Перейти к содержимому


Фотография

угрозы в i'net


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 97

#1 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 29 Октябрь 2009 - 04:35

Тройка стран, на территории которых обнаружено больше всего вредоносных URLs. Первое место – Канада. Более 21% вредоносных ссылок от "общемировых запасов". Второе – США – 16%. Третье – Китай – 15%;

* Тройка стран, на территории которых обнаружено больше всего сайтов, распространяющих вредоносные объекты. Первое место – Китай – 26% от числа вредоносных сайтов во всем мире. Второе – США – 18%. Третье – Россия с – 12%;

* Вредоносный сайт, от которого пострадало больше всего посетителей. langlangdoor.com – 1,62% фактов заражения компьютеров от общего числа заражений по всему миру. С данного ресурса были предотвращены попытки распространения целого ряда троянских программ;

* Сайт, с которого в течение месяца было распространено наибольшее число уникальных зловредов. gddsz.store.qq.com – зарегистрировано распространение 1142 вредоносных объектов. В списке присутствуют поведения чуть ли не всей классификации вредоносных объектов "Лаборатории Касперского";

* Самый большой зловред. Trojan.Win32.Chifrax.d – 388 MB;

* Самый маленький зловред. Trojan.BAT.Shutdown.ab – 30 байт;

* Самая распространенная уязвимость на компьютерах пользователей. Adobe Flash Player Multiple Vulnerabilities - целый ряд уязвимостей, flash-плееров версии 9 и 10;

* Самый популярный эксплойт. Exploit.JS.DirektShow. Эксплойты этого семейства в связке с Exploit.Win32.DirektShow используют опасную уязвимость в браузерах Internet Explorer версий 6 и 7;

* Самый глобальный интернет-зловред. Packed.Win32.TDSS.z, который в течение одного месяца пытался проникнуть на компьютеры пользователей из 108 различных стран;

* Самая несмешная шутка (Hoax — программы). Hoax.JS.Agent.c, эта программа выводит на экран видеофрагмент непристойного содержания и закидывает пользователя сообщениями оскорбительного и издевательского характера.

Радуйтесь людям. Радуйтесь всему. Это Россия!


#2 coolander

coolander

    Ученик

  • Пользователи+
  • PipPipPip
  • 47 сообщений

Отправлено 24 Ноябрь 2009 - 01:58

Так как я работаю системотехником, с последним не смешным вирусом я сталкиваюсь очень часто, да и не только с ним, люди вылазят в инет, даже не предохраняясь. А потом и плачут, почему так часто компьютер ломается

#3 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 30 Ноябрь 2009 - 05:44

Вирусная пятёрка

Trojan.DownLoad.37236

Trojan.DownLoad.47256

Trojan.MulDrop.40896

Trojan.Fakealert.5115

Trojan.Packed.683


"HLL." (High Level Language) вирусы

Вирусы, написанные на языках программирования высокого уровня, таких как C, C++, Pascal, Basic и другие. В некоторых случаях вирусный код компилированных HLL - вирусов сжимают с использованием различных утилит уплотнения (PKLITE, LZEXE, DIET и др).

В группе HLL-вирусов выделяют несколько классов:
"HLLC." (High Level Language Companion) - вирус-компаньон, написанный на языке программирования высокого уровня. Такой вирус использует алгоритм инфицирования, который базируется на манипулировании именами файлов в файловой системе. Обычно HLLC - вирус переименовывает оригиналы исполняемых файлов (или перемещает их в другие директории), а затем использует названия оригинальных исполняемых файлов для создания на их месте вирусной копии.
"HLLO." (High Level Language Overwriting) -перезаписывающий вирус, написанный на языке программирования высокого уровня. HLLO - вирус перезаписывает данные файла-жертвы.
"HLLP." (High Level Language Parasitic) -паразитический вирус, написанный на языке программирования высокого уровня. HLLP - вирус поражает исполняемые файлы, не повреждая оригинальные данные файла - жертвы.
"HLLW." (High Level Language Worm) - вирусная программа-червь, написанная на языке программирования высокого уровня. Для распространения эти вирусы не нуждаются в хост-файле, а копируют себя в системные директории.
"HLLM." (High Level Language MassMailing Worm) - вирусные программы-черви массовой рассылки, написанные на языке программирования высокого уровня.

Радуйтесь людям. Радуйтесь всему. Это Россия!


#4 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 25 Декабрь 2009 - 07:28

Вирусы перейдут на Windows 7

В следующем году главными жертвами компьютерных вирусов станут владельцы компьютеров, работающих под управлением операционной системы Windows 7. В отличие от Vista, не слишком заинтересовавшей киберпреступников, новая ОС от Microsoft может стать основным объектом их внимания. Шансы подцепить киберугрозу еще больше увеличатся у не слишком внимательных любителей футбола. Так считают специалисты антивирусной компании PandaLabs, представившей накануне Нового года прогноз вирусной активности на год следующий.

В PandaLabs считают, что «семерка» окажет большое влияние на развитие индустрии создания вирусов, потому как рынок принял ее с распростертыми объятиями, чего нельзя было сказать о Vista. А поскольку на большинстве новых компьютеров устанавливается 64-битная версия Windows 7, преступники будут адаптировать вредоносные коды под нее. Авторы прогноза считают, что массовый переход на «семерку» произойдет в течение ближайших двух лет.
Что касается смартфонов и коммуникаторов, то широкомасштабных атак на них в грядущем году, по мнению PandaLabs, вряд ли следует ожидать, поскольку приложения для мобильных телефонов часто являются несовместимыми даже для разных версий одной и той же ОС. В то же время в 2010 году произойдет множество изменений в сфере мобильной связи, так как по своему функционалу смартфоны приближаются к ПК. Поэтому вполне возможно, что киберпреступники всерьез заинтересуются и этой сферой, однако это произойдет только в том случае, если большая часть владельцев этих трубок будет пользоваться двумя-тремя ОС.

Теперь об операционных системах компании Apple. Хотя Mac по своей популярности на мировом рынке далека от Windows, для киберпреступников она становится все более интересной. И на сегодняшний день уже нельзя назвать эту ОС совсем безопасной – у киберпреступников уже есть достаточно вредоносных программ, написанных специально под нее. Об этом говорит целый ряд вирусных атак на пользователей Mac, случившихся в уходящем году.

Эксперты по антивирусной безопасности также не исключают, что в следующем году могут быть предприняты политически мотивированные кибератаки, целью которых станет нанесение ущерба экономике и инфраструктуре целых стран. В уходящем году опасения по этому поводу уже высказывали США, Великобритания и Испания.

Любители социальной инженерии в 2010-м сфокусируют свое внимание на наиболее значимых и рейтинговых событиях этого года, таких как, например, чемпионат мира по футболу, который пройдет в ЮАР. Киберпреступники будут пользоваться им как приманкой при рассылке вредоносного спама, а также при продаже фальшивых билетов. Поэтому эксперты советуют с подозрением относиться к сообщениям на эту тему, поступающим из непроверенных источников. Правда, на российской публике злоумышленники опять не особенно наживутся, поскольку этот праздник футбола снова пройдет без участия нашей сборной.

Что касается наиболее популярных каналов применения социальной инженерии, то ими останутся социальные сети.

Если говорить об итогах года, то, по рейтингам целого ряда антивирусных компаний, самой обсуждаемой вирусной угрозой в 2009-м был Conficker (Kido), который удерживал пальму первенства на протяжении практически всего года. Несмотря на то, что борцы с компьютерными угрозами уже давно нашли от него «лекарство», он до сих пор присутствует на миллионах машин.

Николай Афанасьев

Радуйтесь людям. Радуйтесь всему. Это Россия!


#5 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 29 Май 2010 - 08:52

«Лаборатория Касперского»: продукты Adobe стали основной мишенью для хакеров

«Лаборатория Касперского» подготовила аналитический отчёт «Развитие информационных угроз в первом квартале 2010 года». Согласно проведенным исследованиям, мишенью №1 для хакеров и вирусописателей стали продукты компании Adobe. Это связано с популярностью и кроссплатформенностью данного программного обеспечения, а также тем, что пользователи плохо осведомлены об опасности открытия неизвестных PDF-файлов. Среди всех обнаруженных эксплойтов абсолютным лидером стало семейство Exploit.Win32.Pdfka, использующее уязвимости в программах Adobe Reader и Adobe Acrobat. Его доля составила 42,97%. В сумме доля двух семейств эксплойтов для продуктов Adobe – Exploit.Win32.Pdfka и Exploit.Win32.Pidief — достигла 47,5%, то есть почти половины обнаруженных эксплойтов. Эти эксплойты являются PDF-документами, содержащими сценарии Java Script, которые без ведома пользователя загружают из интернета и запускают другие вредоносные программы. Согласно данным отчёта, на компьютерах пользователей часто присутствуют продукты Adobe с незакрытыми уязвимостями. Среди десяти самых распространённых уязвимостей ПО, обнаруженных на компьютерах пользователей за отчётный период, три уязвимости найдены в ПО производства Adobe, шесть — Microsoft и одна — Sun. Три уязвимости продуктов Adobe присутствуют на 23,37%, 17,87% и 15,27% пользовательских компьютеров, причём первая и последняя являются критическими, то есть позволяют удалённому хакеру получить контроль над системой. Одна из уязвимостей продуктов Adobe известна более трёх лет и для неё имеется патч, что указывает на то, что многие пользователи не следят за своевременным обновлением программ. Чтобы решить эту проблему компания Adobe запустила 13 апреля сервис автоматических обновлений своих продуктов в фоновом режиме. Разработчики надеются, что это позволит своевременно обновлять приложения, вызывающие у киберпреступников такой повышенный интерес.

kaspersky.ru

Радуйтесь людям. Радуйтесь всему. Это Россия!


