Перейти к содержимому


Фотография

Разновидности вирусов. Вредоносное ПО.


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 84

#41 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 22 Декабрь 2010 - 01:45

Secunia PSI 2.0 держит систему в тонусе

Компания Secunia объявила о выходе финальной версии универсального апдейтера PSI 2.0, предназначенного для индивидуального использования.

Новый бесплатный продукт ориентирован, в первую очередь, на среднестатистического неискушенного пользователя, которого заботит проблема поддержания всех компонентов системы в актуальном состоянии. Secunia PSI 2.0 автоматически отслеживает незакрытые уязвимости в типовых приложениях и плагинах, установленных под ОС Windows, — таких, как Adobe Flash Player, Adobe Reader, Sun Java, Skype, Firefox. По выбору пользователя необходимые «заплатки» будут загружаться с сайта вендора и устанавливаться также без ручного вмешательства.

Инструмент успешно прошел этап бета-тестирования, в котором приняли участие более 90 тыс. добровольцев. За это время PSI 2.0 установил в фоновом режиме свыше 385 тыс. патчей, залатав критические дыры в половине резидентных Sun Java, в 37% Adobe Flash Player и 24% Adobe Reader.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#42 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 26 Декабрь 2010 - 12:40

Удаление Trojan-Ransom.Win32.Krotten своими руками

В отличие от SMS-вымогателей, блокирующих загрузку системы без её повреждения, вымогатели данного семейства достаточно радикально повреждают саму систему, и после этой операции присутствие троянца и его автозапуск уже не важны. С другой стороны, повреждения обратимые, так как большинство из них делается путем правки реестра. Типичная «плата за спасение» составляет $10.

Рассмотрим в качестве примера конкретную разновидность — Trojan-Ransom.Win32.Krotten.hu. Исполняемый файл вредоносной программы имеет размер 139 КБ. Иконка файла визуально похожа на иконку самораспаковывающегося RAR-архива. В случае запуска данная вредоносная программа выполняет набор операций, характерный для всего семейства Krotten:

Создает политику ограниченного использования программ (ключ реестра [Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun\]), блокируя запуск всех приложений, кроме thebat.exe, msimn.exe, iexplore.exe, MyIE.exe, Maxthon.exe, sbrowser.exe, absetup.exe, avant.exe, Photo.exe, notepad.exe, WinRAR.exe и WINZIP32.EXE.
Блокирует запуск UsbStor (это важный системный драйвер — «Драйвер запоминающих устройств для USB»), нарушая тем самым работу с flash-накопителями.
«Безобразничает» с настройками «Проводника» (в частности, отключает отображение меню «Пуск» > «Выполнить»).
Создает массу политик безопасности для ограничения доступа пользователя к настройке системы и ограничивает почти весь функционал браузера.
Подменяет стартовую страничку Internet Explorer (на ссылку на страницу сайта poetry.rotten.com) и заголовок окна IE (на нецензурную брань).
Отключает контекстное меню у системных папок.
Удаляет папку «Общие документы» из папки «Мой компьютер» (физически папка не удаляется — производится только удаление {59031a47-3f72-44a7-89c5-5595fe6b30ee} из ключа реестра [SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\]).
Включает вывод оповещения о нехватке свободного места на диске. Обычно это оповещение выводится, когда на HDD свободно менее 1% объёма диска. В результате действий Krotten это сообщение выводится всегда.
Нарушает отображение обоев рабочего стола.
Создает нестандартную маску форматирования времени в региональных настройках, что приводит, в частности, к отображению в трее нецензурного слова вместо часов и нарушает работу всех программ, отображающих время сообразно системным настройкам форматирования.
Создает сообщение, отображаемое в ходе перезагрузки системы: заголовок — DANGER, текст — вымогательство $10 или 500 рублей за восстановление ПК.
Блокирует политиками запуск редактора реестра и диспетчера задач.
Пытается создать копии своего исполняемого файла под именами C:\WINDOWS\Provisioning\Schemas\lsass.exe и C:\WINDOWS\WinSxS\Manifests\explorer.exe.
Нарушает возможность импорта REG-файлов путем уничтожения ключа реестра [regfile\shell\open\command].
Нарушает отображение и открытие дисков в проводнике.
Создает пустые каталоги на системном диске с именами DOS и VISTA. При этом устанавливает атрибуты скрытый и системный папкам «Documents and Settings», «Program Files» и WINDOWS.

После выполнения данных операций троян отображает окно с требованием выкупа:
Изображение

Поражённый компьютер после перезагрузки выглядит следующим образом: обои рабочего стола смещены влево, иконок на рабочем столе нет, меню свойств рабочего стола не работает, меню «Пуск» урезано буквально до нуля, редактор реестра и диспетчер задач блокированы, в проводнике не отображаются HDD, в ходе перезагрузки выводится сообщение с требованием выкупа (в нём указана сумма и контактный email).

Тем не менее, всё не так плохо, и работу системы можно восстановить.

Для начала можно запустить «Проводник» через меню, вызываемое при нажатии правой кнопки мыши над кнопкой «Пуск», либо нажав сочетание клавиш Win+E. Получить доступ к диску из него не удастся, но запустить программу с разрешённым именем (см. п. 1 выше), в принципе, можно. Однако чтобы не угадывать имя (набор разрешенных программ может меняться в различных модификациях троянца, да и скачать нужную программу будет проблематично), достаточно выполнить следующие операции:

Загрузить систему в «защищенном режиме с поддержкой командной строки».

В открывшемся после загрузки окне консоли набрать команды:


REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer


После каждой команды следует нажать «ввод»: будет выдан запрос подтверждения удаления ключа реестра, на который следует ответить утвердительно, нажав Y.

Далее можно запустить «Проводник», выполнив команду explorer.exe. Ограничения «Проводника» при этом уже не будут действовать и, как следствие, можно будет запустить из «Проводника» любое приложение и открыть любой диск.

Запустить AVZ, AVPTool или Kaspersky Internet Security и выполнить в них следующий скрипт:


var
i : integer;
Begin
For i := 1 to 9 do
ExecuteRepair(i);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\UsbStor', 'Start', 1);
RegKeyStrParamWrite('HKCU', 'Control Panel\International', 'sTimeFormat', 'H:mm:ss');
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\parameters', 'DiskSpaceThreshold');
RegKeyCreate('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}');
ExecuteWizard('TSW', 2, 3, true);
DeleteDirectory('%SysDisk%\DOS');
DeleteDirectory('%SysDisk%\VISTA');
ExecuteFile('attrib -R -S -H "'+NormalFileName('%WinDir%')+'"', '', 1, 10000, true);
ExecuteFile('attrib -R -S -H "'+NormalFileName('%PF%')+'"', '', 1, 10000, true);
ExecuteFile('attrib -R -S -H "'+NormalFileName('%ProfileDir%')+'"', '', 1, 10000, true);
RebootWindows(true);
end.

В результате работоспособность компьютера будет восстановлена, а последствия заражения Trojan-Ransom.Win32.Krotten — ликвидированы.

Радуйтесь людям. Радуйтесь всему. Это Россия!


#43 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 04 Январь 2011 - 04:52

Еще один троянец-вымогатель - теперь в MBR

Этот вымогатель шифрует пользовательские файлы криптоалгоритмами RSA-1024 и AES-256. Мы продолжаем наши исследования данной вредоносной программы и сообщим о всех изменениях.

Но GpCode.ax – не единственный троянец-вымогатель, найденный нами за последние сутки. Мы также обнаружили вредоносную программу, которая перезаписывает главную загрузочную запись (MBR) и требует деньги для получения пароля, необходимого для восстановления оригинального MBR. Вредоносная программа детектируется нами как Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a. Другая вредоносная программа Trojan.Win32.Oficla.cw ответственна за загрузку нового вымогателя на машину жертвы.

Если Seftad.a был загружен и запущен, инфицированный компьютер перезагрузится, после чего на экране появится следующее сообщение:
Изображение

Жертве неизвестен пароль для разблокировки, поэтому если пользователь три раза введет пароль неправильно, зараженная машина перезагрузится и на экране опять появится это сообщение.

Введенные символы считываются с помощью int 16h, после чего следующая процедура считает значение и сравнивает его с хэшем размером в 2 байта:
Изображение

К счастью, жесткий диск или файлы не шифруются (автор вредоносной программы утверждает обратное). Этот вымогатель только перезаписывает оригинальный MBR на свой:
Изображение

Оригинальная главная загрузочная запись сохраняется в четвертом секторе жесткого диска вместе с маркером зловреда, лежащего по смещению 0x9FE:
Изображение

При посещении вредоносного веб-сайта пользователя попросят заплатить $100 с помощью «Paysafecard» или «Ukash».

Если вы заразились этой вредоносной программой, то ни в коем случае не посещайте данный сайт. Вы можете воспользоваться нашим бесплатным сервисом разблокировки. В поле «Номер телефона» введите «Seftad» (без кавычек!) или указанный зловредом ID; поле «Текст смс» оставьте пустым. Нажав на кнопку «Получить код разблокировки», вы увидите пароль, который необходимо ввести. Если пароль не подошел, то вы можете восстановить оригинальный MBR с помощью Kaspersky Rescue Disk 10.

Радуйтесь людям. Радуйтесь всему. Это Россия!


#44 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 24 Январь 2011 - 02:24

Secunia: своевременная установка патчей — залог здоровья платформ Windows

Согласно статистике Secunia, в минувшем году количество уязвимостей в 50 программных продуктах, которые широко используют владельцы ПК под ОС Windows, увеличилось более чем на 70%. Свыше двух третей из них — бреши в приложениях сторонних разработчиков.

В зависимости от установленной ОС (XP, Vista или Windows 7) число уязвимостей, обнаруженных за год, составило, по данным Secunia, 709-729. На долю самой ОС пришлось 13%, прочих программ Microsoft — 18%. По свидетельству экспертов, на типовом ПК под Windows обычно присутствуют 26 продуктов MS, включая саму ОС, и 24 инструмента от 13 других вендоров. В ТOP 50 программ, снискавших популярность у пользователей Windows, Secunia включила те, уровень распространения которых составляет не менее 24%. Восемь из них, в том числе Internet Explorer, .NET Framework, Sun/Oracle Java, Adobe Reader и Adobe Flash, установлены на 80% машин.

По данным Secunia, для половины уязвимостей, объявившихся в прошлом году, патч уже существовал на момент публикации. Многие из остальных разработчики закрывали в течение последующего месяца. Как показали результаты сканирования, проведенного с помощью Secunia PSI в 4-м квартале, подавляющее большинство «заплаток» от MS были установлены вовремя. Непропатченными оказались менее 2% программ этого вендора, функционирующих на типовом ПК. Что касается сторонних приложений, доля уязвимых на такой машине составила 7-12%. Похоже, многие пользователи все еще недооценивают важность своевременного латания дыр и не осознают, что современные злоумышленники предпочитают открывать ларчик Windows через бреши в ПО третьей стороны.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#45 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 05 Февраль 2011 - 04:37

SpyEye расширил окоем

Специалисты по сетевой безопасности зафиксировали появление нового SpyEye, обладающего дополнительными возможностями. Похоже, некоторые их этих усовершенствований были позаимствованы из арсенала «Зевса».

В середине января эксперты McAfee обнаружили в хакерском Зазеркалье рекламу некого билдера, который позиционируется как результат марьяжа SpyEye и ZeuS. Судя по перечню опций, этот кентавр, как и его «олимпийский» донор, умеет мгновенно связываться с хозяевами через Jabber-клиент и обходить аппаратные средства аутентификации с помощью специального VNC-модуля. Он также снабжен автоматизированными средствами обновления и распространения.

Исследователи из Trend Micro раздобыли образец модифицированного SpyEye, правда, несколько иной версии. Как оказалось, этот гибрид способен на лету подделывать веб-страницы, воспроизводимые в окне IE или Firefox, и проверять украденные номера кредиток подсчетом контрольной цифры (по алгоритму Луна). Для него также предусмотрена опция обхода системы безопасности Rapport компании Trusteer, к которой подключены многие банки. Правда, Trusteer, ознакомившись с методикой, избранной вирусописателями (снятие блокировки html-инъекций), заверила, что Rapport умеет отражать такие атаки.

Являются ли все эти нововведения подтверждением сделки, якобы состоявшейся между владельцем исходников SpyEye и автором ZeuS, неизвестно. Trend Micro обнаружила два активных сервера, поднятых на базе нового SpyEye. KSN детектирует эту версию как UDS:DangerousObject.Multi.Generic.

Радуйтесь людям. Радуйтесь всему. Это Россия!


#46 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 08 Март 2011 - 05:17

Кейген с секретом

Несколько дней назад мы обнаружили новую вредоносную программу, названную ее авторами Kaspersky Trial Resetter и выдающую себя за утилиту для продления пробного периода антивирусных продуктов «Лаборатории Касперского».

Зловред детектируется нами как Trojan-PSW.MSIL.Agent.wx. В настоящий момент только два производителя антивирусного ПО, включая «Лабораторию Касперского», детектируют эту программу. В данном случае фокус в том, что вместо обещанного продления пробного периода троянец крадет информацию, хранящуюся на вашем компьютере – пароли, сохраненные браузером и другими приложениями.

Если верить заголовку PE-файла, эта вредоносная программа была создана 31 января 2011 года. При этом первые сообщения о заражении появились 6 февраля.

Насколько успешным может быть такой зловред? Судите сами:
Изображение
Количество заражений в день

За 23 дня троянцем, крадущим пароли, в общей сложности были заражены 1109 компьютеров, что составляет в среднем 48 заражений в день.

В пятерку стран-лидеров по количеству заражений вошли:
Изображение
А что можно сказать о типе украденных аккаунтов?
Изображение

Среди украденных этой вредоносной программой данных – сотни паролей к аккаунтам на сайтах хостинг-провайдеров, интернет-магазинов, интернет- и мобильных провайдеров, социальных сетей (LinkedIn, Twitter, Facebook, MySpace etc.), а также к системам электронной почты, блогам, банковским сервисам, сервисам мгновенного обмена сообщениями, онлайн-играм и т.д.

Ниже представлены данные о браузерах, ставших мишенью этой вредоносной программы, и о количестве пострадавших пользователей:
Изображение

Специалисты «Лаборатории Касперского» связались с хостинг-провайдером, на чьих серверах была размещена вредоносная программа, который закрыл и удалил аккаунты злоумышленников. Надеюсь, что приведенная статистика убедительно свидетельствует против загрузки пиратских программ: компьютеры 1109 пользователей, которые хотели взломать защитное решение, в результате были заражены вредоносным ПО.http://www.securelist.com/ru/blog/40304/Keygen_s_sekretom_2#comments

Кроме того, очевидно, что сохранение паролей в браузере – тоже не лучшая идея. Разумнее воспользоваться программой для управления паролями, такой как Kaspersky Password Manager, которая хранит все ваши пароли в зашифрованном виде и обеспечивает их защиту от подобных атак.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#47 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 10 Март 2011 - 10:00

На некоторых сайтах в Рунете, распространяющем ПО для смартфонов и КПК появились жалобы на то, что практически все новые CAB-файлы (установочные архивы для смартфонов с ОС Windows Mobile) содержат «лишних» 2 исполняемых файла. Причем оба файла встречались в архивах с совершенно разными программами или играми.

Неудивительно, что оба файла оказались вредоносными. Первый файл, устанавливающийся в систему с именем srvupdater1.exe, на самом деле является троянцем-загрузчиком, детектируемым нами как Trojan-Downloader.WinCE.MobUn.a. Второй файл (устанавливается в систему под именем msservice.exe) оказался SMS-троянцем, который детектируется как Trojan-SMS.WinCE.MobUn.a.

Оба троянца получают параметры для своей работы с URL’а вида http://m*******t.ru/...p?******=param.

Trojan-SMS.WinCE.MobUn пытается соединиться с данным URL’ом и, в случае успеха, загружает информацию с приведенной выше ссылки. Загружаемые данные имеют следующий вид:
param1 = 9;
param2 = 1;
param3= 1121;
param4= 2*************s;
param5=.

Где param1 – интервал между SMS-сообщениями; param2 – версия троянца; param3 – номер, на который будут отправляться SMS-сообщения (в данном случае сообщения отправляются на номер 1121, каждое стоит 3,5 рубля); param4 – текст SMS-сообщения; param5 – URL для загрузки новой версии троянца.

На момент написания данного блога param5 по-прежнему был пуст.

Что же касается загрузчика Trojan-Downloader.WinCE.MobUn, то он загружает ту же самую информацию с того же самого URL’а, однако данному зловреду интересен именно param5. Если он не пуст, то троянец загружает по указанной в param5 ссылке новую версию Trojan-SMS.WinCE.MobUn, после чего удаляет старую версию SMS-троянца, а новую запускает на исполнение:
Изображение

Мы уже видели SMS-троянцев, которые загружают информацию для своей работы с удаленного сервера злоумышленников. Еще в 2008 году мы встречали зловредов для мобильных устройств, которые осуществляют попытки загрузки новых файлов с удаленного сервера(Worm.WinCE.InfoJack был первопроходцем). Однако появление троянца-загрузчика и SMS-троянца, работающих в одной связке, является новым шагом в эволюции вредоносных программ для мобильных устройств.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#48 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 21 Апрель 2011 - 02:01

Фальшивый антивирус: странный маркетинговый ход

В домене .co.cc, в последние несколько месяцев замусоренном вредоносными субдоменами, в которых размещены страницы экплойтов и вредоносные Java-приложения, теперь появились и страницы фальшивого антивируса BestAntivirus2011.exe.
Изображение

То, что с многочисленных субдоменов .co.cc распространяются фальшивые антивирусы, для вирусных аналитиков не новость. Тем не менее, из десятков тысяч обнаруженных за сутки страниц лже-антивирусов, размещенных в этом домене, одно имя показалось нам интересным, а именно — antispyware-macbook(dot)co(dot)cc. Такой маркетинговый выверт необычен даже для этих ребят. Означает ли это, что идет работа над еще одним зловредом для Apple? Возможно. Я пока в этом сомневаюсь, поскольку платформа Windows все еще доминирует, и данный распространитель зловредов до сих пор упорно писал вредоносные программы именно для Windows. Тем более странно, что Fast Windows Antivirus 2011 — «быстрый Windows-антивирус 2011» — распространяется с доменов, в именах которых присутствует слово macbook.

Так или иначе, группа злоумышленников, использующая эти домены, исхитрилась устроить так, что рекламные баннеры, ведущие на ее сайты в домене .co.cc, распространяются крупными рекламными сетями. Ниже представлен неполный список слов, использованных в названиях субдоменов, с которых в последние сутки-другие распространяется Bestantivirus2011.exe. Отметим, что хостинг на этих субдоменах невероятно дешевый или вовсе бесплатный. Пользователям, заходящим на такие сайты, демонстрируется стандартная страшилка "Your computer is infected!" («Ваш компьютер заражен!») и сообщение "Windows Security has found … on your system and will perform fast scan of system files" («Windows Security обнаружил … в вашей системе и выполнит быструю проверку системных файлов»):

antispyware-companies
antispyware-shqip
antispyware-sw
antispyware-review
antispyware-trends
antispyware-sdk
antispyware-sweep
antispyware-programme
r antispyware-information
antispyware-sdat
antispyware-palsu
antispyware-ansav
antispyware-rogue
antispyware-advanced
antispyware-antivir
antispyware-trend
antispyware-sentry
antispyware-sales
antispyware-troyano
antispyware-seller
antispyware-ranking
antispyware-gpl
antispyware-priority
antispyware-com
antispyware-market
antispyware-telefon
antispyware-keys


На данный момент эти страницы детектируются как Hoax.HTML.Fakeantivirus.y, однако в последние несколько месяцев варианты зловреда быстро сменяли один другой. Не похоже, что эти страницы связаны с Lizamoon (хотя какое-то пересечение возможно) — ходят слухи, что Lizamoon уже прикрыли, а описываемый здесь фальшивый антивирус в данный момент активно распространяется. Специалисты, возможно, обратят внимание на то, что загружаемый при заражении компьютера компонент передает заклинание "BOMBARDAMAXIMUM" из «Гарри Поттера» в качестве аргумента командной строки.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#49 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 04 Май 2011 - 12:49

Никто не застрахован

KrebsOnSecurity.com сообщает о появлении версии троянца SpyEye, способной перехватывать информацию, которую пользователи вводят в веб-формы через Google Chrome или Opera.

Эти дополнительные возможности реализованы в версии 1.3.34 в виде опций. Аналогичные модули для ZeuS и SpyEye уже имеют хождение на подпольном рынке, но все они совместимы или с IE, или с Firefox. Без них троянец лишь тупо регистрирует каждое нажатие на клавиатуре и отсылает хозяину большие объемы разнообразной информации, в которых очень трудно отыскать то, что интересует его больше всего, ― персональные идентификаторы и банковские реквизиты. Использование специализированных модулей позволяет значительно урезать этот поток, ограничив активность кейлоггера веб-формами.

Случается, что по соображениям безопасности пользователи переходят с IE или Firefox на альтернативные браузеры, доля рынка которых не столь велика. Все давно уразумели: чем популярней продукт, тем большим вниманием он пользуется у злоумышленников. Появление новых зловредных плагинов для SpyEye наглядно демонстрирует, что в условиях непрерывной эволюции киберугроз простая смена ПО не может служить панацеей от злоумышлений. Гораздо важнее держать в тонусе рабочий софт, и во всех действиях, связанных с усовершенствованием системы, руководствоваться здравым смыслом.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#50 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 16 Май 2011 - 01:43

AV-Comparatives: что хочет пользователь от антивируса?

Некоммерческая организация AV-Comparatives, специалист по независимому тестированию антивирусов, попыталась определить, на какие аспекты обращает внимание рядовой пользователь при оценке таких продуктов.

С этой целью с 15 декабря по 15 января среди визитеров веб-сайта AV-Comparatives.org был проведен опрос. Исследователи сразу отмели анкеты, заполненные представителями антивирусной индустрии, отобрав для анализа немногим более 1 тыс. валидных ответов. Почти половина респондентов оказались европейцами, четверть ― азиатами, 18% жителями Северной Америки. У 29,7% из них установлена Windows XP SP3, у 30,1% ― 64-битная Windows 7, у 26,4% 32-битная Windows 7. 41,6% использует Firefox, 29,9% — IE, 18,7% Chrome, 7,4% Opera. Около половины опрошенных пользуются бесплатным антивирусом.

В ведущую десятку антивирусов, параметры которых интересуют участников опроса, вошли (в порядке убывания) Avira, avast!, Kaspersky, Microsoft, ESET, Symantec, AVG, BitDefender, Panda и McAfee. Главным показателем 84% респондентов назвали уровень детектирования при сканировании по требованию (в анкете AV-Comparatives предлагалось выбрать 4 наиболее важных теста из 12-ти). 57,4% проголосовали за «ретроспективный» тест, позволяющий проверить, как защитные продукты обнаруживают неизвестные угрозы (zero-day). 52,4% опрошенных интересовали результаты по лечению активного заражения, 51,3% ― скорость сканирования, 40,4% комплексная эффективность (динамический тест), 31,6% ложные срабатывания. Защита от спама, обнаружение PUP и проверка на основе Wildlist оказались непопулярными.

Судя по результатам опроса, большинство пользователей пока предпочитают простые антивирусные решения, без подключения к «облаку», требующему наличия постоянной связи с интернетом. При этом такие составляющие, как стоимость, качество техподдержки, рейтинг вендора и самого продукта, удобство использования ― даже быстродействие, не столь уж важны. Интерактивная связь с системой безопасности, которую около трети респондентов считают слишком навязчивой, тоже не вызывает особых проблем: 42% пользователей просто игнорируют предупреждения о ненадежности скачиваемого файла, доверяя заботу о нем резидентному антивирусу.

Среди пожеланий, которые участники опроса адресовали антивирусным вендорам, 77,1% касались воздействия защитного продукта на общую производительность системы. 74,6% опрошенных высказались за улучшение лечебных свойств антивирусных решений, 70,8% ― за повышение проактивной защиты (без участия «облака»). 63,8% были недовольны уровнем детектирования, 55,9% ― количеством ложных срабатываний, 40,6% скоростью сканирования по запросу.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#51 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 18 Май 2011 - 08:21

Спам-патруль май 2011 года

На майские праздники доля спама в Рунете составила 80,2%. Это почти на 4 процента меньше, чем в последнюю неделю апреля.

Как мы уже привыкли в последнее время, лидирует тематика «Образование». Такой спам составил 52,7% - это чрезвычайно много, но все же на 11,6% меньше, чем на позапрошлой неделе. Не наблюдаем ли мы тенденцию к снижению количества «образовательного» спама? Посмотрим на следующей неделе.

За «образовательным» спамом идет тематика «Другие товары и услуги» (17,6%) и «Отдых и путешествия» (6,7%).

Несколько выросла доля спама, рекламирующего разнообразные услуги по ремонту - на 4,2%. На этой неделе доля таких писем составила 6%.

Источник

Радуйтесь людям. Радуйтесь всему. Это Россия!


#52 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 23 Июнь 2011 - 01:51

BackDoor.Olyx позволяет злоумышленникам управлять «маками»

Специалистам компании «Доктор Веб» – ведущего российского разработчика средств информационной безопасности – удалось выявить новую угрозу для компьютеров, работающих под управлением Mac OS X. BackDoor.Olyx стал вторым известным бэкдором для данной операционной системы. Заражая «мак», эта вредоносная программа дает злоумышленникам возможность управлять компьютером без ведома его владельца: принимать с удаленного сервера команды создания, переноса, переименования, удаления различных файловых объектов, а также некоторые другие директивы.

Количество вредоносных программ под «маки» невелико, особенно по сравнению с угрозами для Windows. Так, бэкдор для Mac OS X до сих пор был известен только один — BackDoor.DarkHole. Эта программа имеет версию как для Mac OS X, так и для Windows. Запускаясь в операционной системе, она позволяет злоумышленникам открывать на зараженной машине веб-страницы в используемом по умолчанию браузере, перезагружать компьютер и удаленно выполнять различные операции с файловыми объектами. Теперь в вирусной базе Dr.Web к BackDoor.DarkHole присоединился BackDoor.Olyx.
Проникая на компьютер пользователя в виде приложения, предназначенного для «маков» с Intel-совместимой архитектурой, вредоносная программа BackDoor.Olyx создает на диске папку /Library/Application Support/google/, в которую сохраняет файл с именем startp. Затем BackDoor.Olyx размещает в домашней директории файл /Library/LaunchAgents/www.google.com.tstart.plist, с помощью которого после перезагрузки системы запускает данный вредоносный объект.
Изображение

Вслед за этим программа перемещает себя во временную папку под именем google.tmp с целью удалить исполняемый файл из места его первоначального расположения. Как следует из названия угрозы, BackDoor.Olyx реализует на инфицированном «маке» функционал бэкдора, включающий в себя скачивание и запуск вредоносных файлов на зараженной машине и выполнение различных команд через оболочку /bin/bash. Таким образом, злоумышленники могут получить возможность управления зараженным компьютером без ведома пользователя.
Пользователи Dr.Web для Mac OS X могут быть спокойны за безопасность своих компьютеров, поскольку сигнатура данной вредоносной программы уже добавлена в вирусные базы Dr.Web. В целях противодействия заражению бэкдором BackDoor.Olyx пользователям Dr.Web для Mac OS X рекомендуется включить автоматическое обновление антивируса, а также производить периодическое сканирование дисков.

Радуйтесь людям. Радуйтесь всему. Это Россия!


#53 IvanDrago

IvanDrago

    Мастер

  • Пользователи+
  • PipPipPipPipPipPipPip
  • 254 сообщений

Отправлено 16 Июль 2011 - 11:39

А вот мне интересно. Когда-то давно, еще в школе пугали вирусом, который может передать финансовую информацию с компьютера хакеру и ваши деньги уйдут. Такой вирус существует?

#54 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 15 Август 2011 - 02:04

Win32.Induc.2 — новый троянец в среде Delphi

Win32.Induc.2 написан на языке Delphi. Троянец прописывает ярлык своего исполняемого файла в стандартной папке автозагрузки Windows под именем APMV и снабжает его случайным ярлыком. Стартовав при следующем запуске операционной системы, Win32.Induc.2 выполняет поиск папки, в которую установлена среда разработки Delphi, записывает копию самого себя в файл defines.inc и модифицирует файл sysinit.pas таким образом, что при запуске инфицированной программы троянец сохраняется в файле с именем ~.exe и запускается на выполнение.
Затем Win32.Induc.2 осуществляет пересборку модуля sysinit, вслед за чем возвращает содержимое папки Source в исходное состояние с целью затруднить определение присутствия вредоносной программы в системе. Полученный в результате компиляции dcu-файл троянец помещает в папку /lib, что приводит к заражению всех создаваемых пользователем Delphi программ.

Троянец пытается отыскать и заразить все копии среды разработки Delphi, расположенные на дисках инфицированного компьютера. Одновременно с этим Win32.Induc.2 осуществляет мониторинг запущенных процессов и автоматически завершается, если пользователь пытается открыть окно Диспетчера задач.
Как уже упоминалось, данная модификация троянца несет определенную функциональную нагрузку, которая реализована весьма любопытным образом. Во вредоносном файле «зашито» несколько URL, ссылающихся на «аватарки» пользователей ряда интернет-форумов. Внутри самих «аватарок», в свою очередь, скрыта закодированная строка, содержащая другой URL, по которому троянец скачивает с удаленного узла зашифрованный exe-файл. Таким образом, в Win32.Induc.2 реализована функция загрузки и запуска исполняемых файлов, способных нанести вред операционной системе.

drweb.com


Радуйтесь людям. Радуйтесь всему. Это Россия!


#55 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 25 Август 2011 - 02:05

Количество модификаций троянца Android.SmsSend увеличилось в десять раз с начала года и на 36% — в августе

Исследования аналитиков компании «Доктор Веб» показывают, что авторы троянцев семейства Android.SmsSend, известного с августа 2010 года, используют ту же мошенническую схему, которая применяется при распространении Trojan.SmsSend для настольных ПК.
Жертва скачивает с одного из веб-сайтов нужное ей приложение. Например, браузер для мобильных устройств Opera Mini. В процессе его инсталляции на экране неожиданно появляется предложение отправить несколько СМС на короткий номер для продолжения установки. В ответ пользователь обычно получает ссылку и пароль, который необходимо ввести в соответствующую форму на сайте злоумышленников. После этого ему предоставляется возможность полностью загрузить требуемую программу. Суть мошенничества заключается в том, что, если бы изначально пользователь обратился не на веб-страницу злоумышленников, а на сайт разработчиков соответствующего ПО, то он мог бы скачать это приложение совершенно бесплатно.
Изображение

Существование большого числа модификаций Android.SmsSend объясняется примитивностью этих вредоносных программ с точки зрения архитектуры, а также простотой их изготовления для вирусописателей.
Помимо этого, существуют так называемые «партнерские программы» и специальные конструкторы, с помощью которых любой школьник может создать собственную версию Android.SmsSend, не обладая даже базовыми навыками программирования. На начало 2011 года в вирусных базах Dr.Web значилось всего шесть модификаций данного троянца, а на текущий момент их насчитывается уже 60. Иными словами, только за истекшие семь с половиной месяцев количество версий Android.SmsSend выросло в десять раз. Резко возросло и число новых модификаций этой вредоносной программы, присланных в вирусную лабораторию компании «Доктор Веб» в августе 2011 года, — всего с начала месяца выявлено 22 неизвестные ранее версии троянца против среднего показателя, составляющего 5–7 новых детектов в месяц. Таким образом, можно говорить о 36-процентном росте числа версий данной угрозы только в августе 2011 года.
Очевидно, что столь резкое увеличение количества вариаций Android.SmsSend обусловлено выгодностью для вирусописателей финансовой модели, включающей производство и распространение этих троянцев, а также прибылью, получаемой от беспечных пользователей, мобильные устройства которых оказались инфицированы. Вполне вероятно, что указанная тенденция будет сохраняться и в дальнейшем.

Вирусописатели периодически изменяют исходный код своих приложений с целью избежать детектирования их творений антивирусным ПО. В настоящее время программы Dr.Web для Android Антивирус + Антиспам и Dr.Web для Android Light используют уникальную технологию Origins Tracing™, позволяющую автоматически детектировать подобные угрозы и их модификации. Пользователям мобильных устройств, работающих под управлением ОС Android, рекомендуется предварительно поискать в Интернете информацию о приложениях, которые они планируют установить, и, если такие приложения распространяются бесплатно, не отправлять никаких сообщений на предлагаемые злоумышленниками телефонные номера. Кроме того, можно обезопасить себя от установки вредоносного ПО, загружая его только из проверенных источников, таких как официальный Android Market.

drweb.com


Радуйтесь людям. Радуйтесь всему. Это Россия!


#56 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 01 Сентябрь 2011 - 01:59

Trojan.Fakealert.23300 борется с антивирусами

Вредоносные программы семейства Trojan.Fakealert известны уже довольно давно, в настоящее время в вирусных базах Dr.Web насчитывается более 24 тысяч модификаций данного троянца. Традиционно Trojan.Fakealert представляет собой лжеантивирус, при запуске сообщающий пользователю о наличии на его компьютере вредоносного ПО, для удаления которого требуется приобрести платную версию этого «продукта». В большинстве случаев никаких вредоносных программ, кроме самого Trojan.Fakealert, на машине жертвы нет. Разновидностей подобных лжеантивирусов, отличающихся названием, оформлением и количеством «определяемых» ими «угроз», существует великое множество, однако большинство из них действуют по одной и той же схеме: их задача — напугать пользователя и заставить его заплатить за решение несуществующей проблемы. Несколько иначе действует Trojan.Fakealert.23300.

В апреле 2011 года через бот-сеть BlackEnergy начала распространяться спам-рассылка, в сообщения которой был вложен ZIP-архив с троянцем Trojan.DownLoad.64325. Он, в свою очередь, загружал и запускал на компьютере пользователя Trojan.Fakealert.23300. Сами «письма счастья» содержали информацию о посылке, которая якобы вскоре будет доставлена получателю послания.
Изображение

Запустившись на компьютере жертвы, Trojan.Fakealert.23300 копирует себя в папку C:\Documents and Settings\All Users\Application Data\ под именем qWTmtLDywFob.exe и вносит ряд изменений в системный реестр с целью отключить Диспетчер задач и прописать ссылку на указанный выше исполняемый файл в ветке, отвечающей за автозагрузку приложений. Кроме того, троянец проверяет языковую версию операционной системы: если Windows имеет русскую, польскую, украинскую или чешскую локализацию, Trojan.Fakealert.23300 прекращает свою работу. В ресурсах троянца содержатся вер сии отображаемых им сообщений на нескольких языках, в том числе на английском, немецком и французском.

После успешного запуска Trojan.Fakealert.23300 останавливает процесс антивирусной программы Microsoft Security Essentials, проверяет, не запущен ли он в виртуальной машине (в этом случае троянец прекращает свою работу), отключает проверку электронной цифровой подписи для загруженных программ и сохранение зоны, откуда был запущен файл, а также устанавливает пониженный рейтинг опасности файлам с расширениями .zip; .rar; .nfo; .txt; .exe; .bat; .com; .cmd; .reg; .msi; .htm; .html; .gif; .bmp; .jpg; .avi; .mpg; .mpeg; .mov; .mp3; .m3u; .wav; .scr. Затем троянец отключает в настройках Проводника демонстрацию скрытых и системных файлов, запрещает пользователю смену обоев Рабочего стола Windows (вместо них устанавливается черная заливка), очищает список последних открытых документов в Главном меню, прячет значки в Панели быстрого запуска и меню «Пуск», после чего демонстрирует на экране сообщение об ошибке жесткого диска и предлагает выполнить его проверку с помощью специальной утилиты.

Вслед за этим троянец должен сохранить на диск файл из собственных ресурсов, содержащий ту самую «утилиту для проверки винчестера». Предполагается, что утилита выполнит «проверку» диска, обнаружит на нем «ошибки», после чего предложит пользователю приобрести полную версию этой программы, которая якобы позволит их исправить. По крайней мере, именно такой функционал, по всей видимости, закладывали в Trojan.Fakealert.23300 его разработчики. Однако благодаря допущенным в его коде ошибкам данная функция не работает в полученном ви русной лабораторией образце (впрочем, это совершенно не означает, что она не будет работать в других модификациях).
Изображение
Изображение

Trojan.Fakealert.23300 способен загружать зашифрованные исполняемые файлы и запускать их на инфицированном компьютере: в настоящее время он скачивает с удаленного узла троянец семейства TDSS. Есть основания полагать, что Trojan.Fakealert.23300 создан с использованием специального конструктора. Следовательно, в ближайшем будущем можно ожидать появления новых модификаций этой вредоносной программы.

В последнее время наблюдается отчетливая тенденция расширения функциональности угроз семейства Trojan.Fakealert, а также комбинирования свойств лжеантивирусов с вредоносными программами других типов. В частности, в антивирусную лабораторию «Доктор Веб» регулярно поступают образцы троянских программ семейства Trojan.MulDrop, наподобие приложения Trojan.MulDrop2.54093, которое при запуске демонстрирует на экране окно лжеантивируса, но при этом обладает другим вредоносным функционалом: устанавливает на зараженный компьтюер извлеченную из собственного исполняемого файла вредоносную программу. Сигнатуры данных угроз добавлены в вирусные базы Dr.Web. В целях безопасности не забывайте регулярно осуществлять сканирование жестких дисков вашего компьютера.
drweb.com

Радуйтесь людям. Радуйтесь всему. Это Россия!


#57 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 24 Январь 2012 - 01:44

Раскрыты доходы злоумышленников от сетевых мошенничеств с «платными архивами»


Количество так называемых «платных архивов», детектируемых антивирусным ПО Dr.Web как Trojan.SmsSend, с каждым месяцем неуклонно растет. Что, впрочем, неудивительно: для создания подобного рода вредоносных программ злоумышленникам не нужно обладать навыками программистов, поскольку многочисленные сайты, предлагающие так называемые «партнерские программы», заботливо предоставляют всем желающим уже готовые решения — специальные «конструкторы», с помощью которых можно собрать собственный Trojan.SmsSend за несколько минут. Объем этого подпольного рынка поистине велик: злоумышленники зарабатывают на распространении платных архивов десятки тысяч долларов в месяц. Компания «Доктор Веб» — российский разработчик средств информационной безопасности — готова поделиться с пользователями эксклюзивной информацией о том, как работает этот механизм, а также расскажет, как избежать финансовых потерь от действий злоумышленников.

Традиционно Trojan.SmsSend представляет собой исполняемый архив, имитирующий установщик какой-либо полезной программы. При попытке открыть такой архив на экране компьютера демонстрируется процесс инсталляции соответствующего приложения, после чего для продолжения установки программа просит отправить платное СМС-сообщение на указанный злоумышленниками номер. В некоторых случаях, якобы в целях активации программы, от пользователя требуют ввести номер мобильного телефона, а затем — полученный в ответном СМС-сообщении код. Таким образом, жертва соглашается с условиями подписки на некую платную услугу, за которую с ее счета ежемесячно будут списываться средства. Фокус заключается в том, что подобные «платные архивы» либо вовсе не содержат обещанное приложение, либо его можно загрузить совершенно бесплатно с официального сайта разработчика.

Несмотря на кажущуюся простоту и очевидность данной мошеннической схемы, рынок подобных «услуг» поистине огромен. На предложения сетевых жуликов откликается большое число неискушенных пользователей, отправляя платные СМС за то, что они могли бы получить бесплатно. Специалистам компании «Доктор Веб» удалось выяснить объемы прибыли, которую получают распространители подобного вредоносного ПО. Так, в рамках одной из партнерских программ, активно рекламирующейся на различных подпольных форумах и сайтах, откуда она постоянно привлекает новых членов, средний доход распространителя троянцев семейства Trojan.SmsSend, однократно отправляющих платные сообщения на премиум-номера, может достигать до 200 долларов в день. Лидеры этого незаконного рынка, входящие в десятку наиболее активных распространителей троянцев, получают от 850 до 7740 долларов в месяц, в среднем — 2678,5 долларов США.

Доходы от подписки жертв сетевых мошенников на платные услуги значительно выше, они могут достигать от 3000 до 22 000 долларов США на злоумышленника в месяц, в среднем — 8295,5 долларов США. Следует понимать, что для сетевых мошенников, зарабатывающих подобные суммы на обмане пользователей Интернета, эта деятельность является основным источником дохода, она отнимает все их свободное время. К тому же, они прекрасно осознают, что распространение подобного ПО является преступлением, ответственность за которое предусмотрена статьей 273 Уголовного кодекса РФ («Создание, использование и распространение вредоносных программ для ЭВМ»).


Пути распространения троянцев Trojan.SmsSend также отличаются завидным разнообразием: это поддельные сайты файлового обмена, специально созданные странички, имитирующие интерфейс интернет-ресурсов официальных разработчиков различных программ, спам по каналам электронной почты, в тематических форумах, массовая рассылка сообщений с использованием протокола ICQ. Кроме того, сетевые мошенники активно используют рекламные сети Яндекс.Директ и Google AdSense, размещают контекстную рекламу в социальных сетях и не гнушаются отправлять ссылки на вредоносное ПО с заранее взломанных аккаунтов.

Пользователи могут без труда избежать подобных опасностей и не попасться на удочку сетевых мошенников, если, потратив чуть больше времени, поищут в Интернете официальный сайт производителя программы, которую они планируют скачать. В большинстве случаев они смогут получить ее совершенно бесплатно и уж точно не заплатят ни копейки за архив, не содержащий ничего полезного. Ну а в случае, если вы стали жертвой сетевых злоумышленников, ничто не мешает вам написать соответствующее заявление в полицию.

drweb.com


Радуйтесь людям. Радуйтесь всему. Это Россия!


#58 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 02 Февраль 2012 - 02:06

Новые банковские троянцы, очередные мошенничества с пользователями социальных сетей и другие события января 2012 года

Вирусные угрозы января

Среди вредоносных программ, обнаруженных в январе на компьютерах пользователей при помощи лечащей утилиты Dr.Web CureIt!, лидирующие позиции занимает файловый инфектор Win32.Expiro.23 (19,23% случаев обнаружения), при запуске пытающийся повысить собственные привилегии в системе, отыскивающий запущенные службы и заражающий соответствующие им исполняемые файлы.
Не отстает от него по популярности Win32.Rmnet.8 (8,86% случаев заражения) — этот вирус проникает на компьютер посредством зараженных флеш-накопителей или при запуске инфицированных исполняемых файлов и обладает способностью к саморепликации — копированию самого себя без участия пользователя. Вредоносная программа инфицирует файлы с расширениями .exe, .dll, .scr, .html, .htm, а в некоторых случаях — .doc и .xls, при этом она способна создавать на съемных накопителях файл autorun.inf. Непосредственно после своего запуска Win32.Rmnet модифицирует главную загрузочную запись, регистрирует системную службу Microsoft Windows Service (она может играть в операционной системе роль руткита), пытается удалить сервис RapportMgmtService, встраивая в систему несколько вредоносных модулей, отображающихся в Диспетчере задач Windows в виде четырех строк с заголовком iexplore.exe. Файловый вирус Win32.Rmnet крадет пароли от популярных ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Эта информация впоследствии может быть использована злоумышленниками для реализации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. Также нередко встречаются на инфицированных компьютерах российских пользователей троянцы Trojan.WMALoader и Trojan.Inor.
Дела финансовые

В начале января в распоряжении специалистов «Доктор Веб» оказался образец очередной модификации троянской программы Trojan.PWS.Ibank, отвечающей современным тенденциям использования систем ДБО. Эта вредоносная программа позволяет передавать злоумышленникам аутентификационные данные, ключи и сведения о конфигурации множества различных банк-клиентов. Особенность данной модификации троянца заключается в том, что она содержит в себе реализацию VNC-сервера. В коде сервера организована поддержка протокола работы с dedicated-сервером Zeus (Trojan.PWS.Panda), через который, собственно, и осуществляется сеанс удаленного управления. Другая немаловажная особенность данного троянца — присутствие модуля, предназначенного для мониторинга и перехвата информации специализированного программного комплекса, используемого в одном из государственных финансовых учреждений РФ. Данный троянец имеет достаточно сложную архитектуру и позволяет не только передавать перехваченные данные злоумышленникам, но также выполнять на инфицированной машине различные команды, поступающие от удаленного центра, в том числе команды уничтожения операционной системы. Подробная техническая информация о структуре и принципе действия данного вредоносного ПО была своевременно передана компанией «Доктор Веб» в правоохранительные органы.
Примерно в это же время были зафиксированы случаи распространения другой вредоносной программы, с помощью которой злоумышленники планировали провести фишинговую атаку на клиентов одного из российских банков. Попадая на компьютер жертвы, Trojan.Hosts.5590 создает новый процесс explorer.exe и помещает туда собственный код, а затем прописывает себя в папке автоматического запуска приложений под именем Eldesoft.exe.
В случае если для доступа к сайту банка используется браузер Microsoft Internet Explorer, троянец вызывает стандартную функцию crypt32.dll для установки поддельного сертификата. При добавлении сертификата в хранилище операционная система обычно демонстрирует соответствующее предупреждение: троянец перехватывает и закрывает это окно.

Если для доступа к банковскому сайту используется другой браузер, для установки сертификата применяются функции из стандартной библиотеки nss3.dll. Связавшись с удаленным командным центром, Trojan.Hosts.5590 получает оттуда конфигурационный файл, содержащий IP-адрес фишингового сервера и имена доменов, которые троянец должен подменять. Впоследствии, при обращении к сайту системы банк-клиент по протоколу HTTPS, пользователю будет демонстрироваться поддельная веб-страница, а введенные им в форме авторизации учетные данные будут переданы злоумышленникам. Благодаря своевременным и грамотным действиям службы безопасности банка, а также усилиям специалистов компании «Доктор Веб», данная вредоносная программа в настоящий момент не представляет серьезной опасности для пользователей.
Винлоки пошли на убыль

В январе 2012 года на 25% сократилось число обращений в службу технической поддержки со стороны пользователей, пострадавших от действий программ-блокировщиков.
Связано это не только с уменьшением числа самих приложений-вымогателей, но и с недавно состоявшимся запуском нового портала https://www.drweb.com/xperf/unlocker, позволяющего подобрать код для разблокировки компьютеров, инфицированных троянцем семейства Trojan.Winlock. В настоящее время среднесуточная посещаемость данного веб-сайта составляет 13–15 тысяч пользователей.
Однако попадаются среди программ-вымогателей отдельные образцы, вовсе не располагающие кодом разблокировки. К ним, в частности, относится троянец Trojan.Winlock.5490, ориентированный на французских пользователей. Эта вредоносная программа запускается только на персональных компьютерах, операционная система которых имеет французскую локализацию. Троянец обладает встроенными функциями антиотладки: в процессе загрузки он проверяет, не запущен ли его процесс в среде виртуальных машин VirtualBox, QEmu, VMWare и пр., и в случае, если присутствие виртуальной машины обнаруживается, троянец прекращает свою работу.

Оказавшись на компьютере жертвы, Trojan.Winlock.5490 запускает процесс svchost.exe и встраивает в него собственный код, после чего отсылает команду скрытия Панели задач Windows и останавливает все потоки процессов explorer.exe и taskmgr.exe. Затем троянец прописывает себя в ветвь системного реестра, отвечающую за автозагрузку приложений, и демонстрирует на экране окно, содержащее текст на французском языке с требованием заплатить 100 евро с помощью карт оплаты платежных систем Paysafecard или Ukash. Введенный жертвой номер карты отправляется на удаленный командный сервер злоумышленников, а в ответ троянец демонстрирует сообщение приблизительно следующего содержания: «Подождите! Платеж будет обработан в течение 24 часов». Вместе с тем, никамими функциями разблокировки с помощью кода этот троянец не обладает: вместо этого он автоматически удаляет сам себя через неделю после установки.
Пользователи «В Контакте» вновь под прицелом злоумышленников

На сей раз злоумышленники обратили внимание на владельцев мобильных телефонов с поддержкой Java, использующих возможности социальной сети «В Контакте». После новогодних праздников участились случаи массового распространения спама в использующих протокол ICQ клиентах для обмена сообщениями. Злоумышленники предлагают пользователям скачать приложение для мобильного телефона, якобы являющееся клиентом для социальной сети «В Контакте». В рассылке сообщается, что с помощью данной программы можно с большим комфортом пользоваться возможностями данной социальной сети.

<img alt="screen">

Программа представляет собой файл в формате .jar, способный запуститься практически на любом мобильном устройстве с поддержкой Java. Как и следовало ожидать, в процессе установки приложение отсылает СМС-сообщение на один из платных номеров и просит пользователя ввести в соответствующей форме на сайте злоумышленников полученный в ответном СМС код. Таким образом пользователь соглашается стать подписчиком некой услуги, за использование которой с его счета мобильного оператора будет ежемесячно списываться определенная сумма.


Выдача поисковых систем как способ распространения вредоносных ссылок

Методы, с использованием которых сетевые злоумышленники распространяют ссылки на вредоносное ПО или мошеннические сайты, совершенствуются с каждым месяцем. В ход идут всевозможные способы маскировки текста, приемы социальной инженерии и прочие ухищрения. В январе сетевые мошенники обратили свое внимание на формат выдачи ссылок поисковыми системами.
В процессе поиска нужных ему сведений пользователь нередко выполняет сразу несколько обращений к поисковым системам, открывая в новых вкладках или окнах браузера отдельные страницы отчета поисковиков, содержащие найденные в индексе ссылки. Такие страницы принято называть «выдачей поисковой системы» (Search Engine Results Page, сокращенно — SERP). Именно эти страницы и повадились подделывать мошенники, надеясь на то, что в суматохе пользователь не заметит подсунутую ему «лишнюю» страничку с поисковой выдачей. Кроме того, большинство людей относится к страницам выдачи поисковых систем с большей степенью доверия, чем к простому набору ссылок. В некоторых случаях мошенники не гнушаются даже подделывать целые поисковые системы, как, например, поступили создатели псевдопоискового сервиса LiveTool, интерфейс которого практически полностью копирует оформление «Яндекса», а ссылка «О компании» ведет на мошеннический сайт, имитирующий страницу социальной сети «В Контакте».


Выдача поисковых систем как способ распространения вредоносных ссылок

Методы, с использованием которых сетевые злоумышленники распространяют ссылки на вредоносное ПО или мошеннические сайты, совершенствуются с каждым месяцем. В ход идут всевозможные способы маскировки текста, приемы социальной инженерии и прочие ухищрения. В январе сетевые мошенники обратили свое внимание на формат выдачи ссылок поисковыми системами.
В процессе поиска нужных ему сведений пользователь нередко выполняет сразу несколько обращений к поисковым системам, открывая в новых вкладках или окнах браузера отдельные страницы отчета поисковиков, содержащие найденные в индексе ссылки. Такие страницы принято называть «выдачей поисковой системы» (Search Engine Results Page, сокращенно — SERP). Именно эти страницы и повадились подделывать мошенники, надеясь на то, что в суматохе пользователь не заметит подсунутую ему «лишнюю» страничку с поисковой выдачей. Кроме того, большинство людей относится к страницам выдачи поисковых систем с большей степенью доверия, чем к простому набору ссылок. В некоторых случаях мошенники не гнушаются даже подделывать целые поисковые системы, как, например, поступили создатели псевдопоискового сервиса LiveTool, интерфейс которого практически полностью копирует оформление «Яндекса», а ссылка «О компании» ведет на мошеннический сайт, имитирующий страницу социальной сети «В Контакте».

drweb.com


Радуйтесь людям. Радуйтесь всему. Это Россия!


#59 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 14 Февраль 2012 - 02:21

Новый бэкдор следит за пользователем через его веб-камеру

Механизмы проникновения троянца BackDoor.Webcam.9 пока выявляются, но уже хорошо известен механизм заражения компьютера. Запустившись на исполнение, бэкдор копирует себя в системную папку для хранения временных файлов и прописывается в одну из ветвей системного реестра, отвечающую за автоматический запуск приложений. Затем троянец проверяет наличие копии самого себя на зараженной машине. После этого вредоносная программа отправляет на удаленный командный сервер серию запросов, передавая злоумышленникам ряд сведений об инфицированном компьютере, включая его IP-адрес, тип учетной записи пользователя, количество подключенных к системе веб-камер, имя компьютера и версию ОС, а затем ожидает поступления новых команд.
Изображение


Кроме того, BackDoor.Webcam.9 создает в системной временной папке несколько вспомогательных файлов, используемых им в процессе работы. Все они имеют имена, начинающиеся с rundll_.*, и хранятся во временном каталоге ОС Windows.
Троянец способен выполнять поступающие от удаленного сервера команды, в частности, команду перезапуска самого себя, смены управляющего сервера, создания снимка экрана. Кроме того, троянец способен перехватывать и передавать злоумышленникам изображение, полученное с подключенной к инфицированному компьютеру веб-камеры.

drweb.com


Радуйтесь людям. Радуйтесь всему. Это Россия!


#60 Forum Moderator

Forum Moderator

    Гуру

  • Модераторы
  • PipPipPipPipPipPipPipPipPipPip
  • 1 809 сообщений
  • Пол:Не определился

Отправлено 22 Май 2012 - 02:02

Новый червь заражает RAR-архивы



Вредоносная программа Win32.HLLW.Autoruner.64548 распространяется так же, как и многие другие черви: создает свою копию на диске и размещает в корневой папке файл autorun.inf, запускающий червя при подключении устройства. Начав свою работу на инфицированном компьютере, Win32.HLLW.Autoruner.64548ищет на дисках RAR-архивы и записывает себя в них, используя одно из следующих имен: secret.exe, AVIRA_License.exe, Warcraft_money.exe, CS16.exe, Update.exe, private.exe, Autoruns.exe, Tutorial.exe, Autorun.exe, Readme.exe, Real.exe, readme.exe, Keygen.exe, Avast_keygen.exe. В некоторых случаях после подобной модификации архивы повреждаются.

Изображение


Кроме того, червь имеет модуль полезной нагрузки. Также в его теле содержится исполняемый файл, которыйWin32.HLLW.Autoruner.64548 сохраняет в папку установки Windows в виде библиотеки mssys.dll. Ссылку на эту библиотеку вредоносная программа записывает в системный реестр. Полезную нагрузку червь встраивает в копию собственного процесса. Затем вредоносная программа соединяется с удаленным сервером злоумышленников и ожидает команд на загрузку и запуск исполняемых файлов.

Win32.HLLW.Autoruner.64548 — представитель достаточно редкой категории вредоносных программ, способных заражать RAR-архивы. При распаковке RAR-архивов обращайте внимание, не появились ли внутри подозрительные исполняемые файлы: их случайный запуск может нанести вред вашему компьютеру. Сигнатура данной угрозы добавлена в антивирусные базы Dr.Web.

drweb.com

Радуйтесь людям. Радуйтесь всему. Это Россия!





Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных