О вирусах, спаме и вредоносных программах

[Kobzik]

В интернете появился троян, ориентированный только на белорусских пользователей
Интернет Winlock блокирует компьютеры, якобы за просмотр порнографии. Для разблокирования он требует перевода 100 тысяч рублей на определенный электронный кошелек WebMoney.

Компания «ВирусБлокАда» сообщила о появлении «чисто белорусского» Trojan. Winlock.
Trojan. Winlock - семейство вредоносных программ, которые блокируют или затрудняют работу компьютера и требуют перечисления денег злоумышленникам за восстановление его работоспособности. Впервые такие появились в конце 2007 года. Некоторые вирусы заражали десятки тысяч компьютеров.
Белорусский троян блокирует Рабочий стол Windows и сообщает изумленному пользователю:



«Ваш компьютер был заблокирован за просмотр, копирование и тиражирование видеоматериалов с элементами педофилии и насилия над детьми. Для разблокирования компьютера Вам необходимо заплатить штраф в размере 100 000 белорусских рублей через терминал для оплаты сотовой связи, или в любом салоне сотовой связи, либо в пользу нашего партнера WebMoney на счет ВXXXXXXXXXXXX. В случае оплаты суммы равной штрафу или превышающей его на фиксированном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку "Разблокировать". Если в течение 12 часов штраф не будет оплачен, все сведения на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для рассмотрения по статье 242 ч.1 УК Беларуси.

Статья 242.1 Изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних. Наказывается лишением свободы на срок от двух до четырех лет либо без такового».

Компания, специализирующаяся на антивирусных программах, советует в случае заражения Trojan. Winlock ни в коем случае не выполнять требования злоумышленников. Практически во всех случаях после отправки SMS обещанный код разблокирования не приходит.

Компания предоставляет ряд технических советов, как действовать в случае атаки трояна.

Белорусский Winlock представляет собой исполненный файл, написанный на языке Borland Delphi, упакованный криптером на языке программирования Visual Basic. Попадая в систему, троян записывает ссылку на самого себя в ветке системного реестра, которая отвечает за автозагрузку приложений. После этого троянская программа завершает процесс explorer.exe (Рабочий стол) и taskmgr.exe (Диспетчер задач).

В результате блокируется нормальная работа Windows как в обычном, так и в безопасном режиме.

Код разблокирования троянца - 079156005

Источник

[Kobzik]

Новый вирус заражает белорусов через Facebook

Антивирусная компания ESET сообщает о высоком распространении вредоносной программы Win32/Delf.QCZ, которая заражает компьютер через социальную сеть Facebook.

Наиболее подверженными данной угрозе стали пользователи Украины, России, Беларуси и другие.

По данным компании ESET, троянская программа-загрузчик Win32/Delf.QCZ получила свое широкое распространение в социальной сети Facebook. При проникновении на компьютер пользователя эта угроза устанавливает другое вредоносное ПО. Для своего распространения Win32/Delf.QCZ использует чат соцсети, где с помощью бота рассылает сообщения от имени друзей со ссылкой на ресурс, содержащий злонамеренное ПО, последствия заражения которым могут быть разными – начиная от потери идентификационных данных (логин-пароль от социальной сети), до кражи персональной информации или финансовых средств. Кроме того, Win32/Delf.QCZ обладает функционалом, способным заблокировать антивирусную защиту, если она не была вовремя обновлена.

На сегодняшний день троянская программа Win32/Delf.QCZ получила наибольшее распространение в русскоговорящем сегменте Facebook, а именно среди пользователей из Украины (39% от общего числа), России (19%), Беларуси (9%).
Источник

[Pavlon]

Новый Mac-троянец маскируется под Flash Player

Компания Intego сообщает об обнаружении нового троянского программного обеспечения, рассчитанного на работу в среде операционной системы Mac OS X. Как и обнаруженный компанией F-Secure пару месяцев назад Mac-троянец, новый вредоносный код также маскируется под инсталлятор Flash Player, что позволяет ввести пользователей в заблуждение.

Однако в отличие от ранее обнаруженного троянца, изменявшего один файл в системном разделе, новый код представляет собой более сложное решение, которое вначале деактивирует системы сетевой безопасности Mac OS X, а также инсталлирует библиотеку dyld, запускающую проект и размещающую код внутри приложения, с которым пользователь работает. Новый троянец также пытается передать персональную информацию пользователя и данные о его компьютере на удаленные серверы.

Intego заявляет, что новый код Trojan OSX/flashback.A и пока точно исследовать алгоритм его работы не удалось, однако нет сомнений в том, что он компрометирует систему, в которую попадает, подделывает изображение инсталлятора Flash Player, использует иконки и логотипы Flash.

В блоге Intego говорится, что пока распространение нового троянца имеет крайне ограниченный характер, а дабы не попасть под его воздействие инсталлировать Flash Player следует только получив его из доверенных источников, например, с сайта разработчика продукта.

Также специалисты говорят, что новый троянец не способен распространяться, так что на новую систему он может попасть только в том случае, если пользователь вручную установит его. Дабы свести к минимуму опасность заражения Intego советует обзавестись надежным антивирусом, отключить автооткрытие скачанных из интернета программ, а также пользоваться здравым смыслом при работе в интернете.

Cybersecurity.ru

[sambor]

Спам в Skype и мобильные троянцы для смартфонов


«Лаборатория Касперского» проанализировала развитие киберугроз в сентябре 2011 года. Внимание экспертов привлекли таргетированные атаки на бизнес, а также новые уловки вирусописателей по распространению вредоносного кода для мобильных устройств.

 Одним из громких событий месяца стала очередная крупная победа над зомби-сетями. Благодаря совместным действиям «Лаборатории Касперского», Microsoft и Kyrus Tech удалось закрыть крупный ботнет Hlux/Kelihos, объединявший более 40 000 компьютеров. Он был способен рассылать ежедневно десятки миллионов спам-писем, проводить DDoS-атаки и загружать на компьютеры жертв различные вредоносные программы. Одновременно с этим была отключена и доменная зона cz.cc, которая на протяжении этого года представляла собой настоящий рассадник различных угроз: от поддельных антивирусов (в том числе и для MacOS), до шпионских программ. В ней же находились и центры управления нескольких десятков ботнетов.

 В сентябре была отмечена новая волна инцидентов, связанных с распространением поддельных антивирусов с использованием Skype. Для начала преступники подбирали имена учетных записей пользователей, которым затем звонили незнакомцы с именем «URGENT NOTICE» и сообщали, что защита их компьютера якобы не активна. Чтобы ее активировать, надо было зайти на специальный сайт и заплатить $19,95. Избавиться от такого рода спама в Skype можно, если установить в настройках безопасности этой программы опции, позволяющие принимать звонки, видео и чат только от пользователей из списка контактов.

Количество угроз для мобильных устройств по-прежнему продолжает расти, и сентябрь в этом плане не стал исключением. Так, в минувшем месяце было обнаружено 680 модификаций вредоносных программ для мобильных платформ, из которых 559 – это зловреды для ОС Android.

 В конце сентября были зафиксированы первые попытки атак с использованием QR-кодов (от англ. «quick response» – «быстрый отклик»). Сегодня многие пользователи ищут новые программы для своих мобильных устройств с помощью персональных компьютеров, и эта технология помогает упростить установку ПО на смартфоны, Достаточно сканировать штрих-код мобильным устройством, и начинается процесс закачки на него приложения. Злоумышленники стали использовать новую технология для распространения вредоносного ПО. В результате в Сети появились сайты с размещенными на них QR-кодами для мобильных приложений (например, Jimm или Opera Mini), в которые была зашифрована ссылка на вредоносный файл. После сканирования зараженного кода, на смартфон загружался троянец, отправляющий SMS-сообщения на короткие платные номера.

 К началу октября эксперты «Лаборатории Касперского» обнаружили QR-коды, которые связаны со зловредами для наиболее популярных у злоумышленников мобильных платформ Android и J2ME.

 Прошедший месяц не обошелся без очередных громких атак на крупные компании и государственные структуры разных стран. Жертвой одной из них стала японская корпорация Mitsubishi. Было заражено около 80 компьютеров и серверов заводов, которые занимаются производством оборудования для подводных лодок, ракет и атомной промышленности. Как выяснили эксперты «Лаборатории Касперского», атака началась еще в июле и была проведена по классическому для подобных угроз сценарию.

 Ряду сотрудников Mitsubishi злоумышленники направили письма, содержащие PDF-файл, который представлял собой эксплойт уязвимости в Adobe Reader. После открытия этого файла происходила установка вредоносного модуля, открывающего хакерам полный удаленный доступ к системе. Другой, еще более серьезный инцидент получил название Lurid. Он был связан со взломом и заражением полутора тысяч компьютеров, расположенных, в основном, в России, странах бывшего Советского Союза, а также Восточной Европе. Атакующих интересовали предприятия авиакосмической отрасли, научно-исследовательские институты, ряд коммерческих организаций, государственные ведомства и некоторые СМИ. Как и в случае с атакой на Mitsubishi, на первом этапе здесь также использовались письма в электронной почте.

Фрагмент сайта с вредоносной ссылкой и QR-кодом


chip.ua

[haykazun]

Антивирус Avira идентифицировал себя как вирус 

Антивирусная программа Avira после очередного обновления антивирусных баз нашла вирус в самой себе.

Как передает Оszone.net, файл AESCRIPT.dll, который необходим для функционирования программы, был назван трояном TR/Spy.463227 и идентифицирован как шпион.

На официальном сайте разработчика уже появилась запись о том, что срабатывание ложное.

Напомним, что месяцем ранее в похожую ситуацию попала компания Microsoft. Тогда фирменный антивирус компании Microsoft Security Essentials находили вирус в Google Chrome. Microsoft оперативно выпустила исправляющее ошибку обновление и извинилась перед пользователями.

Отсюда

[haykazun]

«Яндекс» будет сообщать о вирусах

Российская поисковая система "Яндекс" начнет оповещать администраторов о заражении их сайтов. Сообщения будут приходить по электронной почте.
В "Яндексе" рассказали, что администрация ресурсов часто поздно узнает, что их сайт распространяет вирусный код. На 20% зараженных сайтов вирус "живет" больше года. Об этом передает агентство РИА "Новости".
Владельцы и администраторы ресурсов, чьи сайт заражены, начнут получать извещения от поисковика по электронной почте. Письма отправят на адреса, указанные в регистрационных данных домена или на стандартные адреса (webmaster@, root@, postmaster@). Раньше подобные извещения получали лишь пользователи сервиса "Яндекс. Вебмастер".
Каждый день "Яндекс" проверяет более 21 млн страниц. На 3 тыс сайтов ежедневно обнаруживается вредоносный код. Сейчас в базе "Яндекс" более 430 тыс зараженных ресурсов.
Около половины зараженных сайтов встречаются на домене .com (более 46%), второе и третье место по числу зараженных сайтов заняли .ru и .net (соответственно 10% и 8%). Самой безопасной зоной в "Яндекс" называют .uk (Великобритания, около 1%).
В прошлом году компания запустила собственную антивирусную технологию, которая находит сайты с неизвестными вирусами и сигнализирует пользователям об опасности.

Отсюда

[Pavlon]

Вирусы смотрят за вами

Вирус, способный перехватывать изображение с веб-камеры, нашли российские вирусологи из компании DrWeb.

Новый вирус получил наименование BackDoor.Webcam.9. Этот троянец позволяет выполнять на инфицированной машине различные команды, поступающие от удаленного сервера злоумышленников, а также перехватывает изображение с подключенной к инфицированному компьютеру веб-камеры. Таким образом, личная жизнь пользователей может быть скомпрометирована.

Telegraf.lv

[mare]

 Это не открытие, этот вирус  использовался в свое время  для спец служб . И выкинули его за не надобностью пол года назад после скандала в Германии ..  Но это не значит что такой вирус исчёз в использовании , она есть , просто закриптованная и простой  антивирус его не увидит. 

[Pavlon]

Apple могут заражать вирусами ПК с Windows
 
 ПК, работающие на операционной системе Windows, могут подхватить троян от зараженного компьютера Apple Mac. Разновидностью эксплойта, которая может проникнуть и на операционку от Microsoft, инфицирован каждый пятый «мак». Об этом говорится в новом исследовании антивирусной компании Sophos.

В то же время вредоносным ПО, разработанным исключительно для Mac OS X, заражены 2,7% компьютеров Apple. Эксперты пришли к такому выводу, проанализировав данные со 100 тысяч «маков», на которых была установлена бесплатная версия антивируса Sophos. Трояны, созданные для Windows, не причинят вреда Mac, однако все равно могут попасть на ПК с USB-флешки или со съемного носителя, предупредили специалисты.

По словам старшего технического консультанта Sophos Грэма Клули, злоумышленники принимают владельцев компьютеров Apple за легкую мишень, поскольку многие из них не ставят антивирус и имеют более высокий уровень дохода по сравнению с типичным пользователем Windows. «Пользователи Mac должны защитить свои компьютеры сейчас, или проблема с вредоносным ПО на «маках» может стать такой же серьезной, как на ПК», — призвал он.

Проблема уязвимости «маков» начала широко обсуждаться после появления трояна Flashback, заразившего свыше 600 тысяч компьютеров Apple по всему миру. Этот червь проникал в систему через уязвимость в Java, записывал историю посещений браузера, собирал логины и пароли, после чего отправлял данные киберпреступникам.

Тем временем специалисты из компании Intego обнаружили «поумневшую» разновидность Flashback. Она сама устанавливается в корневую папку, не спрашивая пароля администратора, и скрывает следы своего присутствия, удаляя Java-апплет из папки ~/Library/Caches/Java/cache. Пользователям, установившим последнее обновление безопасности, этот троян не угрожает.

Telegraf.lv

[sambor]

Компьютеры украинцев страдают от ЕВРО-2012


В Украине появилось множество мошеннических атак, эксплуатирующих тему только что начавшегося Чемпионата Европы по футболу. Об этом «proIT» сообщили в компании Symantec, которая занимается разработкой решений для обеспечения безопасности.

В Symantec отмечают, что пользователи начали получать спам-письма, сообщающие об их победе в промо-лотерее, и запрашивающие для оформления выигрыша их персональные данные.
В сообщение вложен файл UEFA.pdf, в котором говорится, что адресат стал победителем в промо-лотерее Чемпионата, и далее мошенники подробно объясняют, как к ним попал данный адрес электронной почты, и почему именно он стал победителем среди огромного количества участников.

В заключение адресата просят прислать выигрышные идентификационные номера, заполнив онлайн форму, включающую такие поля, как имя, адрес, возраст, род занятий и номер телефона. В мошенническом сообщении также говорится, что адреса электронной почты получены от авторитетных компаний, которые являются брендами в своих областях (названия компаний намеренно размыты).

В Symantec прогнозируют рост количества мошеннических действий и других видов атак в течение ближайших нескольких дней и советуют пользователям проявлять осторожность при открытии нежелательных сообщений электронной почты, особенно связанных с ЕВРО-2012.

Более подробно читать здесь

[Данил]

Троян Android.Dropdialer был скачан с Google Play около 100000 раз

 Корпорация Symantec сообщила об обнаружении нового вредоносного ПО, опубликованного в официальном каталоге Google Play. Угрозы были размещены под двумя популярными названиями – «Super Mario Bros.» и «GTA 3 Moscow City». Оба пакета были опубликованы на Google Play 24 июня и с тех пор были загружены от 50 000 до 100 000 раз.

Наиболее интересной особенностью данного вредоносного ПО является то, что угрозе удалось оставаться на Google Play настолько долго, чтобы получить значительное количество загрузок до своего обнаружения. Специалисты Symantec подозревают, что данный эффект достигался за счет удаленного загрузчика, используемого в троянской программе.

Эту техника уже применялась ранее: автор вредоносного приложения разбивает его на несколько отдельных загружаемых по очереди частей, чтобы избежать детектирования аномалий по время автоматического процесса проверки приложений (QA). В случае с Android.Dropdialer, первая часть ПО была размещена на Google Play. После установки она загружает дополнительный пакет, размещенный на Dropbox: ‘Activator.apk’.

Дополнительный пакет отправляет SMS на платный номер. Интересной особенностью второго компонента является предложение удалить его после отправки одного SMS – простая попытка скрыть истинные цели вредоносного приложения. Платные SMS отправляются в Восточную Европу.

В Symantec отмечают молниеносную реакцию группы Android Security - приложения были удалены сразу после уведомления специалистов.

Новость отсюда

Меня пронесло,я такое не скачивал

[sambor]

Шесть украинских серверов одной из крупнейших ботсетей в мире «обезврежены»
 


Эксперты из компании FireEye, занимающейся разработкой продуктов для информационной безопасности, совместно с российской группой по реагированию на инциденты информбезопасности CERT-GIB отключили бот-сеть Grum, считающуюся третьей по величине в мире, сообщает пресс-служба FireEye.

По данным специалистов, на пике своей активности через Grum, в котором, по разным данным, находилось от 100 до 300 тысяч зараженных компьютеров, рассылалось около 18 миллиардов мусорных сообщений в день, что примерно соответствовало 18% от мирового объема спама.

Именно на такую величину, по данным компании, он сократился после того, как ночью в четверг специалистам FireEye удалось отключить серверы управления бот-сетью, расположенные в Нидерландах и Панаме.

«После закрытия сервера в Панаме большая часть бот-сети перестала быть активной. Это хорошие новости. Но были и плохие», - сказал Атив Маштак, сотрудник лаборатории по исследованию вредоносного ПО.

Плохой новостью оказалось то, что после закрытия панамского сервера управления Grum злоумышленники оперативно создали шесть резервных серверов на Украине и один в России. На этом этапе, по обращению специалистов FireEye, к операции подключились сотрудники CERT-GIB - российской группы по реагированию на инциденты информационной безопасности, созданной компанией Group-IB. Усилиями российских специалистов удалось закрыть украинские серверы, но с российским возникли проблемы.

Как сообщили «РИА Новости» в CERT-GIB, отключение серверов, используемых для управления бот-сетью, - нетривиальная задача. Злоумышленники арендуют готовые подсети и регистрируют их на подставные компании. Обращаться в такие организации бесполезно, так как они игнорируют все запросы. Кроме того, не всегда удается оперативно установить, что компания является подставной.

«Поэтому приходится действовать альтернативными путями и обращаться к вышестоящим провайдерам для отключения подсетей, что, конечно, занимает определенное время. Тем не менее, сейчас серверы управления Grum полностью нейтрализованы», - сказал РИА Новости представитель CERT-GIB.

Он также отметил, что говорить о прекращении ее деятельности преждевременно, поскольку организаторы бот-сети не установлены и находятся на свободе.

В CERT-GIB рассказали, что бот-сеть Grum предназначена для рассылки спама и проведения DDoS-атак. По словам экспертов, ее владелец активно участвует в различных в партнерских программах, занимающихся реализацией контрафактных медикаментов («Виагра», «Сиалис» и пр.).

«Ранее Grum долгое время занимала первое место по объемам рассылаемого спама. Точная дата ее создания неизвестна, но есть данные, которые указывают, что бот-сеть могла быть сформирована в начале 2008 года», - сообщили в CERT-GIB.

Эксперт добавил, что создателями бот-сети, скорее всего, являются выходцы из стран бывшего СССР.

Grum стала второй крупной бот-сетью, специализировавшейся на спаме и DDoS-атаках, закрытой в последние годы. В марте 2011 года компания Microsoft совместно с правоохранительными органами США прекратила деятельность бот-сети Rustock, насчитывавшей около 800 тысяч компьютеров.

Эскалация борьбы с бот-сетями, наблюдающаяся в последние годы, обусловлена огромным вредом, который они наносят интернету и его пользователям. Помимо рекламы контрафактных товаров и некачественных лекарств, злоумышленники используют спам для распространения вредоносного ПО для похищения персональных данных и электронных денег. По данным российской антивирусной компании «Лаборатория Касперского», только в июне 2012 года доля спама в мировом почтовом трафике составила около 72%, а в среднем за 2011 год его доля составила около 80%.

proit

[BAKILI]

Не знаю, в тему или нет, сегодня хотел зайти в flysat.com. Выходит предупредительная информация, что "Имеется информация, что эта веб-страница атакует компьютеры". Очень хороший сайт был. До сих пор такое не было. 

[Zuroww]

Не знаю, в тему или нет, сегодня хотел зайти в flysat.com. Выходит предупредительная информация, что "Имеется информация, что эта веб-страница атакует компьютеры". Очень хороший сайт был. До сих пор такое не было. 

Если идти по ссылке с Гугла, то да. А Яндекс считает, что все ОК!

[BAKILI]

Через Яндекс тоже самое