#6 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 29 Ноябрь 2010 - 05:17

Рейтинг вредоносных программ, октябрь 2010

«Лаборатория Касперского» предлагает вниманию пользователей октябрьские рейтинги вредоносных программ.

В целом месяц прошёл относительно спокойно, однако хочется обратить внимание на несколько интересных событий. В начале октября был обнаружен вирус Virus.Win32.Murofet, которым были заражены многие PE-файлы. Его основная особенность заключается в генерировании ссылок с помощью специального алгоритма, который основывается на текущих времени и дате на инфицированном компьютере. Зловред получает текущие год, месяц, день, минуту в системе, генерирует два двойных слова, считает на их основе md5, добавляет одну из возможных доменных зон — .biz, .org, .com, .net, .info, прибавляет в конце строки ”/forum” и затем использует полученную ссылку. Интересно, что этот вирус не заражает другие исполняемые файлы и тесно связан с Zeus`ом. Так, сгенерированные ссылки относятся к его инфраструктуре, а по ним располагаются загрузчики самого бота. Этот зловред демонстрирует изобретательность и рвение, с которым разработчики Zeus`а пытаются распространить своё творение по всему миру.

Растет популярность поддельных архивов, детектируемых нами как Hoax.Win32.ArchSMS. После запуска программы пользователю предлагается отправить одно или несколько SMS-сообщений на премиум-номер для получения содержимого архива. В большинстве случаев после отправки сообщения на экране компьютера появляется инструкция по использованию торрент-трекера и/или ссылка на него. Возможных вариантов довольно много, но результат один — пользователь теряет свои деньги и не получает искомый файл. Такого рода мошенничество появилось относительно недавно — несколько месяцев назад, но с тех пор интерес к нему со стороны злоумышленников не угасает.....


читать полностью

Радуйтесь людям. Радуйтесь всему. Это Россия!


#7 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 03 Декабрь 2010 - 02:27

Еще один троянец-вымогатель - теперь в MBR

Сегодня мой коллега Виталий Камлюк написал о новом троянце-вымогателе, сильно напоминающем печально известный GpCode. Этот вымогатель шифрует пользовательские файлы криптоалгоритмами RSA-1024 и AES-256. Мы продолжаем наши исследования данной вредоносной программы и сообщим о всех изменениях.

Но GpCode.ax – не единственный троянец-вымогатель, найденный нами за последние сутки. Мы также обнаружили вредоносную программу, которая перезаписывает главную загрузочную запись (MBR) и требует деньги для получения пароля, необходимого для восстановления оригинального MBR. Вредоносная программа детектируется нами как Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a. Другая вредоносная программа Trojan.Win32.Oficla.cw ответственна за загрузку нового вымогателя на машину жертвы.

Если Seftad.a был загружен и запущен, инфицированный компьютер перезагрузится, после чего на экране появится следующее сообщение:............

читать полностью

Радуйтесь людям. Радуйтесь всему. Это Россия!


#8 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 03 Декабрь 2010 - 02:30

GpCode вернулся

Мы получили несколько сообщений, в которых пользователи из разных стран просят нас помочь им справиться с заражениями вредоносной программой, которая очень похожа на троянца-шифровальщика GpCode образца 2008 года.

Как мы рассказывали ранее, этот тип вредоносного ПО очень опасен, потому что шансы восстановить ваши данные невелики. Это почти то же самое, что безвозвратное удаление информации с жесткого диска.

Впервые GpCode был зарегистрирован в 2004 году. Затем он периодически появлялся вплоть до 2008 года. Были и подражатели, которые создали несколько имитаций GpCode, не представлявшие действительной угрозы, поскольку в них не использовались стойкие криптографические алгоритмы.

И в 2006, и в 2008 годах нам удавалось предложить несколько способов лечения и даже расшифровки данных с помощью наших инструментов дешифрования.

Сегодня GpCode вернулся — и он более сильный, чем раньше. Предварительный анализ показал, что для шифрования используются алгоритмы RSA-1024 и AES-256. Зловред зашифровывает только часть файла, начиная с первого байта. В отличие от предыдущих вариантов, новая версия GpCode не удаляет файлы после шифрования. Вместо этого троянец записывает информацию поверх файлов, что делает невозможным использование ПО для восстановления данных — такого, как утилита PhotoRec, которую мы предлагали во время предыдущего пришествия шифровальщика.

