О вирусах, спаме и вредоносных программах

[sambor]

Троянцы используют необычный механизм заражения


Данные программы способны осуществлять массированные DDoS-атаки и рассылать спам.

Инфицирование компьютера жертвы осуществляется при помощи широко распространенного троянца Trojan.PWS.Panda.2395. На первом этапе заражения при помощи поддерживаемой троянцем пиринговой сети на ПК жертвы скачивается исполняемый файл, в котором зашифрован вредоносный модуль. После успешной расшифровки он запускает еще один модуль, считывающий в память компьютера образ другого вредоносного приложения, детектируемого антивирусным ПО Dr.Web как один из представителей семейства Trojan.DownLoader.

Данная программа сохраняется в папку учетной записи пользователя в виде исполняемого файла со случайным именем, после чего модифицирует реестр Windows, чтобы обеспечить себе возможность автоматического запуска одновременно с загрузкой операционной системы.

Весьма интересен алгоритм, используемый троянцем для загрузки на инфицированный компьютер других вредоносных программ. В теле данной модификации Trojan.DownLoader имеется зашифрованный список доменных имен, к которым загрузчик обращается с запросом по протоколу HTTPS. В ответ троянец получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения <img src="data:image/jpeg;base64 … >. В качестве аргумента этого тега такие веб-страницы содержат зашифрованный вредоносный файл, который извлекается из html-документа, расшифровывается и в зависимости от полученной команды либо пытается встроиться в предварительно запущенный троянцем процесс svchost.exe, либо сохраняется во временную папку. Помимо этого, непосредственно из тела загрузчика расшифровываются DDoS-модуль и список адресов для последующей атаки, затем образ данной вредоносной программы настраивается непосредственно в его процессе.

После успешной загрузки DDoS-модуль создает до восьми независимых потоков, в которых начинает непрерывно отправлять POST-запросы к серверам из хранящегося в троянце-загрузчике списка, а также пытается установить соединение с рядом серверов по протоколу SMTP, после чего отсылает на них случайные данные. Всего список содержит 200 выбранных в качестве цели для DDoS-атак сайтов, среди которых имеются столь известные ресурсы, как портал love.com, принадлежащий корпорации America On-Line, сайты нескольких крупных американских университетов, а также порталы msn.com, netscape.com и другие.

Но этим функционал троянца-загрузчика не ограничивается. Из списка доменов для DDoS-атак он по специальному алгоритму выбирает один, отправляет на него HTTP-запрос и получает в ответ веб-страницу. Среди содержимого этой веб-страницы троянец также пытается отыскать тег вставки изображения <img src="data:image ...>, в качестве аргумента которого записан массив данных, зашифрованных с использованием алгоритма base-64.

После расшифровки извлеченные из веб-страницы данные превращаются в файл, маскирующийся под изображение в формате JPEG. Этот файл также хранит в себе контейнер, содержимое которого сжато архиватором gzip. Наконец, из архива извлекается вредоносная программа BackDoor.Bulknet.739, представляющая собой троянец-бэкдор, который обладает функционалом для массовой рассылки спама.

[sambor]

Осторожно, вредоносный спам притворяется рассылкой от Amazon.com


С 22 октября 2012 года активизировался вредоносный спам якобы от популярного интернет-магазина Amazon.com. Смап-письма содержат предложение загрузить лицензию на Microsoft Windows, однако, переходя по ссылке, пользователь заражается сразу двумя вредоносными программами (Trojan.Necurs.97 и BackDoor.Andromeda.22), которые готовы в любой момент по заказу злоумышленников переправить на компьютеры жертв другое вредоносное ПО.

С 22 октября 2012 года пользователи Интернета стали регулярно получать по электронной почте сообщения, отправителем которых якобы является интернет-магазин Amazon.com. Письма имеют заголовок Order N [случайное число] и следующее содержимое:


Hello,

You can download your Microsoft Windows License here.

