ad_type=iframe&ad_size=120x600&section=1594773/JSTAG_1[38][1063] - Ok
>http://ad.adnetwork.net/st?ad_type=iframe&ad_size=120x600&section=1594773/JSTAG_2[5d1][aca] - Ok
http://ad.adnetwork.net/st?ad_type=iframe&ad_size=120x600&section=1594773 - Ok



 Проверка: http://www.google.com/coop/cse/brand?form=cse-search-box&lang=en
Размер файла: 2512 байт
MD5 файла: ead695ae13a5b1536eaf7a6c04a426a7

 http://www.google.com/coop/cse/brand?form=cse-search-box&lang=en - Ok



 Проверка: http://ads.creafi-online-media.com/st?ad_type=ad&ad_size=300x250&section=2902782&pub_url=flysat.com
Размер файла: 4213 байт
MD5 файла: db39252f2a7159635c9f332ad5cfad19

 http://ads.creafi-online-media.com/st?ad_type=ad&ad_size=300x250&section=2902782&pub_url=flysat.com - archive JS-HTML
>http://ads.creafi-online-media.com/st?ad_type=ad&ad_size=300x250&section=2902782&pub_url=flysat.com/JSFile_1[0][1075] - Ok
http://ads.creafi-online-media.com/st?ad_type=ad&ad_size=300x250&section=2902782&pub_url=flysat.com - Ok



 Проверка: http://ad.adnetwork.net/st?ad_type=iframe&ad_size=728x90&section=1594773
Размер файла: 4506 байт
MD5 файла: 829bd0feac13069a508293c568f9bd7a

 http://ad.adnetwork.net/st?ad_type=iframe&ad_size=728x90&section=1594773 - archive JS-HTML
>http://ad.adnetwork.net/st?ad_type=iframe&ad_size=728x90&section=1594773/JSTAG_1[38][1063] - Ok
>http://ad.adnetwork.net/st?ad_type=iframe&ad_size=728x90&section=1594773/JSTAG_2[5d1][aca] - Ok
http://ad.adnetwork.net/st?ad_type=iframe&ad_size=728x90&section=1594773 - Ok



 Проверка: http://www.flysat.com/kayanyazi.php?aynisayfa
Размер файла: 2458 байт
MD5 файла: f0e80035ba6e5907f004c450f53e88e1

http://www.flysat.com/kayanyazi.php?aynisayfa - archive JS-HTML
http://www.flysat.com/kayanyazi.php?aynisayfa - Ok



 Проверка: http://ads.creafi-online-media.com/st?ad_type=ad&ad_size=728x90&section=2902782&pub_url=flysat.com
Размер файла: 4211 байт
MD5 файла: 9653796ecee3839e1178101af3092580

 http://ads.creafi-online-media.com/st?ad_type=ad&ad_size=728x90&section=2902782&pub_url=flysat.com - archive JS-HTML
>http://ads.creafi-online-media.com/st?ad_type=ad&ad_size=728x90&section=2902782&pub_url=flysat.com/JSFile_1[0][1073] - Ok
http://ads.creafi-online-media.com/st?ad_type=ad&ad_size=728x90&section=2902782&pub_url=flysat.com - Ok



 Проверка: http://pagead2.googlesyndication.com/pagead/show_ads.js
Размер файла: 11.44 КБ
MD5 файла: f697dbed3432fa27a5a42ea3ad820d51

http://pagead2.googlesyndication.com/pagead/show_ads.js - Ok



 Проверка: http://ad.adnetwork.net/st?ad_type=iframe&ad_size=300x250&section=1594773
Размер файла: 4509 байт
MD5 файла: df4ccce79ec93948880b54e4776b4023

 http://ad.adnetwork.net/st?ad_type=iframe&ad_size=300x250&section=1594773 - archive JS-HTML
>http://ad.adnetwork.net/st?ad_type=iframe&ad_size=300x250&section=1594773/JSTAG_1[38][1064] - Ok
>http://ad.adnetwork.net/st?ad_type=iframe&ad_size=300x250&section=1594773/JSTAG_2[5d2][aca] - Ok
http://ad.adnetwork.net/st?ad_type=iframe&ad_size=300x250&section=1594773 - Ok

 Проверка: http://www.flysat.com/
Версия антивирусного ядра: 7.0.2.4281
Вирусных записей: 3048066
Размер файла: 33.59 КБ
MD5 файла: 7d9c4db15dadbafb0046a43dc0208989

 http://www.flysat.com/ - archive JS-HTML
>http://www.flysat.com//JSTAG_1[e26][af] - Ok
>http://www.flysat.com//JSTAG_2[1207][a8] - Ok
>http://www.flysat.com//JSTAG_3[2208][198] - Ok
>http://www.flysat.com//JSTAG_4[4f84][b0] - Ok
>http://www.flysat.com//JSTAG_5[50f3][b0] - Ok
>http://www.flysat.com//JSTAG_6[68c7][a8] - Ok
>http://www.flysat.com//JSTag_7[e2b][aa] - Ok
>http://www.flysat.com//JSTag_8[120c][a3] - Ok
>http://www.flysat.com//JSTag_9[220d][193] - Ok
>http://www.flysat.com//JSTag_10[4f89][ab] - Ok
>http://www.flysat.com//JSTag_11[50f8][ab] - Ok
>http://www.flysat.com//JSTag_12[68cc][a3] - Ok
http://www.flysat.com/ - Ok

 Вирусов не обнаружено!

 NIS тоже ничего не обнаружил.

 P. S. Ещё проверил:

flysat.com

Сводка
Norton Safe Web не обнаружил угроз на этом сайте.
•Угрозы для компьютера:  0
•Угрозы для идентификационных данных:  0
•Небезопасные факторы:   0 
   
Всего угроз на этом сайте:  0

[BAKILI]

У других пользователей при входе в этот сайт ничего подобного нет или же все таки есть?

[TVS]

Захожу спокойно на flysat. Касперский 6.0 WorkStation ничего подозрительного не обнаруживает.

[Скотч111]

У других пользователей при входе в этот сайт ничего подобного нет или же все таки есть?

Вчера было,сегодня нормально несколько раз уже заходил на этот сайт

[BAKILI]

Интересно, через Мозиллу и Гугл Хром не открывается, а Интернет Эксплорер открывает

[haykazun]

У других пользователей при входе в этот сайт ничего подобного нет или же все таки есть?

В IE8 все нормально, в Chrome...Предупреждение- посещение этого сайта может нанести вред Вашему компьютеру!

Win XP SP3, Panda Antivirus Pro 2010

Второй компе и в IE8 и в Chrome все нормально.

Win XP SP3, Dr. Web

[ksk]

У меня только Хром ругается

[Kobzik]

С IE захожу свободно, с Мозиллы не пускают (Предупреждение - посещение этого сайта может нанести вред Вашему компьютеру!). Антивирь Comodo Internet Security Premium.

