Сообщений в теме: 84

[Forum Moderator]

Уязвимости:Imaut.F и ExpJS-N

На этой неделе компания Symantec опубликовала 17 описаний вредоносных программ, из которых 5 являются обобщенными. Наиболее интересным вредоносом этой неделе можно считать червя Imaut.F, который распространяется на съемных носетелях и через сетевые диски, а также посылает ссылки на свой инфектор через системы мгновенных сообщений Yahoo! Messenger и Google Talk. Причем если в системе не установлен Yahoo! Messenger, то он его пытается установить. В систему червь устанавливается под именем system3_.exe и обеспечивает себе автозапуск как дополнительной оболочки в ключе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell". После запсука он также модифицирует домашние страницы Internet Explorer и Mozilla Firefox. Червь также прекращает работу некоторых программ и блокирует запуск встроенных в Windows средств защиты. Когда червь установлен в систему он начинает рассылать сообщения через систему мгновенных сообщений со ссылками на себя как на хранитель экрана ко дню Валентина.
Компания Sophos обнародовала описание вредоносного Javascript Troj/ExpJS-N, который был задействован при организации атак на Google. Он с помощью эксплойта неизвестной ошибки загружал на атакованную машину в системную директорию вредоносную библиотеку rasmon.dll, которая и является троянцем. Проблемой было то, что ошибка в Internet Explorer, через которую этот вредонос проникал в систему, была до этого неизвестна. Троянец также обеспечивал собственный автозапуск как сетевого сервиса со случайным именем. Кроме того, он инъектировал собственную библиотеку в общий процесс SVCHOST.EXE. Вредонос также обеспечивал обновление своего программного обеспечения и открывал возможность удаленного администрирования зараженного компьютера.


osp.ru

[Forum Moderator]

Берегите WM-денежки, троян WM Stealer, новая модификация

Немного с запозданием, ну что же поделаешь,Речь идет о зловреде WM Stealer, о котором стало известно в конце прошлого года, когда на одном из форумов он был выставлен на продажу по цене $2000(Сечас за него просят 8 00$.В комлект входит сам троян (inetmib1.dll), клиент (включает конфигуратор, генератор дропера и непосредственно клиент для запуска кипера), а также панель администрирования (модифицированная панель от X-Systems).
В сопутствующем сообщении говорилось, что "работает он по тому же принципу, что и нашумевший WM Inside, т.е. после похищения данных активировать кипер на новом оборудовании нет необходимости - клиентская часть сэмулирует программно-аппаратное окружение. Правда, в отличаи от WMInside, WM Stealer поддерживает не только старый, но и новый кипер, а так же грабит баланс (отображаются только ненулевые кошельки).Попав на компьютер, WM Stealer создает файл inetmib1.dll, оригинальная версия которого находится по адресу windows/system32/ или windows/system32/dllcache. Далее Windows,передает доступ к файлу inetmib1.dll. WM Stealer написан на языке Ассемблер и стабильно работает в системе, по завершению работы самоудаляется. Для удобства троян поддерживает отчеты WMInside, имеет небольшой размер.
Рекомендуется как можно чаще обновлять антивирусную базу используемого антивируса и пользоваться последней=новейшей версией WebMoney кипера.

[Forum Moderator]

Вредоносные программы

Вишинг (Vishing) — технология интернет-мошенничества, разновидность фишинга, заключающаяся в использовании в злонамеренных целях «war diallers» (автонабирателей) и возможностей Интернет-телефонии (VoIP) для кражи личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. Потенциальные жертвы получают телефонные звонки, якобы от имени легальных организаций, в которых их просят ввести с клавиатуры телефона, смарт-фона или КПК пароли, PIN-коды и другую личную информацию, используемую в последствии злоумышленниками для кражи денег со счета жертвы и в других преступлениях.

Фишинг (Phishing) — технология интернет-мошенничества, заключающаяся в краже личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. При помощи спамерских рассылок или почтовых червей потенциальным жертвам рассылаются подложные письма, якобы от имени легальных организаций, в которых их просят зайти на подделанный преступниками "сайт" такого учреждения и подтвердить пароли, PIN-коды и другую личную информацию, используемую в последствии злоумышленниками для кражи денег со счета жертвы и в других преступлениях.

Сниффинг (Sniffing) — вид сетевой атаки, также называется "пассивное прослушивание сети". Несанкционированное прослушивание сети и наблюдение за данными производятся при помощи специальной не вредоносной программой - пакетным сниффером, который осуществляет перехват всех сетевых пакетов домена, за которым идет наблюдение. Перехваченные таким сниффером данные могут быть использованы злоумышленниками для легального проникновения в сеть на правах фальшивого пользователя.

Фарминг — сравнительно новый вид интернет-мошенничества. Фарминг-технологии позволяют изменять DNS (Domain Name System) записи либо записи в файле HOSTS. При посещении пользователем легитимной, с его точки зрения, страницы производится перенаправление на поддельную страницу, созданную для сбора конфиденциальной информации. Чаще всего такие страницы подменяют страницы банков – как оффлайновых, так и онлайновых.