Microsoft Corporation

Каждое такое сообщение содержит ссылку на веб-страницу, которая включает сценарий, при выполнении которого посетитель переадресовывается на другой веб-сайт. В свою очередь этот сайт передает браузеру файл со сценарием на языке JavaScript, при выполнении которого на компьютер пользователя загружаются две вредоносные программы: широко известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97.

Троянец Trojan.Necurs.97 обладает способностью к саморазмножению, в том числе может инфицировать съемные накопители и общие ресурсы локальной сети. После своего запуска троянец создает в отдельной папке исполняемый файл, а также вносит изменения в системный реестр с целью обеспечить автоматический запуск данного файла в процессе загрузки Windows. После этого троянец ищет в памяти запущенные процессы браузеров Internet Explorer и Mozilla Firefox и в случае их обнаружения пытается встроить в них собственный код. Затем Trojan.Necurs.97 пытается скопировать себя на все доступные в системе съемные носители, сохраняя на них собственную копию под случайным именем, после чего создает в корневой папке накопителя файл autorun.inf с целью обеспечения автоматического запуска троянца при каждом подключении устройства.

Троянец Trojan.Necurs.97 устанавливает соединение с принадлежащими злоумышленникам удаленными серверами, сообщает об успешной установке в инфицированную систему и ожидает поступления команд, среди которых можно отметить команду загрузки на зараженный компьютер различных приложений и передачу на удаленный сервер файлов с локального компьютера.

[sambor]

Появился троянец, который практически нельзя удалить


В Сети получила распространение новая троянская программа Trojan.GBPBoot.1. Зловредное ПО обладает интересным механизмом самовосстановления.

 С точки зрения реализуемых данным троянцем вредоносных функций, Trojan.GBPBoot.1 можно назвать довольно примитивной вредоносной программой: она способна загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы либо запускать программы, не хранящиеся непосредственно на компьютере жертвы. Этим ее деструктивный функционал исчерпывается. Однако интересен этот троянец, прежде всего, тем, что имеет возможность серьезно противодействовать попыткам его удаления.

Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.

 После собственного запуска вирусный инсталлятор сохраняет в системную папку конфигурационный файл и динамическую библиотеку, которую регистрирует в системе в качестве системной службы. Затем инсталлятор запускает эту службу и самоудаляется.

 В свою очередь, системная служба загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, ранее сохраненные на диск дроппером), устанавливает связь с удаленным управляющим сервером, передает ему сведения об инфицированной системе и пытается загрузить на зараженный компьютер передаваемые сервером исполняемые файлы. Если скачать эти файлы не удалось, повторное соединение устанавливается после следующей перезагрузки системы.

 В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

[sambor]

Trojan.Gapz.1 заражает Windows по-новому


 В данном приложении, добавленном в вирусные базы под именем Trojan.Gapz.1, применяются достаточно интересные механизмы заражения пользовательского компьютера. Одно из предназначений руткита — создание на инфицированном ПК среды для загрузки своих основных модулей, несущих различную функциональную нагрузку.
Trojan.Gapz.1 способен работать как в 32-битных, так и в 64-битных версиях ОС Windows. В процессе заражения троянец проверяет версию используемой на инфицируемом компьютере системы. Соответственно, сама процедура установки этой вредоносной программы различается в зависимости от вида платформы. Троянец также способен активно использовать уязвимости ряда системных компонентов, что позволяет ему осуществить выполнение специальным образом сформированного кода, что весьма нетипично для подобного класса угроз.

 Инсталлятор буткита осуществляет попытки обхода механизма контроля учетных записей (User Accounts Control, UAC), предотвращающего несанкционированный запуск в системе исполняемых файлов, эксплуатируя уязвимости графической подсистемы Windows. Интересен тот факт, что схожую технологию (использование специально подготовленного шрифта Dexter Regular) применял в свое время известный троянец Trojan.Duqu, подробно исследованный специалистами различных антивирусных компаний.