[mxm]

Google, Chrome и Firefox использую одну и туже базу вредоносных сайтов. Попадают в неё сайты обычно с троянами в коде или подгружаемой рекламе.

Кстати можно эти сообщения отключить в настройках...

[KVL]

 Ребята, используйте линкчекер, например от Доктор Вэб, я уже об этом неоднократно писал, также используйте антивирусные программы, у которых очень быстро и часто обновляется база, а у браузеров, подобные и уже неактуальные предупреждения в базах, "годами" могут висеть.

[BAKILI]

Только что зашел, открывается со всеми браузерами

[sambor]

Вас могут шантажировать с помощью вашей же веб-камеры

Если раньше хакеры часто взламывали компьютеры, чтобы пошутить, то сейчас кибервзломщики все чаще используют доступ к чужим ПК, чтобы скомпрометировать и шантажировать обычных пользователей.

 Достаточно распространенная практика – запись видеоролика с помощью веб-камеры, подключенной к захваченному ПК. После записи ролик транслируется хозяину ПК и может использоваться для шантажа или розыгрыша. Таким образом хакеры стремятся обратить на себя внимание и добиться признания в своей среде.

 Те, кто не имеют прямого отношения к IT-индустрии, могут даже не иметь представления, что такое RAT (Remote Access Tool – Инструмент удаленного доступа). Также они могут не знать и о простых приемах социальной инженерии, в том числе о возможности взлома их компьютера и полного управления им через интернет. RAT – это программное обеспечение, предоставляющее интерфейс удаленного управления другим компьютером из любой точки земного c/s. Есть множество сценариев легального использования RAT, но злонамеренных насчитывается не меньше. Сегодня применяется несколько весьма «творческих» способов заставить пользователя установить программу (используя эксплойты, уязвимости и методы социальной инженерии).

 По мере развития Web 2.0 и поточного вещания, в интернете стало появляться всё больше видеозаписей, высмеивающих тех людей, компьютеры которых были взломаны. Обычно на их компьютер устанавливается RAT, в результате чего хакер может выполнить следующие действия:
 Отслеживать использование ПК и интернета
 Прослушивать звук (через микрофон)
 Подсматривать (через веб-камеру)
 Включать и выключать веб-камеру и монитор в реальном времени

 Более того, если компьютер включен и подсоединён к сети Интернет, злоумышленник может получить полный контроль над ним.

Как не допустить появление RAT на вашем ПК:

 1. Устанавливайте только те приложения, которые действительно безопасны и вызывают доверие. Старайтесь всегда читать описания программ перед их установкой. Также, устанавливая ПО, всегда следите, что загрузка происходит с доверенного источника;

 2. Будьте осторожны и имейте здравый смысл, когда вам предлагается перейти по ссылке или загрузить и установить программы в письмах или мгновенных сообщениях. Никогда не переходите по анонимным ссылкам в почте или мессенджерах. Также не стоит безрассудно использовать ссылки и от тех, кому вы доверяете. Они могут просто не знать, что советуют вам вредоносную программу или веб-сайт.

 3. Не устанавливайте программы, если получаете сообщение об обновлении популярного ПО известных поставщиков от сторонних компаний. Всегда устанавливайте обновления только напрямую от разработчиков.

Более подробно читать  здесь

[sambor]

32% пользователей уже сталкивались с зараженными "флешками"


Заражение компьютера с помощью переносных носителей данных (оптических дисков или накопителей USB) используется гораздо реже, чем атаки в онлайне. Тем не менее, с зараженными «флешками» пользователи встречаются очень часто.

32% владельцев компьютеров уже сталкивались с зараженными носителями данных. Даже если пользователь уверен в безопасности своего компьютера, зараженная флешка, переданная ему коллегой или членом семьи, может привести к потере важных данных.

Еще один довольно распространенный способ кражи пользовательских данных – перехват во время передачи по беспроводным сетям, в частности Wi-Fi. Сейчас многие пункты общественного питания и общественные места предлагают своим посетителям открытые точки доступа, зачастую не использующие пароль для авторизации и шифрование. Это означает, что подключиться к ним может любой желающий, а перехват и анализ трафика не составит особого труда для злоумышленника.

Как выяснили специалисты O+K Research, незащищенные общественные сети в Украине используют 56% владельцев смартфонов и 63% обладателей планшетов. Не отказываются от бесплатного Wi-Fi и обладатели ноутбуков – 33%. При этом более половины опрошенных используют общедоступные сети каждый день или, как минимум, 2-3 раза в неделю. Довольно пугающая статистика, свидетельствующая о том, что пользователи недооценивают опасность бесплатного Wi-Fi. В то же время избежать потери данных в результате перехвата довольно просто – не пользоваться открытыми беспроводными сетями, и выбирать защищенные точки доступа.

Если все же используются открытые точки доступа, то при этом стоит с особой осторожностью проводить какие-либо финансовые операции в Сети. Самый большой интерес для злоумышленников представляют данные кредитных карт. Их можно похитить, например, заманив пользователя на подложный сайт, где он сам введет свои данные в форму. Для доступа к счету в платежной системе, как правило, нужны имя пользователя и пароль, плюс платежный пароль для денежных операций. Их злоумышленники могу получить путем перехвата трафика, если он передается по незащищенному протоколу или по открытой сети Wi-Fi.

chip.ua

[KVL]

Еще один довольно распространенный способ кражи пользовательских данных – перехват во время передачи по беспроводным сетям, в частности Wi-Fi. Сейчас многие пункты общественного питания и общественные места предлагают своим посетителям открытые точки доступа, зачастую не использующие пароль для авторизации и шифрование. Это означает, что подключиться к ним может любой желающий, а перехват и анализ трафика не составит особого труда для злоумышленника.

 Когда я хотел купить отличный модем (чтобы использовать Wi-Fi) от компании Cisco/Linksys (у них Wi-Fi в модемах не отключаемый), то позвонил в канадский филиал компании, долго беседовал со специалистом компании - он мне честно и откровенно в беседе заявил, что даже тщательно защищённый паролем Wi-Fi, это всё равно - дыра в безопасности, так что, лучше и лишний раз, не рисковать. После этого, я для себя окончательно решил, пока не использовать W-Fi.

[sambor]

«Лаборатория Касперского» запускает в Украине сервис Kaspersky DDoS Prevention


«Лаборатория Касперского» объявляет о запуске в Украине, Молдове и Республике Беларусь сервиса, предназначенного для защиты интернет-ресурсов организаций от распределенных хакерских атак, направленных на отказ в обслуживании — Kaspersky DDoS Prevention (KDP).

Активное развитие сферы услуг и систем дистанционного обслуживания клиентов через Интернет, заставляет владельцев задумываться об обеспечении постоянной доступности своих онлайн порталов для посетителей. Для поддержки безопасной работы этих ресурсов компании предпринимают немало усилий, однако обычные средства защиты не способны предотвратить такую угрозу как DDoS-атаки, в результате которой доступ легальных пользователей к сайту организации оказывается заблокированным или затрудненным.


Последнее время помимо атак на банковские платежные системы, системы электронных платежей, телекоммуникационные компании, средства массовой информации и предприятия электронной коммерции, участились случаи нападений и на государственные сайты. По данным «Лаборатории Касперского», полученным с помощью системы мониторинга за ботнетами, в первом полугодии 2012 года в Украине больше всех пострадали бизнес-сайты, атаки на которые проводились в 30% случаев. На втором месте оказались СМИ (20%), на третьем – интернет-торговля (19%). Атаки на блоги и форумы, а также государственные ресурсы заняли четвертое и пятое места, с показателями в 5,5% и 4,6% соответственно.

Опасность DDoS-атак заключается также в том, что, они могут оказать влияние и на другие ресурсы и системы, размещенные в тех же сегментах сети, что и атакуемый ресурс. В результате  атака, направленная, к примеру, на форму авторизации на сайте, может нарушить взаимодействие между подразделениями компании или работу IP-телефонии и, таким образом, негативно повлиять на  нормальное функционирование бизнес-процессов всей организации.

Сервис Kaspersky DDoS Prevention представляет собой мощную систему распределенной фильтрации трафика, состоящую из географически распределенных высокопроизводительных центров очистки трафика, подключенных к Интернету по высокоскоростным каналам связи. Такое решение позволяет выдержать DDoS-атаку практически любой мощности.

Кроме того, одним из компонентов Kaspersky DDoS Prevention является сенсор, который собирает информацию о трафике защищаемого ресурса клиента, и предоставляет ее системе Kaspersky DDoS Prevention для анализа и своевременного выявления аномалий. На основании данных, полученных от сенсора, в системе Kaspersky DDoS Prevention строятся профили трафика ресурса, которые позволяют своевременно выявлять отклонение параметров и диагностировать начало атаки, ее характеристики.

Среди других преимуществ Kaspersky DDoS Prevention можно выделить то, что на компонентах системы применяется комплекс статистических, сигнатурных, поведенческих и иных методов очистки трафика, что позволяет защищать ресурсы и от сложных интеллектуальных атак, которые уже преодолели другие средства защиты, в том числе от атак типа low rate. Кроме того, работа системы Kaspersky DDoS Prevention основана на индивидуальном подходе к защите каждого ресурса или сетевого сервиса. Для каждого защищаемого объекта в системе создаются индивидуальные профили фильтрации трафика, а поддержка системы в режиме 24х7 позволяет экспертам постоянно держать ресурс клиента под контролем.

Таким образом, Kaspersky DDoS Prevention предназначен для обеспечения надежной эшелонированной защиты сетевых ресурсов от распространенных атак типа «отказ в обслуживании», применяющихся современными киберпреступниками. Воспользоваться услугой Kaspersky DDoS Prevention могут владельцы любых интернет-ресурсов и сервисов, независимо от того, услугами каких интернет-провайдеров они пользуются.

[sambor]

Троянцы используют необычный механизм заражения


Данные программы способны осуществлять массированные DDoS-атаки и рассылать спам.

Инфицирование компьютера жертвы осуществляется при помощи широко распространенного троянца Trojan.PWS.Panda.2395. На первом этапе заражения при помощи поддерживаемой троянцем пиринговой сети на ПК жертвы скачивается исполняемый файл, в котором зашифрован вредоносный модуль. После успешной расшифровки он запускает еще один модуль, считывающий в память компьютера образ другого вредоносного приложения, детектируемого антивирусным ПО Dr.Web как один из представителей семейства Trojan.DownLoader.

Данная программа сохраняется в папку учетной записи пользователя в виде исполняемого файла со случайным именем, после чего модифицирует реестр Windows, чтобы обеспечить себе возможность автоматического запуска одновременно с загрузкой операционной системы.

Весьма интересен алгоритм, используемый троянцем для загрузки на инфицированный компьютер других вредоносных программ. В теле данной модификации Trojan.DownLoader имеется зашифрованный список доменных имен, к которым загрузчик обращается с запросом по протоколу HTTPS. В ответ троянец получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения <img src="data:image/jpeg;base64 … >. В качестве аргумента этого тега такие веб-страницы содержат зашифрованный вредоносный файл, который извлекается из html-документа, расшифровывается и в зависимости от полученной команды либо пытается встроиться в предварительно запущенный троянцем процесс svchost.exe, либо сохраняется во временную папку. Помимо этого, непосредственно из тела загрузчика расшифровываются DDoS-модуль и список адресов для последующей атаки, затем образ данной вредоносной программы настраивается непосредственно в его процессе.

После успешной загрузки DDoS-модуль создает до восьми независимых потоков, в которых начинает непрерывно отправлять POST-запросы к серверам из хранящегося в троянце-загрузчике списка, а также пытается установить соединение с рядом серверов по протоколу SMTP, после чего отсылает на них случайные данные. Всего список содержит 200 выбранных в качестве цели для DDoS-атак сайтов, среди которых имеются столь известные ресурсы, как портал love.com, принадлежащий корпорации America On-Line, сайты нескольких крупных американских университетов, а также порталы msn.com, netscape.com и другие.

Но этим функционал троянца-загрузчика не ограничивается. Из списка доменов для DDoS-атак он по специальному алгоритму выбирает один, отправляет на него HTTP-запрос и получает в ответ веб-страницу. Среди содержимого этой веб-страницы троянец также пытается отыскать тег вставки изображения <img src="data:image ...>, в качестве аргумента которого записан массив данных, зашифрованных с использованием алгоритма base-64.

После расшифровки извлеченные из веб-страницы данные превращаются в файл, маскирующийся под изображение в формате JPEG. Этот файл также хранит в себе контейнер, содержимое которого сжато архиватором gzip. Наконец, из архива извлекается вредоносная программа BackDoor.Bulknet.739, представляющая собой троянец-бэкдор, который обладает функционалом для массовой рассылки спама.

[sambor]

Осторожно, вредоносный спам притворяется рассылкой от Amazon.com


С 22 октября 2012 года активизировался вредоносный спам якобы от популярного интернет-магазина Amazon.com. Смап-письма содержат предложение загрузить лицензию на Microsoft Windows, однако, переходя по ссылке, пользователь заражается сразу двумя вредоносными программами (Trojan.Necurs.97 и BackDoor.Andromeda.22), которые готовы в любой момент по заказу злоумышленников переправить на компьютеры жертв другое вредоносное ПО.

С 22 октября 2012 года пользователи Интернета стали регулярно получать по электронной почте сообщения, отправителем которых якобы является интернет-магазин Amazon.com. Письма имеют заголовок Order N [случайное число] и следующее содержимое:


Hello,

You can download your Microsoft Windows License here.

Microsoft Corporation

Каждое такое сообщение содержит ссылку на веб-страницу, которая включает сценарий, при выполнении которого посетитель переадресовывается на другой веб-сайт. В свою очередь этот сайт передает браузеру файл со сценарием на языке JavaScript, при выполнении которого на компьютер пользователя загружаются две вредоносные программы: широко известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97.

Троянец Trojan.Necurs.97 обладает способностью к саморазмножению, в том числе может инфицировать съемные накопители и общие ресурсы локальной сети. После своего запуска троянец создает в отдельной папке исполняемый файл, а также вносит изменения в системный реестр с целью обеспечить автоматический запуск данного файла в процессе загрузки Windows. После этого троянец ищет в памяти запущенные процессы браузеров Internet Explorer и Mozilla Firefox и в случае их обнаружения пытается встроить в них собственный код. Затем Trojan.Necurs.97 пытается скопировать себя на все доступные в системе съемные носители, сохраняя на них собственную копию под случайным именем, после чего создает в корневой папке накопителя файл autorun.inf с целью обеспечения автоматического запуска троянца при каждом подключении устройства.

Троянец Trojan.Necurs.97 устанавливает соединение с принадлежащими злоумышленникам удаленными серверами, сообщает об успешной установке в инфицированную систему и ожидает поступления команд, среди которых можно отметить команду загрузки на зараженный компьютер различных приложений и передачу на удаленный сервер файлов с локального компьютера.

[sambor]

Появился троянец, который практически нельзя удалить


В Сети получила распространение новая троянская программа Trojan.GBPBoot.1. Зловредное ПО обладает интересным механизмом самовосстановления.

 С точки зрения реализуемых данным троянцем вредоносных функций, Trojan.GBPBoot.1 можно назвать довольно примитивной вредоносной программой: она способна загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы либо запускать программы, не хранящиеся непосредственно на компьютере жертвы. Этим ее деструктивный функционал исчерпывается. Однако интересен этот троянец, прежде всего, тем, что имеет возможность серьезно противодействовать попыткам его удаления.

Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.

 После собственного запуска вирусный инсталлятор сохраняет в системную папку конфигурационный файл и динамическую библиотеку, которую регистрирует в системе в качестве системной службы. Затем инсталлятор запускает эту службу и самоудаляется.

 В свою очередь, системная служба загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, ранее сохраненные на диск дроппером), устанавливает связь с удаленным управляющим сервером, передает ему сведения об инфицированной системе и пытается загрузить на зараженный компьютер передаваемые сервером исполняемые файлы. Если скачать эти файлы не удалось, повторное соединение устанавливается после следующей перезагрузки системы.

 В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

[sambor]

Trojan.Gapz.1 заражает Windows по-новому


 В данном приложении, добавленном в вирусные базы под именем Trojan.Gapz.1, применяются достаточно интересные механизмы заражения пользовательского компьютера. Одно из предназначений руткита — создание на инфицированном ПК среды для загрузки своих основных модулей, несущих различную функциональную нагрузку.
Trojan.Gapz.1 способен работать как в 32-битных, так и в 64-битных версиях ОС Windows. В процессе заражения троянец проверяет версию используемой на инфицируемом компьютере системы. Соответственно, сама процедура установки этой вредоносной программы различается в зависимости от вида платформы. Троянец также способен активно использовать уязвимости ряда системных компонентов, что позволяет ему осуществить выполнение специальным образом сформированного кода, что весьма нетипично для подобного класса угроз.

 Инсталлятор буткита осуществляет попытки обхода механизма контроля учетных записей (User Accounts Control, UAC), предотвращающего несанкционированный запуск в системе исполняемых файлов, эксплуатируя уязвимости графической подсистемы Windows. Интересен тот факт, что схожую технологию (использование специально подготовленного шрифта Dexter Regular) применял в свое время известный троянец Trojan.Duqu, подробно исследованный специалистами различных антивирусных компаний.

 Затем Trojan.Gapz.1 анализирует структуру жесткого диска инфицируемого компьютера, формирует специальный образ и размещает его в зарезервированных секторах диска. После этого троянец модифицирует одно поле в загрузочном секторе диска, и таким образом заставляет системный загрузчик подгрузить и запустить вредоносное приложение.

 Фактически руткит Trojan.Gapz.1 — ядро сложной вредоносной программы, основная задача которой заключается в том, чтобы создать подходящую среду для загрузки других компонентов троянца. В процессе своего запускаTrojan.Gapz.1 подгружает с диска бинарный образ, содержащий набор из нескольких модулей и блока конфигурационных данных. Эти модули представляют собой блоки специальным образом собранного кода, который в процессе своего выполнения взаимодействует с собственным API руткита. Назначение и функциональные возможности этих компонентов пока еще до конца не изучены; например, один из модулей обладает способностью устанавливать соединение с удаленным командным центром и загружать оттуда исполняемые файлы. Так, специалистами компании «Доктор Веб» был зафиксирован факт загрузки вредоносного приложения, предназначенного для работы с платежной системой UCash.

[sambor]

Осторожно: опасный троян-загрузчик


В Сети распространяется новый троянец-загрузчик Trojan.DownLoader7.21125. С точки зрения архитектуры эту программу нельзя назвать сложной или чем-то примечательной, однако она опасна своим широким распространением, а также тем, что с ее помощью на инфицированный компьютер загружаются другие троянцы.

Trojan.DownLoader7.21125 устроен примитивно: в теле троянца в незашифрованном виде хранится адрес сайта, при обращении к которому происходит перенаправление на другой интернет-ресурс, откуда Trojan.DownLoader7.21125 получает файл со списком адресов для последующей загрузки вредоносных приложений. При попытке соединиться с управляющим сервером по протоколу HTTP в окне браузера демонстрируется веб-страница с просьбой ввести логин и пароль.

В настоящее время Trojan.DownLoader7.21125 загружает и устанавливает на инфицированные компьютеры жертв программу для добычи (майнинга) электронной криптовалюты Bitcoin, перепакованные модификации самого себя, а также следующие вредоносные программы:
* BackDoor.Andromeda.22 — популярный троянец-загрузчик, способный скачивать с принадлежащих злоумышленникам серверов и устанавливать на инфицированном компьютере другие вредоносные программы.
 *Trojan.Rodricter.21 — многокомпонентный троянец-руткит, дроппер которого обладает функционалом антиотладки. Использует локальные уязвимости ОС для поднятия собственных привилегий. Отключает User Accounts Control (UAC) как в 32-разрядных, так и в 64-разрядных версиях Windows. Изменяет настройки браузеров Mozilla Firefox и Internet Explorer. Функциональное назначение основного модуля троянца — перехват трафика на инфицированном ПК.
 *Trojan.PWS.Multi.879 — вредоносная программа, способная похищать пароли от ряда популярных приложений, в том числе ICQ, Yahoo! Messenger, FTP Commander, Paltalk, AIM, Google Talk, MSN Messenger, Miranda, Trillian и других.
 *BackDoor.HostBooter.3 — троянец, предназначенный для выполнения DDoS-атак, а также скачивания и запуска файлов по команде с управляющего сервера.

Троянец Trojan.DownLoader7.21125 может быть загружен на ПК жертвы другими вредоносными приложениями, а также установлен в систему с использованием иных способов, в том числе уязвимостей браузеров. Его основная опасность заключается в том, что в случае проникновения данной угрозы на компьютер инфицированная система очень быстро превращается в «зоопарк» из множества других вредоносных программ.

[haykazun]

Троянец-блокировщик пугает жертв изображением, скачанным с веб-камеры зараженного ПК

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — провели анализ одного из плагинов, устанавливаемых на инфицированный компьютер троянцем Trojan.Gapz.1, заражающим Windows по-новому. Результаты исследования показывают, что за плагином скрывается троянец-блокировщик, способный перехватывать изображение с подключенной к зараженному ПК веб-камеры.

Как и в случае с троянцем Trojan.Winlock.7372, о распространении которого мы сообщали ранее, данный блокировщик, добавленный в вирусные базы под именем Trojan.Winlock.7384, не хранит в себе графических изображений и текстов: вместо этого троянец использует для формирования содержимого блокирующего Windows окна файл в формате XML, получаемый с удаленного управляющего сервера.

Запустившись на зараженной машине, Trojan.Winlock.7384 расшифровывает собственный конфигурационный файл, в котором описано, с какими странами и платежными системами работает этот троянец.

В основном это ваучерные системы Ukash, Moneypack и Paysafecard. Затем на основании аппаратной конфигурации ПК вредоносная программа генерирует уникальный идентификационный номер и отправляет его на удаленный командный сервер вместе с другой информацией об инфицированном компьютере. В ответ Trojan.Winlock.7384 получает WHOIS-информацию об IP-адресе зараженного ПК, в которой среди прочего обозначено местоположение жертвы. Получив указанные сведения, троянец сверяет эти данные с хранящимся в своем конфигурационном файле списком стран и блокирует компьютер только в том случае, если инфицированная машина располагается в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии или США. Выполнив такую проверку, Trojan.Winlock.7384 отправляет новый запрос и получает в ответ подтверждение регистрации бота на управляющем сервере. Наконец, в качестве ответа на последний запрос с командного центра загружается несколько XML-файлов, на основе которых формируется изображение и текст блокирующего окна на соответствующем языке.

Примечательной особенностью данной версии винлока является то, что Trojan.Winlock.7384 способен перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать ее в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.

Для разблокировки компьютера троянец требует ввести код ваучера платежной системы — этот код обычно размещается на чеке, выдаваемом платежным терминалом при внесении какой-либо суммы. Введенный жертвой код передается на принадлежащий злоумышленникам управляющий сервер и проверяется на подлинность. В случае подтверждения факта оплаты управляющий центр отправляет троянцу команду на разблокировку компьютера. Сумма, которую требуют заплатить за эту услугу злоумышленники, составляет 100 евро или 150 долларов США.

Изучение угроз, поступающих в антивирусную лабораторию компании «Доктор Веб» в последнее время, показывает, что злоумышленники понемногу отказываются от создания «традиционных» винлоков с использованием стандартных «конструкторов», прибегая к разработке все более сложных троянцев-блокировщиков с разнообразным функционалом.

drweb.com

[Kobzik]

Троянец подключает компьютеры белорусов к бот-сети через Skype

Пользователей Байнета вновь захлестнула волна вирусных рассылок через Скайп. Как сообщили IT.TUT.BY специалисты антивирусной компании “ВирусБлокада”, на этот раз троян подключает зараженные компьютеры к бот-сети. Для владельца компьютера его вредоносная деятельность может быть незаметна, но в отдельных случаях могут наблюдаться существенные “тормоза” во время работы.

Компьютеры белорусов уже становились жертвами массовой спам-рассылки через Skype в октябре прошлого года. Теперь они вновь получают от абонентов, добавленных в список контактов, сообщения, содержащие ссылку с вредоносным ПО. Только на этот раз “заманчивое” предложение меняется от пользователя к пользователю. Начиная от просто “посмотри на эту фотографию”, заканчивая более персонализированным “посмотри – он похож на Путина”.

При открытии ссылки начинается загрузка исполняемого файла, содержащего опасную троянскую программу класса Trojan-Downloader, которая детектируется антивирусом VBA32 как Trojan-Downloader.1413. В свою очередь, она загружает вредоноcную программу класса Backdoor размером 225 280 байт (детектируется VBA32 как Backdoor.IRCBot.1413). Для шифрования файлов использовалась программа, написанная на Visual Basic. Помимо прочего, криптор детектирует виртуальные машины – такие как VMware – и не работает на них, что затрудняет анализ вредоносной программы.

Подробнее здесь.

[sambor]

Осторожно: поддельное обновление Adobe Flash занимается вымогательством и кликфродом


Корпорация Symantec сообщила об обнаружении новой вредоносной кампании, использующей для обмана пользователей поддельные сайты обновления Adobe Flash. Их компьютеры заражаются вредоносной программой-вымогателем и программой-автокликом, которая ходит по рекламным ссылкам от имени пользователя.

Широкое распространение среди пользователей и достаточно частая необходимость обновления Adobe Flash сделало этот продукт объектом повышенного внимания киберпреступников. Применяя методы социальной инженерии, злоумышленники заманивают пользователей на поддельные страницы обновления Adobe Flash, с которых вместо очередного обновления ни о чем не подозревающий пользователь устанавливает на свой компьютер вредоносную программу.

В качестве одного из ярких примеров специалисты компании Symantec указывают сайт, выдающий себя за страницу обновления Adobe Flash Player: http://16.a[REMOVED]rks.com/adobe/.

Злоумышленнику удалось создать достаточно правдоподобную копию официального сайта, однако все же был допущен ряд недочётов: большая часть ссылок ведёт назад на атакующий домен, и абсолютно все ссылки на странице – кроме ссылки на само вредоносное содержимое – к корневому каталогу сайта, что приводит к ошибке 404 (страница не найдена).


Основная цель злоумышленника – добиться установки вредоносной программы, и для увеличения шансов он предлагает на выбор пользователю два варианта. Первый вариант представляет собой всплывающее окно, предлагающее пользователю скачать файл под названием “flash_player_updater.exe”. Вторая опция – кнопка “Download Now”, после нажатия на которую начинает скачиваться файл “update_flash_player.exe”. Продукты компании Symantec идентифицируют оба файла как Downloader.Ponik.

В ходе исследования выяснилось, что помимо кражи паролей эти вредоносные программы выискивают в системе учётные записи удалённого доступа по FTP/telnet/SSH, а также отслеживают учётные записи почты по протоколам SMTP, IMAP и POP3.

И, несмотря на то, что обе эти программы принадлежат к одному типу, ведут они себя по-разному: в первом случае устанавливается программа-вымогатель (ransomware), а во втором – робот, кликающий по рекламным ссылкам. И то и другое – незаконные способы получения прибыли.

[sambor]

Весенние эпидемии в Skype: не дай на себе заработать


Эксперты «Лаборатории Касперского» обнаружили две набирающие обороты вредоносные кампании в Skype: в обоих случаях злоумышленники заманивают пользователей перейти по вредоносной ссылке методами социальной инженерии, обещая интересный фото- или видео-контент. Для распространения вредоносных ссылок используются похищенные или специально созданные Skype-аккаунты, а конечной целью одной из кампаний предположительно является мошенническая генерация виртуальной валюты Bitcoin.

Первая из обнаруженных атак стартовала еще 1 марта, однако рекордных масштабов достигла только в начале апреля: количество переходов по вредоносной ссылке составляло в среднем 2,7 раза в секунду. Чаще всего по ссылке переходили пользователи из России, Украины, Болгарии, Китая, Тайваня и Италии. В ходе анализа кода программы, которая загружалась на ПК пользователя в случае перехода по ссылке, эксперты обнаружили, что в одной из строк содержалось упоминание Bitcoin wallet – кошелька в системе виртуальной валюты Bitcoin.

В четверг 4 апреля стало известно об еще одной похожей атаке. Пользователи получали сообщение с призывом перейти по ссылке, однако, на этот раз вместе с вредоносной программой на компьютер пользователя устанавливалась специальная программа для генерации виртуальной валюты Bitcoin. Эта валюта позволяет зарабатывать деньги за счет предоставления вычислительных ресурсов компьютера, на котором установлено специализированное приложение. Участник системы предоставляет свой компьютер для проведения вычислений, а взамен получает монеты Bitcoin, которые впоследствии можно конвертировать в другую валюту или использовать для оплаты товаров и услуг в некоторых интернет-магазинах. Только в течение первых суток с момента старта кампании по вредоносной ссылке ежечасно переходили около 2 тысяч пользователей.

Судя по географии распространения, пользователи, которые могут стать жертвами второй кампании, находятся в Италии, России, Польше, Коста-Рике, Испании, Германии и Украине.

Также занимательным может показаться тот факт, что вредоносная кампания стартовала, когда курс Bitcoin достиг исторического максимума. По состоянию на 8 апреля курс валюты возрос до 173 долларов США за монету, при том, что еще в 2011 году за нее не давали более 2 долларов США. Таким образом, Bitcoin становится настоящим «лакомым куском» для киберпреступников.

  chip

[Pavlon]

Внимание !

Если от кого придет файл под названием Invoice_480611.pdf.exe , то не принимайте - это вирус !!! Я чухнулся и из моего списка контактов не принял. Рассылает потом по списку всем подряд сам. Будем внимательны !

[ArtemS]

Pavlon, настораживать должно не имя файла (оно может быть любым), а его двойное расширение (в данном случае - .pdf.exe). Нормальный антивирус на такое среагирует либо при начале передачи, либо при завершении.

[Pavlon]

Новый вирус заражает компьютеры через USB

Исследователи в области компьютерной безопасности Карстен Нол и Джейкоб Лелл обнаружили критическую уязвимость в стандарте USB. Брешь позволяет незаметно заражать компьютеры и подключаемые к ним устройства.

Ученые из компании SR Labs, занимающейся исследованиями в области защиты данных, утверждают, что из-за бреши в протоколе USB злоумышленники могут изменять внутреннюю программу подключаемых к компьютеру устройств и внедрять туда вредоносные модули, сообщает Reuters. Обычный современный антивирус не сможет найти хакерские уловки, потому что он сканирует только содержимое диска, флешки или оперативной памяти, не занимаясь сканированием внутренних программ клавиатур, мышей и других распространенных USB-устройств.

Программисты отмечают, что брешь нельзя обнаружить.

При этом вредоносная программа может заразить компьютер с флешки, а затем и заразить другое USB-устройство с компьютера. Под угрозой оказываются все устройства, чей USB-контроллер можно перепрограммировать, включая и смартфоны на базе Android. Нол и Лелл уверяют, что решить проблему обычными способами не получится, поскольку проблема кроется в недостатках протокола USB. Пока они называют самым лучшим решением использование только проверенных устройств с проверенными компьютерами.

Ученые планируют представить свою находку на конференции Black Hat, которая пройдёт со второго по седьмое августа в Лас-Вегасе. Последний раз массовая вирусная атака была зарегистрирована год назад. Как писали Дни.Ру, тогда хакеры заблокировали компьютеры пользователей популярной программы для связи Skype в Южной и Северной Америке, Германии и России. Вредоносная программа была написана на разных языках, что в разы увеличило ее эффективность.

Укороченные ссылки в спам-сообщениях направляли пользователей на страницу загрузки вредоносной программы, которая, в свою очередь, загружает и запускает носитель известного червя Dorkbot. Этот вирус крал конфиденциальную информацию, в частности, логины и пароли пользователей зараженных компьютеров. Больше всего пострадали пользователи в России, Германии, Бразилии, Колумбии, Мексике и США. Предположительно, киберпреступники рассылали сообщения на разных языках, в зависимости от государства, что значительно увеличило эффективность спам-кампании.

Rus.tvnet.lv

[haykazun]

«ВКонтакте» заморозила аккаунты пользователей из-за взлома «Яндекса»

После того как более 1 млн почтовых ящиков с паролями утекли в Сеть, руководство соцсети решило перестраховаться

Социальная сеть «ВКонтакте» заморозила аккаунты своих пользователей, которые зарегистрированы на скомпрометированные адреса «Яндекса», пока владельцы аккаунтов не сменят пароли. Об этом «Известиям» сообщил пресс-секретарь «ВКонтакте» Георгий Лобушкин.

— Мы проверили базу скомпрометированных аккаунтов и заморозили всех, к чьим страницам не были привязаны телефонные номера (то есть уязвимые), — говорит Лобушкин. — До того как пользователь не зайдет на свою страницу и не поменяет пароль, вся активность на его страничке будет заморожена.

На днях в открытый доступ попало более 1 млн почтовых ящиков пользователей «Яндекса» с логинами и паролями. Это крупнейшая утечка данных в Рунете с участием «Яндекса» по меньшей мере с 2011 года — когда в поисковой выдаче можно было читать SMS абонентов мобильных операторов.

В «Яндексе» заявили, что это результат деятельности различных вирусов, которые воруют у пользователя его логин и пароль от различных аккаунтов, в том числе от их почтового сервиса. Однако почему база состояла только из пользователей «Яндекса» — в компании не прокомментировали.

Известия

Опубликованы 4,5 миллиона паролей к Mail.ru

В Интернете появилась база данных с аккаунтами Mail.ru и паролями к ним. База содержит 4,6 миллиона пар e-mail адрес - пароль, сообщил пользователь блог-сервиса "Хабрахабр" с ником Polym0rph.

Заблокированы страницы "ВКонтакте", связанные со взломанными ящиками "Яндекса"
Напомним, утром 8 сентября стало известно о публикации базы из 1,2 миллиона аккаунтов и связанных с ними паролей сервиса Yandex.ru. В компании исключили вероятность взлома системы безопасности и предположили, что данные были похищены с компьютеров пользователей при помощи вредоносных программ-троянов и фишинга.

Кроме того, большинство из опубликованных аккаунтов - мертвые, то есть либо заброшены своими хозяевами, либо создавались роботами, уточнили в компании. 150 тысячам пользователей почтового сервиса предложено сменить пароли.

Самым популярным кодом доступа во взломанных аккаунтах был 123456 - он встречается в базе более 37 тысяч раз. На втором месте "более защищенный" 123456789, за ним следует 111111.

Российская газета

[KVL]

 В почтовом ящике Яндекса можно отследить все последние действия - когда и под каким IP заходили на почту.

[KVL]

 Вот, что на мой запрос ответила поддержка Яндекс:

Когда: 9 сен. в 04:47
Кому: *******
От кого: Yandex.Passport passport(собака)support.yandex.ru

 Здравствуйте!


 За последние несколько часов мы тщательно проанализировали эту базу (я давал им вчера ссылку на базу) и пришли к следующим выводам.

 Речь не идёт о взломе инфраструктуры Яндекса, данные стали известны злоумышленникам в результате фишинга или вирусной активности на заражённых компьютерах некоторых пользователей. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени.

 О 85% скомпрометированных аккаунтов из этой базы нам было известно: большинство из них уже несколько лет появляются в подобных списках. Мы предупреждали их владельцев и предлагали сменить пароль, но они этого не сделали. Это означает, что такие аккаунты либо заброшены, либо создавались роботами. Владельцам оставшихся 150 тысяч аккаунтов этой ночью мы сбросили пароль, они не смогут войти в ящик, пока не поменяют его.

 Если вы не видите такого предупреждения от Яндекса, то вашего аккаунта нет в опубликованном списке и можно не беспокоиться.

 Если мы видим, что аккаунт мог быть взломан - по его присутствию в подобных базах, по тому, как изменилось поведение пользователя после входа в аккаунт (habrahabr.ru/company/yandex/blog), или по другим признакам, мы разлогиниваем пользователя и отправляем его на принудительную смену пароля.

 Пожалуйста, регулярно проверяйте свой компьютер актуальными антивирусными программами!  Ознакомиться с нашими рекомендациями по безопасности можно на страницах: help.yandex.ru/passport и help.yandex.ru/common/security.

--

С уважением, *****
Служба поддержки Яндекса

[Pavlon]

Хакеры обновили вирус для Apple. Троянец распространяется в контрафактных приложениях для iPhone и Mac

 Американский производитель антивирусных решений Palo Alto Networks обнаружил в Китае новый вредоносный софт, который поразил более 350 тыс. компьютеров и смартфонов. "Троянец", который передает хакерам информацию с iPhone, распространяется через хранилище контрафактных приложений The Sims, Angry Birgs и Battlefield.
Как сообщается в отчете Palo Alto Networks, компьютерный вирус под названием WireLurker был обнаружен 1 июня Цюем Чао, разработчиком китайской интернет-компании Tencent (владеет 7,8% Mail.ru Group): тот увидел "подозрительные файлы и процессы на своем iPhone и Mac". Через несколько недель на китайских форумах появились многочисленные жалобы пользователей, загрузивших приложения для Mac на сайте Maiyadi App Store, известном как хранилище контрафактного контента для устройств Apple.

По данным Palo Alto Networks, почти все приложения для Mac на этом сайте были заражены вирусом WireLurker. Самым популярным из них была The Sims 3 (42 тыс. загрузок). В десятке зараженных приложений — Angry Birds, Spider 3, Battlefield: Bad Company 2, International Snooker 2012 и Pro Evolution Soccer 2014. Эти программы хранились не на серверах Maiyadi, а на "облачных" веб-сайтах Huawei и Baidu. "За последние шесть месяцев 467 зараженных приложений были скачаны 356 тыс. раз, что может затронуть сотни тысяч пользователей",- говорится в отчете. Как поясняют эксперты, попадая в компьютер, приложение, зараженное WireLurker, анализирует USB-порты на подключение к iOS, и, обнаружив их, инфицирует iPhone или iPad. После этого вирус снимает данные с устройств, причем в опасности находятся даже смартфоны и планшеты, которые не были подвергнуты процедуре jailbrake (перепрограммирование и получение полного доступа к файловой системе).

WireLurker во многом усовершенствованный троянец, следует из отчета. Это первое вредоносное приложение, которое может заразить iOs как обычный вирус и второе в семействе троянцев, проникающих в устройство через USB. О первом вирусе для Apple, атакующем устройства через USB-порт, в июне сообщила "Лаборатория Касперского". Как рассказывал "Ъ" ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов, компьютерные вирусы-троянцы, созданные командой итальянских хакеров HackerTeam на базе шпионского софта Galileo, позволяют хакерам вести скрытую фотосъемку и аудиозапись, читать телефонную книгу, SMS и получать практически все данные с iPhone и iPad. Однако масштаб заражения Galileo был куда меньше: по словам Сергея Голованова, до 5 тыс. смартфонов и компьютеров по всему миру, в том числе в России.

Владислав Новый, КоммерсантЪ
 Comnews.ru

[BAKILI]

Обнаружен новый вирус, атакующий телекоммуникационные компании

Антивирусная компания Symantec заявила о появлении в интернете нового уникального вируса под названием Regin, который действует в первую очередь против телекоммуникационных компаний, в частности, в России и Саудовской Аравии, пишет газета The Financial Times.
 
Новый вирус похож на "червя" Stuxnet, появившегося в 2010 году, однако значительно превосходит его по сложности программирования и результатам применения. Эксперты не исключают, что он разработан западными спецслужбами. Отметим, что Stuxnet был разработан разведслужбами США и Израиля для нанесения урона иранской ядерной программе.
 
Директор по безопасности Symantec Орла Кокс заявила, что новый вирус "даже не с чем сравнить", и предположила, что на создание этой программы ушли месяцы или годы.
 
По данным антивирусной компании, пока неясно, как Regin инфицирует компьютерные системы, однако было установлено, что его уже применяли против интернет-провайдеров и телекоммуникационных компаний в России, Саудовской Аравии, Мексике, Ирландии и Иране.
 
Между тем, представители "большой тройки" российских операторов связи - МТС, "Вымпелком" и "Мегафон" - заявили РИА Новости, что оборудование компаний защищено от вируса Regin.
 
"Вирус определяется теми средствами защиты, которые у нас установлены. На текущий момент нас эта угроза не затронула, мы тщательно это проверили. Компания продолжает мониторить ситуацию. Мы также связались со специалистами от "Лаборатории Касперского" и McAfee", — сказала пресс-секретарь "Вымпелкома" Анна Айбашева.
 
"Как показал наш анализ, на данный момент информационные системы МТС не затронуты вирусом Regin", — отметил пресс-секретарь МТС Дмитрий Солодовников.
 
В "Мегафоне" отметили, что вирус не может затронуть мобильную связь, а бизнесом фиксированной связи компания не занимается.

[BAKILI]

Компьютерные вирусы и "Смарт ТВ"

На пресс-конференции "Лаборатории Касперского", посвященной итогам уходящего года, были приведены впечатляющие цифры. Аналитики компании в 2014 году ежедневно детектировали в среднем 325 000 образцов вредоносного ПО. Число атак на бизнес с использованием уязвимостей в офисных программах выросло на 73%. Крупный бизнес в нашей стране терял от таргетированных атак в среднем 20 млн рублей, средний и малый 780 тысяч рублей. Было зафиксировано 1 363 549 уникальных атак на мобильных пользователей, из них 53% — с использованием мобильных банковских троянцев, количество которых за год выросло в 9 раз. В 4 раза выросло количество атак на мобильные устройства пользователей, в 2 раза больше стало уникального вредоносного ПО для мобильных устройств, каждый пятый пользователь Android в течение года столкнулся с киберугрозой. Из хороших новостей — на 12% меньше стало SMS-троянцев, после того как сотовые операторы начали предупреждать абонентов, что они собираются отправить платную смс.
 
В будущем эксперты компании прогнозируют рост сложных, очень профессионально разработанных атак на банки, крупные организации и госструктуры, увеличение атак на системы мобильного банкинга, использование злоумышленниками уязвимостей в новых и уже известных продуктах и создание вредоносных программ для "интернета вещей" (Internet of Things, IoT). Как сказал, резюмируя ситуацию, генеральный директор компании Евгений Касперский, "раньше было все хорошо, а теперь все будет гораздо хуже".

[yorick]

Carbanak - самая опасная киберугроза для бизнеса

Современная хакерская атака Carbanak долго и незаметно собирает информацию обо всех уязвимостях системы компании, а потом крадет деньги.

Крупнейшие мировые компании страдают от фишинговых атак, направленных на кражу средств с их счетов. Самая современная из них - Carbanak - началась в 2013 году и происходит до сих пор. В результате этой хакерской атаки компании теряют миллионы, рассказал представитель компании Beyong Trust Торстен Видемейер (Torsten Wiedemeyer) в ходе конференции, которая проходила в Пресс-центре Информационного агентства ЛІГАБізнесІнформ.

Ранее атаки характеризовались тем, что компании быстро их замечали и пытались предотвратить и закрыть все дыры в безопасности. Но Carbanak отличается от предыдущих атак тем, что работает незаметно. Вредоносная программа собирает информацию об организации, проводит анализ мест, через которые можно осуществить доступ в систему. При этом пользователь не знает о ее существовании.

Хакерская программа распространялась и продолжает распространяться среди множества компаний и совершает атаки даже на системы видеонаблюдения. В результате хакеры имеют доступ ко всем средам, данным и инфраструктуре компании. "Представьте, что вы накопили данные за 10 лет, а их можно было скачать за считанные дни", - приводит пример Торстен Видемейер.

Хакерская программа использует разные зоны и факторы уязвимости, например, происходит атака системных файлов или подделка подписей. "Проблема заключается в том, что если вы полагаетесь на антивирусные программы, они не могут помочь", - сказал он.
"Идея заключается в том, чтобы осуществить денежный грабеж. И они (хакеры, - ред) это делают очень умным способом. Они были очень осторожными со всеми своими действиями. Если бы вы поговорили с аналитиками по безопасности, они были бы в восторге, каким образом все это произошло. В том смысле, что работа была сделана безукоризненно: они использовали наши проблемы, чтобы их мошеннические действия были успешными. Перечисления денег производятся очень простым способом: изначально переводятся небольшие суммы. Самая впечатляющая часть этого процесса, что банкоматы сами выдавали деньги. В 2 часа ночи денежки сами сплавлялись. Поэтому Carbanak-атака является самой успешной в мире хакерской атакой на сегодняшний день", - рассказал Торстен Видемейер.

Carbanak-атака использует такие уязвимости, как щели-информационные утечки, "зашпаклевывать" которые у компаний нет времени и средств. Если начинать их "латать", убыток компании будет больше, чем от самой кражи. Недостаточно просто установить необходимый патч, после этого нужно еще и перезапускать сервера. Но в крупных компаниях этот процесс может занять год. В то же время Торстен Видемейер отмечает: "Если регулярно ставить патчи, то Carbanak-атака не затронет вас глубоко. Если ты не ставишь патчи, не "латаешь", то это "открытые двери для вторжения".

Если атака уже произошла, нужно посмотреть отчеты об уязвимостях, оценить угрозы от этих уязвимостей и их влияние на систему, советует он. Также необходимо управление патчами: нельзя все "залатать" и поставить все патчи, но сервера нужно обслуживать. Нужен специалист, который будет оценивать значимость патчей и устанавливать нужные обновления. Следует убирать домены администраторов - их не должно быть много, потому что это первый шаг для распространения вредоносной программы. Еще одна рекомендация - постоянно менять пароли.

"В компаниях обычно не достаточно средств, людей и возможностей сосредоточить внимание на проблемах IT-безопасности. И если это все сочетать с нарушением безопасности - это очень плохая комбинация", - резюмировал Торстен Видемейер, добавив, что эта тенденция распространяется абсолютно на все страны.

Источник:biz
biz.liga.net

[таловский]

Пользователей Chrome и Firefox атаковал опасный вирус



Исследователи из компании Proofpoint обнаружили новое вредоносное ПО под названием Vega Stealer, которое угрожает пользователям браузеров Google Chrome и Firefox. Об этом специалисты рассказали на своем сайте.

По словам экспертов по безопасности, при помощи нового вируса хакеры крадут данные учетных записей, а также платежную информацию: сохраненные кредитные карты, профили в соцсетях и файлы cookie, которые хранятся в браузерах. Кроме того, вредоносная программа делает скриншоты системы и сканирует все файлы с расширениями .doc, .docx, .txt, .rtf, .xls, .xlsx и .pdf.

В настоящее время вирус используется для заражения устройств, которыми управляют представители бизнеса: маркетинга, рекламы, связей с общественностью, розничной торговли и производства.

При этом хакеры используют стандартную фишинговую кампанию для распространения ПО. Они отправляют электронные письма с темами «Требуется разработчик в интернет-магазин», а также присылают персонализированные сообщения отдельным представителям бизнеса. В письмах содержится вложение под названием brief.doc, в котором вредоносные макросы загружают Vega Stealer.

Несмотря на тривиальный способ передачи вируса, специалисты боятся, что Vega Stealer может превратиться в общую угрозу и распространиться среди обычных пользователей.

Ранее злоумышленникам удалось инфицировать более 100 тысяч компьютеров с установленными расширениями для браузера Google Chrome, которые были доступны в официальном магазине Chrome Web Store. Опасное ПО нашли в семи различных расширениях.

lenta.ru