Люки (Backdoors) — программы, обеспечивающие вход в систему или получение привилегированной функции (режима работы) в обход существующей системы полномочий. Часто используются для обхода существующей системы безопасности. Люки не инфицируют файлы, но прописывают себя в реестр, модифицируя таким образом ключи реестра.

Спуфинг (Spoofing) — вид сетевой атаки, заключающейся в получении обманным путем доступа в сеть посредством имитации соединения. Используется для обхода систем управления доступом на основе IP адресов, а также для набирающей сейчас обороты маскировки ложных сайтов под их легальных двойников или просто под законные бизнесы.

Зомби (Zombies) — маленькие компьютерные программы, разносимые по сети Интернет компьютерными червями. Программы-зомби устанавливают себя в пораженной системе и ждут дальнейших команд к действию.

Дифейсмент (Defacement) — искажение веб-страниц. Вид компьютерного вандализма, иногда являющийся для хакера забавой, а иногда средством выражения политических пристрастий. Искажения могут производится в какой-то части сайта или выражаться в полной замене существующих на сайте страниц (чаще всего, стартовой).

Скамминг (Scamming) — от английского "scamming", что означает "жульничество", вид интернет-мошенничества. Заключается в привлечении клиентов, якобы брачными агентствами (на самом деле скам-агентствами), с целью выуживания у них денег брачными аферами.

Руткит (Rootkit) — вредоносная программа, предназначенная для перехвата системных функций операционной системы (API) с целью сокрытия своего присутствия в системе.

Кроме того, Rootkit может маскировать процессы других программ, различные ключи реестра, папки, файлы. Rootkit распространяются как самостоятельные программы, так и как дополнительные компоненты в составе иных вредоносных программ - программ-люков (backdoor), почтовых червей и проч.

По принципу своей работы Rootkit условно разделяют на две группы: User Mode Rootkits (UMR) - т.н. Rootkit, работающие в режиме пользователя, и Kernel Mode Rootkit (KMR) - т.н. Rootkit, работающие в режиме ядра.

Работа UMR базируется на перехвате функций библиотек пользовательского режима, а работа KMR базируется на установке в систему драйвера, который осуществляет перехват функций на уровне системного ядра, что значительно усложняет его обнаружение и обезвреживание.

[Forum Moderator]

«Лаборатория Касперского» предлагает бесплатный сервис для борьбы с новым трояном-вымогателем.

Компания «Лаборатория Касперского» сообщила о появлении новой модификации троянской программы Cryzip, упаковывающей файлы пользователя в запароленные zip-архивы.

Заражение зловредом осуществляется через сайты, содержащие контент для взрослых. Попав на компьютер, троян начинает поиск по нескольким десяткам популярных расширений, в том числе .rar, .zip, .7z, .pdf, .djvu, .txt, .xls, .xlsx, .rtf, .doc .docx, .htm, .html, .mht, .jpg, .jpeg и другим. Для каждого найденного файла создается архив <имя_оригинального_файла>_crypt_.rar, затем оригинал удаляется без возможности восстановления. За пароль от архивов программа требует отправить 2 тыс. руб. с помощью SMS-сообщения.

Программа была обнаружена аналитиками компании 13 марта и детектируется как Trojan-Ransom.Win32.Cryzip.c. Для предотвращения заражения пользователям продуктов «Лаборатории Касперского» рекомендуется обновить антивирусные базы.

По данным «Лаборатории Касперского», случаи заражения этой вредоносной программой зафиксированы не только в России, но и в Казахстане, Латвии, Польше, Республике Молдова, Египте, во Франции, Индии, Италии, Мексике, Саудовской Аравии, Испании, США, на Украине, а также в других странах.

У пострадавших пользователей есть возможность разблокировать данные, воспользовавшись бесплатным сервисом «Лаборатории Касперского», представляющим собой генератор паролей для расшифровки архивов. Для получения пароля в первое поле необходимо ввести cryzip, а в поле «Текст сообщения» – идентификатор (ID), записанный в файле auto_rar_report.txt, где вредоносная программа генерирует инструкцию «Как вернуть ваши файлы».


kaspersky.ru

[Forum Moderator]

Пользователи российского интернет-банкинга под угрозой Trojan.PWS.Ibank

апрель 2010 года

Компания «Доктор Веб» сообщает о широком распространении троянской программы Trojan.PWS.Ibank, позволяющей злоумышленникам получить доступ к счетам клиентов нескольких банков, расположенных в России. Используя перехват функций различных приложений, в том числе интернет-браузеров и банк-клиентов, модификации этого троянца получают доступ ко всей информации, вводимой пользователем (в частности, к логинам и паролям).

Trojan.PWS.Ibank известен с конца 2006 года. Назван он был по имени первого сайта, с которого распространялся. В последующие годы вирус был существенно модернизирован – таким образом, современные его модификации значительно отличаются от первых видов. За март 2010 года было зафиксировано несколько вспышек распространения новых версий Trojan.PWS.Ibank, которые по продолжительности занимали 1-2 дня. В эти периоды количество детектов вредоносной программы превышало 160 000 (по данным сервера статистики «Доктор Веб» за отдельные дни).

Цикличность и неравномерность в распространении Trojan.PWS.Ibank объясняется спецификой каналов, в роли которых в настоящее время выступают зараженные сайты. Чем более посещаемый интернет-ресурс подвергся атаке, тем больше компьютеров может инфицировать этот троянец. На зараженном сайте злоумышленниками делается закладка, которая перенаправляет посетителя на вредоносную страницу, эксплуатирующую уязвимость Adobe Reader с помощью специально подготовленного pdf-файла.

Опасность Trojan.PWS.Ibank состоит в том, что он передает злоумышленникам информацию, вводимую пользователем в своем интернет-браузере или банк-клиенте. И, прежде всего, отсылает им логин и пароль к банковскому аккаунту жертвы, которая таким образом может потерять свои сбережения. Наряду с этим Trojan.PWS.Ibank препятствует доступу к сайтам антивирусных компаний, а также имеет функционал, противодействующий работе некоторых популярных антивирусов.

Несмотря на то, что интернет-банкинг в России только набирает популярность и не охватывает широкие слои населения, тем, кто им пользуется, следует быть максимально внимательными. Во-первых, следует установить лицензионный антивирус, который должен регулярно обновляться. Во-вторых, использовать брандмауэр или модули антивируса, ответственные за блокировку вредоносных интернет-ресурсов. Наконец, не забывать регулярно менять пароли к любым важным аккаунтам в Интернете, а также соизмерять риск использования интернет-банкинга с денежными суммами, над которыми производятся операции.

drweb.com

[Forum Moderator]

Новый Firefox-плагин обнаружит зараженные сайты

Для открытого браузера Firefox появился необычный плагин, предоставляющий информацию о техническом состоянии посещаемых сайтов. На конференции Black Hat эксперт по компьютерной безопасности компании Websense Стефан Ченет представил плагин для веб-браузера Mozilla Firefox, получивший название Fireshark.

Fireshark является полностью открытым программным средством, позволяющим оперативно блокировать доступ браузера на скомпрометированные сайты. Ченет отмечает, что у Firefox есть собственный механизм детектирования "вредных" сайтов, но новая разработка работает существенно быстрее, а кроме того не полностью полагается на централизованную базу, но и обладает своим аналитическим механизмом.

Особенность Fireshark состоит в том, что плагин работает в виртуальном режиме, поэтому его крайне сложно инфицировать на локальном уровне. Ченет отмечает, что их разработка не только информирует о проблемах, но и позволяет пользователям составлять отчеты об обнаруженных зараженных сайтах и передавать в центральную базу. Информация, собираемая плагином Fireshark, хранится локально в файлах с расширением .ym. Они по своей структуре аналогичны XML-файлам. Запускать плагин во избежание риска занесения инфекции необходимо в виртуальной машине, предоставив ему список ресурсов, требующих изучения. После запуска Fireshark сделает видимым внедренный в исследуемые сайты код.

"Хакеры практически всегда создают сайты таким образом, чтобы их было почти невозможно отличить от легитимных проектов. Такие сайты в большинстве случае ответственны за массовый взлом настольных компьютеров пользователей", - говорит Ченет. "За последний год объемы скомпрометированных сайтов выросли на 225%, а это означает, что хакеры контролируют все больше контента и имеют больше рычагов воздействия на пользователей".

anti-malware

[Forum Moderator]

Порновирус разоблачает эротические пристрастия юзеров

Новая разновидность трояна-вымогателя зафиксирована в Японии. Вредонос, получивший название Kenzero, публикует на общедоступном сайте историю веб-серфинга пользователя зараженного компьютера и требует выкуп за её удаление, сообщает BBC.

Троян атакует юзеров, которые скачивают из популярного среди японцев файлообменника Winni произведения жанра хентай — анимацию, комиксы и компьютерные игры, которые преимущественно состоят из эротических и порнографических сцен. Kenzero маскируется под инсталлятор игры данного жанра, выманивает у пользователя его персональную информацию, после чего выкладывает на всеобщее рассмотрение "историю" из его браузера.

Очевидно, учитывая интересы жертвы к жанру Хентай, среди ссылок, которые посещал такой пользователь, должно быть много страничек неприличного содержания.

Надо полагать, это основной рычаг давления, оказываемого на жертву: после разоблачительной публикации ему высылается email или же показывается всплывающее окно с требованием заплатить 1500 иен при помощи кредитной карты. Правда, авторы трояна утверждают, что деньги взимаются за то, чтобы "уладить проблему, вызванную нарушением закона об авторском праве".

Кстати, английских любителей "клубнички" разводят по вполне законной схеме, которая, однако, имеет много общего с данной. Здесь используется специальная технология, выявляющая тех, кто нелегально скачивает из торрент-сетей те или иные материалы (в данном случае — определённые порнофильмы), после чего нарушителям грозят судом (и, как следствие, оглаской).

Новость о порнотрояне-шантажисте поступила вскоре после сообщений о ещё одном вредоносе, вымогающем деньги у любителей торрентов. Правда, сумма выкупа, которую требует Kenzero, меньше на порядок, но, с другой стороны, злоумышленникам ничто не мешает использовать подробные данные о кредитках так, как им вздумается.

По данным газеты Yomiuri, жертвами Kenzero признали себя уже 5500 человек. Специалисты Trend Micro говорят, что злоумышленники, стоящие за сайтом, где вывешивается "грязное бельё" из браузеров зараженных компьютеров, ранее были замечены в деятельности, связанной с троянами ZeuS и Koobface.

webplanet.ru

[Forum Moderator]

В сети Yahoo! Messenger поймали очередного интернет-червя

Компания Symantec сообщает об обнаружении в сети обмена мгновенными сообщениями Yahoo! Messenger нового интернет-червя - W32.Yimfoca. Распространение вируса производится путем рассылки сообщений c ссылкой на веб-сайт, содержащий список файлов фотографий. Однако, вместо фотографий под несколькими расширениями, скрывается вирус.
После запуска W32.Yimfoca копирует себя каталог Windows под именем "infocard.exe" и прописывает этот файл в автозапуск под названием Firewall Administrating, включает файл в список разрешенных для Windows Firewall, а также предотвращает запуск системы автоматического обновления Windows Updates. Во время первого запуска, для демонстрации пользователю своей связи с обещанными в сообщении фотографиями, открывает общедоступную веб-страницу фотографий случайного пользователя из социальной сети MySpace. Далее, основная работа интернет-червя заключается в рассылки ссылок по списку контактов Yahoo! Messenger текущего пользователя. Но, в Symantec предупреждают о возможности удаленного управления червем, что позволяет злоумышленникам инициировать процесс загрузки любого вредоносного кода из сети Интернет, с последующим его запуском на скомпрометированной системе.

оригинал

[Forum Moderator]

Программа для проверки совместимости с Windows 7 оказалась Трояном

Злоумышленники инфицируют компьютеры пользователей троянской программой, замаскированный под софт для проверки совместимости компьютера с Windows 7, пишет PCWorld.

Данная атака была впервые обнаружена в воскресенье BitDefender и еще не получила широкого распространения - производитель антивирусов получает извещения о трех инсталляциях этой программы в час от пользователей из США. Каталин Косои (Catalin Cosoi), начальник лаборатории BitDefender по изучению онлайн-угроз, считает, что этот троян может инфицировать множество ПК. "Эта схема работает из-за интереса людей к Windows 7", - сказал он.

Для продвижения трояна с помощью электронных писем злоумышленники используют текст с описанием Windows 7 Upgrade Advisor, украденный с сайта Microsoft.

Пользователи, которые пытаются запустить программу из прикрепленного zip-файла, получают на свой компьютер троянскую программу, при помощи которой злоумышленник может получить доступ к компьютеру жертвы и производить в захваченной системе различные действия - например, устанавливать шпионское ПО для кражи информации. BitDefender идентифицирует эту программу как Trojan.Generic.3783603, такой же троян был недавно использован для заражения компьютеров членов социальной сети Facebook.

Каталин Косои отмечает, что пока число жертв трояна составляет несколько тысяч человек, однако скорее всего, их скоро станет намного больше.

По материалам: ЦИБ

[Forum Moderator]

Нашли способ обхода антивирусников

Об этом заявили ученые Якуб Бречка и Давид Матушек из команды веб-ресурса Matousek.com, им

Уязвимы продукты "Лаборатории Касперского", Dr.Web, Avast!, Sophos, ESET, MCAFFEE, Symantec, Panda и т. д.

Методика такова: на вход антивируса посылается безобидный код, проходящий все защитные барьеры, однако, до того как он начнет исполняться, производится его подмена на вредоносную составляющую. Ясно, замена обязана произойти строго в необходимый миг, однако на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда 1 поток не в состоянии проследить действия параллельных потоков. В результате может оказаться обманут фактически каждый Windows-антивирус.

Эксплойт работает в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Так как все современные средства защиты оперируют на уровне ядра, атака работает на 100%, при этом даже в том случае, если Windows запущена под учётной записью с ограниченными полномочиями.

При этом эксплойт требует загрузки крупного объёма кода на атакуемую машину, по этой причине он не применим, когда требуется сохранить скорость и незаметность атаки. Более того, злоумышленник должен располагать возможностью исполнения двоичного файла на целевом компьютере.

Методика может оказаться скомбинирована с классической атакой на уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не пробуждая подозрений у антивируса в истинности намерений. Ну а после хакер свободен и вовсе изничтожить все защитные барьеры, целиком удалив из системы мешающий антивирус.

tsn.ua

[Forum Moderator]

ESET защищает пользователей Яндекс.Бара от вредоносного ПО

Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает, что в рамках сотрудничества с компанией Яндекс в специальную версию панели Яндекс.Бар интегрирована утилита ESET Online Scanner. Каждый день около 30 000 человек устанавливают себе на ПК Яндекс.Бар с антивирусной защитой ESET.

ESET Online Scanner – это бесплатная программа, которая запускается через веб-браузер и позволяет обнаруживать и удалять вирусы, троянские и шпионские программы, а также другое вредоносное ПО на компьютере пользователя. В основе работы ESET Online Scanner лежит эвристическая технология ThreatSense™, которая является уникальным методом детектирования и обнаружения новых вредоносных программ, не отраженных в сигнатурной базе антивируса. ESET Online Scanner всегда использует актуальную сигнатурную базу.

Яндекс.Бар с антивирусной защитой ESET доступен пользователям триальных программ NOD32 и представляет собой панель для веб-браузеров с возможностью поиска в интернете, быстрым доступом к сервисам Яндекса, информерами погоды, курса валют и пробок на дорогах, а также функциями проверки орфографии и перевода слов на веб-страницах.

Для начала проверки компьютера на наличие вредоносного ПО пользователю Яндекс.Бара достаточно запустить ESET Online Scanner при помощи специальной кнопки на панели и указать параметры сканирования. Также пользователям Яндекс.Бара доступны функции быстрого доступа к контактам технической поддержки ESET, базе знаний, интернет-магазину ESET, разделу сайта, где можно скачать пробные и коммерческие версии программ ESET NOD32. Кроме того, в режиме реального времени пользователям доступен график глобальной вирусной активности.

«ESET Online Scanner ни в коем случае не заменит пользователю полноценного антивируса, - говорит Павел Потасуев, директор по ИТ российского представительства ESET. – Тем не менее, сканер позволяет удалить вредоносное ПО с уже инфицированного компьютера. А интеграция ESET Online Scanner в панель Яндекс.Бар делает доступ к передовым технологиям ESET максимально простым и удобным».

www.anti-malware.ru

[Forum Moderator]

В Сети обнаружен новый тип фишинговых атак!

Новый способ увода приватной информации отличается оригинальностью и элегантностью. Фишинговый сайт подменяет дизайн, когда пользователь «отворачивается» от него.
Аза Раскин, сын известного специалиста по компьютерным интерфейсам и юзабилити Джефа Раскина и руководитель подразделения User Expirience в Mozilla Labs, опубликовал в своем блоге сообщение о появлении совершенно нового типа фишинговых атак.
Напомним, что фишинг - это вид мошенничества, целью которого является получение у доверчивого пользователя разнообразной приватной информации. Обычно воруют пароли и логины к электронной почте или социальным сервисам. Но основная цель мошенников - это, конечно, доступ к банковским счетам или электронным платежным системам. Чаще всего для этого используют массовую рассылку писем с просьбой подтвердить свои данные. В письме указывается ссылка, которая ведет на поддельный сайт, неотличимый по дизайну от оригинального, или следует просьба выслать данные в ответе. Эта ловушка рассчитана на невнимательных и неопытных пользователей.
Описанный Раскиным способ отличается от «классического» не только своей оригинальностью, но и общей элегантностью подхода. Пользователь попадает на совершенно приличный с виду сайт. Он может зайти на него через поисковик, каталог или рекламу, другими словами, таким же образом, как он обычно попадает на новые для него сайты. На странице присутствует какая-то информация, достаточно полезная, чтобы пользователь оставил вкладку или окно браузера открытым.
Как только пользователь переключает внимание на другую вкладку, содержимое фишингового сайта меняется. На него «натягивается» интерфейс, например, почтового сервиса Gmail. Вместе с этим меняется заголовок окна и иконка сайта.
Через некоторое время пользователь, перебирая вкладки браузера, находит этот сайт, принимает его за настоящий Gmail и вводит туда свой логин и пароль, поскольку думает, что его просто «вылогинило». Введенные данные отправляются мошенникам, а сайт перенаправляет пользователя на настоящий Gmail, из которого он, возможно, даже не выходил.
Понятно, что вместо Gmail может использоваться другой сервис, включая практически любой российский. Скрипт, отвечающий за подмену дизайна, можно обучить слежению за историей посещений, чтобы он подставлял дизайн именно того сервиса, на который пользователь действительно ходит. В случае с платежными системами или интернет-банкингом пользователю можно показывать страницу с информацией о том, что время сессии истекло и для повторного входа нужно ввести все данные повторно.
У этого фишингового метода есть только один недостаток, который может уберечь пользователя от добровольной передачи приватных данных в чужие руки. Он заключается в том, что скрипт не способен подменить адрес. То есть во вкладке с фальшивым Gmail будет написан адрес исходного сайта, а не http://www.google.com/accounts... Но часто ли мы обращаем внимание на адрес, если сама страница выглядит так, как она должна?
Проверить свою внимательность можно прямо на сайте Аза Раскина. Если вы активный пользователь Gmail, то оставьте его открытым на некоторое время, а потом вернитесь и постарайтесь побороть желание ввести свои данные. Особо любопытные могут скачать исходный код скрипта, написанного на JavaScript.

Игорь Терехов aif.ru

[Forum Moderator]

Обнаружена хакерская сеть, торгующая ботами для атаки на социальные сети

Лаборатория PandaLabs обнаружила сеть, в которой продаются боты, специализирующиеся на социальных сетях и системах электронной почты. На общедоступной Интернет-странице выложен подробный каталог программ, нацеленных на сервисы электронной почты и социальные сети, включая Twitter, Facebook, Hi5, MySpace, MyYearBook, YouTube, Tuenti, Friendster, Gmail и Yahoo. К каждому боту прилагается объяснение цели создания данного бота: одновременное создание многочисленных аккаунтов в социальных сетях; кража персональных данных, друзей, поклонников и контактов; автоматическая отправка сообщений и др. Источник сообщает: «Все боты работают традиционным способом, они собирают ID/имена друзей и отправляют запросы на добавление в друзья, оставляют сообщения и автоматические комментарии». Луис Корронс, технический директор PandaLabs, сообщил: «Мы расследуем это дело, налицо еще один пример чрезвычайно выгодного бизнеса кибер-преступников – распространение вредоносного ПО. Каталог ботов для продажи – это всего лишь один из множества вариантов использования Интернет-угроз. Некоторые из представленных в каталоге ботов практически невинны, если можно употребить в данном контексте это слово (те, что создают аккаунты). Однако другие нацелены на мошенничество – они крадут персональные данные, фотографий и пр». Самый дешевый бот стоит от 95$, самый дорогой - 225$. Весь каталог ботов можно приобрести за 4500$. Создатели гарантируют, что ни одно решение безопасности не сможет обнаружить этих ботов, поскольку они специально были разработаны с учетом смены пользователей, агентов и заголовков так часто, как это необходимо для того, чтобы не быть обнаруженными. Также они умеют обходить механизм защиты CAPTCHA, присутствующий на многих сайтах, поэтому покупателю останется только установить параметры и позволить ботам работать самостоятельно. Кроме того, в стоимость включена функция постоянного обновления.

cybersecurity.ru

[Forum Moderator]

Самый полиморфный вирус

«Лаборатория Касперского» публикует «Обзор Virus.Win32.Virut.ce», который открывает серию статей «Сложные вредоносные программы». Автор материала — старший вирусный аналитик «Лаборатории Касперского» Вячеслав Закоржевский.

Модификация «ce» полиморфного заражающего вируса Virus.Win32.Virut на сегодняшний день занимает 2-ое место среди всех Virus.Win32.*.*, детектируемых на компьютерах пользователей. Это одна из наиболее распространённых вредоносных программ, которая проникает на незащищённые компьютеры пользователей и заражает исполняемые файлы.

В последние годы инфицирование исполняемых файлов стало среди вирусописателей непопулярно, поскольку уровень их обнаружения с помощью эмуляции достиг высокого уровня. Однако разработчики Virut.ce этого не испугались и реализовали сложные методы ухода от детектирования путём антиэмуляции и полиморфизма.

«Virut.ce интересен не столько своим вредоносным функционалом, который довольно банален, сколько разнообразием способов заражения файлов, полиморфизмом, обфускацией и т.д. До появления этой модификации Virut, практически не встречались вирусы, в которых были реализованы все те технологии, которые в нём используются. Встречаются сильно обфусцированные вредоносные программы, зловреды, использующие разнообразную антиэмуляцию, но в случае Virut.ce все эти механизмы работают в одном вирусе», — пишет автор статьи.

Код Virut.ce меняется при каждом заражении, используя механизм мутации, заложенный в самом вирусе. Кроме того, чтобы сбить детектирование, разработчики вредоносной программы дополнительно обновляют вирус в среднем раз в неделю. Virut.ce — единственный вирус, который изменяется подобным образом так часто. Мутирует не только тело вируса, но и его декрипиторы (расшифровщики).

В Virut.ce реализована технология сокрытия точки входа (Entry Point Obscuring), затрудняющая обнаружение точки перехода к телу вредоносной программы. При каждом заражении исполняемого файла применяется обфускация, что представляет ещё одну трудность при детектировании.

Несмотря на такую «многосторонность» вредоносной программы, в настоящее время все продукты «Лаборатории Касперского» успешно детектируют и удаляют Virus.Win32.Virut.ce.

kaspersky.ru/news?id=207733258

[Forum Moderator]

Новый USB-троян обладает легальной подписью

Эксперты антивирусной компании из Белоруссии "ВирусБлокАда" сообщили об обнаружении новой троянской программы, имеющей две необычные отличительные особенности. Во-первых, она распространяется через USB-накопители новым способом, а во-вторых, вредонос имеет легальную цифровую подпись компании Realtek. Традиционный способ распространения Windows-вирусов через флешки использует файл автозапуска autorun.inf. Таким умением, к примеру, обладает великий и ужасный Conficker, который уже второй год то и дело устраивает переполохи в различных локальных сетях. Новый же троянец использует уязвимость в обработке lnk-файлов, то есть файлов-ярлыков. Как сообщают белорусские специалисты, "пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление". При заражении компьютера в систему внедряются два sys-файла, которые призваны скрывать присутствие заражённых файлов в системе и на сменном накопителе. Особенность этих "драйверов" состоит в том, что они подписаны цифровой подписью компании Realtek Semiconductor Corp. Эксперт "Лаборатории Касперского" Александр Гостев проверил эту подпись на сайте Verisign и выяснил, что такой сертификат действительно был выдан на имя Realtek. Однако этот сертификат перестал действовать 12 июня. Примерно тогда же, 17 июня, вредонос впервые попал в поле зрения специалистов "ВирусБлокАда". Между тем, вредоносные файлы были подписаны ещё 25 января, в связи с чем Гостев высказывает гипотезу, что именно из-за этой подписи вирус "столь долгое время был «невидим» для антивирусных решений". "Все эти факты указывают на то, что в данном случае мы имеем дело с ситуацией, когда действительно кто-то обладающий возможностью подписывать файлы подписью от Realtek – сделал это: подписал троянца", — считает Гостев. Эксперт "Лаборатории Касперского" не взялся строить более конкретные предположения на этот счёт, но, очевидно, имеется два наиболее вероятных варианта: либо у вирусописателей имеется или имелся инсайдер в Realtek, либо они ухитрились пролезть в компьютерную сеть компании. Точнее может сказать только расследование при участии Realtek, однако здесь пока не отреагировали на уведомление, отправленное им специалистами "ВирусБлокАда". Что до уязвимости в обработке lnk-файлов, то Гостев также не исключает, что "это не баг, это фича", как было и в случае с AutoRun. Microsoft также получил извещение о проблеме, так что, "вероятно, в ближайшие дни мы узнаем истину", говорит Гостев. В "Лаборатории Касперского" новый троянец получил название Stuxnet.

anti-virus.by

[Forum Moderator]

Фальшивая Анджелина Джоли раздает троянов в торрентах

Файлообменщики, польстившиеся на фальшивый DVD-рип свежего шпионского триллера "Солт", стали жертвами трояна, распространяемого под видом видеокодека. Злоумышленники на сей раз решили сделать ставку на новую ленту с Анджелиной Джоли в роли агента, подозреваемого в шпионаже в пользу России. Копия триллера "Солт" уже появилась в файлообменных сетях, но о качественном изображении речи пока не идет. Поэтому не стоит удивляться, что находятся желающие скачать сомнительный MOV-файл со словом "dvdrip" в его имени.

При попытке просмотреть "фильм" через QuickTime Player никакого видео не воспроизводится, вместо этого пользователю предлагают сохранить или запустить некий "кодек", в действительности являющийся троянской программой.

Изначально специалисты по вирусам и антивирусам из компании Trend Micro заподозрили, что в данном случае эксплуатируется известная незакрытая уязвимость Windows-версии QuickTime Player 7.6.6. Но из фирмы по выращиванию яблок вскоре поступила нота протеста: представители Apple заверили, что в данном конкретном случае вредоносные MOV-файлы эту уязвимость не эксплуатируют. Злоумышленники, по словам яблочников, "полагаются на методы социального инженеринга с целью заставить пользователя скачать вредоносное ПО, замаскированное под видеокодек".

Заметим однако, что и сами создатели киноленты "Солт", подобно разнообразным вирусописателям, пользуются не самыми лучшими приемами для продвижения своей продукции. Например, Анджелина Джоли во время своего визита в Россию планировала встретиться со знаменитой "русской шпионкой" Анной Чапман и пригласить ее поучаствовать в презентации фильма. Собственно, и дата выхода фильма на экраны, и вовремя подправленный сценарий невольно наводят на мысль о наличии той или иной связи между шпионским скандалом и кинокартиной. Впрочем, если отбросить конспирологические теории и предположить наличие простого совпадения, приходится признать, что именно это совпадение превратило заурядный триллер в актуальную и довольно реалистичную историю, интерес к которой в результате подогревается вирусным образом.

Источник

[Forum Moderator]

Обнаружен первый СМС-троян для Android-смартфонов

«Лаборатория Касперского» предупреждает о появлении первого в мире трояна, поражающего коммуникаторы под управлением операционной системы Google Android.

Вредоносная программа FakePlayer проникает в ваше мобильное устройство под видом установочного APK-файла видеоплеера размером чуть меньше 13 кб. Если пользователь соглашается на его установку, троян внедряется в систему и начинает отсылать СМС на платные номера без ведома и согласия владельца аппарата. Таким образом, со счёта снимаются деньги, которые перечисляются киберпреступникам.

Эксперты отмечают, что вредоносная программа легко распознаётся. При установке она запрашивает разрешение на изменение либо удаление содержимого флеш-карты, отправку СМС, а также считывание идентификационных данных и информации о состоянии телефона. Очевидно, что подобный функционал вряд ли нужен для просмотра фильмов.

По оценкам компании Canalys, в настоящее время Android демонстрирует самые высокие темпы роста на рынке мобильных операционных систем. За год квартальный спрос на устройства с этой платформой подскочил в мировом масштабе на 886%.

Источник

[Forum Moderator]

ICQ-пользователей Удмуртии атаковал «говорящий» вирус Snatch

Ижевск. Удмуртия. Вирус под названием Snatch атаковал пользователей «аськи» в Удмуртии. Файл на 916,50 Кб приходит от знакомых контактов. Вирус создан для «кражи» ICQ-номеров. Он автоматически рассылает себя всему контакт-листу пользователя.
Приметы: вирус открывается в виде изображения планеты Земля в черном цвете, континенты «выкрашены» в ярко-зеленый.
На первый вопрос отвечает «глянь ))», на второй пост «ну мини игра типа», на посты со словом спам бот отвечает «где это видано чтоб спаммеры файлы слали?».
Не открывайте файлы с этим именем, если не хотите попрощаться со своим номером. Если Вы все же успели открыть его, немедленно меняйте пароль «аськи».

Источник

[Forum Moderator]

Грязные пальцы позволяют взломать парольную защиту Android

Специалисты из Пенсильванского университета смогли продемонстрировать чрезвычайно низкую надежность системы блокировки смартфонов, основанной на использовании индивидуальных графических ключей – последовательности росчерков, заранее задаваемой пользователем и необходимой для ввода при каждом включении устройства. Обладатели смартфонов на базе Android, в которых подобный механизм защиты от несанкционированного доступа предустановлен по умолчанию, оказались в зоне наибольшего риска. Несовершенство системы блокировки при помощи графических шаблонов заключается в том, что пользователи вынуждены неоднократно проводить пальцем по экрану для разблокировки аппарата, из-за чего на поверхности сенсорного слоя постоянно остаются жирные разводы определенной формы. Именно эти следы и могут выдать злоумышленникам ключ к содержимому смартфона. По данным исследователей, какой бы сложной ни была траектория, которую вычерчивают обладатели смартфонов на экранах своих аппаратов, почти всегда ее можно воспроизвести, просто взглянув на дисплей под определенным углом. Что интересно, даже если разводы частично стерты (например, вследствие длительного использования тачскрина), узнать заветный рисунок можно в подавляющем большинстве случаев. В лабораторных условиях ученым удавалось разблокировать смартфоны HTC G1 и Google Nexus One в 90% случаев, что наглядно доказывает уязвимость данной системы защиты. «Мы думаем, что атаки, основанные на распознавании жировых следов, являются лишь одним из векторов нападения на обладателей устройств с тачскринами, — заявляют авторы исследования. — В будущих работах мы займемся расследованием надежности других уязвимых устройств. Кроме того, мы изучим иные техники восстановления ключей, например на основе тепловых следов, остающихся на экране после прикосновения пальцев». Впрочем, в распоряжении владельцев устройств на базе Android есть несколько методов эффективной защиты данных, сохраненных в памяти их смартфонов. Самый простой из них – протирать экран после выключения, а самый рациональный – использовать альтернативные программы для блокировки экрана. Кроме того, в операционной системе Android 2.2 в дополнение к защите на основе графических ключей появились и традиционные системы блокировки – с использованием цифрового PIN-кода, а также традиционного символьного пароля.

Источник

[Forum Moderator]

Обнаружен способ переноса зловредного кода в PNG-изображениях

Эксперт «Лаборатории Касперского» сообщил об обнаружении достаточно интересного способа переноса и активации вредоносного программного с использованием PNG-файла в качестве контейнера. При открытии этого файла появляется изображение, которое призывает пользователя открыть файл в MS Paintе и пересохранить его в формате HTA. Такое действие является подозрительным, поскольку формат HTA отличается от HTML тем, что он работает в контексте отдельного приложения. Исходный файл картинки упакован алгоритмом deflate, в результате распаковки был получено неупакованное BMP-изображение. Однако кроме изображения в этом файле сразу за BMP-заголовком располагается скрипт, написанный на JavaScript. Таким образом, пересохранив файл в HTA и открыв его, пользователь фактически запустит этот скрипт.
Сам скрипт обладает крайне любопытным функционалом. Вначале он прописывается в автозагрузку, а затем обращается к разделу "random" популярного портала 4chan.org, выдёргивая из тем произвольные фразы. Далее с помощью встроенного EXE-файла происходит генерация новой картинки, в которой, помимо предложения о пересохранении в HTA, используются взятые с 4chan.org слова. (внизу текста)

Самым последним этапом является публикация полученного изображения в ту же самую ветку форума, из которой извлекались случайные слова. В этом скрипте используется оригинальный способ для обхода CAPTCHA. Он базируется на использовании популярных английский слов и сервиса RECAPTCHA от Google. По сути, никакой истинно вредоносной нагрузки для пользователя этот зловред не несёт, но сам факт распространения и внесения изменений в систему не является легальным. Очень интересным оказался механизм переноса скрипта в запакованной PNG-картинке. Совершенно непонятно, какую цель преследовали разработчики данной поделки. Возможно, им хотелось продемонстрировать возможный способ скрытого переноса вредоносного кода.

Источник