 Затем Trojan.Gapz.1 анализирует структуру жесткого диска инфицируемого компьютера, формирует специальный образ и размещает его в зарезервированных секторах диска. После этого троянец модифицирует одно поле в загрузочном секторе диска, и таким образом заставляет системный загрузчик подгрузить и запустить вредоносное приложение.

 Фактически руткит Trojan.Gapz.1 — ядро сложной вредоносной программы, основная задача которой заключается в том, чтобы создать подходящую среду для загрузки других компонентов троянца. В процессе своего запускаTrojan.Gapz.1 подгружает с диска бинарный образ, содержащий набор из нескольких модулей и блока конфигурационных данных. Эти модули представляют собой блоки специальным образом собранного кода, который в процессе своего выполнения взаимодействует с собственным API руткита. Назначение и функциональные возможности этих компонентов пока еще до конца не изучены; например, один из модулей обладает способностью устанавливать соединение с удаленным командным центром и загружать оттуда исполняемые файлы. Так, специалистами компании «Доктор Веб» был зафиксирован факт загрузки вредоносного приложения, предназначенного для работы с платежной системой UCash.

[sambor]

Осторожно: опасный троян-загрузчик


В Сети распространяется новый троянец-загрузчик Trojan.DownLoader7.21125. С точки зрения архитектуры эту программу нельзя назвать сложной или чем-то примечательной, однако она опасна своим широким распространением, а также тем, что с ее помощью на инфицированный компьютер загружаются другие троянцы.

Trojan.DownLoader7.21125 устроен примитивно: в теле троянца в незашифрованном виде хранится адрес сайта, при обращении к которому происходит перенаправление на другой интернет-ресурс, откуда Trojan.DownLoader7.21125 получает файл со списком адресов для последующей загрузки вредоносных приложений. При попытке соединиться с управляющим сервером по протоколу HTTP в окне браузера демонстрируется веб-страница с просьбой ввести логин и пароль.

В настоящее время Trojan.DownLoader7.21125 загружает и устанавливает на инфицированные компьютеры жертв программу для добычи (майнинга) электронной криптовалюты Bitcoin, перепакованные модификации самого себя, а также следующие вредоносные программы:
* BackDoor.Andromeda.22 — популярный троянец-загрузчик, способный скачивать с принадлежащих злоумышленникам серверов и устанавливать на инфицированном компьютере другие вредоносные программы.
 *Trojan.Rodricter.21 — многокомпонентный троянец-руткит, дроппер которого обладает функционалом антиотладки. Использует локальные уязвимости ОС для поднятия собственных привилегий. Отключает User Accounts Control (UAC) как в 32-разрядных, так и в 64-разрядных версиях Windows. Изменяет настройки браузеров Mozilla Firefox и Internet Explorer. Функциональное назначение основного модуля троянца — перехват трафика на инфицированном ПК.
 *Trojan.PWS.Multi.879 — вредоносная программа, способная похищать пароли от ряда популярных приложений, в том числе ICQ, Yahoo! Messenger, FTP Commander, Paltalk, AIM, Google Talk, MSN Messenger, Miranda, Trillian и других.
 *BackDoor.HostBooter.3 — троянец, предназначенный для выполнения DDoS-атак, а также скачивания и запуска файлов по команде с управляющего сервера.

Троянец Trojan.DownLoader7.21125 может быть загружен на ПК жертвы другими вредоносными приложениями, а также установлен в систему с использованием иных способов, в том числе уязвимостей браузеров. Его основная опасность заключается в том, что в случае проникновения данной угрозы на компьютер инфицированная система очень быстро превращается в «зоопарк» из множества других вредоносных программ.

[haykazun]

Троянец-блокировщик пугает жертв изображением, скачанным с веб-камеры зараженного ПК

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — провели анализ одного из плагинов, устанавливаемых на инфицированный компьютер троянцем Trojan.Gapz.1, заражающим Windows по-новому. Результаты исследования показывают, что за плагином скрывается троянец-блокировщик, способный перехватывать изображение с подключенной к зараженному ПК веб-камеры.

Как и в случае с троянцем Trojan.Winlock.7372, о распространении которого мы сообщали ранее, данный блокировщик, добавленный в вирусные базы под именем Trojan.Winlock.7384, не хранит в себе графических изображений и текстов: вместо этого троянец использует для формирования содержимого блокирующего Windows окна файл в формате XML, получаемый с удаленного управляющего сервера.

Запустившись на зараженной машине, Trojan.Winlock.7384 расшифровывает собственный конфигурационный файл, в котором описано, с какими странами и платежными системами работает этот троянец.

В основном это ваучерные системы Ukash, Moneypack и Paysafecard. Затем на основании аппаратной конфигурации ПК вредоносная программа генерирует уникальный идентификационный номер и отправляет его на удаленный командный сервер вместе с другой информацией об инфицированном компьютере. В ответ Trojan.Winlock.7384 получает WHOIS-информацию об IP-адресе зараженного ПК, в которой среди прочего обозначено местоположение жертвы. Получив указанные сведения, троянец сверяет эти данные с хранящимся в своем конфигурационном файле списком стран и блокирует компьютер только в том случае, если инфицированная машина располагается в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии или США. Выполнив такую проверку, Trojan.Winlock.7384 отправляет новый запрос и получает в ответ подтверждение регистрации бота на управляющем сервере. Наконец, в качестве ответа на последний запрос с командного центра загружается несколько XML-файлов, на основе которых формируется изображение и текст блокирующего окна на соответствующем языке.

Примечательной особенностью данной версии винлока является то, что Trojan.Winlock.7384 способен перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать ее в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.

Для разблокировки компьютера троянец требует ввести код ваучера платежной системы — этот код обычно размещается на чеке, выдаваемом платежным терминалом при внесении какой-либо суммы. Введенный жертвой код передается на принадлежащий злоумышленникам управляющий сервер и проверяется на подлинность. В случае подтверждения факта оплаты управляющий центр отправляет троянцу команду на разблокировку компьютера. Сумма, которую требуют заплатить за эту услугу злоумышленники, составляет 100 евро или 150 долларов США.

Изучение угроз, поступающих в антивирусную лабораторию компании «Доктор Веб» в последнее время, показывает, что злоумышленники понемногу отказываются от создания «традиционных» винлоков с использованием стандартных «конструкторов», прибегая к разработке все более сложных троянцев-блокировщиков с разнообразным функционалом.

drweb.com

[Kobzik]

Троянец подключает компьютеры белорусов к бот-сети через Skype

Пользователей Байнета вновь захлестнула волна вирусных рассылок через Скайп. Как сообщили IT.TUT.BY специалисты антивирусной компании “ВирусБлокада”, на этот раз троян подключает зараженные компьютеры к бот-сети. Для владельца компьютера его вредоносная деятельность может быть незаметна, но в отдельных случаях могут наблюдаться существенные “тормоза” во время работы.

Компьютеры белорусов уже становились жертвами массовой спам-рассылки через Skype в октябре прошлого года. Теперь они вновь получают от абонентов, добавленных в список контактов, сообщения, содержащие ссылку с вредоносным ПО. Только на этот раз “заманчивое” предложение меняется от пользователя к пользователю. Начиная от просто “посмотри на эту фотографию”, заканчивая более персонализированным “посмотри – он похож на Путина”.

При открытии ссылки начинается загрузка исполняемого файла, содержащего опасную троянскую программу класса Trojan-Downloader, которая детектируется антивирусом VBA32 как Trojan-Downloader.1413. В свою очередь, она загружает вредоноcную программу класса Backdoor размером 225 280 байт (детектируется VBA32 как Backdoor.IRCBot.1413). Для шифрования файлов использовалась программа, написанная на Visual Basic. Помимо прочего, криптор детектирует виртуальные машины – такие как VMware – и не работает на них, что затрудняет анализ вредоносной программы.