читать полностью

Радуйтесь людям. Радуйтесь всему. Это Россия!


#9 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 20 Декабрь 2010 - 01:19

Рейтинг вредоносных программ, октябрь 2010

«Лаборатория Касперского» предлагает вниманию пользователей октябрьские рейтинги вредоносных программ.

В целом месяц прошёл относительно спокойно, однако хочется обратить внимание на несколько интересных событий. В начале октября был обнаружен вирус Virus.Win32.Murofet, которым были заражены многие PE-файлы. Его основная особенность заключается в генерировании ссылок с помощью специального алгоритма, который основывается на текущих времени и дате на инфицированном компьютере. Зловред получает текущие год, месяц, день, минуту в системе, генерирует два двойных слова, считает на их основе md5, добавляет одну из возможных доменных зон — .biz, .org, .com, .net, .info, прибавляет в конце строки “/forum” и затем использует полученную ссылку. Интересно, что этот вирус не заражает другие исполняемые файлы и тесно связан с Zeus`ом. Так, сгенерированные ссылки относятся к его инфраструктуре, а по ним располагаются загрузчики самого бота. Этот зловред демонстрирует изобретательность и рвение, с которым разработчики Zeus`а пытаются распространить своё творение по всему миру.

Растет популярность поддельных архивов, детектируемых нами как Hoax.Win32.ArchSMS. После запуска программы пользователю предлагается отправить одно или несколько SMS-сообщений на премиум-номер для получения содержимого архива. В большинстве случаев после отправки сообщения на экране компьютера появляется инструкция по использованию торрент-трекера и/или ссылка на него. Возможных вариантов довольно много, но результат один — пользователь теряет свои деньги и не получает искомый файл. Такого рода мошенничество появилось относительно недавно — несколько месяцев назад, но с тех пор интерес к нему со стороны злоумышленников не угасает, что подтверждается статистикой, собранной с помощью KSN (Kaspersky Security Network): ..............

Читать далее.....

Радуйтесь людям. Радуйтесь всему. Это Россия!


#10 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 22 Декабрь 2010 - 01:48

Обзор вирусной активности: ноябрь 2010

В прошедшем месяце наибольшую опасность для пользователей представляли drive-by загрузки. В ходе таких атак заражение компьютера пользователя опасным зловредом может произойти даже при посещении легитимного сайта.

Напомним, как при drive-by загрузках происходит заражение компьютеров. Вначале пользователь переходит на зараженный легитимный сайт или на веб-ресурс злоумышленников, на котором размещен скрипт-редиректор. (Примером одного из самых известных редиректоров последнего времени является Trojan-Downloader.JS.Pegel). С помощью редиректора выполняется переход на скриптовой загрузчик, который, в свою очередь, запускает эксплойты. Эксплойты, как правило, загружают на компьютер пользователя и запускают вредоносный исполняемый файл, который чаще всего является бэкдором.
Изображение

По итогам месяца в TOP 20 зловредов в интеренете попало девять эксплойтов, три редиректора и один скриптовый загрузчик, которые используются при drive-by загрузках.
Редиректоры и скриптовые загрузчики

С редиректоров начинается вся цепочка заражения при drive-by загрузках. Среди лидирующих в интернете вредоносных программ оказались Trojan.HTML.IFrame.dl (5-е место в рейтинге), Trojan.JS.IFrame.pg (10-е место), Trojan.JS.Redirector.lc (20-е место), Trojan.JS.Redirector.np (25-е место), Trojan-Downloader.JS.Iframe.bzn (29-е место).

Читать полностью

Радуйтесь людям. Радуйтесь всему. Это Россия!


#11 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 11 Январь 2011 - 01:26

Буткит: вызов 2008

Термин MalWare 2.0, активно используемый в наших аналитических материалах, описывает современную модель функционирования комплексов вредоносных программ, сформировавшуюся в конце 2006 года. Первыми и наиболее яркими представителями MalWare 2.0 стали черви Bagle, Warezov и Zhelatin.

Основные характеристики этой модели:
отсутствие единого центра управления сетью зараженных компьютеров;
активное противодействие попыткам изучения вредоносного кода и перехвата управления ботнетом;
кратковременные массовые рассылки вредоносного кода;
грамотное применение средств социальной инженерии;
использование различных способов распространения вредоносных программ и постепенный отказ от наиболее заметных из них (например, от электронной почты);
использование разных (а не одного универсального) модулей для осуществления разных вредоносных функций.

Развитие MalWare 2.0 порождает ряд проблем для антивирусной индустрии. Наиболее важной из них, на наш взгляд, является проблема неспособности традиционных антивирусных решений, основанных исключительно на сигнатурном или эвристическом методах анализа файлов, надежно противодействовать атакам MalWare 2.0, не говоря уже о неспособности таких решений лечить пораженные системы.

Среди инцидентов 2008 года, демонстрирующих опасность MalWare 2.0, хотелось бы отметить известную историю с руткитом Rustock, детально описанную в нашей статье «Rustock и все, все, все». Именно в Rustock был реализован ряд новых технологий, методов и приемов, которые могут оказать серьезное влияние на дальнейшее развитие MalWare 2.0.

Очередной инцидент, который мы намерены осветить в данной публикации, наглядно демонстрирует современные способы ведения войны между вирусописателями и антивирусными компаниями и показывает важность разработки и внедрения новых технологий защиты.

Загадочные перезагрузки

В середине августа на различных интернет-форумах участились сообщения с жалобами пользователей на перезагрузку компьютеров после посещения некоторых сайтов. Чем могли быть вызваны эти перезагрузки, оставалось неясным. Никакой связи с установленным у пользователей оборудованием и софтом не прослеживалось. Оставался единственный вариант: причину перезагрузок следовало искать на сайтах, после посещения которых происходил reboot.

Первоначальный осмотр содержимого страниц подозрительных сайтов ничего не дал – сайты выглядели безопасными.

В большинстве случаев, чтобы заразить компьютеры пользователей, злоумышленники взламывают легальный сайт и размещают на его страницах ссылки на свои ресурсы, оснащенные эксплойтами. Такая техника носит название «drive-by-download». Она позволяет в скрытом режиме устанавливать вредоносные программы на компьютер пользователя при посещении им зараженного сайта.

В данном случае не было обнаружено ни подозрительных iframe, ни подозрительных скриптов. Проблемы пользователей можно было бы списать на автоматический перезапуск Windows после установки обновлений, тем более что по времени происходящее совпало с очередным выходом патчей Microsoft. Однако все оказалось намного серьезнее.....

читать далее.....

Радуйтесь людям. Радуйтесь всему. Это Россия!


#12 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 13 Январь 2011 - 04:04

Вирусная пятёрка

Win32.HLLM.MyDoom.33808 - 14.93%
Trojan.DownLoad1.58681 - 9.28%
Win32.HLLM.Netsky.18401 - 8.40%
Trojan.MulDrop.64589 - 6.69%
Trojan.Packed.20878 - 6.68%

Радуйтесь людям. Радуйтесь всему. Это Россия!


#13 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 13 Январь 2011 - 04:21

Нежелательные программы


Аплеты (applets) - прикладные программы, небольшие Java-приложения, встраиваемые в HTML страницы. По своей сути, эти программы не вредоносные, но могут использоваться в злонамеренных целях. Особенно аплеты опасны для любителей он-лайновых игр, т.к. в них аплеты Java требуются обязательно. Аплеты, как и шпионское ПО, могут использоваться для отправки собранной на компьютере информации третьей стороне.

Веб-жучки (Web bugs) - средство слежения за пользователями сети Интернет. Представляют собой прозрачные, размером 1х1 пиксель графические файлы, используемые для сбора статистической информации о заходящем на сайт пользователе, которая может включать дату и время просмотра, тип браузера, данные монитора, настройки JavaScript, cookie, адрес в сети Интернет. Такие жучки используют и спамеры, включая их в рассылаемые письма, что дает им возможность определять существует или нет в действительности такой адрес.

Вирусные мистификаторы (Hoaxes) - не являющиеся вредоносными почтовые сообщения, написанные в подчеркнуто нейтральном тоне, в котором указывается, например, на якобы распространяющийся новый вирус.
Большинство вирусных мистификаций обладают одной или несколькими ниже следуемыми характеристиками. Имя вируса, на которое ссылается автор сообщения, составляется не по правилам, используемым большинством антивирусных компаний. Особо отмечается, что "вирус" пока не обнаруживается антивирусными программами. Пользователю предлагается найти некий файл и удалить его с диска. В письме содержится призыв, в случае обнаружения указанного файла, сообщить об этом всем своим знакомым и все тем, чьи адреса есть в адресной книге пользователя. Несмотря на всю безобидность подобного розыгрыша, опасность его очевидна - массовая рассылка копий бесполезного сообщения загружает почтовый трафик и отнимает время пользователей.

Всплывающие окна (pop-ups) - не вредоносные программы, вид рекламного ПО, имеющие вид внезапно возникающих на экране монитора рекламных окошек маленького формата.

"Горшочки с медом" (honey pots) - страницы-приманки, по описанию ресурса в поисковике и ключевым словам отвечающие требованиям поиска, но которые, на самом деле, только завлекают пользователя, а реально содержат на своих страницах всевозможные программы-эксплойты и различный нежелательный или вредоносный софт.

Дозвонщики (Dialers) - специальные компьютерные программы, разработанные для сканирования некоего диапазона телефонных номеров для нахождения такого, на который ответит модем. В дальнейшем злоумышленники используют найденные номера для накручивания оплаты за телефон жертве или для незаметного подключения пользователя через модем к дорогостоящим платным телефонным службам.

Зомби (Zombies)
- маленькие компьютерные программы, разносимые по сети Интернет компьютерными червями. Программы-зомби устанавливают себя в пораженной системе и ждут дальнейших команд к действию.

Перехватчики страниц (highjackers) - от английского highjack - "захватывать", вид нежелательной компьютерной программы, целью написания которой является принудительная установка нужной ее заказчику страницы в качестве стартовой на компьютере, в который смог проникнуть такой троянец. Программы используют бреши в системе безопасности Интернет-браузеров и прописывают себя в системный реестр. Как правило, ручная чистка реестра не помогает, так как такие троянцы имеют функцию восстановления нужных им данных в реестре и средства маскировки под системные файлы. Использование таких программ практикуется владельцами массово посещаемых сайтов - музыкальных, игровых, сайтов для взрослых.

Технологии социальной инженерии - способы получения конфиденциальной информации у пользователей путем введения их в заблуждение. Очень часто это приводит к добровольной выдаче самими пользователями такой информации. Социальная инженерия не использует специальных компьютерных программ, мошенничество построено на тривиальном обмане, использовании доверчивости и наивности людей. Чаще всего рассылаются правдоподобно выглядящие письма от реально существующих кредитных организаций, в которых Вас просят подтвердить пароль доступа к счету и PIN- код кредитной карточки.

Технология ActiveX - технология модификации элементов OCX для создания мультимедийных клиент-серверных приложений, разработанная корпорацией Microsoft. Активно используется злоумышленниками благодаря наличию в ней многочисленных уязвимостей, помогающих проникать на компьютер-жертву. Отключение загрузки элементов ActiveX на компьютер производится через панель меню Internet Explorer "Сервис - Свойства обозревателя - Вкладка безопасность".
Утилиты удаленного администрирования - не вредоносные программы, которые могут использоваться во вредоносных целях. Позволяют осуществлять доступ сеть и проводить в ней действия на расстоянии - из любой точки сети Интернет.

Уязвимость (Vulnerability) - часть программного кода, позволяющая использовать его для нарушения работы системы и проникновения в сети. Сегодня прогресс в скорости применения уязвимостей достиг таких высот, что временной интервал, между публикацией данных об обнаружении "дыры" и изобретением злоумышленниками средств проникновения в систему через такую уязвимость, исчисляется всего несколькими днями. Особенно "популярны" у хакеров и вирусописателей многочисленные уязвимости в самом распространенном в мире ПО корпорации Microsoft.

Файлы cookies - файлы с данными о пользователе, собираемые веб-серверами и хранящиеся на жестком диске компьютера. При посещении любого веб-сервера в специальных файлах, называемых cookie, сохраняется информация о предпочтениях посетителя ресурса, которая служит средством идентификации пользователя сервером. Данные, полученные из файлов cookie, используются спамерами для составления списков рассылок. Сбор информации в файлы cookie можно отключить в Internet Explorer через панель меню Сервис/Свойства обозревателя/Дополнительно.

Шпионские модули-роботы (spybots) - не являющиеся вирусами программы, самостоятельные функциональные модули, автономно решающие ту или иную задачу. Используются хакерами для слежения за жизнедеятельностью сети.
Шпионское ПО (spyware) - опасные для пользователя программы (не вирусы), предназначенные для слежения за системой и отсылки собранной информации третьей стороне - создателю или заказчику такой программы. Среди заказчиков шпионского ПО - спамеры, рекламщики, маркетинговые агентства, скам-агентства, преступные группировки, деятели промышленного шпионажа. Шпионские программы "интересует" системные данные, тип браузера, посещаемые веб-узлы, иногда и содержимое файлов на жестком диске компьютера-жертвы. Такие программы тайно закачиваются на компьютер вместе с каким-нибудь "шароварным" софтом или при просмотре определенным образом сконструированных HTML - страниц и всплывающих рекламных окон и самоустанавливаются без информирования об этом пользователя. Побочные эффекты от присутствия шпионского ПО на компьютере - нестабильная работа браузера и замедление производительности системы.
  • a-vas это нравится

Радуйтесь людям. Радуйтесь всему. Это Россия!