Подробнее здесь.

[sambor]

Осторожно: поддельное обновление Adobe Flash занимается вымогательством и кликфродом


Корпорация Symantec сообщила об обнаружении новой вредоносной кампании, использующей для обмана пользователей поддельные сайты обновления Adobe Flash. Их компьютеры заражаются вредоносной программой-вымогателем и программой-автокликом, которая ходит по рекламным ссылкам от имени пользователя.

Широкое распространение среди пользователей и достаточно частая необходимость обновления Adobe Flash сделало этот продукт объектом повышенного внимания киберпреступников. Применяя методы социальной инженерии, злоумышленники заманивают пользователей на поддельные страницы обновления Adobe Flash, с которых вместо очередного обновления ни о чем не подозревающий пользователь устанавливает на свой компьютер вредоносную программу.

В качестве одного из ярких примеров специалисты компании Symantec указывают сайт, выдающий себя за страницу обновления Adobe Flash Player: http://16.a[REMOVED]rks.com/adobe/.

Злоумышленнику удалось создать достаточно правдоподобную копию официального сайта, однако все же был допущен ряд недочётов: большая часть ссылок ведёт назад на атакующий домен, и абсолютно все ссылки на странице – кроме ссылки на само вредоносное содержимое – к корневому каталогу сайта, что приводит к ошибке 404 (страница не найдена).


Основная цель злоумышленника – добиться установки вредоносной программы, и для увеличения шансов он предлагает на выбор пользователю два варианта. Первый вариант представляет собой всплывающее окно, предлагающее пользователю скачать файл под названием “flash_player_updater.exe”. Вторая опция – кнопка “Download Now”, после нажатия на которую начинает скачиваться файл “update_flash_player.exe”. Продукты компании Symantec идентифицируют оба файла как Downloader.Ponik.

В ходе исследования выяснилось, что помимо кражи паролей эти вредоносные программы выискивают в системе учётные записи удалённого доступа по FTP/telnet/SSH, а также отслеживают учётные записи почты по протоколам SMTP, IMAP и POP3.

И, несмотря на то, что обе эти программы принадлежат к одному типу, ведут они себя по-разному: в первом случае устанавливается программа-вымогатель (ransomware), а во втором – робот, кликающий по рекламным ссылкам. И то и другое – незаконные способы получения прибыли.

[sambor]

Весенние эпидемии в Skype: не дай на себе заработать


Эксперты «Лаборатории Касперского» обнаружили две набирающие обороты вредоносные кампании в Skype: в обоих случаях злоумышленники заманивают пользователей перейти по вредоносной ссылке методами социальной инженерии, обещая интересный фото- или видео-контент. Для распространения вредоносных ссылок используются похищенные или специально созданные Skype-аккаунты, а конечной целью одной из кампаний предположительно является мошенническая генерация виртуальной валюты Bitcoin.

Первая из обнаруженных атак стартовала еще 1 марта, однако рекордных масштабов достигла только в начале апреля: количество переходов по вредоносной ссылке составляло в среднем 2,7 раза в секунду. Чаще всего по ссылке переходили пользователи из России, Украины, Болгарии, Китая, Тайваня и Италии. В ходе анализа кода программы, которая загружалась на ПК пользователя в случае перехода по ссылке, эксперты обнаружили, что в одной из строк содержалось упоминание Bitcoin wallet – кошелька в системе виртуальной валюты Bitcoin.

В четверг 4 апреля стало известно об еще одной похожей атаке. Пользователи получали сообщение с призывом перейти по ссылке, однако, на этот раз вместе с вредоносной программой на компьютер пользователя устанавливалась специальная программа для генерации виртуальной валюты Bitcoin. Эта валюта позволяет зарабатывать деньги за счет предоставления вычислительных ресурсов компьютера, на котором установлено специализированное приложение. Участник системы предоставляет свой компьютер для проведения вычислений, а взамен получает монеты Bitcoin, которые впоследствии можно конвертировать в другую валюту или использовать для оплаты товаров и услуг в некоторых интернет-магазинах. Только в течение первых суток с момента старта кампании по вредоносной ссылке ежечасно переходили около 2 тысяч пользователей.

Судя по географии распространения, пользователи, которые могут стать жертвами второй кампании, находятся в Италии, России, Польше, Коста-Рике, Испании, Германии и Украине.

Также занимательным может показаться тот факт, что вредоносная кампания стартовала, когда курс Bitcoin достиг исторического максимума. По состоянию на 8 апреля курс валюты возрос до 173 долларов США за монету, при том, что еще в 2011 году за нее не давали более 2 долларов США. Таким образом, Bitcoin становится настоящим «лакомым куском» для киберпреступников.

  chip

[Pavlon]

Внимание !

Если от кого придет файл под названием Invoice_480611.pdf.exe , то не принимайте - это вирус !!! Я чухнулся и из моего списка контактов не принял. Рассылает потом по списку всем подряд сам. Будем внимательны !

[ArtemS]

Pavlon, настораживать должно не имя файла (оно может быть любым), а его двойное расширение (в данном случае - .pdf.exe). Нормальный антивирус на такое среагирует либо при начале передачи, либо при завершении.

[Pavlon]

Новый вирус заражает компьютеры через USB

Исследователи в области компьютерной безопасности Карстен Нол и Джейкоб Лелл обнаружили критическую уязвимость в стандарте USB. Брешь позволяет незаметно заражать компьютеры и подключаемые к ним устройства.

Ученые из компании SR Labs, занимающейся исследованиями в области защиты данных, утверждают, что из-за бреши в протоколе USB злоумышленники могут изменять внутреннюю программу подключаемых к компьютеру устройств и внедрять туда вредоносные модули, сообщает Reuters. Обычный современный антивирус не сможет найти хакерские уловки, потому что он сканирует только содержимое диска, флешки или оперативной памяти, не занимаясь сканированием внутренних программ клавиатур, мышей и других распространенных USB-устройств.

Программисты отмечают, что брешь нельзя обнаружить.

При этом вредоносная программа может заразить компьютер с флешки, а затем и заразить другое USB-устройство с компьютера. Под угрозой оказываются все устройства, чей USB-контроллер можно перепрограммировать, включая и смартфоны на базе Android. Нол и Лелл уверяют, что решить проблему обычными способами не получится, поскольку проблема кроется в недостатках протокола USB. Пока они называют самым лучшим решением использование только проверенных устройств с проверенными компьютерами.

Ученые планируют представить свою находку на конференции Black Hat, которая пройдёт со второго по седьмое августа в Лас-Вегасе. Последний раз массовая вирусная атака была зарегистрирована год назад. Как писали Дни.Ру, тогда хакеры заблокировали компьютеры пользователей популярной программы для связи Skype в Южной и Северной Америке, Германии и России. Вредоносная программа была написана на разных языках, что в разы увеличило ее эффективность.

Укороченные ссылки в спам-сообщениях направляли пользователей на страницу загрузки вредоносной программы, которая, в свою очередь, загружает и запускает носитель известного червя Dorkbot. Этот вирус крал конфиденциальную информацию, в частности, логины и пароли пользователей зараженных компьютеров. Больше всего пострадали пользователи в России, Германии, Бразилии, Колумбии, Мексике и США. Предположительно, киберпреступники рассылали сообщения на разных языках, в зависимости от государства, что значительно увеличило эффективность спам-кампании.

Rus.tvnet.lv

[haykazun]

«ВКонтакте» заморозила аккаунты пользователей из-за взлома «Яндекса»

После того как более 1 млн почтовых ящиков с паролями утекли в Сеть, руководство соцсети решило перестраховаться

Социальная сеть «ВКонтакте» заморозила аккаунты своих пользователей, которые зарегистрированы на скомпрометированные адреса «Яндекса», пока владельцы аккаунтов не сменят пароли. Об этом «Известиям» сообщил пресс-секретарь «ВКонтакте» Георгий Лобушкин.

— Мы проверили базу скомпрометированных аккаунтов и заморозили всех, к чьим страницам не были привязаны телефонные номера (то есть уязвимые), — говорит Лобушкин. — До того как пользователь не зайдет на свою страницу и не поменяет пароль, вся активность на его страничке будет заморожена.

На днях в открытый доступ попало более 1 млн почтовых ящиков пользователей «Яндекса» с логинами и паролями. Это крупнейшая утечка данных в Рунете с участием «Яндекса» по меньшей мере с 2011 года — когда в поисковой выдаче можно было читать SMS абонентов мобильных операторов.

В «Яндексе» заявили, что это результат деятельности различных вирусов, которые воруют у пользователя его логин и пароль от различных аккаунтов, в том числе от их почтового сервиса. Однако почему база состояла только из пользователей «Яндекса» — в компании не прокомментировали.

Известия

Опубликованы 4,5 миллиона паролей к Mail.ru

В Интернете появилась база данных с аккаунтами Mail.ru и паролями к ним. База содержит 4,6 миллиона пар e-mail адрес - пароль, сообщил пользователь блог-сервиса "Хабрахабр" с ником Polym0rph.

Заблокированы страницы "ВКонтакте", связанные со взломанными ящиками "Яндекса"
Напомним, утром 8 сентября стало известно о публикации базы из 1,2 миллиона аккаунтов и связанных с ними паролей сервиса Yandex.ru. В компании исключили вероятность взлома системы безопасности и предположили, что данные были похищены с компьютеров пользователей при помощи вредоносных программ-троянов и фишинга.

Кроме того, большинство из опубликованных аккаунтов - мертвые, то есть либо заброшены своими хозяевами, либо создавались роботами, уточнили в компании. 150 тысячам пользователей почтового сервиса предложено сменить пароли.

Самым популярным кодом доступа во взломанных аккаунтах был 123456 - он встречается в базе более 37 тысяч раз. На втором месте "более защищенный" 123456789, за ним следует 111111.

Российская газета

[KVL]

 В почтовом ящике Яндекса можно отследить все последние действия - когда и под каким IP заходили на почту.

[KVL]

 Вот, что на мой запрос ответила поддержка Яндекс:

Когда: 9 сен. в 04:47
Кому: *******
От кого: Yandex.Passport passport(собака)support.yandex.ru

 Здравствуйте!


 За последние несколько часов мы тщательно проанализировали эту базу (я давал им вчера ссылку на базу) и пришли к следующим выводам.

 Речь не идёт о взломе инфраструктуры Яндекса, данные стали известны злоумышленникам в результате фишинга или вирусной активности на заражённых компьютерах некоторых пользователей. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени.

 О 85% скомпрометированных аккаунтов из этой базы нам было известно: большинство из них уже несколько лет появляются в подобных списках. Мы предупреждали их владельцев и предлагали сменить пароль, но они этого не сделали. Это означает, что такие аккаунты либо заброшены, либо создавались роботами. Владельцам оставшихся 150 тысяч аккаунтов этой ночью мы сбросили пароль, они не смогут войти в ящик, пока не поменяют его.

 Если вы не видите такого предупреждения от Яндекса, то вашего аккаунта нет в опубликованном списке и можно не беспокоиться.

 Если мы видим, что аккаунт мог быть взломан - по его присутствию в подобных базах, по тому, как изменилось поведение пользователя после входа в аккаунт (habrahabr.ru/company/yandex/blog), или по другим признакам, мы разлогиниваем пользователя и отправляем его на принудительную смену пароля.

 Пожалуйста, регулярно проверяйте свой компьютер актуальными антивирусными программами!  Ознакомиться с нашими рекомендациями по безопасности можно на страницах: help.yandex.ru/passport и help.yandex.ru/common/security.

--

С уважением, *****
Служба поддержки Яндекса