#14 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 17 Январь 2011 - 05:20

TDSS. TDL-4

Компоненты

Список компонент TDL-4 видоизменился со времени TDL-3. Теперь он выглядит так:

bckfg.tmp
cfg.ini
cmd.dll
cmd64.dll
drv32
drv64
ldr16
ldr32
ldr64
mbr

Как и в предыдущей модификации, руткит использует собственную файловую систему, зашифрованную методом RC4, и все свои файлы хранит в последних секторах физического диска.
Изображение

Конфигурационный файл TDL-4 немного изменился по сравнению с конфигурационным файлом TDL-3.Основное отличие — номер версии руткита (version=0.02).

Как можно заметить из списка компонент, в файлах присутствуют цифры 32 и 64. Это говорит о том, что руткит должен работать как на 32-х битных ОС, так и на 64-х битных ОС.

Заражение и загрузка
MBR


В этот раз TDSS избрал иной, уже проверенный способ заражения. TDL-4, как и другой известный руткит — буткит, заражает главную загрузочную запись (MBR). Данный способ позволяет ему загружаться раньше операционной системы, сразу после старта компьютера.

Код в MBR использует нехитрую схему шифрования, однако даже ее небольшие изменения позволят обходить методы сигнатурного детектирования большинства антивирусных продуктов.
Изображение

читать полностью.....

Радуйтесь людям. Радуйтесь всему. Это Россия!


#15 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 17 Январь 2011 - 05:24

Сюрприз для любителей халявы

Программы для взлома коммерческого ПО, к сожалению, пользуются определенной популярностью. Обратили на них внимание и вирусописатели, подготовив пару сюрпризов для любителей халявы.

Недавно нами был обнаружен троянец-дроппер, который выдает себя за генератор ключей для продуктов «Лаборатории Касперского». Файл называется kaspersky.exe.

После запуска файла на экране появляется окно генератора ключей с предложением выбрать продукт для взлома. После выбора одного из пунктов, программа начинает генерировать ключ.
Изображение

Пока любитель бесплатного сыра ожидает результата, на его компьютере уже орудуют два других зловреда, которые были тайком установлены и запущены дроппером.

Один из них «Лаборатория Касперского» детектирует как Trojan.MSIL.Agent.aor. Эта вредоносная программа ворует регистрационную информацию от других программ и пароли, в основном, к онлайн-играм, заботливо собирая украденные данные в одном файле. Фрагмент этого файла приведен на скриншоте ниже.
Изображение

Этот зловред также изменяет системный файл hosts, блокируя таким образом доступ к некоторым сайтам. Например, сайты virustotal.com и virusscan.jotti.org, предоставляющие сервис сканирования файлов многими антивирусными вендорами, будут недоступны для пользователя.

Фрагмент измененного hosts-файла:
##Do not touch this file, changing it will cause SERIOUS damage to your computer
127.0.0.1 virustotal.com
127.0.0.1 www.virustotal.com
127.0.0.1 www.virusscan.jotti.org/
127.0.0.1 www.virusscan.jotti.org/en
127.0.0.1 www.virusscan.jotti.org/en


Второй установленный дроппером зловред — типичный бэкдор, который работает также в качестве кейлоггера, собирая информацию о нажатиях на клавиши. Детектируется он как Trojan.Win32.Liac.gfu.

Так, запустив якобы генератор ключей для Kaspersky Internet Security, можно “поселить” на своем компьютере парочку серьезных зловредов, с которыми придется бороться KIS. Если, конечно, сгенерированные ключи сработают.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#16 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 22 Январь 2011 - 03:47

SMS-троянцы - новый виток

Очередная SMS-спам рассылка, содержащая ссылку на вредоносную программу для мобильных телефонов и смартфонов: Trojan-SMS.J2ME.Smmer.f. Отправителем мог значиться обычный мобильный телефонный номер, например, +79671*****2. Текст спам-сообщения выглядел следующим образом:

Poluchen MMS podarok ot "Katya" dlya abonenta <телефонный номер получателя> Posmotret: http://load***.ru/606.jar

Сама вредоносная программа маскируется под виртуальную открытку:
Изображение

По ссылке в спам-сообщении находится очередной SMS-троянец, который детектируется нами как Trojan-SMS.J2ME.Smmer.f. О другом подобной рассылке мы писали ранее. Чем же отличаются эти случаи?

В случае рассылки годичной давности SMS-троянец пытался отправить SMS-сообщения на платный короткий номер 8353, стоимость сообщения на который равна ~180 рублям. SMS-троянец из вчерашней рассылки отправляет ровно два сообщения: первое - на короткий номер 3116; второе - на короткий номер 8464.
Изображение

Стоимость сообщения на любой из данных коротких номеров равна... 0 рублям! В очередной раз всплывает старый вопрос: "Где деньги?"

Дело в том, что данные короткие номера используются одним из операторов сотовой связи для перевода денежных средств с одного мобильного телефона на другой. Если один абонент хочет осуществить такую операцию, то ему необходимо отправить SMS-сообщение на номер 3116 следующего вида:

Номер_телефона_получателя Сумма_перевода

Trojan-SMS.J2ME.Smmer.f отправляет первое сообщение на короткий номер 3116 с текстом "9654*****2 200". Это значит, что баланс мобильного телефона зараженного пользователя уменьшится на 200 рублей из-за вредоносной программы. Но зачем SMS-троянцу отправлять второе бесплатное SMS-сообщение на короткий номер 8464 с текстом "1"? Данная SMS'ка необходима для подтверждения перевода средств с одного телефона на другой.

Мы видели похожие вредоносные программы уже два года назад, однако их целью были пользователи оператора сотовой связи в Индонезии.

Различные сервисы, предлагаемые мобильными операторами, созданы для удобства пользователей. Данная конкретная услуга мобильного перевода позволяет пополнить баланс абонента, который в этом нуждается. Однако, как мы видим, злоумышленники всегда пытаются обратить легальные сервисы в нелегальное средство обогащения.

Радуйтесь людям. Радуйтесь всему. Это Россия!


#17 pryzrak

pryzrak

    Претендент

  • Пользователи+
  • PipPip
  • 11 сообщений
  • Пол:Мужчина

Отправлено 26 Январь 2011 - 09:52

Безопасность это первое на что следует уделять внимание. Ведь без нормального антивирусы со свежими базами, надежным браузером заразится можно в течении 2 минут (читал где то). Но самое главное это отношение человека, ведь никакой сейф вас не защитит если ключ валяется под ногами.

#18 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 30 Январь 2011 - 06:44

Sophos о росте угроз в социальных сетях

Согласно результатам онлайн-опроса, проведенного Sophos в декабре, в 2010 году посетители социальных веб-сайтов получили на 10% больше спама, на 13% — фишинговых и на 4% вредоносных сообщений, чем в предыдущем году. А в сравнении с апрелем 2009 года все эти показатели выросли вдвое.

В опросе приняли участие 1273 респондентов, половина из которых имеют неограниченный доступ к социальным сервисам с рабочего места. Две трети участников отметили, что в минувшем году получали спам в социальной сети, 43% рисковали оставить свои данные на поддельном веб-сайте, 40% были атакованы червями и другими зловредами. Самым опасным из четырех популярных социальных ресурсов (Facebook, Twitter, MySpace и LinkedIn) 82% опрошенных назвали Facebook.

По данным Sophos, в настоящее время доступ к социальным сетям начисто блокируют лишь четверть компаний; многие признают, что корпоративное присутствие на таком сервисе помогает развитию бизнеса. Тем не менее, 59% участников опроса выразили уверенность, что неосмотрительное поведение служащих в социальной сети может поставить под угрозу безопасность всего предприятия. 57% посетовали, что их коллеги публикуют слишком много информации на социальных веб-сайтах.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#19 Goshia

Goshia

    Знающий

  • Пользователи+
  • PipPipPipPipPipPip
  • 167 сообщений
  • Пол:Мужчина
  • Город:Луганск
  • Интересы:Интернет

Отправлено 30 Январь 2011 - 08:16

У меня недавно пропал Интернет, позвонил в службу поддержки, и начал в телефонном режиме проверять настройки. Открыл папку сетевые подключения, а там ярлык интернет-подключения и подпись z-connect. Техподдержка сказала, что это вирус. Я удалил этот значок, и проверил компьютер на наличие вирусов Сканером Куреит, и выполнил глубокую проверку НОД 32. Не пойму как этот вирус попал в компьютер, что монитор антивирусника не среагировал?

#20 krot

krot

    Любитель

  • Пользователи+
  • PipPipPipPipPip
  • 94 сообщений

Отправлено 31 Январь 2011 - 03:10

У меня недавно пропал Интернет, позвонил в службу поддержки, и начал в телефонном режиме проверять настройки. Открыл папку сетевые подключения, а там ярлык интернет-подключения и подпись z-connect. Техподдержка сказала, что это вирус. Я удалил этот значок, и проверил компьютер на наличие вирусов Сканером Куреит, и выполнил глубокую проверку НОД 32. Не пойму как этот вирус попал в компьютер, что монитор антивирусника не среагировал?

нашли что-нибудь после проверки, напишите. интересно, что это за z-connect и чем его бороть...




Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных