Версия для печати темы

Автор: FUriCK 12.08.2003 - 18:01

Источник =http://www.livejournal.com/users/olegart/33500.html

Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка
( раз => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp ,
два => =http://www.securityfocus.com/bid/8234 ) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.
Выглядеть атака будет, например, вот так:
[img]http://dnph.phys.msu.su/~oleg/img/rpccrash.gif[/img]

Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на =http://www.securityfocus.com/ .
Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется.

Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя => http://www.securityfocus.com/news/6689 , использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.

Таким образом, началась настоящая пьянка - эпидемия очередного червя.

Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших.

Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все.

Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте =http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html .

Кто не спрятался - я не виноват.

Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя.

Автор: Sp0rtsteR 13.08.2003 - 04:03

The ISS BlackICE™ PC Protection 3.6 cbr

"Хороший файрвол, в новой версии добавлена система обнаружения и защиты от атак типа Microsoft Windows DCOM RPCbuffer overflow."

mazafaka.ru

Автор: drSAB 13.08.2003 - 04:20

об этом также есть информация на
страничке "Вирусные новости" DSAV

http://www.dialognauka.ru/inf/news.php?id=563

c припиской:

Автор: clever 13.08.2003 - 06:18

Или



Если вы не можете загрузить патч с сайта Microsoft, можно отключить службу DCOM и червь не сможет инфицировать компьютер.
Для отключения DCOM вручную:

1. Запустите Dcomcnfg.exe
2. Выберите Component Services
3. Откройте папку Computers
4. Для локального компьютера, кликните правой кнопкой My Computer и выберите Properties
5. Выберите закладку Default Properties
6. Выключите переключатель Enable Distributed COM on this Computer
7. Нажмите Ок

Автор: Blackhawk 13.08.2003 - 20:53

Ну вообще оборзели...сканять каждые 5 минут :( слава богу я вовсе оружии :)

[img]http://www.el-commerce.ru/fotki/scan.png[/img]

Автор: malim 13.08.2003 - 22:09

[off]
Blackhawk
А у тебя что за Firewall?

/Moderation Mode

Я тебе в ПМ ответил...

Автор: Slider 14.08.2003 - 04:56

Народ а как закрывать порты? У меня Outpost Firewall v 2.0.239 там я иду в ПАРАМЕТРЫ -> СИСТЕМНЫЕ -> изменение системных и применяемым ко всем приложениям правил -> ДОБАВИТЬ . А дальше "Удалённый порт" и "Локальный порт" Выделены определённым цветом и по ним нельзя щёлкнуть. Помогите разобраться, пожалуйста.

Автор: Slider 14.08.2003 - 04:59

за 4 часа работы отчёт мне выдал следующий:
5:50:43 Сканирование портов 62.117.160.207 TCP (135)
5:50:38 Сканирование портов 62.118.136.133 TCP (135)
5:48:07 Сканирование портов 62.118.143.38 TCP (135)
5:47:17 Сканирование портов 62.118.151.77 TCP (135)
........................................................................................
2:06:58 Сканирование портов 62.118.135.109 TCP (135)
13.08.2003 19:47:01 Сканирование портов 62.118.136.119 UDP (0), ICMP (3840, 3328, 4352, 2067), UDP (161)
13.08.2003 19:47:01 Атака Moyari13 62.118.136.119
13.08.2003 15:12:23 Сканирование портов 212.188.97.96 TCP (445)
Походу это как раз иесть эта дрянь да?

Автор: drSAB 14.08.2003 - 10:03

W32.Blaster.Worm Removal Tool

Специалисты компании Symantec выпустили специальную утилиту, способную удалять из системы самого червя и устранять все последствия его пребывания.

=>http://securityresponse.symantec.com/avcenter/FixBlast.exe

Никаких инсталяций и настроек пользователю производить не потребуется - после запуска утилита "W32.Blaster.Worm Removal Tool v.1.02" самостоятельно обнаружит и уничтожит зловредную программу.

Забираем FixBlast.exe
(zip-архив , size=169,724)


Прикрепленные файлы
 FixBlast.zip ( 165.75 килобайт ) Количество скачиваний: 1314

Автор: Billard 14.08.2003 - 21:32

Бесплатная утилита для лечения червя "Lovesan"
Инфо_http://www.kaspersky.ru/news.html?id=1319264
Файл_ftp://ftp.kaspersky.com/utils/clrav.com

Автор: Extazy 15.08.2003 - 01:27

Подцепил я эту дрянь, выводило мне это сообщение в окошке, по началу я не понял, раз 5 перезагружался, на следующий день тоже самое, потом решил всё таки посмотреть в чём дело и увидел как раз, что у меня в реестре изменения произошли, я их вычеслил и удалил два файла: msblast.exe из папки system32 и из Prefetch тоже, но только с расширением .pf и соответственно из реестра вычистил. Вроде сейчас тьфу тьфу тьфу, всё нормально.

Автор: RAE 15.08.2003 - 05:33

Вот ссылка на страницу с патчами для всех операционок:

.http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

Автор: Silver_Johnes 15.08.2003 - 07:33

Внимание! Касперцы сообщили о появлении новой модификации червя, с чем вас и поздравляю. Сегодня обещают бурное продолжение праздника (а последние пару дней было весело, согласитесь), так что http://www.bestfilez.net/forums/index.php?act=ST&f=3&t=352&st=20&hl=outpost+firewall, кто этого ещё не сделал, и да будет праздник у вашео соседа!

Автор: The Undertaker 15.08.2003 - 08:22

поставьте же патчи, и после червь обламается.

Автор: Billard 15.08.2003 - 10:28

Это точно!
На Win2000 облом ставить СерПак, соответственно патч тоже поставить нельзя почему-то, так приходится Фаерволом прикрываться. Аттаки идут каждые 10-15 минут...
На WinXP поставил патч (фаер тоже стоит на всякий про всякий), так ни слуху ни духу - никто чужой в порты не лезет...

Автор: Sp0rtsteR 15.08.2003 - 12:06

все дружно преходим на win98/me :)

Автор: Billard 15.08.2003 - 14:47

Cетевой червь "Lovesan": вопросы-ответы >>http://www.kaspersky.ru/news.html?id=1319733
FAQ по сетевому червю Lovesan >>http://www.viruslist.com/index.html?tnews=1008&id=2734532

Автор: Johnik 17.08.2003 - 19:40

У меня 98й виндовс. Я так понял мне ЭТО не грозит? Или я ошибаюсь?

Автор: malim 17.08.2003 - 20:07

Johnik
Тебе это не грозит.Грозит только тому у кого 2000,XP,Nt,Windows Server 2003

Автор: The Undertaker 18.08.2003 - 22:35

Billard
почему на 2000 ты не можешь поставить сервис пак и патч? я всё поставил и всё работает...

Автор: malim 19.08.2003 - 17:35

"Добрый" вирус штопает дыры в Windows

Сети появилась забавная модификация червя LoveSan, так же известного как Blaster. На сей раз атора вируса сразу можно причислить к лику святых, поскольку им руководили исключительно благие намерения.

Новый вируc распространяется в Интернете через ту же самую брешь, что и LoveSan. Он не только не вредит компьютерам пользователей, но еще и штопает ту самую дыру в Windows, благодаря которой стало возможно его появление, сообщает Reuters и newwws.ru.

Имена нового вируса "Welchia" или "Nachi", он проверяет наличие дыры в операвционке и наличие на компьютере LoveSun, после чего пытается удалить вредоносного предшественника и навести порядок на компьютере. В частности, пользователям английских, китайских и корейских версий Windows "Welchia" сам скачивает заплатку с сайта Microsoft. Затем он пытается передать себя дальше по Сети.

Однако, не смотря на благость намерений, компьютерные специалисты считают вмрус вредоносным по одной только той причине, что он производит свои действия без ведома пользователей. Кроме того, вирус "Welchia" увеличивает нагрузку на компьютерные сети.

Наиболее широкое распрстранение "Welchia" отмечено в Азии, особенно в Японии. Вирус запрограммирован на самоуничтожение в 2004 году.

По свидетельству специалистов компании Symantec Corp., "старый" червь MSBlaster LoveSan только за прошлую неделю заразил порядка 570000 компьютеров, работающих под управлением Windows XP, 2000, NT и Server 2003. По оценками компании TruSecure Corp., провевшей обследование более 1000 корпоративных сетей, 20 процентов из них "подхватили" злополучную заразу.

_www.securitylab.ru

Автор: Billard 19.08.2003 - 21:32

Да я как глянул, сколько 4-й Серпак весит - 130 МБ!! Та ну нафиг качать его ради не понятно каких понтов... А без СП, как минимум второго, патч не ставится!! Может компакт диск куплю... когда нить...

Дополнительная информация по новому Червю-лечилке Welchia >>http://www.kaspersky.ru/news.html?id=1321286

Автор: The Undertaker 19.08.2003 - 23:42

гы, только из-за этого %-) я скачал.

Автор: Billard 20.08.2003 - 01:03

Да качнуть как бы и не проблема... у меня хоть и не выделенка, но за 6-7 часов одолею...
Я просто не могу понять этого прикола, когда для затыкания нескольких дырок нужно такое количество информации...
И вообще не люблю монстроподобные программные пакеты...

Автор: The Undertaker 20.08.2003 - 04:51

зато сервис пак закрывает другие дырки :)

Автор: Billard 20.08.2003 - 22:58

Полезных вирусов не бывает! >>http://www.kaspersky.ru/news.html?id=1321905

Автор: Billard 23.08.2003 - 21:44

Утилита для защиты от "Sobig.f" и "Welchia" >>ftp://ftp.kaspersky.com/utils/clrav.com

Автор: Aragorn 31.08.2003 - 22:05

Один из авторов вируса Blaster арестован

Федеральное бюро расследований США арестовало в пятницу восемнадцатилетнего хакера, подозреваемого в распространении компьютерного вируса, известного под названиями Blaster (известный также как LovSan, MSBlast), сообщает телекомпания CNN.

Джеффри Ли Парсон в настоящее время находится тюрьме штата Миннесота. Позже ФБР планирует провести пресс-конференцию, на которой сообщит о результатах расследования по этому делу.

Ранее сообщалось, что автора Blaster удалось выследить с помощью свидетеля, который видел, как подозреваемый тестировал одну из модификаций червя. Напомним, что вслед за появлением в Сети оригинальной версии Blaster, появились несколько его модификаций с рядом косметических изменений.

По данным антивирусных компаний, вирус Blaster уже заразил более 500 тыс. компьютеров в разных странах мира.

Автор: Billard 1.09.2003 - 02:02

За вирусом SOBIG стоит организованная преступность?
Питер Симпсон, менеджер лаборатории ThreatLab компании Clearswift, опасается, что антивирусные компании и СМИ уделяют слишком много внимания беспрецедентным масштабам распространения варианта вируса Sobig.F, оставляя почти без внимания реальную опасность. По мнению Симпсона, Sobig.F продолжает серию вторжений в цифровой мир организованной преступности, которая осваивает онлайн.
"Sobig побил все рекорды по количественным показателям, но это еще не все, — говорит он. — Мы наблюдаем шестой из серии управляемых экспериментов. Это не тот случай, когда какие-то любители пишут вирусы в своей спальне, — это действительно очень изощренный пример организованных преступных действий".
Симпсон убежден, что худшее еще впереди. Цель проникновения Sobig в компьютер, по его мнению, состоит не в том, чтобы вызвать разрушение или просто добиться широкого и быстрого распространения вируса, а в том, чтобы получить контроль над машиной, загрузив "троянца" и получив для преступных целей доступ к такой информации, как детали банковских счетов. Подобная тактика позволяет также недобросовестным маркетерам маскировать источник спама, злоупотребляя компьютерами и идентификаторами жертв.
Симпсон полагает, что последний фактор — один из главных мотивов организованных преступных группировок, которые сочетают спам и вирусы для взаимного усиления эффективности того и другого. Спамеры, все больше испытывающие затруднения от повышения бдительности и фильтрации, вынуждены искать более совершенные способы распространения своих сообщений. "Главное в этом деле — понять мотивы создателя вируса, — говорит Симпсон. — Они далеки от простого желания написать вирус, который быстро распространяется и побивает рекорды, и явно криминальны".

Автор: Sp0rtsteR 11.09.2003 - 16:09

В августе этого года многие компьютеры под управлением операционными системами Windows XP / 2000 были поражены червём msblast (LoveSun), в результате действий которого многие системы самопроизвольно перезагружались. Это вызывало не только неудобство, но и могло стать причиной потери всей несохранённой работы. После того, как, всё же, соответствующее обновление удавалось установить, пользователи вытирали пот со лба и облегчённо вздыхали. Опасность миновала, думали многие. Ага! Если бы всё было бы так просто! В списках уязвимостей вчера, 10-ого сентября, опять всплыл тот же самый DCOM. Согласно бюллетеню MS03-039, новая уязвимость получила название: Buffer Overrun In RPCSS Service (824146). Уязвимость сразу же получила статус критической.

Более подробная информация на сайте компании MicroSoft:
http://www.microsoft.com/security/security...ns/ms03-039.asp => http://www.microsoft.com/security/security...ns/ms03-039.asp=>http://www.microsoft.com/security/security_bulletins/ms03-039.asp - для конечных пользователей.
http://www.microsoft.com/technet/treeview/...in/MS03-039.asp => http://www.microsoft.com/technet/treeview/...in/MS03-039.asp=>http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp - для администраторов, содержит ряд технической информации.

Уязвим весь ряд систем на основе технологии NT: Windows NT® 4.0, Windows 2000, Windows XP, Windows Server™ 2003. Неуязвимы только Windows ME, Windows 98 и Windows 95.

Пока что сам эксплоит ещё, вроде бы, не вышел, однако, это может произойти с минуты на минуту. Не трудно догадаться, что вслед за ним обязательно последует и релиз очередного червя какого-нибудь "гения". Советуем скачать обновление немедленно, чтобы защититься от неблагоприятных последствий.

Added by st4Lk3r:

Windows NT Workstation 4.0

Windows NT Server 4.0

Windows NT Server 4.0, Terminal Server Edition

Windows 2000

Windows XP

Windows XP 64 bit Edition

Windows XP 64 bit Edition Version 2003

Windows Server 2003

Windows Server 2003 64 bit Edition

by smerch
mazafaka.ru

Автор: The Undertaker 11.09.2003 - 16:48

а где патч?

Автор: The Undertaker 11.09.2003 - 23:13

патчи:

ps: перейдя по ссылке не забываем в диалоге выбрать на каком языке у вас винда :)

Автор: Mihass 29.09.2003 - 11:01

Видимо, очередной клон вируса msblast.... При подключении к интернет выскакивает ошибка svchost.exe :( DrWeb молчит. Обработал систему утилитками fixblast, FixSbigF, FixWelch, FxDumaru, FixSwen - глухо. Вручную посмотрел наличие msblast.exe - нет такой. Ошибка же осталась. ZoneAlarm выставил на 'все на ask', чтобы отследить гадкое приложение - нет же - сразу ошибка! Что скажете, отцы? :D

Автор: TRAFIK 8.10.2003 - 15:40

Такая же фигня! Начала вылазить эта ошибка. Через несколько дней она мне надоела, переустановил w2k в чистую, поставил дрова только на модем вылез в инет, минут 10 посидел и опять она выскочила. Сижу щас на win98, все в порядке.

Автор: drSAB 8.10.2003 - 16:52

Mihass
TRAFIK

вот есть следующая информация:

и немного информации о путях заражения:

=>http://www.xxp-design.ru/index.asp?mode=234&typ=lek

Я специально привел эту цитату - поставьте монитор, файервол (или что нить другое для контроля портов)...

Как вариант - воспользоваться программой, делающей снимок системных файлов , через два-три снимка это проявиться

• КАVinspector - из комплекта антивируса Касперского;
• или даже стандартная MSinfo - в режиме контроля системных файлов =>C:\Program Files\Common Files\Microsoft Shared\MSINFO\MSINFO32.EXE
см. Меню/Сервис/Проверка системных файлов

Автор: Sanek 12.10.2003 - 23:16

у KpNemo висит сообщение о новой модификации бласта
да и на Imho.ws уже есть свидетельства о новом бластере

прошлая заплатка грят не помогает, выскакивает подобное же бластерному окошко о ошибке и о прекращении работы через n секунд,
только теперь уже речь не о RPC ошибке а о какой-то другой
портов тоже чегой-то многовато затрагивает
- говорят про 135,137,139, 445, 593, 4444, 69 и 138
также, по слухам, исправлена ошибка бласта с этой самой постоянной перезагрузкой компа
(эта перезагрузка ведь и демаскировала его и помешала внезапно атаковать
сайты Майкрософта) - теперь комп перегружается и высвечивает памятное окошко только один раз - в момент самого заражения, а далее сидит тихо, рассылает себя, жрет трафик и, вероятно, готовится кого-то атаковать...

хорошо бы это было бы просто слухами... :\

Автор: The Undertaker 12.10.2003 - 23:44

вообще все эти порты относятся к rpc..

Автор: Mihass 8.01.2004 - 11:35

Ну вот, опять гады начали слать вирус по почте.

Текст:

"MS Customer

this is the latest version of security update, the "January 2004, Cumulative Patch" update which fixes all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express as well as three newly discovered vulnerabilities. Install now to help maintain the security of your computer from these vulnerabilities, the most serious of which could allow an malicious user to run code on your computer. Questo programma consente al vostro PC of all previously released patches."

в аттаче файл Q237899.exe (Препарировать его не стал - от греха...)

Автор: drSAB 9.01.2004 - 03:17

Microsoft Blaster Worm Removal Tool

Author: Microsoft
Requires: Win XP/2K

=>http://download.microsoft.com/download/d/c/3/dc37439a-172b-4f20-beac-bab52cdd38bc/Windows-KB833330-ENU.exe

Last-Modified: 29 Dec 2003 19:22:42 GMT
Content-Length: 323,896

____________________

Symantec W32.Mydoom@mm Removal Tool
выделен и перенесен в отдельную тему на W&R

Автор: Warmonger 12.01.2004 - 15:26

Вирусописатели снова маскируются под письма от Microsoft

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении новой троянской программы "Xombe", разосланной по интернету с использованием спам-методов. На данный момент антивирусной лабораторией зафиксированы случаи заражения этой вредоносной программой компьютеров в различных странах мира, что свидетельствует о крупном масштабе произведенной рассылки.

"Xombe" представляет собой утилиту несанкционированного удаленного управления. "Троянец" устанавливает специальную программу, которая выполняет на зараженном компьютере получаемые извне команды.

"Xombe" состоит из двух функциональных частей. Первая, загрузчик, представляет собой файл размером всего 4Кб. При запуске он соединяется через интернет с одним из удаленных серверов и незаметно загружает на компьютер вторую, главную часть "троянца". Последняя после установки постоянно находится в памяти и обращается в интернет на удаленный сайт, откуда загружает файлы, содержащие команды для троянца. При получении этих команд "Xombe" выполняет их на компьютере.
В частности, "троянец" имеет возможность устанавливать и выполнять несанкционированные приложения, в том числе шпионского характера. "Лабораторией Касперского" был обнаружен дополнительный модуль, проводящий с зараженных компьютеров распределенную DoS-атаку на сервер интернет-форумов.

В данном случае загрузчик "Xombe" был разослан по электронной почте с фальсифицированного адреса "windowsupdate@microsoft.com" под заголовком "Windows XP Service Pack 1 (Express) - Critical Update." В письме пользователям предлагается установить прилагаемое обновление для операционной системы Windows XP, которое якобы обеспечивает более высокий уровень надежности, безопасности и совместимости. Имя вложенного файла-носителя "троянца" - WINXP_SP1.EXE.

Данный случай еще раз свидетельствует о тенденции сращивания различных направлений компьютерного андерграунда: вирусописателей и спамеров. При рассылке "Xombe", несомненно, были использованы спам-технологии для обеспечения более широкого распространения "троянца".

Процедуры защиты от "Xombe" уже добавлены в базу данных Антивируса Касперского®.

Автор: SuperProf 20.01.2004 - 18:44

Всем срочно провести профилактические мероприятия

По данным Symantec

Latest Threats
01-19-04 VBS.Zsyang.B@mm
01-18-04 W32.Beagle.A@mm

Автор: rost 28.01.2004 - 00:06

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового опасного интернет-червя "Novarg" (также известный как "Mydoom"). Всего за несколько часов существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все шансы побить рекорды распространения в 2003 г.

Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.

Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.

Профилактика, диагностика и защита

"Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA.

Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем.

[img]http://www.kaspersky.ru/imagesr/news/novarg-1.gif[/img]

В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).

Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения.

Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов.

[img]http://www.kaspersky.ru/imagesr/news/novarg.gif[/img]

Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера.

Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.

"Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы.
Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др. В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.

Источник: Kaspersky Lab

Автор: IgorekM 28.01.2004 - 02:56

Ага. Я ещё вчера прочёл эту инфу, когда со вчерашнего утра мне начали приходить письма с аттачами. Со вчерашнего дня мне пришло таких писем около 200, только на один почтовый ящик.

Автор: SergeyKa 28.01.2004 - 11:16

Вчерашний maillog был похож на поле битвы.
Я даже на обед некогда было сходить. :(

Давно небыло таких проблем. Хорошо, что отправка писем разрешена только с одного компьютера, а на нем касперский.

Кстати ДокторВэбер-FreeBSD спокойно пропускал письма....

Автор: travolta 28.01.2004 - 16:57

Было такое: w2k serv перегружался с упомянутой табличкой раз 10 - не мог понять в чем дело. К и-нету вообще не был подрублен... перестало также резко, как и началось. (правда переставлял винду, так и не поняв, что случилось)
пс. благодаря DCOM потерял хорошую работу :)

Автор: drSAB 29.01.2004 - 01:21

Рекомендации с ХОБОТА:

зы: только учтите, что обычно в виндир есть дистрибутивный taskmon.exe

Автор: Aragorn 29.01.2004 - 01:38

К сообщению drSAB могу только добавить ссылку на еще одну утилитку:
W32.Novarg.A@mm Removal Tool 1.0.3 от Symantec
http://securityresponse.symantec.com/avcenter/FxNovarg.exe

Автор: VasAn 29.01.2004 - 08:09

Кстати!! В данное время зафиксирован всплеск активности червячка I-Worm.Novang и I-Worm.Mydoom.a
Moй сервак сейчас атакуется.

Автор: rost 29.01.2004 - 10:18

Лекарство от Касперского.

_ftp://ftp.kaspersky.com/utils/clrav.zip

Автор: Yurist 30.01.2004 - 14:34

Источник => http://www.computerra.ru/news/2004/1/30/44799/

Мне сегодня пришло 19 ЕГО содержащих посланий - такого количества писем я ещё никогда не получал (даже когда был молодым и красивым :D )...

Это я к тому - Обновляйте базы !!!... и навсяк, пройдитесь вышеупомянутыми тулами.

ЗЫ: Да..., и ищите того вредюку, каторый енту гадость породил. Поимеете возможность денежку немного заработать :) Воощем оглядывайтесь почаще, когда по парку утром бегаете.... :)

Автор: The Undertaker 30.01.2004 - 14:40

а мне ниодного :(

и зачем его ловить? я его уважаю, ибо дурак не смог бы написать такой вирус. если бы знал кто он, всё равно не сказал никому ;)

а вы знаете что какого-то числа в феврале mydoom заразит биос, и вылечить его можно только перепрошивкой :D

Автор: VasAn 30.01.2004 - 18:21

РЕКОРД!!!!
Помоему мой сервак побивает все рекорды....1247394 писем с этой хренью!!!!! :o
Вот уж где повод репу почесать. Хотя никого из клиентов не заразил...обновляйте чаще Антипирус!!!! ;)

Автор: Drean 31.01.2004 - 09:04

А позавчера ещё и по ящику крутили, каспера казали.... :D :D :P

Автор: VasAn 31.01.2004 - 12:18

Эпидемия червя MyDoom продолжается. За считанные дни он заразил десятки тысяч компьютеров. При этом никаких изощренных технологий или дыр в программах он не использует. Вредоносная программа попросту обманывает пользователей, и те сами запускают её.Чтобы заставить пользователей открывать зараженные письма, создатели вирусов обычно используют технологии так называемого "социального инжиниринга". В действительности, за этим сложным термином скрывается обычное мошенничество, используемое для привлечения внимания пользователей.

Классическим примером был вирус ILOVEYOU (Loveletter). В мае 2000 года он распространился по всему миру, выдавая зараженное письмо за любовное послание. Многие помнят последствия той эпидемии. Сотни тысяч, если не миллионов, пользователей открыли это сообщение, даже не задумавшись о сомнительности источника любовного послания (а ведь им мог быть и директор компании, в которой работал адресат, и соседка по лестничной площадке).

Вдобавок, все письма были только на английском языке. Тем не менее, пользователи в сотнях стран по всему миру "купились" на эту простенькую уловку. Достаточно было подумать пару секунд, чтобы избежать случившегося. К сожалению, любопытство одержало верх. И мы знаем, чем всё кончилось.

Теперь такая тактика не всегда оказывается успешной. Многие пользователи уже наслышаны об опасности подобных писем и относятся к ним с подозрением. Пришло время для червей, способных обманывать и тех, кто хорошо знаком с типичными приманками вирусописателей.

Так появился червь Mydoom.A. Почему бы опытному пользователю не открыть сообщение об ошибке с почтового сервера? Простая тема и текст сообщения, содержащие предупреждение о поврежденном электронном письме, спровоцировали устрашающую по своим масштабам эпидемию.

Этот червь сыграл на знаниях системных администраторов и опытных пользователей. Пользователи, которые не покупаются на приманку в виде порнографической фотографии, соглашаются взглянуть на сообщение о поврежденном письме.

Между тем, если зараженное сообщение откроет системный администратор, вирус может получить доступ к гораздо большему количеству файлов. Ведь в отличие от обычного пользователя, администратор, как правило, имеет полные права на собственном компьютере. Последствия катастрофические. Не спасет никакой, даже самый фантастический защитный барьер, если одно из звеньев цепи нарушено. Тем более, если это теоретически "самое сильное звено" - системный администратор.

Как правило, в первую очередь, стремятся закрыть потенциальные технические бреши в ИТ-системе: если возникает ошибка в маршрутизаторе, он просто обновляется при помощи соответствующего пакета. И очень редко обращают внимание на подготовку пользователей всех уровней. Но все чаще причиной инцидентов является именно ошибка человека.

Еще вчера было достаточно простого предупреждения пользователей о необходимости забыть о своем любопытстве при просмотре электронных сообщений. Сегодня ситуация стала гораздо серьезнее: администраторы должны быть так же осторожны с сообщениями об ошибках, как и пользователи - с порнографическими фотографиями. Это вопрос безопасности.

Автор: Warmonger 31.01.2004 - 12:57

VasAn
у нас 280мб зараженных писем

Автор: Aragorn 31.01.2004 - 22:33

Обновилась утилита от Symantec
W32.Novarg.A@mm / W32.Mydoom.B@mm Removal Tool 1.0.5
Updated fixtool to incorporate W32.Mydoom.B@mm

Last-Modified: Fri, 30 Jan 2004 22:54:52 GMT
Content-Length: 152,696 Bytes
http://securityresponse.symantec.com/avcenter/FxMydoom.exe

Автор: Lady 1.02.2004 - 00:10

The Undertaker

03/02/2004--04/03/2004 ( u nas po TV govorili)

Автор: ded moroz 1.02.2004 - 09:43

Млин. Это у всех или только у меня. При запуске утилы от Symantec на поиск вируса у меня перегружается експлорер. Чтобы это значило

Автор: Muhit 2.02.2004 - 09:29

ded moroz Кажись так задумано, шоб его (вирус) убить в памяти.

Автор: Sp0rtsteR 7.02.2004 - 09:37

инета небыло, по радио слышал типа новый страшнейший вирус гуляет по сети - мне же ни одного письма не пришло с этим вирусом ни на один из имеющаихся ящиков...

Автор: Muhit 7.02.2004 - 09:42

Sp0rtsteR,
если антивирусные базы не обновлял, то в этом нет ничего удивительного. Ты его просто еще не заметил. :)

Автор: Prison 10.02.2004 - 04:23

****I-Worm.Mydoom.a*******

После запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов:


При инсталляции червь копирует себя с именем "taskmon.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = "%System%\taskmon.exe"
В отличие от одноименного системного файла Windows, файл червя всегда имеет размер 22KB.
Червь создает в системном каталоге Windows файл "shimgapi.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"(Default)" = "%SysDir%\shimgapi.dll"
Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe".
Также червь создает файл "Message" во временном каталоге системы (обычно, %windir\temp). Данный файл содержит произвольный набор символов.

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
Для этой же цели, в процессе работы, червь создает уникальный идентификатор "SwebSipcSmtxSO".
Рассылка писем
При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому серверу получателя.
Для обнаружения адресов электронной почты, по которым будет вестись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения:

asp
dbx
tbb
htm
sht
php
adb
pl
wab
txt
и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, оканчивающиеся на ".edu".
Содержание зараженных писем

Адрес отправителя:

[произвольный]
Тема письма выбирается произвольно из списка:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Тело письма выбирается произвольно из списка:
test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.
Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":
document
readme
doc
text
file
data
test
message
body
Вложения могут иметь одно из расширений:
pif
scr
exe
cmd
bat
Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.
Размножение через P2P
Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
с расширением из списка:
bat
exe
scr
pif
Прочее
"Shimgapi.dll" представляет из себя прокси-сервер. Червь открывает на зараженной машине TCP порт из диапазона от 3127 до 3198 для приема команд. Функционал "бэкдора" позволяет злоумышленнику получить полный доступ к системе. Кроме этого, "бэкдор" может загружать из интернета и запускать на исполнение произвольные файлы.
В черве заложена функция организации DoS-атаки на сайт www.sco.com. Эта функция должна быть активирована 1 февраля 2004 года и будет работать вплоть до 12 февраля 2004 года. Червь каждую миллисекунду отсылает на 80 порт атакуемого сайта запрос GET, что в условиях глобальной эпидемии может привести к полному отключению данного сайта.


--------------------------------------------------------------------------------
****I-Worm.Mydoom.b******

Модифицированный вариант червя I-Worm.Mydoom.a. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa.

Червь является приложением Windows (PE EXE-файл), имеет размер 29184 байта, упакован UPX и PE-Patch. Размер распакованного файла около 49KB.

Червь активизируется только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайты www.microsoft.com и www.sco.com.

Часть тела вируса зашифрована.

В распакованном файле имеется текстовая строка:

(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)
Инсталляция
После старта червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.
При инсталляции червь копирует себя с именем "explorer.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = "%System%\explorer.exe"
Червь создает в системном каталоге Windows файл "ctfmon.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"Apartment" = "%SysDir%\ctfmon.dll"
Таким образом данная DLL будет запускаться как дочерний процесс Explorer.exe.
Также червь создает файл "Body" во временном каталоге системы (обычно, %windir%\temp). Данный файл содержит произвольный набор символов.

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
Для этой же цели, в процессе работы, червь создает уникальный идентификатор "sync-v1.01__ipcmtx0".
Червь заменяет стандартный файл "hosts" в каталоге Windows на свой собственный, измененный таким образом, чтобы пользователь зараженной машины не мог получить доступ через интернет к следующим доменам:

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com



Рассылка писем
Функция рассылки писем идентична примененной в варианте Mydoom.a, с небольшими изменениями.
Тело письма выбирается произвольно из списка:

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment

sendmail daemon reported: Error #804 occured during SMTP session.
Partial message has been received

The message contains Unicode characters and
has been sent asa binary attachment.

The message contains MIME-encoded graphics and
has been sent as a binary attachment

Mail transaction failed. Partial message is available.
Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.
Размножение через P2P
Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final
с расширением из списка:
bat
exe
scr
pif

--------------------------------------------------------------------------------


Инфа для не сведущих и лентяев!?

Автор: Prison 10.02.2004 - 04:30

НОВИНКА!!!Worm.Win32.Doomjuice


Вирус-червь. Распространяется по глобальным сетям, используя про размножения компьютеры, зараженные червем I-Worm.Mydoom.a или I-Worm.Mydoom.b. Имеет размер 35KB, упакован UPX. Размер распакованного файла - около 43KB.

Размножение
При запуске червь копирует себя в системный каталог Windows с именем "intrenat.exe" и регистрирует данный файл в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gremlin" = "%system%\intrenat.exe"
Червь извлекает из себя файл с именем "sync-src-1.00.tbz" и копирует его в корневой каталог, каталог Windows, системный каталог Windows, а также в пользовательские каталоги в Documents and Settings.
Данный файл представляет собой архив TAR, содержащий полные исходные тексты I-Worm.Mydoom.a.

Прочее
Червь обладает функцией DoS атаки на сайт www.microsoft.com.

Worm.Win32.Doomjuice

Вирус-червь. Распространяется по глобальным сетям, используя для размножения компьютеры, зараженные червем I-Worm.Mydoom (версий a и B). Имеет размер 35KB, упакован UPX. Размер распакованного файла - около 43KB.

Инсталляция
При запуске червь копирует себя в системный каталог Windows с именем "intrenat.exe" и регистрирует данный файл в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gremlin" = "%system%\intrenat.exe"
Червь извлекает из себя файл с именем "sync-src-1.00.tbz" и копирует его в корневой каталог, каталог Windows, системный каталог Windows, а также в пользовательские каталоги в Documents and Settings.
Данный файл представляет собой архив TAR, содержащий полные исходные тексты I-Worm.Mydoom.a.

Червь создает уникальный идентификатор "sync-Z-mtx_133" для определения своего наличия в памяти.

Размножение
Червь использует для своего размножения компьютеры зараженные червем Mydoom (версии a и B). Он осуществляет обращения к порту TCP 3127, который открыт "бэкдор"-компонентой (shimgapi.dll) Mydoom для приема команд.
Если зараженный компьютер отвечает на запрос, то Doomjuice создает соединение и пересылает туда свою копию. "Бэкдор"-компонента Mydoom принимает данный файл и запускает его на исполнение.

Для выбора атакуемого IP-адреса (A.B.C.D) червь использует следующий алгоритм:

Первые цифры адреса (A) выбираются из списка:

3
4
6
8
9
11
12
13
14
15
16
17
18
19
20
21
22
24
25
26
28
29
30
32
33
34
35
38
40
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
61
62
63
64
65
66
67
68
80
81
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
193
194
195
196
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
Вторая (B) и третья © цифры генерируются червем произвольно.

После этого червь начинает последовательно перебирать все адреса (D) от 0 до 254.

DoS-атака
Червь определяет системную дату, и если день месяца меньше 12, то DoS-атака на сайт www.microsoft.com производится в "легком" режиме: червь отсылает на 80 порт данного сайта один запрос GET, повторяя его через произвольное время.
Если день месяца больше или равен 12, то запросы начинают отсылаться в бесконечном цикле.

Автор: Sp0rtsteR 12.02.2004 - 12:43

Muhit
как зашёл в инет, сразу обновил вэба, дата 01.02.2004. факт в том, что писем подзрительных с аттачами не было вообще.

Автор: Muhit 12.02.2004 - 13:47

Значит друзья и знакомые в нете аккуратные и чистоплотные интернет пользователи. :)

Сам сколько вирус на чужих ящиках видел, а ко мне еще ни одного не упало. Наверное есть повод засомневаться в своем KAV Personal 4.5.0.94 Хотя и утилиту от Symantec тоже запускал, пока чисто.

Автор: drSAB 14.02.2004 - 02:19

Muhit
А это еще зависит от того, где у тебя ящик и как он оборудован на входящий поток сканером :P на сервере...

________________________________

Microsoft Mydoom (A, В ) and Doomjuice (A, В ) Worm Removal Tool 3.0

=>http://download.microsoft.com/download/f/a/7/fa7ff57d-edba-4836-bb03-499bc72aa5ba/DoomCln-KB836528-v3-ENU.exe

Author:Microsoft Corp.
Date:2004-02-12
License:Freeware
Size:110 Kb
Requires:Win All

Автор: VasAn 14.02.2004 - 06:18

А письма с этой дрянью все идут и идут!!!

Автор: Prison 17.02.2004 - 04:40

А вот и я столкнулся с этой проблой в Бельгии, все статьи о том, что вирус не поражает БИОС, так в нем якобы нет свободного места, так это полная туфта, он не поражает Бису , если проставлен мин на перезапись Биса.

Мой кент зацепил заразу, и мы начали раскидывать Бису и , что увидели , то , что общяя память изменена аж на 153кб, в женераль параметрах записанны совершенно другие смоки.,

Тема закончилась прямым перепрошиванием БИСА, а по другому нас загнал в угол злой Вирус!

Автор: Yurist 18.02.2004 - 15:34

Это ещё цветочки; Вот что сегодня Каспер поведал:

"Повсеместно" включаем резалки картинок ;)
Или юзаем Оперу или Мазилу.

Автор: drSAB 25.02.2004 - 01:33

цветочки продолжаются:
ХОБОТ предупреждает!

Новый червячок: Worm.Win32.Bizex.
Берегите свою ICQ

"Лаборатория Касперского" сообщает об обнаружении нового сетевого червя — Worm.Win32.Bizex, распространяющегося через ICQ, используя уязвимости самой ICQ, а также MS Internet Explorer.

Пользователю ICQ приходит сообщение с приглашением посетить страницу на сайте "jokeworld" и дополнением ":)) LOL". В процессе демонстрации находящегося по этому адресу мультфильма из популярного сериала Joecartoon на компьютер пользователя через уязвимость в ICQ проникает вирус, изменяющий конфигурацию ICQ таким образом, чтобы разослать вышеприведенное сообщение всем контактам из контакт-листа программы.

"Лаборатория Касперского" рекомендует в случае получения ссылки на веб-сайт "jokeworld" немедленно удалить данное сообщение и ни в коем случае не посещать указанный сайт.

Для защиты пользователей "Антивируса Касперского" выпущено срочное обновление антивирусных баз

Источник: VirusList >http://www.viruslist.com/eng/index.html

Автор: The Undertaker 25.02.2004 - 01:54

пользователям оперы и клонов ICQ бояться нечего, да и к тому же сайт этот уже сдох :D видимо кул хакари его замочили.

Автор: alko21 25.02.2004 - 22:06

Найти лечилку червя WORM. WIN32 и заплатку для Windows XP можно найти в журнале "Upgrade Special" за декабрь 2003г.

Автор: Galed 26.02.2004 - 07:20

Вирус-червь, распространяющийся через интернет при помощи интернет-пейджера ICQ.

Червь рассылает пользователям ICQ сообщения с URL указывающими на файл, содержащий процедуры автоматической загрузки и исполнения на компьютере пользователя вредоносных компонентов.

[img]http://www.kav.ru/imagesr/news/bizex.gif[/img]

Размножение

При обращении к ссылке из присланного сообщения

http://www.jokeworld.xxx/xxx.html :))LOL (где xxx - замененные нами символы)
происходит использование CHM-уязвимости, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя. Данный архив содержит в себе файл "iefucker.html" представляющий собой скриптовый TrojanDropper, который извлекает из себя в различные системные каталоги файл "WinUpdate.exe".

Для платформы Windows 2000 и Windows XP:
"C:\Documents and Settings\All Users\Start Menu\Programs\Startup\WinUpdate.exe"

Для платформы Windows 98:
"c:\windows\Start Menu\Programs\Startup\WinUpdate.exe"

Данный файл является троянской программой класса TrojanDownloader, которая загружает с удаленного сайта основной компонент червя и записывает его в системный временный каталог под именем "aptgetupd.exe".

Главный компонент

Является PE-файлом размером около 84KB (86528 байт), упакован PECompact.

После запуска червь копирует себя в подкаталог SYSMON в системном каталоге Windows под именем "sysmon.exe" и регистрирует данный файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"sysmon" = "%system%\sysmon\sysmon.exe"

Червь обладает функцией кражи конфиденциальной информации различных банковских служб:

Acceso a Banca por Internet
Accueil Bred.fr > Espace Bred.fr
American Express UK - Personal Finance
Banamex.com
baNK
Banque
Banque en ligne
Barclaycard Merchant Services
Collegamento a Scrigno
Commercial Electronic Office Sign On
Credit Lyonnais interacti
CyberMUT
E*TRADE Log On
e-gold Account Access
Home Page Banca Intesa
LloydsTSB online - Welcome
Merchant Administration
Page d'accueil
Secure User Area
SUNCORP METWAY
Tous les produits et services
VeriSign Partner Manager
VeriSign Personal Trust Service
Wells Fargo - Small Business Home Page
А также данных, передаваемых по HTTPS и аккаунтов различных почтовых служб (Yahoo,etc).

Вся украденная информация хранится в файлах "~pass.log", "~key.log", "~post.log" и пересылается по FTP на удаленный сервер "www.ustrading.info".

Червь извлекает из себя несколько системных библиотек и устанавливает их в системный каталог Windows:

java32.dll
javaext.dll
icq_socket.dll (библиотека для отправки сообщений через ICQ)
ICQ2003Decrypt.dll (библиотека для ICQ)

Червь получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, осуществляет самостоятельное подключение к серверу под данными пользователя зараженной машины и рассылает по всем найденным контактам ссылку на свой сайт.

Прочее

При открытии ссылки, помимо использования CHM-эксплойта, происходит попытка загрузки и исполнения Java-архива, содержащего различные TrojanDownloader (детектируются как Trojan.Java.Classloader и TrojanDownloader.Java.OpenConnection), которые также пытаются загрузить на компьютер компоненты червя.

Автор: good 27.02.2004 - 21:15

А я из-за этого гада винду переустанавливал... С этих пор буду регулярно качать обновления своего нортана !!!!!

Автор: good 27.02.2004 - 21:19

А я из-за этого гада винду переустанавливал ... С этих пор буду регулярно качать обновления своего нортана :D !!!!!

Автор: Will 1.03.2004 - 07:44

А для обнаружения и лечения Worm.Win32.Bizex уже есть какая-либо небольшая утилита или ещё нет? а-то подозреваю, что я мог попасться ... по крайней мере ссылку эту злосчастную нажал по неосторожности ... правда у меня Trillian стоит ... может пронесёт ... но всё равно, как только кто-нить найдёт лекарство от этого червячка не затруднитесь тут маякнуть ... плизззз
Всем УДАЧИ!
Will

Автор: Andrey1980 3.03.2004 - 09:22

To ALL
Вчера мне пришло по почте письмо, содержащее файл your_letter.pif (17,4 КБ).
Я его запустил:
1. ZoneAlarm Pro сразу сказал, что этот гад хочет в инет - я запретил.
2. Диспетчер устройств показывал, что winlogon.exe и одна из копий svchost.exe отнимают порядка по 50-60% процессорной мощности.
3. В разделе "HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" появилась запись "ICQ Net" со значением "C:\WINNT\system32\winlogon.exe -stealth".
4. При запуске DrWeb ужасно тормозил.

Мои действия:
1. Выгрузил процесс процесс your_letter.pif.
2. Удалил ключ реестра "ICQ Net" (см. выше).
3. Перезапустил комп - тормоза исчезли, подозрительных процессов нет.
4. DrWeb/Spider 4.31a от 25.02.2004 ничего не сказали по поводу гада your_letter.pif. А вот после обновления баз DrWeb сказал, что - это Win32.HLLM.Netsky.based и предложил лечить его - и удалил (видимо, это троян).

Кто скажет, что же это за новый гаденыш Win32.HLLM.Netsky.based, и каковы его деструктивные действия?
Надо ли еще как-нибудь почистить от него машину?

P.S. ОС - Win2000 Pro SP4

Автор: MJK 3.03.2004 - 09:55

Andrey1980
посмотри: _http://www.drweb-online.com/en/vstat.php
(когда я смотрел, Win32.HLLM.Netsky.based лидировал)

Автор: The Undertaker 3.03.2004 - 14:12

мазохист? :rofl:

Автор: SergeyKa 4.03.2004 - 17:06

Только что получил новое письмо. Прикреплен архив. В теле письма пароль к архиву. В архиве вирус...

Это что? Новая фишка?

Автор: Val14 4.03.2004 - 17:46

W32.Beagle.J@mm
Discovered on: March 02, 2004
Last Updated on: March 03, 2004 04:00:09 PM
Info _http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.j@mm.html
removal tool _http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle@mm.removal.tool.html

Автор: Aragorn 5.03.2004 - 01:46

С каждым днем все хуже ;)
В интернете разгорается война вирусописателей

Всего за 3 часа 3 марта 2004 г. «Лаборатория Касперского» зафиксировала появление сразу 5 новых модификаций печально известных вредоносных программ «Bagle» (версии I, J), «Mydoom» (версии F, G) и «Netsky» (версия F). Ситуация усугубляется тем, что на данный момент уже зафиксированы массовые случаи заражения этими вредоносными программами.

«Лаборатория Касперского» уже выпустила обновление базы данных, защищающее от данных червей. Вместе с тем, заслуживает отдельного внимания война, которая разгорается между тремя группировками кибер-преступников — создателей «Netsky» с одной стороны, и «Mydoom» и «Bagle» с другой. В частности, каждая новая модификация червей несет в себе очередное послание к противостоящей группировке, изобилующее нецензурными выражениями:

«Netsky.C»
we are the skynet — you can’t hide yourself! — we kill malware writers (they have no chance!) — [LaMeRz->]MyDoom.F is a thief of our idea! — -< SkyNet AV vs. Malware >- ->->

«Netsky.F»
Skynet AntiVirus — Bagle — you are a looser!!!!

С другой линии фронта поступают ответные «реверансы»:

«Mydoom.F»
to netsky’s creator(s): imho, skynet is a decentralized peer-to-peer neural network. we have seen P2P in Slapper in Sinit only. they may be called skynets, but not your shitty app.

«Bagle.I»
Hey, NetSky, fuck off you bitch, don’t ruine our bussiness, wanna start a war ?

«Bagle.J»
Hey, NetSky, f*** off you bitch!

Следует также заметить, что черви семейства Netsky в случае обнаружения на инфицированной машине какой-либо модификации Mydoom пытаются удалить данную вредоносную программу, внося соответствующие изменения в реестр.

kaspersky.ru
komputerra.ru

Автор: Warmonger 7.03.2004 - 19:28

Утилитка по удалению I-Worm.Bagle.A/C/D/E/F/G для W95/98/Me/NT/2000/XP/2003

http://www.sophos.com/support/cleaners/baglegui.com

Подробности тут: http://www.sophos.com/support/disinfection/baglea.html

т.е. теоретически мжно вылечить комп, просто переставив дату вперед..

Автор: Andrey1980 26.03.2004 - 14:05

To ALL!

Некоторое время назад у меня при посещении инета стали появляться ссобщения следующего вида (см. вложенный файл).

А сейчас в подобном сообщении (см. вложенный файл) написано, типа, сходите на наш сайт, расскажем, как от них избавиться.

Dr.Web & Ad-Aware молчат.

Я отключил Службу сообщений Windows 2000. Поможет?


Эскизы прикрепленных изображений

Автор: drSAB 3.05.2004 - 02:58

Microsoft Sasser.A & .B Worm Removal Tool
(KB841720)

=>http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe

Last-Modified: 02 May 2004 04:22:13 GMT
Content-Length: 340,776

Автор: jagular 3.05.2004 - 11:14

А как его Dr.Web обзывает ?

Автор: Nickmaster1 3.05.2004 - 17:19

И у меня такая же проблема!
Ребят, что никто не знает как помочь?

Автор: drSAB 3.05.2004 - 21:49

Nickmaster1
Andrey1980

попробуйте SpyRemover он, даже если триальный
их находит, ...но не удаляет

Автор: FUriCK 5.05.2004 - 12:05

Источник:
URL=http://itc.ua/article.phtml?ID=17094&sb=news

Новый опасный "червь" Sasser поразил сотни тысяч компьютеров во всем мире, хотя точные масштабы эпидемии пока неизвестны.

Эта программа не требует активации двойным щелчком на вложении в сообщение электронной почты и может захватывать ПК даже в отсутствие их пользователей, вызывая повторные перезагрузки машины.

Инфицированные компьютеры пытаются сканировать различные IP-адреса в поисках уязвимых систем и открывают TCP-порты 5554 и 9996.

Sasser, созданный, как предполагают, в России, по мнению экспертов, сравним по разрушительному потенциалу с вирусом Blaster, за информацию об авторе которого Microsoft предложила 250 тыс. долл.

Он появился спустя 18 дней после того, как Microsoft опубликовала программный патч MS04-011, устраняющий недоработку в LSASS.exe (Local Security Authority Server Service), позволяющую Sasser использовать переполнение буфера для проникновения в систему Windows.

Компания объявила о выходе дополнительного средства, предназначенного для удаления как Sasser.A, так и его новой разновидности Sasser.B из систем Windows 2000, Windows XP, в случае если они были заражены перед установкой MS04-011.

RemovalTool(Eng):
www.microsoft.com/downloads/details.aspx?familyid=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17&displaylang=en.
Patches:
URL=http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Автор: drSAB 6.05.2004 - 01:54

FUriCK
1. Прямые линки на форуме не допускаются!!
2. Посмотри сообщение выше (drSAB @ 3.05.2004 - 02:58 )

Microsoft Sasser.A & .B Worm Removal Tool v2.0
=>http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU-V2.exe
Last-Modified: 04 May 2004 18:39:14 GMT
----------------------------------------

Symantec W32.Sasser Removal Tool 1.03
Size: 149 Kb
License: Freeware
Requires: Win XP/2K

=>http://securityresponse.symantec.com/avcenter/FxSasser.exe
Last-Modified: Mon, 03 May 2004 20:36:26 GMT

Автор: FUriCK 6.05.2004 - 10:25

Докторчик.... SAB'чик....
Ну, извини.... Искренне каюсь.
На варез, на коммерческие проги и на кряки я никогда не давал прямых ссылок.
Впредь обязуюсь коверкать ЛЮБЫЕ ссылки, которые я даю в постах. Честно.

Да поможет мне F1, во имя Ctrl, Alt и Del. Reset!

Автор: Gadfly 10.05.2004 - 03:08

drSAB
то же самое сообщение, что и
Nickmaster1
Andrey1980
Последний каспер и адавар не помогают.
Чем эту гадость лучше убить?!

Автор: drSAB 10.05.2004 - 23:49

Gadfly

А что у тебя за Windows??
попробуй проверить описанными здесь антивирусными утилитами

____________________________________________

Microsoft Sasser.A & .B Worm Removal Tool 3.0

Last-Modified: 09 May 2004 22:16:55 GMT
Content-Length: 111,352
License: Freeware
Requires: Win XP/2K

http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU-V3.exe

Автор: seba 11.05.2004 - 08:26

Sasser отлично лечится Мелкософтовской утилей (по ссылке drSAB). И Симантековской тоже, но дольше.

Автор: Gadfly 11.05.2004 - 12:11

у меня xp eng corp с муишкой с сервис паком с самым последним автомат. обновлением на 9 мая этого года.
Спасибо.
Вечером дома попробую мелкософтовскую утилиту.

Автор: Galed 11.05.2004 - 15:05

Пойман автор вируса Sasser - его "сдали" свои

Итак, как вам, наверное, хорошо известно, в пятницу был пойман автор семейства вирусов "Sasser" - некий 18-летний уроженец Германии, арестованный в окрестностях Ротенбурга, расположенного в северной части страны. Выйти на юношу помогли совместные действия ФБР, ЦРУ и корпорации Microsoft...

Сразу после задержания был конфискованы компьютеры, диски, дискеты и прочие материалы, принадлежавшие или использовавшиеся юношей, который известен под инициалами Sven J. Сразу же была распространена информация о том, что все улики свидетельствуют о единоличной работе "Свена Джей" над червём Sasser, и, вероятнее всего, все остальные варианты "червя" - также работа исключительно его рук (правда, это предположение будет проверяться). Практически сразу же вирусописатель был отпущен под залог, и теперь ждёт рассмотрения своего дела, по которому ему "светит" до пяти лет тюрьмы...

То, что вышеупомянутый Sven J. - настоящий автор вируса Sasser - ни у кого не вызывает сомнений. Всё дело в обстоятельствах процесса его идентификации. Парня "сдали" полиции некие лица, информация о которых не раскрывается. В среду, за два дня до ареста, некие жители Нижней Саксонии анонимно обратились в корпорацию Microsoft с целью обсуждения вопроса выплаты вознаграждения за предоставление информации об авторе вируса Sasser. Не мне рассказывать вам о финансовых возможностях корпорации Microsoft (ранее предлагавшей 250.000 долларов США за информацию об авторе того же "червя" Mydoom), поэтому неудивителен тот факт, что стороны быстро нашли общий язык, и уже через день хакер Sven J. был арестован...

Представители Microsoft не скрывают, что "сдача" вирусописателя состоялась при посредстве лиц, знавших его лично или косвенно. Именно личное знакомство, а не анализ кода или другие технические аспекты явились источником информации об авторе вируса Sasser для людей, отправивших хакера на скамью подсудимых. Получается, люди просто заработали неплохие деньги...

Есть ещё один важный аспект в деле об аресте "Свена Джей" - ряд экспертов предполагают наличие связи между волной прокатившихся заражений компьютерных систем "червями" Netsky и эпидемией, вызванной вирусом Sasser. Более того, некоторые источники уже поспешили связать "Свена Джей" с хакерской группировкой, стоящей за распространением червей семейства Netsky. Если эта информация является достоверной (а не липовой попыткой "пришить" лишнее дело пойманному хакеру), то можно поздравить правоохранительные органы, добившиеся значительного успеха. Ну а нам лишний раз стоит отметить себе основной путь успешной борьбы с организованной преступностью - воздействие на неё изнутри...

Автор: Gadfly 11.05.2004 - 23:09

drSAB
не помогло!!!!!!
пишет что не детктид.......
а эта дрянь выскакивает!
может чем то ещё?

Автор: The Undertaker 11.05.2004 - 23:21

жалко чела..

Автор: drSAB 12.05.2004 - 23:06

Microsoft Sasser.A & .B Worm Removal Tool 4.0

Date: 11 May 2004 20:44:50 GMT
Size: 115,960 (114 Kb)
License: Freeware
Requires: Win XP/2K

=>http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU-V4.exe

Автор: Billard 13.05.2004 - 00:08

I-Worm.Wallon.a

Автор: DrunkenMonty 13.05.2004 - 08:54

а мне нет, пускай че-нить дельное напишет, если он такой уж профи, а то что получается, скажем, профи по стрельбе из пневматической винтовки должны теперь из окна людей отстреливать доказывая свою крутость?

не суди других,
не будешь осужден сам - ПРЕДУПРЕЖДЕН за СПАМ
Форум и есть добровольное объединение
людей по интересам для оказания взаимопомощи!
/drSAB

Автор: kravjuri 13.05.2004 - 09:27

А вот и продолжение - какой-то гребаный немецкий школьник сбацал модифицированный клон "Lovesan" под назвой "Sasser". Эта новая дрянь уже устроила эпидемию в Нете.
Ставьте заплатку от него (называется FixSasser.exe).


это все уже давно известно:
drSAB @ 6.05.2004 - 01:54  

прочел бы сам, вначале страничку...
да и следи за выражениями!!
/drSAB

Автор: HeMeZ 13.05.2004 - 12:02

Firma eEye [digital Security]-->www.eeye.com/html/Research/Advisories/index.html<-- naschla srazu 4(!) dijri (3 iz nix pozwoljajut startowat ljuboj Code na Cliente) w ........... Symantecs Client-Firewall Produktax:
a imenno:

Soft:

Symantec Norton Internet Security and Professional 2002, 2003, 2004
Symantec Norton Personal Firewall 2002, 2003, 2004
Symantec Norton AntiSpam 2004
Symantec Client Firewall 5.01, 5.1.1
Symantec Client Security 1.0, 1.1, 2.0(SCF 7.1)


Symantec uze segodnja widal Patches dlja dijr:

Patches:

-->securityresponse.symantec.com/avcenter/security/Content/2004.05.12.html<--

Автор: Galed 13.05.2004 - 14:21

Вирус Wallon

Замечено массовое почтовое отправление нового вируса Wallon, который стирает Проигрыватель Windows Media и активизируется когда пользователь пытается воспроизвести MP3 или видео файлы на зараженном PC, вирус был обнаружен в Европе во Вторник. Обратите внимание что вирус Wallon не активный до тех пор пока пользователь не попытается запустить файл MP3 или видео. Если система использует Проигрыватель Windows Media по умолчанию, вирус активизируется и пытается посылать HTML e-mails с вирусом, по адресам из адресной книги компьютерной эл.почты.
В отличие от общих вирусов, Wallon очень опасен - поскольку он заменяет файл wmplayer.exe и вам придётся заново скачать Проигрыватель Windows Media. Глава службы безопасности Микрософт ВЕЛИКОБРИТАНИИ сказал, что каждый кто обеспокоился о Wallon должнен установить заплатку Микрософт MS04-13 которая находится по адресу

h**p://www.microsoft.com/technet/security/bulletin/MS04-013.mspx

Автор: drSAB 14.05.2004 - 23:17

обновился FxSasser

Symantec W32.Sasser Removal Tool 1.04

Content-Length: 151696

=>http://securityresponse.symantec.com/avcenter/FxSasser.exe

Автор: vital 25.05.2004 - 07:20

Народ, кто-нибудь в курсе, что за вирус по определению AVP
Worm.Win32.Donk.b
Касперский все время на него ругается, но описания в _www.viruslist.com его нет.

Автор: Billard 25.05.2004 - 14:07

Посмотри здесь: www.symantec.ru/avcenter/venc/data/w32.hllw.donk.b.html
KAV его "определяет", как Backdoor.SdBot.gen

Автор: drSAB 4.06.2004 - 01:57

новый вирус: MyDoom+Sasser+Lovesan
в одном флаконе

Лаборатория Касперского

Автор: Gadfly 4.06.2004 - 22:04

drSAB

Прочитал внимательно сообщение.
Начнём с того, что папки setchosts вообще нет у меня на компе. Странно... Всё равно удалил файл hosts из папки C:\WINDOWS\system32\drivers\etc
После этого закачал обновление. После этого сделал полную проверку.
Проверило. Вирусов нет. Через 2 минуту - выскакивает опять это долбанное вирусное сообщение!!! (его вид уже описывали ранее.)
Просто не знаю, что и делать. Может файрвол поставить.... :(

Автор: Val14 5.06.2004 - 02:54

Gadfly
Из этой папки файл hosts ты зря удалил. он там родным был :)
Ты бы перечислил, что у тебя в реестре делается в этой ветке
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
может что и увидели бы...
А вообще-то на до поиском по инету пользоваться. я задал в Yahoo "MessageStop" => http://search.yahoo.com/search?p=MessageSt...-t&cop=mss&tab==>http://search.yahoo.com/search?p=MessageStop&ei=UTF-8&fr=fp-tab-web-t&cop=mss&tab=
и во второй строке увидел ссылку _http://www.pop-up-blocker.info/ зайди, почитай.. вроде твой случай
Приведу цитату

Автор: Gadfly 5.06.2004 - 12:05

По поводу способа: неясно следующее:
1.Нажал Пуск. Выполнить. ввёл "services.msc".
2. Выскочило окошко "services" - Службы (локальные).
и что дальше?

кстати на том сайте _http://www.pop-up-blocker.info/ есть прога Zero Popup.
_http://www.tooto.com/zpkiller.exeно требует регистрации:)).

Автор: Val14 5.06.2004 - 13:49

Gadfly
как что дальше ?

как я понимаю в русской локализации WinXP этому соответсвует Служба сообщений. Листай до него (Scroll to) и отключай (choose "Disabled")
Пишу это не от "глубоких знаний" :) а сравнив два текста
и
Первая цитата взята с _http://www.pop-up-blocker.info/, а вторая из комментария в WinXP.
Насчет Zero Popup - не беспокойся.. таких прог много, хотя предпочитаю пользоваться надстройкой над IE (у меня Netcaptor), где эти возможности уже включены в браузер.


PS. Статья Настройка сервисов в Windows2000/XP/2003
_http://www.modlabs.net/index.php?location=articles&url=winservices

Автор: imp 7.06.2004 - 16:10

Помогите,у меня судя по всему W32.Sasser или его клон,но ни NOD32,ни FxSasser ничего не находят :( .Однако RPC постоянно завершается.Что делать?Система XP+SP1.

Автор: Val14 7.06.2004 - 19:20

imp
начни с установки патчей, иначе заражение будет происходить постоянно.
Вся необходимая информация на этой странице в последнем посте drSAB

Автор: Gadfly 7.06.2004 - 19:30

Val14
Спасибо Большое !
Всё сделал - сообщений больше нет:)).!!!

Автор: imp 8.06.2004 - 17:47

Val14

Проблема в том,что заплатки уже стоят,но вирус так и не был найден ни одной утилитой ( NOD 32 ,Kaspersky,clrav от него же),не нравится мне это :(.В любом случае сейчас все работает,спасибо за помощь.

Автор: drSAB 16.06.2004 - 00:52

Лаборатория Касперского
http://www.kaspersky.ru/

Автор: drSAB 28.06.2004 - 02:00

Пробуем на зуб новый( старый) продукт:

aІ 1.0 (a² 1.0)
Author: Emsi Software >http://www.emsisoft.com/en/software/personal/
Date: 2004-06-20
Size: 3 or 4,0 Mb
License: Freeware/shareware
Requires: Win All
>http://www.emsisoft.com/images/en/scanner1.jpg
>http://www.emsisoft.com/images/en/scanner3.jpg

Anti-Trojan 5.5 development discontinued - new name: a-squared (a²)

Гм... довольно неплохо! По крайней мере - всю мою коллекцию 2004 - идентифицировал, тормоза заметил только на начальном этапе

http://www.bestfilez.net/forums/index.php?showtopic=714&st=35

Автор: drSAB 29.06.2004 - 02:46

HSRemove

Author: Olar
Date: 28 Jun 2004 17:45:27 GMT
Size: ( 169,984) 166 Kb
License: Freeware
Requires: Win All (??? у меня c Win98 не заработал... только под W2k & XP)
http://downloadsx-1.planetmirror.com/pub/majorgeeks/spyware/hsremove.exe

Автор: riban 30.06.2004 - 02:28

Появился новый вирус Win32.HLLW.MyBot (Backdoor.Rbot.z), новая модификация. Долгое время лежал у меня в корне и не один антивирус его не определял, на что я разозлися и отправил его к Касперскому :P Но, что интересно, определили его тут же - буквально через час. А вот сведения о нём появились только через три дня. Вот и думай теперь про "ежедневные обновления вирусных баз каждые три часа". На viruslist.com пока ничего нет, но сразу хочу обратить ваше внимание на то, что в папке %systemroot%/system32 появляется скрытый файл sysconfigs.exe, при загрузке создаёт в реестре в разделах Run и RunServices ключи для автозагрузки с именем "Microsoft Updaters" :D

Автор: Billard 8.07.2004 - 12:44

Пользоваться IE стало крайне небезопасно!!

Backdoor.Nibu ломится ко мне сегодня, что глухонемой!!

Как это выглядит?

После посещения какого-то ресурса имею:

1) Фаервол стуканул о попытке лезть по каким-то левым адресам в Сети!
2) Windows\prntsvr.dll (отловлено Корпоративным Нортоном)
3) В автозапуск пытается прописать файлы prnta.exe и prntb.exe - удалил их наХ!!
4) При перезагрузке системы Windows\System32\prntc.exe не обнаружил свои части из пункта 3.

Вот, блин уродство

Мельком видел инфу по этой гадости на myopera.net

Если кто владеет более подробной инфой, сообщите!!! :(

Автор: DJ Matador 19.07.2004 - 11:23

у меня проблема!!!
ставлю ХР про, залажу в нэт и тут выскакивает табличка, что произошла ошибка файла LSASS.exe (типа обратитесь к памяти по адресу 080000х00023 такого плана потом ОК завершить его работу, ОТМЕНА наладка) нажимаю любую кнопку и выскакивает табличка [img]http://dnph.phys.msu.su/~oleg/img/rpccrash.gif[/img]

только там ещё дописанно что вызванно отключение по адресу C:\WINDOWS\system32\lsass.exe

после 60 сек комп перезагружается и потом при новой загрузки винды выскакивает табличка о том, что приложение LSA Shell (Export Version) (lsass.exe) вызвало неполадки и отпавить отчёт или нет!!! и так было каждые 5-10 мин...

я уже два раза ставил систему и всё равно такие глюки!!! :(

Автор: Val14 19.07.2004 - 14:12

DJ Matador
такое ощущение, что ты патчи для WinXP не ставил.... и заражаешься при первом же выходе а Инет (или в локальную сеть)
Про ошибку RPC написано на первой странице этой темы :(

Автор: Billard 19.07.2004 - 17:47

DJ Matador

Зайди в службы и отключи для начала LSASS наХ! RPC туда же!!

Проскань машину на предмет вирусов. Прикройся фаерволом...

А насчет обновлений - поставил недавно легальную винду себе, так обновления чуть не каждый день!! :(

Автор: The Undertaker 19.07.2004 - 18:59

поставь патчи, иначе >http://www.securitylab.ru/42787.html

Автор: drSAB 3.08.2004 - 00:53

BHODemon 2.0.0.17
Программа для поиска, идентификации и нейтрализации установленных BHO (Browser Helper Objects) - небольших программ, без пользовательского интерфейса, автоматически запускаемых вместе с Internet Explorer без Вашего согласия Их любимое хобби - постоянная подмена указываемого адреса домашней страницы на "свой" URL

=>http://downloads.planetmirror.com/pub/majorgeeks/spyware/bhodemon.zip
Freeware ,
OS: Win All ,
Size: 1.4Mb

Автор: drSAB 18.08.2004 - 01:12

Компьютерный вирус Ratos

Компания Trend Micro предупреждает о появлении новой вредоносной программы, получившей название Ratos. Этот червь распространяется по электронной почте и заражает компьютеры, работающие под управлением операционных систем Windows.

В теме инфицированного сообщения всегда указано слово "photos", а вложение имеет название photos_arc.exe. После запуска вирус записывает на жесткий диск свои копии с именами RASOR38A.DLL и WINPSD.EXE, вносит изменения в реестр и пытается загрузить из интернета еще третий файл - WINVPN32.EXE.

Автор: BigmanXXXL 2.10.2004 - 22:27

Червь Tiniresu
поражает файл Userinit.exe
Компания Symantec обнаружила новую вредоносную программу Tiniresu, способную заражать компьютеры под управлением операционных систем Microsoft Windows 2000/NT/ХР/2003. После проникновения на машину-жертву вирус проверяет размер файла Userinit.exe, находящегося в системной директории, и если тот занимает меньше 25600 байт, инфицирует его. Причем 48128 байт вредоносного кода добавляются в начало Userinit.exe, а оставшиеся 4 байта - в конец. Далее Tiniresu открывает "черный ход" в компьютер и отправляет IP-адрес зараженной машины вместе с номером доступного порта на один из интернет-адресов, например, vjbvhjtz.hopto.org или jtrjztpx.no-ip.info. Таким образом, автор теоретически может получить полный доступ к инфицированному компьютеру.

до фига инфы про него здесь,
_http://search.compulenta.ru/search/results.html?config=compulenta&words=Tiniresu
а как лечить не нашёл пока:(

Автор: drSAB 3.10.2004 - 03:41

->http://www.business-talk.co.uk/showthread.php?p=2964#post2964

Автор: Quantum 4.10.2004 - 18:23

Автор: vern 19.11.2004 - 16:25

Была у меня такая проблема, выключил я както компьютер а потом на следующий день когда включил не смог войти в интернет так как мой логин и
пороль поменялись ну какието другие о которых я и представления не имею вхожу в параметры ввожу свои логин и пороль пытаюсь войти в интернет не получается опять вернулись те ну которые не мои, пришлось звонить своему поставшику интернета и с его помощью качать свои же логин и пороль, но потом после того как выключил компьютер и заново включил все повторилось тоесть опять не мои логин и пороль. Ну вобшем стоит выключить затем включить все повторяется. Сканировал на вирусы пусто (у меня тогда NORTON стоял), проверял Ad-Aware SE пусто только куки.
Пришлось нести к доктору (я новичок много не знаю)Ну он для начала поменял мне антивирус поставил NOD32, просканировали показывает наличие трояна но неизвестного , вылечили, включили выключили опять таже история.
Пришлось переустанавливать виндоус, только после этого все встало на свои места.
Что это за троян такой неизвестный?

Автор: Blackhawk 20.11.2004 - 12:12

vern

Надо было проверить комп не только NOD32, но и другими антивирусами, у меня например постоянно в памяти сидят Norton Antivirus Corporate 9.0 + Kaspersky Antivirus 5.0 Pro + F-Prot Antivirus + файрвол Agnitum Outpost 2.5 и все эти проги настроены отлично :) чтобы тачка не тормозила и всякая гадость не лезла в комп.

Можно спать спокойно

Автор: Ann 23.12.2004 - 00:15

http://news.bbc.co.uk/1/hi/technology/4117711.stm

Автор: SuperProf 28.01.2005 - 14:49

Лаборатория Касперского - 27.01.2005

Нортон и Каспер уже проапгрейдили свои базы

Автор: drSAB 23.03.2005 - 14:14

puxman
набери в яндексе поиск 1c вирус

это только несколько из сообщений в шапке тем:

Автор: Muhit 24.03.2005 - 11:06

Попробувай поставить самые последние патчи, должно помочь. Может вирус не у тебя на машине, а бьет по портам снаружи и вешает твои сервисы.

Автор: GM07 29.03.2005 - 12:39

вот что выдал товарищ Яндекс
hччp://www.yandex.ru/yandsearch?text=Backdoor.Win32.Agobot.gen

Автор: Lesovik 3.04.2005 - 16:40

Приходит мне по аське вот такой-вот пост:

Ну, если очень важно, тогда ладно... =)))) (подумал я, и сделал вид, что повелся :))
Захожу на тот сайт - там единственная страничка с единственной ссылкой поперек всего экрана, ссылающейся на файл:
_http://ukraniangirls.info/photos.zip , размером 768 байт
Качаю файл; унутря этого архива лежит файл pictures.htm.hta
Как можно заметить - у этого файла два расширения, причем основное расширение *.HTA - HTML Applications, так называемое "безбраузерное приложение"
Для справки:
Начиная с Internet Explorer 5.0 появилась возможность создавать HTML-приложения с любым пользовательским интерфейсом при помощи JavaScript или VBScript. Причем, созданное html-приложение будет запускаться вне браузера и ничем не будет отличаться от стандартных Windows-приложений.
Созданное приложение будет присутствовать на панели задач, иметь свое собственное окно, меню и значок. Плюс ко всему отпадает необходимость подтверждать использование ActiveX-компонентов (система защиты Internet Explorer предусматривает появление предупреждающих сообщений при попытке использования ActiveX в HTML-документах). Вы имеете полный контроль над системой, включая чтение/запись файлов, данных в реестре, управление процессами.
Просматриваю содержимое этого файла. А в содержимом имеется ссылка на фотку (120055828__120117443.jpg размером 317 КБ) небольшой, но симпатичной клумбы, из гарных украиньских дивчын, а так же простеньких скриптик, который, пока загружается фотка, загружает еще и файлик _http://ukraniangirls.info/forum/program.exe и запускает его. Разумеется, запускать я *.hta-файл не стал, а просто вырезал ссылку на фотку, и посмотрел ее...
Кстати, этот самый "program.exe" я таки сгрузил, и проверил антивирем. Вы просто представить себе не можете, как я был удивлен, когда антивирь сказал мне, что этот файл содержит вирус! :D
Некий NewHeur_PE virus...

Автор: clever 24.04.2005 - 20:30

Новая зараза W32/Nopir-B
W32/Nopir-B is a worm for the Windows platform.
W32/Nopir-B will display an anti-piracy image on the screen when run. The worm will then delete all COM and MP3 files from the computer. The worm will also disable taskmanager, registry tools, and access to the control panel. W32/Nopir-B will also check for debuggers and may attempt to disable any such software that it finds.
W32/Nopir-B copies itself to <Program Files>\Projects Visual Studio.NET\Nctrup.exe, <Program Files>\Restore\<random name>.exe, <Program Files>\eMule\Incoming\AnyDVD 5.1.0.1 Crack+Keygen By Razor.exe

передается через Peer-to-peer
более подробно h**p://www.sophos.com/virusinfo/analyses/w32nopirb.html (Advanced)

Автор: Quantum 25.04.2005 - 14:39

Дополняя сообщение clever'а :)

Автор: Vanoc 9.07.2005 - 23:53

Lenta.ru

Автор: Ann 8.09.2005 - 15:42

«Троянский» вирус в борьбе за нравственность

Эксперты по системам информационной безопасности опубликовали информацию о новом вредоносном «трояне», который принудительно прерывает просмотр порнографических сайтов и выводит на экран цитату из Корана, пишет http://www.vnunet.com.

Вирус, получивший имя «Yusufali-A Trojan» получает информацию о посещаемых пользователем страницах путем изучения заголовков активного окна. Если в заголовке обнаружено одно из характерных ключевых слов, например «подростки», «секс» или «ХХХ» программа сворачивает окно, делая невозможным просмотр его содержимого и выводит на экран монитора выдержку из суры Корана.

В сообщении приводится текст на арабском языке и следующая цитата на английском: «Yusufali: Know, therefore, that there is no god but Allah, and ask forgiveness for they fault, and for the men and women who believe: for Allah knows how ye move about and how ye dwell in your homes».

«Похоже, что в отличие от другого вредоносного ПО данный «Троян» не делает попыток получить доступ к конфиденциальной информации или ознакомится с содержимым вашего банковского счета» - объясняет Грэм Клюли (Graham Cluley), старший консультант компании Sophos, - «Напротив, он выступает своего рода защитником нравственности, блокируя доступ к сайтам, которые считает неподобающими. Разумеется, данный вирус способен поставить неверный диагноз и отнести к порнографическим web-странички посвященные медицине, семейной жизни или подростковым проблемам».

В случае если пользователь немедленно не закрыл неподобающую страницу вирус Yusufali-A «запирает» курсор мыши в отдельном окне, в котором находятся три кнопки: «LogOff», «ShutDown» и «Restart». Нажатие на любую из этих кнопок приводит к выходу из системы.

«Возможно, этот Троян создан в качестве шутки, хотя не исключено что кто-то действительно предпринимает попытку таким образом бороться за нравственность посетителей Интернета» - считает Клюли, - «Как бы то ни было, всем пользователям настоятельно рекомендуется позаботиться о защите своих систем, обновить антивирусное ПО и установить надежный межсетевой экран».

http://soft.mail.ru/pressrl_page.php?id=11423

Автор: poiuyt 9.09.2005 - 08:00

Ann

ВО блин, даже парнуху не дают посмотреть, ужас какойто прям.
Еще наше родное государство, всетаки собирается поставить для российских пользователей спец фильтры, чтобы якобы отсекать от нашей хрупкой психики сайты с антироссийской пропагандой а также сайты терористов.
Я думаю что все прекрасно понимают к чему приведет установка таких фильтров и что филтровать они будут не то что задумано, а то что власти не угодно.

Автор: Ann 9.09.2005 - 10:11

poiuyt
Я склонна думать, что в случае с трояном - это все-таки шутка и желание позабавиться.

Автор: Larry 9.09.2005 - 16:22

Ann, :)
А можно было подумать и написать, например, плагин для браузера.

Автор: Quantum 20.09.2005 - 01:41

Новый интернет-червь подменяет Google

В интернете появился новый вирус "P2Load.A.", подменяющий собой самую популярную поисковую систему - Google, сообщает IDG News Service.

"P2Load.A" распространяется через P2P-сети, а точнее, через пиринговые программы Shareaza и Imesh. При этом он маскируется под файлы компьютерной игры из серии "Звездных войн".

При запуске он отображает сообщение об ошибке, информирующее пользователя о том, что не найден определенный файл, и предлагает скачать его. При этом червь заражает компьютер и вносит две основные модификации: изменяет стартовую страницу, отображая рекламу, и подменяет Интернет-поисковик Google.

Когда пользователь пытается воспользоваться поисковиком, его запрос перенаправляется на страницу, которая выглядит точно так же, как и Google и даже выполняет схожие функции. Однако при этом в результатах поиска отображаются те сайты, которые хотели показать создатели червя, а не те, которые показал бы настоящий Google.

Источник _www.podrobnosti.com.ua

Автор: mihenius 3.10.2005 - 09:21

История и прогнозы развития вирусов для мобильных платформ

«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакеров и спама, представляет новую аналитическую статью, посвященную появлению и развитию вредоносных программ для мобильных устройств — смартфонов и карманных компьютеров.

Прошло уже больше года с момента обнаружения первого Bluetooth-червя для ОС Symbian — Worm.SymbOS.Cabir. Что случилось за этот год в мире мобильных устройств? Во что выльется сегодняшнее положение неустойчивого равновесия? Когда можно ожидать первую настоящую «мобильную» эпидемию? На эти и многие другие немаловажные вопросы попыталась ответить антивирусный аналитик «Лаборатории Касперского» Алиса Шевченко.

Фактически, статья «Появление и развитие вирусов для мобильных устройств» стала первой попыткой свести воедино всю информацию о современных угрозах безопасности информации пользователей «умных» телефонов и КПК.
Статья большая так что лучше читать источник :D
Источники:
Лаборатория Касперского
_http://www.viruslist.com/ru/analysis?pubid=170531631

Автор: Ann 5.10.2005 - 19:49

В программных продуктах российской фирмы "Лаборатория Касперского", производителя популярного антивирусного ПО, обнаружена уязвимость. Как сообщило накануне издание CNET News.com, ее выявил специалист по компьютерной безопасности Алекс Вилер (Alex Wheeler) и охарактеризовал как критичную.
Уязвимой является одна из общих библиотек программы, которая входит сразу в несколько продуктов "Лаборатории". Злоумышленник может создать специальным образом сформированный CAB-архив - при его открытии уязвимой антивирусной программой будет выполнен встроенный в этот архив код, что позволит злоумышленнику получить полный контроль над системой. Архив может быть, например, послан жертве по электронной почте, и вредоносный код может быть активирован при антивирусной проверке этого письма.

Российский компьютерный журнал "Мир ПК" обратился к "Лаборатории Касперского" за комментарием по данной ситуации. В антивирусной компании заявили, что работают над ликвидирующими уязвимость обновлениями, и они должны появиться на интернет-ресурсах компании в течение дня 5 октября.

"Компания подтверждает существование уязвимости в одном из модулей Антивируса Касперского, обеспечивающем обработку архивированных файлов типа CAB. Использование данной уязвимости приводит к сбою в работе антивирусной программы. Этот эффект проявляется исключительно при работе в среде Windows, и не затрагивает другие ОС", - говорится в новостном сообщении на сайте "Лаборатории". В то же время, компания отмечает, что "фактическая опасность, представляемая CAB-уязвимостью, является минимальной и неспособна повлиять на уровень антивирусной защиты продуктов «Лаборатории Касперского»".

Следует отметить, что журнал "Мир ПК" в настоящее время выступает с инициативой создания национального центра антивирусной безопасности и введения по аналогии с фармацевтической промышленностью государственного надзора за продукцией производителей антивирусного ПО. Эта инициатива является следствием конфликта коллектива журнала и "Лаборатории" - специалисты издания выявили ряд недочетов в ее продукции и опубликовали исследование на эту тему, что вызвало резко негативную реакцию со стороны антивирусной компании. В редакции журнала отмечают, что согласились предоставить "Лаборатории" возможность выступить с опровержением, однако его не последовало.

CNET News отмечает, что в последнее время мировые специалисты по цифровой безопасности приходят к выводу, что антивирусные программы сейчас являются привлекательной целью для вирусописателей. Эта тенденция наметилась по мере усиления контроля за безопасностью ОС Microsoft Windows, через "дыры" в которой традиционно вредоносные программы проникают в компьютеры большинства пользователей. Присылаемые пользователям письма извне часто подвергаются антивирусной проверке и в случае, если антивирусное ПО является уязвимым, вредоносный программный модуль сможет таким образом захватывать над системой контроль.

http://www.lenta.ru/news/2005/10/05/flaw/

Автор: Ann 5.10.2005 - 21:06

Начиная с недавнего времени, широкий резонанс в СМИ получило сообщение независимого исследователя Алекса Вилера (Alex Wheeler) об обнаружении уязвимости в антивирусных продуктах «Лаборатории Касперского», связанной с обработкой архивов формата CAB. Учитывая пристальное внимание компьютерного сообщества, «Лаборатория Касперского» считает необходимым предоставить официальные комментарии по данному инциденту.

Действительно, компания подтверждает существование уязвимости в одном из модулей Антивируса Касперского, обеспечивающем обработку архивированных файлов типа CAB. Использование данной уязвимости приводит к сбою в работе антивирусной программы. Этот эффект проявляется исключительно при работе в среде Windows, и не затрагивает другие ОС.

В то же время, специалистами «Лаборатории Касперского» был предпринят ряд мер, направленных на устранении угрозы, связанной с уязвимостью CAB-модуля. Прежде всего, после получения соответствующих данных командой антивирусных аналитиков в сжатые сроки был создан пакет сигнатур, обнаруживающих возможные для данной уязвимости эксплойты (процедуры использования уязвимости для проникновения на компьютер). Этот набор сигнатур был добавлен в антивирусные базы Антивируса Касперского 29 сентября, что значительно снижает вероятность успешного использования эксплойтов CAB-уязвимости. Более того, на данный момент не зарегистрировано ни одной попытки создания и распространения подобных эксплойтов. В этой связи необходимо отметить, что сам Алекс Вилер, обнаруживший данную уязвимость, не предоставил использующий ее демонстрационный код.

В совокупности перечисленные факторы позволяют утверждать, что фактическая опасность, представляемая CAB-уязвимостью, является минимальной и неспособна повлиять на уровень антивирусной защиты продуктов «Лаборатории Касперского».

На данный момент эксперты «Лаборатории Касперского» осуществляют разработку экстренного обновления антивирусных продуктов компании, содержащих подверженный уязвимости CAB-модуль. Уточненный список этих продуктов включает следующие: Антивирус Касперского Personal 5.0, Антивирус Касперского Personal Pro 5.0, Антивирус Касперского 5.0 для Windows Workstations, Антивирус Касперского 5.0 для Windows File Servers, Kaspersky Personal Security Suite 1.1. При этом антивирусные продукты версии 4.5 не подвержены воздействию уязвимости. Обновления для всех указанных программ, устраняющих CAB-уязвимость, будут выпущены во второй половине 5 октября 2005 года, и станут доступными для установки с помощью стандартных процедур загрузки обновлений.

«Лаборатория Касперского» также является поставщиком решений для ОЕМ- и технологических партнеров. Следует подчеркнуть, что подавляющее большинство доступных на рынке продуктов, основанных на антивирусной технологии «Лаборатории Касперского», не используют подверженный уязвимости модуль. Для партнеров, чьи решения потенциально могут быть подвержены уязвимости, предпринятые Лабораторией Касперского меры по выпуску сигнатур, обнаруживающих возможные эксплойты, практически исключают возможность использования уязвимости до выпуска соответствующих обновлений.

http://www.kaspersky.ru/news?id=171171383

Автор: drSAB 17.01.2006 - 10:46

Rare
по имеющейся информации, этот зверек идентифицируется разным АВ с разными именами

но это обычное дело для новинки...

http://info.drweb.com/virus/?virus=471

Автор: Dron 2.02.2006 - 16:32

Email-Worm.Win32.Nyxem.e

«Лаборатория Касперского» напоминает, что в пятницу, 3 февраля, впервые активизируются деструктивные функции червя Nyxem.e.

Червь проверяет системное время и 3 числа каждого месяца уничтожает содержимое файлов со следующими расширениями:

dmp
doc
mdb
mde
pdf
pps
ppt
psd
rar
xls
zip

Восстановить уничтоженные червем данные будет невозможно.

Червь также пытается противодействовать работе антивирусных программ.

«Лаборатория Касперского» рекомендует пользователям произвести резервное копирование важных для них файлов до полуночи с четверга на пятницу.

Детектирование Nyxem.e было добавлено в базы данных Антивируса Касперского 16 января. Для надежной защиты от этого червя пользователям Антивируса Касперского необходимо скачать новейшие антивирусные базы.

Более подробно: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=109064

Предупрежден - значит вооружен ;)

Автор: avova 2.02.2006 - 17:06

В дополнение к предыдущему сообщению от Dron.
Рекомендации к действиям дают на
http://www.thg.ru/technews/20060201_163043.html

Автор: levnev 23.05.2006 - 09:12

Обнаруженная на прошлой неделе, но не закрытая разработчиками уязвимость в Microsoft Word уже используется хакерами для проникновения на компьютеры, сообщили специалисты антивирусной компании Symantec.

«В настоящее время были обнаружены адресные атаки против определенных лиц», — написала компания в бюллетене для клиентов своей системы DeepSight Thread Management System. Уязвимость является критической — позволяет выполнять произвольный код на удаленной машине — только для последней версии офисного текстового процессора — Word 2003. Более ранние версии просто закрываются при попытке просмотра специально созданного документа.

Троянец «Trojan.Mdropper.H», осуществляющий атаку, приходит в виде документа Word по электронной почте и выполняется при открытии этого вложения в Microsoft Word. Будучи запущенным, он размещает на компьютере другой троянский модуль, «Backdoor.Ginwui», и соединяется с хакерским сайтом, ожидая дальнейших инструкций. Он собирает информацию о системе, отправляет скриншоты экрана, предположительно, с реквизитами банковских систем, и предоставляет хакеру удаленный доступ к командной строке Windows (cmd.exe). Для сокрытия в системе троянец использует код защиты от обнаружения системного уровня, так называемый «rootkit», сообщили в Symantec.

До выхода заплатки Symantec советует компаниям заблокировать прием вложений в формате MS Word (.doc), а пользователям — не открывать таких вложений, если они поступили от неизвестного источника.

Источник: cnews.ru

Автор: fara 14.06.2006 - 16:06

Вирусный бюлетень об уязвимости в Microsoft Word,которое делает возможным удаленное выполнение кода,с обновлениями для их устранения для разных версий Office

http://www.microsoft.com/technet/security/Bulletin/MS06-027.mspx

Автор: Marie 22.07.2006 - 19:13

Просили передать. пост "прикольная флэшка =))
***p://ampleheat.com/oPreved.exe" - вирь, который тырит аськи. текущие базы касперыча его не видит. инфа проверена, есть пострадавшие.

Автор: allroad 23.07.2006 - 01:08

Обнаруживает, проверено сегодня.

Автор: Marie 23.07.2006 - 19:41

allroad
Еще вчера с вечера стал видеть, его в базы добавили.

Автор: DimiON 24.07.2006 - 20:30

Сегодня качал и Каспер ничего не обнаружил.
Файл поменяли:

было: 246 272 байт, дата создания 2006.07.22/11:05 md5: 6bc49d48e82336850fa9ac28293178e4
стало: 354 816 байт, дата создания 2006.07.23/11:22 md5: 0f47e1a819af893952b5c32ce865e1c4

Последний сегодня Каспером уже не ловился.

Будьте настороже!

Автор: Larry 28.07.2006 - 19:33

Компания "Доктор Веб" информирует о вирусной опасности - Trojan.PWS.LDPinch.1061! Позаботьтесь о сохранности своих паролей!

28 июля 2006 года

Служба вирусного мониторинга компании "Доктор Веб" сообщает о распространении по сети мгновенных сообщений (ICQ)новой модификации троянской программы, получившей по классификации компании "Доктор Веб" название Trojan.PWS.LDPinch.1061. Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe) действительно имеет значок флеш-ролика, но на самом деле - это троянец, перехватывающий пароли.

Техническая информация о данном троянце:
[*]После запуска oPreved.exe (354 304 байта. Детектируется антивирусом Dr.Web как Trojan.PWS.LDPinch.1061) создаются файлы:
%System%\Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot)
\%windir%\temp\xer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot)
временный файл C:\a.bat
[*]Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Shel"=Expllorer.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Shel"=Expllorer.exe
[*]Передача паролей происходит через скрипт на сайте hxxp://220web.ru. Передаются все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д.
[*]Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны: как встроенный в операционную систему, так и некоторых сторонних разработчиков.

Компания "Доктор Веб" призывает пользователей быть внимательными и не открывать ссылки, пришедшие в сообщениях ICQ от неизвестных адресатов. В случае, если Ваш компьютер поражён трояном Trojan.PWS.LDPinch, рекомендуется отключить компьютер от локальной сети и/или Интернета, проверить его антивирусным сканером Dr.Web®. Вы также можете бесплатно проверить и, в случае необходимости, вылечить компьютер при помощи утилиты Dr.Web - CureIt!.

Внимание! В обязательном порядке смените все пароли, хранящиеся на Вашем компьютере.

Автор: FUriCK 4.08.2006 - 09:46

Вот, наконец, и появились вирусячки, которые прячутся от систем мониторинга. :)
Так что все готовимся к тому, что антивирусные компании сделают вид, что они в поте лица
корпят над созданием СУПЕР-ПУПЕР-МЕГА-КЛЕВОГО антивируса. Который они представят
в ближайшем будущем как панацею от злых, нехороших дядек, пишущих не менее злые вирусы...
хотя я лично уверен, что модули для отлова этих вирей уже давно готовы.... ладно, это лирика.
Факты:

Описание виря:
хттп://www.viruslist.com/ru/viruses/encyclopedia?virusid=44356
Backdoor.Win32.Haxdoor.a (классификация KasperskyLab)
A-311 Death (личное имя виря)
Троянская программа, предоставляющая удаленный доступ злоумышленнику к зараженной системе. Имеет шпионский функционал и пытается воровать пароли из разных программ. Размер основного файла — около 25 КБ.

При запуске создает на диске файлы (они хранятся внутри основного):

pdx.dll — размер около 20 КБ, упакован UPX; основной компонент;
pdx32.sys — размер около 13 КБ; kernel mode драйвер (root kit), который создает в системе устройство \Device\pdx32 и используется для обхода разных системных ограничений, например, для чтения заблокированных файлов.
Пытается воровать пароли из следующих приложений и служб:

EDialer;
Miranda (ICQ);
MuxaSoft Mdialer;
SAM-файлы;
кешированные сетевые пароли.
Всю собранную информацию, отправляет по электронной почте (протокол SMTP). При подключении выдает строку «A-311 Death welcome».

Добавляет ключи в системный реестр:

[System\CurrentControlSet\Control\MPRServices\TestService]
"DLLName"="pdx.dll"
"EntryPoint"="CorpseProc"
"StackSize"=0x1000

[SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
"DllName"="pdx.dll"
"Startup"="CorpseProc"
"Impersonate"=1
"Asynchronous"=0
"MaxWait"=1

хттп://www.viruslist.com/ru/news?id=193509215
Невидимый троянец заразил 10 тысяч компьютеров в Австралии
Более 10 тысяч компьютеров оказались заражены троянцем Haxdoor в Австралии, сообщает газета The Sydney Morning Herald. При этом большинство антивирусных программ присутствие троянца на компьютерах не обнаруживали.

Налоговое управление Австралии подтвердило факт того, что 178 налогоплательщиков непреднамеренным образом раскрыли номера своих налоговых файлов в ходе уплаты налогов в режиме онлайн. Налоговые служащие оповестили пользователей и предложили им новые номера налоговых файлов.

Налоговое управление получило сведения о распространении троянца от Оперативного управления Австралии по компьютерным инцидентам (Auscert). Auscert выпускает аналогичные предупреждения для банков и других крупных организаций, клиенты которых рискуют раскрыть свои данные.

По словам аналитика Auscert Маклеонарда Старки (MacLeonard Starkey), Haxdoor собирал логи клавиатуры, логины и пароли, которые пользователи вводили при заполнении онлайновых форм, в том числе используемых и для уплаты налогов. Украденные сведения преступники могли использовать для снятия денег с чужих банковских счетов или для подачи ложных сведений на возврат налогов.

Старки отметил, что наиболее распространенные антивирусные программы не обнаруживали троянца, разработанного российским программистом специально для продажи под названием A311 Death.

Троянец распространяется через электронную почту и сайты. При этом для того, чтобы заразить компьютер через электронную почту, пользователю не требуется открывать приложение с троянцем. По информации Старки, на долю Австралии пришлась одна треть всех компьютеров, зараженных Haxdoor. При этом главной целью злоумышленников были посетители сайтов австралийских банков.

Пока неясно, откуда началась атака на австралийские компьютеры. Единственый способ для австралийцев проверить, не подвергся ли компьютер заражению, это убедиться в том, что с их банковских счетов не проводилось неавторизованных транзакций. Избежать заражения можно, не посещая сайты под учетной записью администратора в ОС Windows.

Автор: Lаn 15.08.2006 - 03:20

Компания "Доктор Веб" информирует о вирусной опасности - Win32.HLLW.Gavir заражает исполняемые файлы и ворует пароли!

14 августа 2006 г.

Служба вирусного мониторинга компании "Доктор Веб" сообщает о появлении в сети Интернет и распространении нескольких модификаций сетевого червя, получившего название Win32.HLLW.Gavir.

Техническая информация:
Сетевой червь. Работоспособен под ОС: win9x/WinNT/2000/XP. Написан на
Delphi. При запуске копирует себя в %WINDIR%\rundl132.exe. Для обеспечения
своего запуска при каждой загрузке Windows прописывается в автозагрузку,
модифицируя системный реестр:

В Win9x:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
load=rundl132.exe

В WinNT/2000/XP:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load=rundl132.exe


Завершает процессы:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
RavMon.exe

Сканирует все локальные и сетевые диски, ресурсы общего доступа, ищет *.exe файлы и заражает их. Ищет в сети активные машины и пробует подключится к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха создает свою копию на целевой машине и удаленно запускает ее.

Создаёт на диске библиотеку viDll.dll и внедряет ее в просесс iexplore.exe или explorer.exe. C разных URL (в зависимости от свой модификации) закачивает несколько вариантов программ, которые определяются антивирусом Dr.Web как Trojan.PWS.Lineage. Напомним, что по классификации Dr.Web,
префикс PWS обозначает, что вредоносная программа предназначена для воровства паролей. Поэтому в случае обнаружения на компьютере таких троянских программ пользователям рекомендуется сменить используемые в системе пароли.

На зараженных дисках создаёт файлы _desktop.ini с датой последнего заражения, чтобы повторно не искать в директориях файлы для заражения в этот же день. При запуске инфицированных исполняемых файлов червь исцеляет
их.

Поражённые Win32.HLLW.Gavir исполняемые файлы корректно лечатся антивирусным сканером Dr.Web. Непосредственно перед сканированием рекомендуется отключить компьютер от локальной сети и/или Интернета. Вы также можете бесплатно проверить и вылечить компьютер при помощи утилиты Dr.Web - CureIt!.


Служба информации компании "Доктор Веб"
_http://www.drweb.com/

Автор: Lаn 19.10.2006 - 19:59

Распространение новой модификации почтового червя Win32.HLLM.Limar приняло эпидемический масштаб!

19 октября 2006

Служба вирусного мониторинга компании "Доктор Веб" сообщает об
эпидемическом распространении новой модификации почтового червя
Win32.HLLM.Limar, известного также как Email-Worm.Win32.Warezov,
Win32/Stration.6wm!Worm.

Согласно данным статистики компании "Доктор Веб", присутствие червя
составляет 50-70% почтового трафика русскоязычного сектора сети Интернет
(рунета) за последние сутки.

Признаки инфицированного письма

Червь распространяется в виде вложений к письмам. Тема письма может быть следующей:

* Server Report
* Status
* Error
* Test
* Mail Delivery System
* Mail server report.
* Mail Transaction Failed
* Good day
* picture
* Hello

Вложение может быть в виде ZIP-архива, EXE-файла или файла с двойным расширением. Имя вложения может быть следующим:

* Update-KB[число]-х86 с расширением ZIP или EXE.
* test, body, docs, doc, test, text, readme, file, document, data.

Деструктивные действия

Червь маскирует свои процессы и блокирует работу некоторых антивирусных
продуктов и межсетевых экранов.
Более подробное описание Win32.HLLM.Limar вы можете найти здесь.
Помимо этого, Win32.HLLM.Limar распространяется по сети мгновенных
сообщений ICQ, предлагая неосторожному пользователю скачать предлагаемый в
тексте сообщения файл.
Специалистами компании "Доктор Веб" разработана специальная запись в
вирусных базах, позволяющая детектировать широкий спектр модификаций
данного семейства почтовых червей -- Win32.HLLM.Limar.based.
Пользователям антивирусных программ семейства Dr.Web опасность не грозит
-- их компьютеры защищены почтовым сторожем SpIDerMail, который проверяет
всю входящую почтовую корреспонденцию до того, как она будет обработана
почтовым клиентом.
Если ваш компьютер оказался поражённым червём Win32.HLLM.Limar, вам на
помощь придёт бесплатная утилита, которой можно вылечить компьютер Dr.Web
CureIt!, предварительно перезагрузив его в "безопасном режиме".

===========================
Служба информации компании "Доктор Веб"
_http://www.drweb.com/

Автор: Lаn 13.11.2006 - 23:59

Компания «Доктор Веб» информирует о вирусной активности: новый почтовый
червь Win32.Dref распространяется под видом сообщений о начале ядерной
войны

13 ноября 2006 г.

Служба вирусного мониторинга компании «Доктор Веб» сообщает о распространении нового почтового червя, получившего название по классификации Dr.Web – Win32.Dref. У других производителей червь получил название Email-Worm.Win32.Luder.a, Email-Worm.Win32.Glowa, Worm.Glowa.
Червь появился в начале ноября, и на сегодняшний день число его модификаций перевалило за десяток.

В рассылаемых сообщениях червь сообщает о якобы начавшейся ядерной войне между Российской Федерацией и США, предлагая доверчивым пользователям ознакомиться в подробностями, которые они могут почерпнуть из приложенного к письму файла. Отдельные модификации Win32.Dref предлагают пользователям ознакомиться с подробностями смерти президентов упомянутых стран. Вложения
представляют собой файлы с расширением *.exe (open.exe, truth.exe, war.exe, last.exe, about me.exe, a.exe, never.exe, latest news.exe, readme.exe).

Будучи запущенным неосторожным пользователем, червь заражает все исполняемые файлы, а также добавляет исполняемый файл во все найденные rar-архивы, создаёт свои копии с расширением *.t на сетевых ресурсах. Свою работу при последующем запуске системы обеспечивает оригинальным способом - зараженные файлы не содержат тело вируса, а только небольшой код, который запускает основное тело из другого файла. В результате работы червя заметно снижается производительность компьютера.

Компания «Доктор Веб» предупреждает пользователей не открывать письма,
пришедшие от неизвестных адресатов и, тем более, не открывать вложения,
прикреплённые к таким письмам.


===========================

Служба информации компании "Доктор Веб"
_http://www.drweb.com/

Автор: Lаn 14.02.2007 - 22:53

Опасный «подарок» вирусописателей на День Св. Валентина

14 февраля 2007 года

Служба вирусного мониторинга компании «Доктор Веб» сообщает об обнаружении в Интернет вредоносной программы, маскирующейся под поздравительную «валентинку». Имя исходного распространяемого файла valentin.exe. Различные модификации данной вредоносной программы получили наименование по классификации Dr.Web Trojan.MulDrop.5549 и Trojan.MulDrop.5550.


При запуске этот троянец устанавливает на поражённом компьютере другую
вредоносную программу, получившую по классификации Dr.Web имя
Trojan.PWS.LDPinch.1437.


Trojan.PWS.LDPinch.1437 ищет зарегистрированные в системе пароли для
программ (Opera, Mozilla, Mail.Ru Agent, Eudora, CuteFTP, Total Commander,
ICQ, Miranda, Trillian, The Bat!, Outlook, Far, Internet Account Manager)
и отсылает их злоумышленнику.


Trojan.PWS.LDPinch.1437 также собирает и передаёт злоумышленнику
информацию о компьютере пользователя, конфигурации, информацию о
запущенных процессах. Троянец содержит функции обхода как встроенного
межсетевого экрана Windows, так и некоторых сторонних производителей, а
также антивирусных средств.


Компания «Доктор Веб» призывает пользователей быть внимательными и не запускать неизвестные файлы на своём компьютере.

===========================

Служба информации компании "Доктор Веб"
_http://www.drweb.com/

Автор: Leon71 25.05.2007 - 14:50

Троян Briz.X ежедневно крадет данные 500 человек
Специалисты PandaLabs предупреждают о распространи трояна Briz.X. Троян уже украл конфиденциальные данные более, чем 14 тысяч пользователей, и количество его жертв увеличивается на 500 человек ежедневно.

Briz.X способен красть все виды информации: конфиденциальные банковские данные, пароли к онлайновым сервисам, переписку по системам мгновенных сообщений, персональную информацию и др. По сравнению с другими троянами семейства Briz, данный экземпляр содержит модуль, позволяющий преступнику выполнять более быстрый поиск украденных данных.

Украденную информацию Briz.X пересылает на интернет-сервер, где хранятся все конфиденциальные данные, украденные с помощью вредоносного кода. Вся информация разделена на текстовые файлы, каждый объемом около 3 гигабайт.

Принимая во внимание огромные объемы краденной информации, автор данного трояна включил в него модуль синтаксического анализатора (программа, извлекающая из документов информацию и подготавливающая её для последующей индексации и поиска). Такой модуль позволяет хакеру выполнять поиск по домену или определенному слову для того, чтобы легко найти среди краденного информацию, которая его интересует больше всего.

Более того, данный модуль содержит опцию, позволяющую создавать шаблоны для фильтрации информации, такие как paypal.com, ebay.de, или yahoo.com. Это значит, что хакер может быстро найти украденную информацию, относящуюся именно к этим страницам, а следовательно, получить доступ к именам пользователей, паролям и банковским данным.

Троян Briz.X также позволяет кибер-преступникам получать удаленный доступ к зараженным компьютерам. Таким образом, эти компьютеры могут использоваться в качестве прокси-сервера для выполнения незаконных действий, таких как передача украденной информации или перевод на другие счета украденных денег. Следовательно, преступники могут быть уверены в том, что их IP-адрес не появится нигде, а выследить их будет практически невозможно.
Источник _http://www.3dnews.ru/software-news/troyan_briz_x_ezhednevno_kradet_dannie_500_chelovek-264446/

Автор: Leon71 28.05.2007 - 07:50

Троян Gozi обводит антивирусы вокруг пальца
Аналитики из компании SecureWorks сообщают о распространении нового варианта трояна Gozi, корни которого ведут в Россию. Новый вариант червя снабжен функцией записи нажатий клавиш и может шифровать блоки собственного кода. Благодаря этому усложняется его обнаружение антивирусными приложениями.
SecureWorks обнаружила сервер с данными, украденными трояном. На нем находились данные более двух тысяч жертв, в том числе номера кредитных карт, другая личная и банковская информация.
Поскольку червь обладает свойствами руткита, после того, как он попал в систему, обнаружить и обезвредить его можно только в режиме Safe Mode, да и то, если в базах антивирусной программы есть запись об этой версии Gozi.
Источник _http://www.3dnews.ru/software-news/troyan_gozi_obvodit_antivirusi_vokrug_paltsa-264505/

Автор: Leon71 28.05.2007 - 13:25

Уязвимость в антивирусе от Symantec стала причиной утечки данных

В Университете Колорадо из-за уязвимости в консоли управления антивирусом Symantec были похищены имена и номера социального страхования более 45 тысяч студентов. Утечка касается студентов, поступивших в Университет с 2002 года и до настоящего времени. Руководство говорит, что уже оповестило всех пострадавших.
Уязвимость, через которую недоброжелатели попали на удаленный компьютер, была ранее закрыта Symantec. Однако на сервере подразделения Academic Advising Center, где и произошла утечка, обновление не применили. После того, как неизвестные получили доступ к серверу этого подразделения, они начали сканирование всей университетской системы, пытаясь найти другие незащищенные компьютеры, однако это им сделать не удалось. Сотрудники IT-отдела сразу же отключили сервер от интернета.

Источник _http://www.3dnews.ru

Автор: Leon71 29.05.2007 - 12:28

Самые опасные черви и трояны недели по версии Pandalabs
Компания Panda Software Russia представила отчет о популярных угрозах последней недели. Специалисты компании предупреждают пользователей о трояне Conycspa. AJ, а также о червях MSNPhoto .A и Ridnu. D.

Троян Conycspa. AJ предназначен для демонстрации рекламы. Его действие проявляется в том, что он изменяет несколько записей реестра Windows, а также изменяет результаты поиска в интернете. Благодаря этому троян перенаправляет пользователей на определенные веб-страницы, в основном имеющие отношение к медицине.

Также Conycspa. AJ подключается к определенному сайту, с которого загружает различные файлы. Среди них mm 4839.exe, предназначенный для рассылки с компьютеров пользователей спама о лекарствах. Троян также загружает из интернета разные зараженные файлы, содержащие следующее вредоносное ПО: рекламный код MalwareAlarm , потенциально нежелательные программы DriveCleaner , WinAntivirus 2006 и PsKill .J , троянов Stox .A и Cimuz .EI , а также cookie DriveCleaner и MediaPlex.

Также этот опасный троян вносит изменения в папку восстановления файлов за счет создания собственной папки. Следовательно, при попытке операционной системы Windows восстановить поврежденную библиотеку, она заменяется файлами, созданными самим трояном. Так троян защищает внесенные им изменения и предотвращает их удаление операционной системой.

MSNPhoto .A – это червь, распространяющийся через MSN Messenger . Этот вредоносный код попадает в компьютер в виде иконки или изображения, на самом деле скрывающего исполняемый .exe -файл.

При запуске MSNPhoto. A закрывает все открытые пользователем окна MSN Messenger и рассылает по всем контактам сообщение с предложением открыть файл под названием fotos _ posse. zip, который на самом деле является копией червя.

Этот червь также блокирует открытие диспетчера задач, за счет чего предотвращает закрытие MSN Messenger самим пользователем. Также он старается загрузить из интернета несколько файлов. Кроме того, он редактирует реестр Windows , чтобы обеспечить себе загрузку при каждом запуске системы.

Червь Ridnu. D, как и все остальные варианты семейства Ridnu, занимается демонстрацией надоедливых сообщений. Он, например, заменяет надпись на кнопке "Пуск" на "Mr _CoolFace Has Come !". Также он изменяет название папки "Мои документы" на "Mr _CoolFace ", а при каждом открытии Блокнота пользователь видит надпись "Dear my princess ".
Источник _http://www.3dnews.ru/software-news/samie_opasnie_chervi_i_troyani_nedeli_po_versii_pandalabs-264544/

Автор: Leon71 3.06.2007 - 17:41

Специалисты PandaLabs предупреждают о новой волне троянов, которые открывают фальшивые банковские веб-страницы для кражи конфиденциальных данных. Среди новейших экземпляров вредоносного ПО, снабженных такой функцией, BanKey .A и BankFake .A.

Оба кода распространяются в виде вложения в сообщениях электронной почты или в качестве интернет-ссылки. На компьютере они устанавливаются под видом ярлыков для Windows Internet Explorer .

При запуске оба трояна демонстрируют страницу, которая выглядит как веб-сайт онлайнового банка с предложением ввести банковский пин и номер счета. Если пользователи вводят свои данные, то информация попадает напрямую к создателям вредоносного кода.

Для того, чтобы пользователи не заподозрили обмана, сразу же после ввода персональных данных, появляется сообщение об ошибке, в котором приносятся извинения за временные неудобства. Затем BankFake .A перенаправляет пользователей на легальный веб-сайт банка, где они уже могут повторить процедуру ввода данных. За счет подобной уловки у пользователя просто нет причин задуматься о том, что они стали жертвами обмана.

Затем украденные данные отправляются создателю вредоносного кода по электронной почте. BankFake .A использует безопасное SMTP-подключение через порт 465 и переправляет информацию в зашифрованном виде, чтобы посторонние не могли получить к ней доступ. BanKey . A отправляет данные на учетную запись Gmail, используя при этом шаблон, созданный самим трояном.

Такие вредоносные коды для кибер-преступников имеют множество преимуществ, по сравнению с традиционными фишинговыми атаками. Они гораздо проще в использовании, так как создателям не приходится брать в аренду хостинговый сервис для размещения на нем поддельных веб-страниц. А поскольку веб-хостинг не требуется, значит, нет угрозы, что их могут отследить, и благодаря этому, успех преступлений абсолютно не зависит от внешних провайдеров.

Автор: Leon71 4.06.2007 - 08:45

Компания «Доктор Веб» опубликовала обзор вирусной активности за май 2007 года. Специалисты компании отмечают, что обстановка в минувшем месяце была подобна событиям апреля. Главным «возмутителем спокойствия» стал почтовый червь семейства Win32.HLLM.Limar, выпущенный в нескольких модификациях. Начиная с середины месяца, присутствие Win32.HLLM.Limar составляет 30-70% инфицированного почтового трафика.

В прошедшем месяце появились и новые модификации Win32.HLLM.Graz, которые распространялись с помощью спам-рассылки. Во вложении инфицированных писем имеется файл с расширением *.hta. Было выпущено несколько модификаций *.hta-файла для затруднения задачи детектирования. Тем не менее, принципиальных различий в функциональности данного почтового червя и его более ранних версий нет – в поражённую систему устанавливается руткит-компонент для сокрытия файлов червя на диске и записей в реестре.

Достаточно большое распространение получили вредоносные программы азиатского происхождения – многочисленные модификации Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Cent, Win32.HLLW.Autoruner, Win32.HLLW.Creater. Отличительной особенностью этих программ является метод обеспечения автозапуска при каждом старте Windows: при заражении создаются копии вредоносной программы в каталоге Windows, а также файл autorun.inf, в котором прописан путь к файлу-носителю вредоносной программы.

Специалисты отмечают также появление новой модификации или, вернее, «реинкарнации» варианта вредоносной программы для мобильных телефонов Trojan.RedBrowser и её клонов Adware.Freesms и Trojan.Webser – Symbian.Viver. Данная программа распространялась, маскируясь под кодеки, то есть, пользователь должен установить ее на телефон самостоятельно. Вредоносное действие программы – отправка SMS на платные номера.

Что касается спама, то в мае стали особенно активны рассылки «туристического спама». В этом нет ничего удивительного, ведь в мае люди начинаются задумываться над тем, как и где они будут проводить свой отпуск, этим и пользуются злоумышленники. Подобный спам является наиболее «тяжёлым» - письма содержат, как правило, несколько графических файлов во вложении размером от 30 до 100 Кбайт. Как правило, такие вложения содержат графические файлы с пейзажами предлагаемого места отдыха, а также с контактной информацией турагенства.

Автор: Leon71 15.06.2007 - 14:52

Специалисты PandaLabs сообщили об обнаружении нового вредоносного приложения, предназначенного для управления зараженными компьютерами, или, так называемыми, бот-сетями. Сегодня бот-сети превратились для преступников в доходную бизнес-модель. Уже существует черный рынок для сдачи бот-сетей в аренду с целью рассылки спама или выполнения других вредоносных действий.

Утилита была обнаружена благодаря трояну LdPinch, который крадет конфиденциальную информацию. Специалисты компании исследовали сервер, на который пересылались украденные с помощью этого трояна данные и нашли эту утилиту.

Программа имеет два окна, в первом из которых отображается количество компьютеров, находящихся под управлением 'бот-пастуха (bot herder)' в каждом регионе. С помощью второго окна, которое называется 'Контроллер бот-сетей', можно выполнять ряд действий с зараженными компьютерами, например, загрузку и запуск файлов, блокирование доступа к определенным URL. Также в этом окне можно организовать загрузку файлов на FTP -сайты.

За последние месяцы PandaLabs обнаружила несколько утилит, предназначенных для управления бот-сетями, таких как, например, Zunker. Существуют даже боты, снабженные собственной административной утилитой, например, Barracuda .A , которому удалось заразить более 15000 компьютеров.

Автор: Leon71 22.06.2007 - 09:08

"Лаборатория Касперского" предупредила пользователей об обнаружении вредоносных спам-рассылок, которые распространяются через систему обмена мгновенными сообщениями. Несколько дней назад многие пользователи ICQ получили письмо следующего содержания:
"Здравствуйте я собираю народ для проведении Ддос атаки на Российские сайты сайты если вы желаете мне помочь вот я выложу программу http://XXX. su/load/0-0-0-1-20 для проведения ддос атак! Программа может палиться антивирусом если вы хотите помоч скачайте и свяжитесь я скажу как ее настроить заранее спасибо!"
(орфография автора сохранена)
На самом деле никаких DDoS-атак автор рассылок не планировал - по указанной ссылке специалисты "Лаборатории Касперского" обнаружили троянскую программу Trojan-PSW.Win32.LdPinch.bgj. Эта вредоносная программа предназначена для кражи всевозможных паролей с зараженных ПК и их отправки через Интернет. После запуска программа собирает конфиденциальные сведения (логины и пароли доступа к электронной почте, ICQ и другим интернет-службам), отсылает по определенному адресу и затем сама себя удаляет.

Специалисты "Лаборатории Касперского" отмечают интересную особенность этой спам-рассылки – мнимый хакер предлагает получателям принять участие в противозаконных действиях, а в результате, человек, который поддался на эту провокацию и решил "внести свой вклад" в DDoS-атаку на российские сайты, сам становится жертвой злоумышленника.

По мнению вирусных аналитиков "Лаборатории Касперского", предупреждение о возможности обнаружения загружаемой программы антивирусом предназначено для того, чтобы недальновидный пользователь сам отключил систему защиты своего ПК.

Интересно, что первый вариант Trojan-PSW.Win32.LdPinch был обнаружен еще в 2003 году и с тех пор "Лаборатория Касперского" находит по 3-5 его новых версий ежедневно. Такое количество модификаций вирусные аналитики объясняют тем, что исходный код данной программы некогда попал в Интернет.

Семейство Trojan-PSW.Win32.LdPinch далеко не в первый раз распространяется через массовые рассылки - при этом каждый раз используются новые методы социальной инженерии.
Источник 3dnews

Автор: Leon71 22.06.2007 - 12:52

Специалисты лаборатории PandaLabs обнаружили новую версию вредоносной утилиты Mpack, которая продается в интернете за $1000. Это приложение можно назвать "набором для инсталляции вредоносного ПО с помощью эксплойтов", поскольку оно способно обнаруживать и загружать на ПК эксплойты для многочисленных брешей безопасности.

Продажи вредоносной программы поставлены на широкую ногу – кибер-преступники предлагают бесплатную годовую поддержку тем, кто приобретает данную версию, а хакеры, желающие обновить Mpack новыми эксплойтами, могут приобрести их по стоимости от $50 до $150 за каждый.

Работа с программой происходит следующим образом: хакер добавляет на определенную веб-страницу ссылку iframe, ведущую на сервер, где установлен Mpack. Если пользователь просматривает такую страницу, запускается Mpack, который выполняет поиск уязвимостей на компьютере пользователя, и при обнаружении таковых, вредоносный код загружает на ПК соответствующий эксплойт.

Исследование PandaLabs подтвердило, что на данный момент в сети может быть около 350000 активных зараженных веб-страниц.

Сразу после попадания на компьютер, эксплойт запускается и начинает сбор данных о зараженной системе (браузер, операционная система и др.). Затем эта информация пересылается и хранится на сервере. PandaLabs уже обнаружила 41 сервер, принимающий такие данные. Уже с этих серверов кибер-преступники могут генерировать статистику о типах операционных систем или веб-браузеров, установленных на зараженных ПК, и даже о количестве инфекций в заданном разделе.

Автор: Leon71 22.06.2007 - 14:57

последнее время в сети начали появляться специфические вирусы, цель которых не нанести вред пользователю, а скорее лишний раз предупредить его об опасности возможности заражения. Компания Sohpos, один из ведущих разработчиков антивирусного ПО, обнаружила новый вирус, который распространяется на переносных накопителях. Правда угрозу он несет лишь информационную, в данном случае рассказывает о вирусе иммунодефицита. Уязвимости W32/LiarVB-A подвержены портативные устройства (такие как flash-накопители, дискеты), а также открытые на запись сетевые ресурсы. Вредоносная программа создает скрытые файлы автозапуска (autorun.inf), которые автоматически будут скопированы при установке носителя на новую машину. В случае, если автоматический запуск включен, в систему копируется HTML-файл, который и выводит информационное сообщение, вроде такого:

Какой-либо иной угрозы вирус не несет, он всего лишь в очередной раз напоминает о глобальной проблеме.
Источник: overclockers.ru

Автор: Leon71 29.06.2007 - 08:09

Специалисты компании Sophos предупредили пользователей о распространении трояна, который сообщает о наличие уязвимости в Microsoft Outlook. Троян рассылается под видом обновления от Microsoft, с темой письма Microsoft Security Bulletin MS07-0065. Пользователям предлагается срочно скачать патч для закрытия уязвимости. На самом же деле они попадают на вредоносную страницу, на которой размещен червь Mal/Behav-112.
Проблема заключается в том, что хакеры очень искусно подделывают письма, чтобы они были похожи на сообщения от Microsoft. Это касается и оформления, и содержания. В частности, письма могут содержать имя пользователя, название организации, лицензионный ключ Windows. Ключ, понятное дело, не настоящий, но вряд ли кто-нибудь помнит свой ключ.
Источник 3dnews

Автор: Leon71 3.07.2007 - 14:28

Специалисты "Лаборатории Касперского" представили обзор вирусной активности за июнь текущего года. Они отмечают спад вирусных эпидемий и обращают внимание, что такое затишье можно назвать традиционным. На вершине рейтинга самых распространенных вредоносных программ в почтовом трафике продолжают удерживаться не то что ветераны, а настоящие динозавры вирусного мира.

После долгого перерыва первое место вновь занял абсолютный лидер 2004 и 2005 годов — червь NetSky.q. На втором месте представитель столь же древнего семейства — Bagle.gt. Майский лидер, NetSky.t, чуть-чуть ухудшил свои показатели, однако в тройке удержался.

Самым интересным событием июня специалисты "Лаборатории" называют бесследное исчезновение червя Sober.aa, который мае занимал четвертое место. Вместе со снижением активности семейства Sober была замечена повышенная активность молодого поколения червей Warezov. В первую десятку попали сразу три новых модификации этого семейства, включая Warezov.oz , расположившегося на высоком пятом месте. Напомним, что зараженные Warezov компьютеры используются главным образом для дальнейшей организации спам-рассылок.

А вот семейство почтовых червей Zhelatin конкуренции с Warezov не выдержало. Второй месяц подряд в отчетах "Лаборатории Касперского" не наблюдается ни одной новой модификации этого червя.

В нижней части рейтинга сохраняется некоторое количество старых Mytob и NetSky, удерживаются интересные новички (вроде вируса Grum.a) и застыл на одном месте эксплойт уязвимости в обработке WMF-файлов Exploit.Win32.IMG-WMF.y. С его помощью размножались некоторые модификации червей Feebs.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент — 11,4 — от общего числа перехваченных, что свидетельствует о достаточно большом количестве червей и троянских программ, относящихся к другим семействам.

Полная версия обзора вирусной активности за июнь _http://www.viruslist.com/ru/analysis?pubid=204007554
Источник 3dnews

Автор: Leon71 5.07.2007 - 11:37

Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в июне 2007 года. Обстановка в этом месяце складывалась по привычному сценарию - среди общей массы вредоносных программ двумя резкими всплесками напомнил о себе почтовый червь массовой рассылки Win32.HLLM.Limar. В отличие от эпидемий прошлых месяцев, когда письма с Win32.HLLM.Limar составляли примерно 70% инфицированного почтового трафика, новым модификациям не удалось превысить отметку и в 50%. Кроме того, если прошлые эпидемии растягивались на 3-5 дней от момента своего появления, то в этом месяце это были однодневные вспышки.:

В конце июня Win32.HLLM.Limar вновь активизировался в виде писем с темами Your Information и Hey, но и на этот раз ему не удалось вызвать масштабную эпидемию.

Нельзя не отметить увеличение количества вредоносных программ, направленных на похищение паролей к различным онлайн-играм. Создатели таких программ постоянно обновляют их для затруднения детектирования различными антивирусами. Не секрет, что онлайн-игры для некоторых пользователей являются не только увлечением, но и серьёзными вложениями денежных средств – на улучшение характеристик виртуального героя и артефакты тратятся немалые деньги. Поэтому данное направление не остаётся без внимания вирусописателей. Источником распространения данных вредоносных программ являются страны Южной Азии. Помимо вредоносных программ для онлайн-игр наблюдается рост распространения сетевых червей таких, как Win32.HLLW.Autoruner, Win32.HLLW.Texmer, Win32.HLLW.Gavir, Win32.HLLW.Creater, Win32.HLLW.Cung и проч.

Вновь было отмечено распространение вредоносной программы Trojan.Plastix. На этот раз маскировка осуществляется под пикантные фотографии некой девушки. Напомним, что изначально Trojan.Plastix распространялся под видом программ для пополнения счетов мобильных телефонов. Поэтому, можно констатировать тот факт, что распространители всего лишь применяют проверенный временем способ заставить пользователя запустить необходимый файл.
Главным событием на спам-фронте стало появление принципиально нового типа спам-писем со вложениями в виде файлов в формате PDF. Сложность детектирования подобных писем заключается в том, что обычно PDF формат используется при составлении различных счетов за услуги.
Стоит также отметить существенное увеличение количества «коммерческого спама» и предложений сделать качественные рассылки, в то время как присутствие «туристического спама» уменьшалось. Было зафиксировано несколько мощных спам-рассылок. Одной из них стала рассылка с темой писем «ОШО. И этим всё сказано», предлагающая 6-дисковый медиа-архив с восточными философскими трактатами. Другая волна спам-рассылки - немецкоязычные письма {SUBJECT}, относящиеся к «коммерческому спаму».
Тематика англоязычного спама остаётся неизменной уже на протяжении продолжительного периода: услуги пластической хирургии и медицинские препараты – самые актуальные спам-темы.
В июне 2007 года вирусная база Dr.Web пополнилась 12128 записями.
Краткая таблица результатов онлайн-проверки за месяц:

Автор: Leon71 12.07.2007 - 06:26

Аналитики RSA Security обнаружили PHP-код, который устанавливает фишинговый сайт на зараженный сервер в течение двух секунд. Код содержит элементы HTML, а также графические компоненты, которые необходимы для создания сайта. Исполняемый файл автоматически устанавливает все эти элементы в нужные папки.
Иными словами, хакеру не нужно несколько раз подряд получать доступ к дискредитированному серверу, чтобы загрузить какие-то части кода, а, значит, риск обнаружения незаконных операций заметно снижается.
Несмотря на все усилия по борьбе с фишинговыми сайтами, RSA Security отмечает, что средняя продолжительность их жизни в мае составила 3,8 дня.
По статистике, собранной аналитической компанией Gartner, за последние два года число фишинговых атак удвоилось. Около трех с половиной миллионов человек смогли вспомнить случаи, когда их личная или финансовая информация попадала в руки преступников, а 2,3 миллиона потеряли деньги в результате фишинга. В среднем каждая жертва потеряла около 1250 долл.

Источник 3dnews

Автор: Leon71 19.07.2007 - 07:49

Лаборатория Касперского сообщила об обнаружении новой версии печально известной шантажной программы Gpcode. Обнаруженная недавно вирусными аналитиками вредоносная программа Virus.Win32.Gpcode.ai при попадании на компьютер жертвы использует сложный криптографический алгоритм для шифрования личных документов и архивов пользователя, в результате чего они перестают открываться. Кроме того, в системе появляются файлы read_me.txt, в котором сообщается, что файлы пользователя были зашифрованы с использованием алгоритма RSA-4096 и на их расшифровку требуется несколько лет.

Преступники предлагают вернуть украденные данные за выкуп в 300 долларов. Вот как выглядит это послание, подписанное некой "Гламурной командой", в оригинале:

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.

If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

Glamorous team

Однако на самом деле данная версия шантажной программы использует другой криптографический алгоритм, модифицированный RC4. Также ложным оказалось заявление вирусописателей о том, что личные файлы пользователей были отосланы злоумышленникам - никакие файлы никуда не отправлялись.

Современные антивирусные программы, как сообщают в Лаборатории Касперского, в состоянии справиться с данной проблемой и вернуть вам ваши утерянные данные, главное своевременно обновлять антивирусные базы.

Автор: Leon71 31.07.2007 - 11:54

Специалисты PandaLabs обнаружили новую опасную утилиту, устанавливающую вредоносное ПО с помощью средств атаки (exploits). Утилита называется Icepack и продается в интернете за 400 долларов США. Она дополняет ряд других утилит, обнаруженных PandaLabs в последнее время, таких как Mpack, XRummer , Zunker , Barracuda , Pinch и др., подтверждая успешность и выгодность бизнеса, который развивается в интернете за счет создания и продажи вредоносных приложений.

В отличие от ранее обнаруженных подобных приложений, эта утилита самостоятельно выполняет заражение и распространяется без вмешательство хакера. Появление этой утилиты свидетельствует о существовании в интернете определенной бизнес-модели, основанной на разработке и продаже подобных видов вредоносных приложений.
Icepack заражает компьютеры следующим образом: утилита получает доступ к определенной веб-странице, куда она добавляет iframe -ссылку, ведущую на сервер, на котором установлено данное приложение. Основное отличие Icepack заключается в том, что такую ссылку добавляет сама утилита. Предыдущим приложениям, таким как Mpack, были необходимы действия хакера, который вручную осуществлял доступ к веб-страницам, на которые затем добавлялась ссылка.

Когда пользователь заходит на эти страницы, Icepack тут же анализирует компьютер на предмет уязвимостей. При положительном результате, она скачивает из сети средство атаки, необходимое для использования незакрытой уязвимости. Еще один отличительный признак Icepack - это то, что она использует средства атаки для самых последних уязвимостей. Этому есть разумное объяснение – в таком случае существует меньшая вероятность того, что пользователи уже успели обновить свои компьютеры и закрыли бреши в системе безопасности системы.

После успешной атаки кибер-преступники могут загружать на зараженные компьютеры любое вредоносное ПО.

Еще одна особенность Icepack – это то, что она сочетает в себе программу проверки ftp и iframe. Первая помогает кибер-преступникам пользоваться информацией об учетных записях FTP, украденных с зараженных компьютеров. Данные этих учетных записей проходят через специальную программу проверки на подлинность. Утилита добавляет в учетную запись iframe -ссылку, ведущую к Icepack, и благодаря этому приложение начинает свой "жизненный цикл" заново

Источник 3dnews

Автор: drSAB 1.08.2007 - 22:56

В дополнение об Icepack

Автор: Leon71 8.08.2007 - 12:38

Компания Panda Security представила отчет о популярных угрозах последней недели. Специалисты компании предупреждают пользователей о червях RogueMario .A и USBWorm. A, а также о трояне Kangen.F .

RogueMario .A - это червь, который распространяется под видом игры Super Mario. Получив файл с игрой по почте, пользователь запускает ее и начинает играть, а в это время червь начинает свою вредоносную деятельность. RogueMario .A вносит изменения в некоторые установки системы – такие как настройки валюты и страны, имя пользователя, используемое по умолчанию и др. Также червь принудительно закрывает некоторые мониторинговые программы, включая HijackThis - v1.99. 1 и Multikiller 2.

В реестре он создает несколько ключей для того, чтобы запускаться при каждой загрузке системы. Помимо всего вышеперечисленного, этот червь создает на зараженных компьютерах несколько своих копий под такими названиями, как Explorer .exe или Mario. exe. Для распространения он создает еще несколько своих копий под названиями Legend .exe или Kartu. exe на всех доступных съемных носителях, а также рассылает их в виде вложений в электронные сообщения.

USBWorm .A – это червь, который распространяется путем копирования самого себя на USB-накопители. Он копирует на все носители два файла: autorun .inf и more .exe. Первый из этих файлов запускает второй, а more .exe выполняет целый ряд вредоносных действия каждый раз, когда носитель подключают к компьютеру.

Одним из таких действий является изменение внешнего вида папки Windows и файла desktop. Ini. К строке заголовка всех папок Windows добавляется следующее сообщение - " ^_^ Hello, I' m a hot boy but I am very cool ^_^ ".

Этот червь создает в системе свои копии под различными именами, а также старается добавить свой файл autorun .inf – с помощью которого он запускается, в меню, вызываемое правой кнопкой мыши.

Kangen .F – это троян, который появляется в системе в виде иконки с танком. Он создает на компьютере несколько своих копий, а также загружает в него несколько файлов, включающих ссылку на веб-страницу с сообщением на индонезийском языке.

Он редактирует реестр Windows для того, чтобы запускаться при каждом старте системы. Кроме того, он старается изменить имя пользователя и название организации, на которую зарегистрирована операционная система.

Автор: Leon71 14.08.2007 - 10:41

Компания PandaSecurity провела интересное исследование, результаты которого дают возможность утверждать, что использование имен известных людей в качестве приманки для распространения вредоносных кодов приобретает всё большую популярность. При этом, чаще всего используются имена тех личностей, которые постоянно фигурируют в СМИ. За последние месяцы имена сразу несколько известных всем людей стали орудием в руках кибер-преступников.

Чаще других мошенники используют имя Джорджа Буша. Такие черви, как MSNDiablo .A , Nuwar .A и Wapplex. C, распространяются по электронной почте и интернет-пейджерам, предлагая пользователям посмотреть карикатуры или видеозаписи с выступлениями президента Буша. Червь Piggy . A распространяется в сообщениях с предложением посмотреть фотографии таких знаменитостей, как Кармен Электра и Бритни Спирс, а backdoor -троян Haxdoor .PL предлагает пользователям фото обнаженных Анджелины Джоли и Николь Кидман. Другой червь, Mops . A, завлекает пользователей именами Пэрис Хилтон и Николь Ричи.

В социальной инженерии подобным образом используется и музыка. TelnetOn . A - это один из наиболее известных 'музыкальных червей', он распространяется через файлообменные программы. Он копирует себя в папки совместного доступа под такими названиями, как Eminem .exe , Evanescence . exe или Linkin Park .exe . Когда доверчивый пользователь скачивает один из этих файлов, вместо музыки он получает установленную копию червя.

Были также зафиксированы случаи, когда мошенники использовали имена Саддама Хусейна, Усамы Бен Ладена, Адольфа Гитлера, Памелы Андерсон и Билла Гейтса. Приманками могут стать и вымышленные персонажи. Чаще других используется имя Гарри Поттера, которое стало приманкой для распространения таких червей, как Hairy .A и Harrenix. A. Недавно были зафиксированы и рассылки, в которых фигурировали имена Марио Броса и Лары Крофт из известных видеоигр.

Источник 3Dnews

Автор: Leon71 27.08.2007 - 08:16

Компания PandaLabs обнаружила файл, созданный вредоносной утилитой Apophis. В нем содержались почтовые адреса, телефонные номера и CVV кредитных карт, принадлежавших почти тысяче жителей США, Великобритании и Канады. Предполагают, что этот файл содержит только часть украденных данных, всего же при помощи утилиты Apophis обрабатываются данные, украденные у более чем 30 тысяч человек.

Утилита Apophis предлагает преступникам ряд возможностей: они могут определять географическое положение зараженных компьютеров, сколько из них активны в данный момент, а также проводить поиск в украденной базе данных.

Неожиданным для специалистов PandaLabs оказалось то, что кроме сведений о банковских и электронных счетах, эти данные содержали такую информацию как почтовый адрес, телефонный номер или срок действия кредитной карты пользователя. С помощью этой информации кибер-преступники могут получать не только деньги человека, но и «выдавать себя за него», используя личные данные для совершения покупок, денежных переводов и т.д. под его именем

Автор: Leon71 29.08.2007 - 19:26

Вряд ли Sony будет в восторге от нового открытия компании F-Secure, которая занимается вопросами безопасности. Специалисты этой компании исследовали программу, которая поставляется вместе с USB-накопителями Sony MicroVault USM-F. Эти накопители оснащены защитой от неавторизированного доступа и отображают содержимое только после сверки отпечатка пальца. Согласно информации F-Secure, программа, которая сверяет отпечатки, содержит вредоносный модуль – она устанавливает скрытый файл на компьютер. Этот файл не заметен для многих антивирусных сканнеров.

Не так давно Sony уже попадалась на распространении руткитов, то есть, скрытых файлов. На музыкальных дисках Sony BMG была установлена защита от воспроизведения на компьютере, и когда стало известно, что аудиодиски помещают в систему скрытые файлы, это привело к большому скандалу.

В данном случае, однако, F-Secure предполагает, что скрытый файл, скорее всего, используется только для того, чтобы сделать программу для распознавания отпечатков более безопасной.

Автор: Leon71 5.09.2007 - 09:26

Специалисты "Лаборатории Касперского" представили обзор вирусной активности за август текущего года. Они отмечают, что август традиционно стал "мертвым сезоном" с точки зрения вирусных эпидемий, и напоминают, что последняя крупная августовская эпидемия бала зафиксирована в 2003 году, когда бушевал червь Lovesan. С.

В этом году даже ставшие уже традиционными волны рассылок червей Warezov и Zhelatin в августе сошли на нет. Как всегда, на фоне ослабления или исчезновения лидеров-новичков на высокие позиции возвращаются реликты: в августе в очередной раз первое место оставил за собой NetSky.q.

Кроме этого, специалисты отмечают продолжение роста присутствия в трафике червей семейства Womble. В июле Exploit.Win32.IMG-WMF.y вырос на 7 позиций, в августе он набрал еще две, и вошел в десятку (8-е место).

Источник 3dnews

Автор: Leon71 6.09.2007 - 12:37

Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в августе 2007 года.

Бесспорно, главным событием августа стало дальнейшее развитие ситуации, связанной с массовой спам рассылкой «штормовых» писем. В течение первой половины августа авторами использовался проверенный временем метод социальной инженерии – маскировка под уведомление о поздравительной открытке. В теле таких писем пользователю предлагалось пройти по ссылке и просмотреть предлагаемую открытку. Впоследствии, тема подобных писем несколько раз менялась вместе с содержанием – предлагалось просмотреть некий клип с участием самого пользователя на YouTube, затем проверить состояние учётной записи, якобы зарегистрированной на том или ином развлекательном сервере. При проследовании по предложенным в письмах ссылкам с помощью браузера Internet Explorer происходило выполнение загрузочного скрипта, внедрённого в веб-страницу. Данный скрипт детектируется антивирусом Dr.Web как VBS.Psyme.434. В ходе выполнения скрипта являлось произвольная закачка и запуск вредоносной программы, определяемой Dr.Web как Trojan.Packed.142. Как результат – компьютер пользователя становился ботом в создаваемой Trojan.Packed.142 P2P-сети и рассылал спам. Кроме того, в функциональность вложены Trojan.Packed.142 возможности организации DDoS атак.

Во второй декаде августа специалистами Службы вирусного мониторинга компании «Доктор Веб» было обнаружено, что скачиваемые исполняемые модули инфицированы опасным полиморфным вирусом, получившим наименование по классификации Dr.Web Win32.Virut.5. Данный вирус заражал все исполняемые файлы и содержал функции управления инфицированными компьютерами с использованием IRC-канала. Инфицированные Win32.Virut.5 варианты исполняемых модулей Trojan.Packed.142 распространялись в течение нескольких дней. Следует отметить тот факт, что антивирус Dr.Web, в отличие от многих других антивирусов, не только детектирует, но и, что немаловажно, лечит файлы, поражённые Win32.Virut.5. Учитывая масштабность распространения «штормовых» спам-писем, промедление с детектированием и лечением недопустимо. Определённым образом вспоминается ситуация прошлого года, когда по пиринговым сетям распространялся полиморфный файловый вирус Win32.Polipos и длительное время, кроме Dr.Web его никто не детектировал и не лечил поражённые им файлы.

В дальнейшем распространение инфицированных Win32.Virut.5 вариантов Trojan.Packed.142 прекратилось. Нечто подобное произошло в мае этого года, когда произошла мощная рассылка инфицированных Win32.Virut вариантов почтового червя семейства Win32.HLLM.Limar.

Помимо этого, зафиксировано распространение другого файлового вируса, получившего наименование Win32.Scproj.7573. Данный вирус заражает все исполняемые файлы на жёстких дисках компьютера, а также сменных дисках. Вирус, как правило, не меняет размер файла-оригинала жертвы, записываясь в области нулевых байтов. Заражение не сопровождается какими-либо визуальными эффектами, его признаками могут служить ошибки Explorer, сообщения тех или иных программ о нарушении целостности своих исполняемых файлов и.т.п. Вирус перехватывает у зараженных приложений доступ в сеть, поэтому может обходить политики безопасности межсетевых экранов для доверенных приложений. В своём теле содержит ссылки, по которым он может получить инструкции для своих дальнейших действий. Через определённое время после запуска заражённого Explorer, вирус сканирует сетевые ресурсы на наличие доступных для записи сетевых папок, и при обнаружении таковых заражает в них все исполняемые файлы.

Также следует упомянуть о распространении новых модификаций известного семейства почтового червя массовой рассылки Win32.HLLM.Beagle, однако эпидемии не случилось.

Итоги спам-активности в августе 2007

В этом месяце наблюдалось несколько спам-рассылок. Первая, и самая масштабная – упоминаемая выше рассылка «штормовых писем». Вторая – рассылка корреспонденции, содержащей во вложении файлы в формате PDF. Третья волна – письма с темой Here is the news you have been waiting for. Эти письма рассылаются с компьютеров, поражённых «Штормами» - Trojan.Packed.142. Необходимо отметить следующую тенденцию – спам-письма приобрели «вирусные» черты: броские заголовки, предложения прочитать документ, важную информацию (характерно для почтовых червей семейств Win32.HLLM.Netsky), отчёт с сервера о невозможности доставки корреспонденции (характерно для почтовых червей семейств Win32.HLLM.MyDoom, Win32.HLLM.Limar), вложения в виде ZIP-архивов и.т.п.

Остальной спам, на фоне указанных выше рассылок, не был столь масштабным. Стоит отметить, что в русскоязычном спаме увеличилась доля саморекламы спамеров, предлагающих организовать предпринимателям рассылку корреспонденции. Разумеется, традиционно высокие показатели у «коммерческого спама» с предложениями посетить бухгалтерские семинары, семинары по налоговой отчётности и.т.п. Уменьшилось присутствие «культурного спама».

Автор: Leon71 16.09.2007 - 06:56

Менее 24 часов понадобилось кибер-преступникам, чтобы написать код для атаки через Microsoft Agent, использующий уязвимость, о которой было сообщено в ежемесячном наборе патчей от Microsoft. Вредоносный код поместили в открытом доступе в интернете.
Microsoft Agent – это компонент MS Office, отвечающий за анимированных героев в файле справки Microsoft Office. Наиболее известным из таких героев является Clippy. В ранних версиях Office он устанавливался по умолчанию, в Office XP по умолчанию его установка была отключена, а в последней версии офисного пакета он и вовсе исчез. Иными словами, наибольшую опасность разгуливающий по Сети код представляет для пользователей Office 2000.
Компания Symantec посоветовала всем пользователям, у которых нет возможности скачать обновление, отключить обработку скриптов в браузере.

Источник 3dnews

Автор: Leon71 20.10.2007 - 20:01

Спам-письма, содержащие документы в форматах pdf, xls и других, уже стал привычными для интернет-пользователей. Однако в ночь с 17 на 18 октября была зафиксирована массовая рассылка нового типа спама - теперь непрошеные письма содержали MP3-вложение, которое пользователь мог прослушать. Массовая рассылка относилась к схеме "накачки и сброса" акций (pump-and-dump), предлагая приобрести акции, которые якобы скоро сильно вырастут в цене.

Данный вид спама впервые был применен спамерами, прежде всего, чтобы преодолеть антиспам-фильтры, а также чтобы удивить получателей своей необычностью и тем самым повысить эффект самой рассылки.

Все приемы, использованные при рассылке данной категории спама, были внимательно изучены специалистами французской компании Goto Software, технология которой используется в спам-модулях решений Компания Доктор Веб для защиты электронной почты. Соответствующее обновление было выпущено в течение нескольких часов и сразу стало доступно всем пользователям антиспам решений Dr.Web.

thg.ru

Автор: Leon71 23.10.2007 - 18:07

Специалисты компьютерной безопасности предупреждают о появлении в Интернете вредоносной программы, маскирующейся под установочный файл Skype. В процессе установки производится кража данных доступа к аккаунту Skype пользователя и другие пароли/логины, хранящиеся в базе Internet Explorer. Обнаруженный троян распространяется в файле 65404-SkypeDefenderSetup.exe с использованием логотипа Skype.
При запуске перед пользователем появляется вполне правдоподобное окно интерфейса Skype для ввода пароля и логина, хотя наиболее внимательные заметят отличие кнопки "sign in" от таковой в настоящей программе.

Ни одна функция запущенной поддержки Skype кроме принятия информации для доступа к аккаунту не работает. Троян распространяется посредством спамовых рассылок и сообщений со ссылками в IM-клиентах. Представитель Skype отметил, что успех трояна в большей степени зависит от сообразительности пользователя, поэтому он не получит широкого распространения. Во всяком случае, пока Skype зарегестрировала всего несколько жалоб на поддельный VoIP-клиент. Кроме того, в трояне отсутствует функция самостоятельного распространения или копирования, что значительно снижает возможность повсеместного заражения им.

Автор: Leon71 3.11.2007 - 09:01

Компания Intego, занимающаяся мониторингом информационной безопасности продукции Apple, обнаружила троянский вирус для операционной системы Mac OS X, сообщает The Register.
Троянский вирус, названный OSX.RSPlug.A, распространяется через порнографические интернет-сайты. При попытке просмотра видеоролика на подобном ресурсе пользователь компьютера Macintosh перенаправляется на страницу, содержащую информацию о необходимости установки дополнительного программного обеспечения для проигрывателя Quicktime. В случае согласия пользователя, на его компьютер устанавливается программа, перенаправляющая сетевые запросы к порталам eBay, PayPal и другим финансовым сервисам на хакерские ресурсы или сайты с порно-рекламой.

Примечательно, что для установки вирусу требуется пароль администратора компьютера и привилегии root (пользователь с неограниченными правами в UNIX-системах). Также необходимо отметить, что вирус меняет список DNS-серверов системы (аналог файла hosts для Windows). В графическом интерфейсе Mac OS X версии 10.4 список соответствия IP-адресов доменам невозможно даже просмотреть, а 10.5 (Leopard) позволяет просмотреть, но не изменить его в расширенных сетевых настройках. Поэтому рядовой пользователь компьютера от Apple, не разбирающийся в консольных UNIX-коммандах, не сможет избавиться от вируса собственными силами.

Для удаления вируса Intego рекомендует воспользоваться своим антивирусным продуктом VirusBarrier X4 с антивирусными базами от 31 октября 2007 года.

softnews.ru

Автор: Leon71 3.11.2007 - 15:43

Известный разработчик антивирусных приложений «Лаборатория Касперского» опубликовала отчет об основных тенденциях спама в Рунете за III квартал текущего года. Согласно данным компании, с июля по сентябрь доля спама в почтовом трафике не опускалась ниже 68,1%. Максимальное значение было зафиксировано на уровне 89 %.

Состав пятерки лидирующих спам-тематик остался практически прежним по сравнению с предыдущим кварталом - за исключением того, что тематику "Компьютерное мошенничество" сменила тематика "Услуги по электронной рекламе", вышедшая на пятое место.

По-прежнему, наиболее популярными темами спама остаются "Медикаменты; товары и услуги для здоровья", "Компьютеры и Интернет", "Образование" И "Отдых и путешествия".

Среди интересных тенденций периода можно отметить инвестиционный спам с вложенными архивами формата zip, который появился в июле. В августе спамеры стали рассылать сообщения с вложенными файлами формата fdf. В сентябре спамеры вновь реанимировали известный с 2003 года прием: рассылка простых писем с plain text, с заменой букв на небуквенные символы и разделением букв ключевых слов такими символами.

В третьем квартале также использовались так называемые быстрые рассылки, которые проходят за 15-30 минут. В подобных случаях спамеры рассчитывают на то, что спам-фильтры не успеют обнаружить и обезвредить угрозу за короткий промежуток времени.

Большинство быстрых рассылок - это англоязычный спам, рекламирующий акции и различную фармацевтику типа виагры. Русскоязычные спамовые письма с рекламой различных товаров и услуг также рассылаются с использованием данной технологии, однако таких рассылок значительно меньше.

Что касается криминализации спама, то, несмотря на формальное уменьшение доли мошеннических писем в спаме, которая снизилась с 9% во втором квартале до 5,3% в третьем, в целом этот процесс продолжается. Типичной для спама является реклама контрафактных и нелицензионных товаров. Спам категории "Компьютерное мошенничество" по-прежнему представлен в основном "нигерийскими" письмами, фальшивыми сообщениями о выигрыше в лотерею и фишинговыми письмами.

В третьем квартале проявилась еще одна интересная тенденция -"нигерийские" спамеры обосновались на русскоязычных сайтах знакомств. Пользователи, разместившие анкету на таких сайтах, зачастую получают "трогательное" сообщение от "нигерийской" невесты или жениха, в котором за приличное вознаграждение отправитель просит помочь ему получить миллионы долларов, выманивая у доверчивой жертвы тысячи в качестве предварительных расходов.

В третьем квартале также наблюдалась повышенная активность русскоязычных фишеров. В частности, летом фишеры атаковали пользователей почтовой службы Mail.ru, сервиса WebMoney и системы "Яндекс.Деньги". В конце лета - начале осени фишеры провели несколько таргетированных атак, нацеленных на корпоративных пользователей Рунета. Мишенью стали клиенты "Альфа-Банка".

3dnews

Автор: Leon71 7.11.2007 - 14:06

Компания Panda Security представила отчет о популярных угрозах последней недели. Специалисты компании предупреждают пользователей о вредоносных кодах Bindo .A и Nuwar. HU.

Bindo .A – это червь, предназначенный заражения как можно большего количества компьютеров за счет создания своих копий под такими названиями, как autoply.exe или MSshare.exe. Эти файлы червь помещает в папках общего доступа любых пиринговых программ, установленных у пользователя.
Кроме того, червь создает файл под названием AUTORUN.INF на всех носителях, на которых он создает свои копии, чтобы иметь возможность запускаться при каждом обращении к такому носителю.
Обнаружить присутствие этого червя в системе очень просто, поскольку он увеличивает число файлов, хранящихся в папках совместного доступа.
Nuwar. HU – это новый вариант печально известного "Storm Worm ", который для распространения использует тематику Хэллоуина. Он завершает процессы некоторых утилит безопасности, установленных на компьютере.
Nuwar .HU оставляет в системе руткит под названием noskrnl .sys и присваивает ему свойства сервиса, чтобы тот запускался автоматически при загрузке компьютера.
Nuwar .HU распространяется в электронных сообщениях с такими темами, как "Have a Happy Halloween everyone" или "Party on this Halloween" . Такие сообщения содержат ссылки на определенные веб-страницы, демонстрирующие анимацию с танцующим скелетом. Если пользователь скачивает или запускает анимацию, которую предлагает веб-сайт, червь заражает компьютер и превращает его в систему-зомби на службе у хакера.

3dnews

Автор: Leon71 11.11.2007 - 07:41

Компания PandaLabs опубликовала отчет самых популярных угроз октября, составленный на основе статистики, собранной бесплатным онлайновым антивирусом ActiveScan. Наиболее активными угрозами этого периода стали трояны и рекламное ПО. Они стали причиной 25.97% и 23.37% обнаруженных заражений, соответственно.

Следом за троянами и рекламными кодами идут черви. Специалисты отмечают, что из-за новой динамики вредоносного ПО этот вид нежелательного кода встречается всё реже и реже. Черви, который некогда становились причиной самых громких вирусных эпидемий, сегодня отходят на второй план. В октябре всего лишь 8,31% заражений было вызвано этим видом угроз.

Популярность троянов объясняется тем, что их можно использовать для целого ряда криминальных действий, которые приносят своим создателям крупную прибыль либо напрямую посредством кражи информации, которую можно использовать для онлайнового мошенничества, либо косвенно за счет выставления рекламщикам счетов за рассылку спама по бот-сетям.

3dnews

Автор: Leon71 14.11.2007 - 12:15

"Лаборатория Касперского" сообщила зафиксированной ею спам-рассылке с предложением услуг по организации DDoS-атак.

DDoS-атаки (Distributed Denial of Service - распределенный отказ в обслуживании) - криминальный метод, запрещенный законами большинства стран, в которых хорошо развит интернет. Эти атаки используются в основном как инструмент шантажа, а также в политических целях (например, для прекращения работоспособности веб-ресурсов неугодных политических партий или государственных структур) или для выведения из строя сайтов конкурентов. В ходе DDoS-атаки злоумышленники, используя сеть зараженных машин, инициируют множество запросов на атакуемый ресурс, что приводит либо к значительному замедлению работы атакуемого сервера, либо к отказу атакуемых узлов сети. В результате сайт-мишень становится недоступным для пользователей.

Спам-аналитики "Лаборатории Касперского" зафиксировали спам-рассылку следующего содержания: Эксперты "Лаборатории Касперского" констатируют, что рассылки подобного содержания встречаются крайне редко – как правило, предложения криминальных услуг публикуются на хакерских сайтах.

Предложение "услуги по устранению нежеланных сайтов", адресованное пользователям Рунета, носит откровенно криминальный характер. И создание ботнетов, и проведение DDoS-атак противозаконны, между тем, злоумышленники откровенно заявляют о том, что в их распоряжении имеется международная зомби-сеть, и они готовы использовать ее для проведения заказных DDoS-атак.

Спам-аналитики "Лаборатории Касперского" отмечают, что данная рассылка является яркой иллюстрацией продолжающегося процесса криминализации спама в Рунете. Для Рунета давно характерен спам с рекламой товаров и услуг вполне легального мелкого бизнеса. Однако в последнее время спамом как инструментом рекламы все чаще пользуется криминальный бизнес.

3dnews

Автор: Leon71 4.12.2007 - 20:26

Компания «Доктор Веб» опубликовала обзор вирусной активности за ноябрь 2007 года. Специалисты компании отмечают, что первая половина месяца была отмечена распространением новой волны вируса Storm Worm. Письма имели привлекательный заголовок Dancing Skeleton. В этих письмах, посвящённых празднику Halloween, предлагалось посмотреть на изображение танцующего скелета. После того как пользователь в браузере Internet Explorer переходил по предлагаемой ссылке, происходило срабатывание внедрённого в веб-страницу загрузочного скрипта, что в свою очередь активировало установку исполняемых модулей червя. Его функциональная нагрузка при этом не претерпела никаких изменений по сравнению с предыдущими версиями: в инфицированную систему устанавливался драйвер, компьютер становился элементом P2P-сети и начинал рассылать спам.

Через некоторое время рассылка «танцующих скелетов» была прекращена. Пользуясь тем, что вирус Storm Worm перестал активно распространяться, активизировались авторы червя Win32.HLLM.Limar. И если в прошлом месяце его распространение было не столь заметно, то в ноябре были зафиксированы несколько опасных рассылок: по электронной почте, в сообщениях ICQ и Skype. Запуск предлагаемых для скачивания файлов приводил к инфицированию системы, нарушению работы некоторых антивирусов и других программных систем защиты информации, а также к рассылке спам-сообщений.

В течение всего месяца наблюдалась ещё одна волна спам-рассылки: авторы завлекали читателей обещаниями рассказать им о том, как можно быстро разбогатеть и улучшить своё здоровье. При переходе по предлагаемой в теле письма ссылке происходило выполнение загрузочного скрипта с последующей установкой вредоносной программы, определяемой Dr.Web как Win32.HLLM.Graz.

3dnews

Автор: Leon71 5.12.2007 - 14:15

Компания Symantec сообщила о том, что зафиксированы первые атаки, которые используют уязвимость в популярном проигрывателе QuickTime. Об уязвимости, связанной с протоколом Time Streaming Protocol (RTSP), впервые стало известно 23 ноября, и Apple до сих пор не закрыла ее. Эксперты говорят о том, что уязвимость касается не только Windows, но и MacOS, в том числе и выпущенной недавно MacOS X 10.5. Незащищенными остаются пользователи всех популярных браузеров: Internet Explorer, Firefox, Opera и Safari.

Компьютер заражается после посещения ряда сайтов, среди которых Ourvoyeur.net, 2005-search.com, 1800-search.com, search-biz.org. С них идет пересылка на другой сайт, который инфицирует компьютер приложением loader.exe. После запуска это приложение скачивает файл Hacktool.Rootkit, который Symantec называет набором инструментов для взлома системы.

Symantec рекомендует администраторам закрыть доступ к этим ресурсам или же деинсталлировать Quicktime.

3dnews

Автор: Leon71 20.12.2007 - 12:45

Компания BitDefender сообщает об обнаружении нового трояна, который без ведома пользователя подменяет рекламные объявления (тексты и ссылки, выводящиеся совместно с результатами поиска) Google, показывая вместо них сообщения от других источников.
Данная угроза названа Trojan.Qhost.WU. Этот троян модифицирует на зараженном компьютере Hosts-файл с доменными именами и соответствующими им IP-адресами, которые передаются серверам доменных имен для загрузки того или иного содержимого из интернета.

Измененный файл содержит строку, переадресовывающую с хоста «page2.googlesyndication.com», которому должны соответствовать IP-адреса вида 6x.xxx.xxx.xxx, на другие адреса вида 9 x.xxx.xxx.xxx, таким образом, что браузеры зараженных рабочих станций вместо рекламных объявлений Google показывают объявления с сервера замененных адресов.

Вирусный аналитик BitDefender Аттила-Михели Балацс сообщил, что такой троян представляет собой двойную опасность: и для пользователя, потому что сайты, на которые ведут рекламные объявления, могут содержать вредоносный код (это весьма вероятная ситуация, поскольку для продвижения таких сайтов, в первую очередь, используются вредоносные программы), а также и для держателей рекламных площадок, потому что лишает их возможного заработка, уводя посетителей на другие сайты.

3dnews

Автор: Leon71 26.12.2007 - 22:56

Компания Symantec опубликовала свой прогноз в сфере компьютерной безопасности на следующий год. Компания предполагает, что в наступающем году очень многие угрозы будут связаны с предстоящими выборами в США. Уже зарегистрировано очень много доменов, которые по написанию очень схожи на домены, принадлежащие кандидатам в президенты. Такие сайты могут использоваться как для рекламы, так и для обмана пользователей.

Второй тенденцией 2008 года будет "эволюция роботов". Symantec предполагает, что сети роботов, которые управляют, например, фишинговыми атаками, будут развиваться и изменяться. Кроме этого, Symantec предполагает, что появятся новые угрозы, связанные с популярностью веб-сервисов. Они будут связаны с использованием скриптовых языков наподобие JavaScript. Одним из способов распространения вредоносного содержимого станет "контент, создаваемый пользователем", который лежит в основе Web 2.0.

Symantec также отмечает, что в 2008 вирусописатели обратят внимание на мобильные платформы, которые становятся все более популярными. Кроме этого, для недоброжелателей не останется незамеченным растущий рост популярности онлайновых игр. На них можно очень хорошо заработать, в частности, если похитить пароль от аккаунта опытного пользователя и продать его новичку.

3dnews

Автор: Leon71 29.12.2007 - 13:05

PandaLabs представила предновогодний список самых любопытных экземпляров вредоносного ПО, появившегося во второй половине 2007 года.

Троян Aifone. A, несомненно, стал самым высокотехнологичным вредоносным кодом, обнаруженным за последние месяцы. Сразу после выпуска iPhone от Apple этот вредоносный код занялся продвижением данного продукта. Хотя это оказалось всего лишь приманкой, которую он использовал для распространения своих копий среди пользователей.

Sinowal .FY – это троян, предназначенный для шифрования обнаруженных в зараженном компьютере файлов и вынуждающий пользователя купить специальную утилиту для их дешифровки. Он – самый настоящий похититель, а файлы пользователя выступают в качестве заложников.

RogueMario. A – это червь, который после заражения стремится развеселить пользователя. Он предназначен для установки на зараженном компьютере одной из версий известной игры Mario Bros. Какая доброта!

Таких червей, как MSNFunny. B, Mimbot. A или MsnSend .A , были бы рады видеть в любом агентстве по международным коммуникациям, поскольку они могут рассылать сообщения на дюжине различных языков. Фразы могут быть не совсем точно построены, но не всё же сразу.

Червь Voter. A исполняет свой гражданский долг и приглашает граждан Кении принять участие в выборах и отдать свой голос за одного из кандидатов. К сожалению, технология немного раздражает, поскольку каждые 9 секунд на дисплее появляется фотография кандидата. Очень сомнительно, что такая "поддержка" чем-либо поможет этому кандидату.

Sohanat .DB блокирует для пользователей некоторые поисковики взамен загружая имитацию, хотя и достаточно жалкую, страницы Google . Если пользователь заходит на какие-либо из якобы найденных этим поисковиком страниц, он попадает на порнографический веб-сайт или сайт, зараженный вредоносными кодами. Если бы создатели уделили деталям чуть больше внимания, возможно, результат был бы более успешным.

AttachMsngr. G – это Троян, который просто жаждет знаний, знаний обо всем, что пользователь делает на своем компьютере: он записывает нажатые клавиши, перемещения мыши и даже может сохранять для себя разговоры в MSN Messenger .

CivilArmy .B – это червь, который умеет рассказывать сказки. Прежде чем сообщить пользователю, что его компьютер заражен, он рассказывает романтичную сказку о двух влюбленных.

Троян LiveDeath .A после заражении компьютера открывает командную консоль и принуждает пользователя ответить на множество вопросов, наподобие "Ваш любимый цвет?" Но, вне зависимости от ответа, компьютер выключается после завершения теста.

Несмотря на оригинальность некоторых вредоносных модулей, лучше все же не сталкиваться с ними на своем компьютере.

3dnews

Автор: Leon71 29.04.2008 - 17:36

В пятницу, 25 апреля, в Москве состоялся партнерский форум Microsoft. Масштабное мероприятие собрало более 800 представителей ИТ-компаний, «заинтересованных в развитии сотрудничества с Microsoft». По прошествии форума посетителям вручались информационные материалы, содержащие презентации и доклады участников. В понедельник, 28 апреля, компания PRP Group, обеспечивающая PR-поддержку форума Microsoft, сообщила, что «на части флешек, розданных на партнерском форуме, вместе с материалами форума была обнаружена посторонняя программа RavMonE.exe с вредоносным кодом».
В Microsoft CNews сообщили, что в настоящее время занимаются расследованием данного факта. Результаты расследования российский офис компании пообещал довести до каждого партнера. Точное количество зараженных флешек, попавших к участникам мероприятия, в Microsoft назвать затруднились. Производитель USB-носителей не сообщается до конца расследования.
В «Лаборатории Касперского», куда CNews обратился за консультацией, сообщили, что присутствовали на партнерском форуме Microsoft и получили такую флешку. По информации Лаборатории, на ней содержался зловред Trojan.Win32.Delf.abx.
«Этот червь, обладающий троянским функционалом, распространяется при помощи съемных носителей информации. Он был добавлен в базы «Лаборатории Касперского» 17 мая 2007 г. как Trojan.Win32.Delf.abx», — рассказал CNews эксперт «Лаборатории Касперского» Сергей Новиков: «Файл червя автоматически запускается каждый раз, когда пользователь открывает зараженный раздел при помощи программы «Проводник». Вредоносная программа собирает различные конфиденциальные данные, находящиеся на компьютере и отсылает их злоумышленнику. Кроме того, при установке на зараженные машины, вредонос выгружает антивирусный софт и противостоит своему удалению. Этому трояну присвоен высокий уровень опасности».
Подобные случаи в истории информационной безопасности не так уж редки. Так, в 2006 г. компания Apple обнаружила, что партия плееров iPod Video оказалась заражена тем же RavMonE.exe. Интересно, что данный вирус не опасен для операционной системы Mac OS, а может навредить лишь пользователям Windows. Извинившись перед своими клиентами, в Apple выразили сожаление, что операционные системы Microsoft не могут справиться с ним.

Источник: www.cnews.ru

Автор: Leon71 24.06.2008 - 20:53

Служба мониторинга вирусной активности компании "Доктор Веб" обращает внимание пользователей на довольно заметную волну спама, содержащего ссылку на зараженный веб-сайт. Все письма в данной спам-рассылке представляют собой короткое сообщение "Вся правда на http://...silk.com" (ссылка изменена). При этом характерной особенностью таких писем является наличие в них сообщения, призванного возбудить интерес у получателя письма и перейти по предлагаемой ссылке. Ниже приводятся примеры таких заголовков:
Переодетый в женщину школьник пойман на ленинградском шоссе
Атипичная диарея убила троих
По ночам холодильник пожирал продукты
При переходе по содержащейся в письме ссылке, пользователь попадает на зараженный веб-сайт, с которого на его компьютер может попасть троянская программа-загрузчик, детектируемая антивирусом Dr.Web как Trojan.DownLoader.33840. Заражение происходит через уязвимость в браузере в случае, если на компьютере не установлены последние обновления операционной системы. Будучи установленным в пораженной системе, троянская программа-загрузчик закачивает на компьютер и запускает другие вредоносные программы, которые, в частности, могут быть использованы злоумышленниками для хищения конфиденциальной информации, а также для распространения спама, хакерских атак и иных противоправных действий.

3dnews

Автор: Leon71 24.06.2008 - 20:56

"Лаборатория Касперского" сообщила об обнаружении нового почтового полиморфного червя-кейлоггера, использующего оригинальный механизм сокрытия своего присутствия в системе. Червь, получивший название Email-Worm.Win32.Lover.a, распространяется по каналам электронной почты - пользователю приходит письмо с вложенным файлом to_my_love.scr, при запуске которого на экран выводится яркая демонстрация, напоминающая скринсейвер "Геометрический вальс".
Картинка генерируется в реальном времени с использованием фрактальной геометрии. Однако данный файл не является скринсейвером, а представляет собой кейлоггер, записывающий все, что пользователь набирает на клавиатуре при работе с веб-браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими).
Механизм сокрытия присутствия червя Email-Worm.Win32.Lover.a в системе реализован оригинальным образом. Для заражения он использует программный код, которым инфицирует исполняемые файлы вышеупомянутых программ, разделяя код инфекции для каждого из приложений на несколько частей, что серьезно затрудняет его обнаружение. При запуске зараженного приложения программный код вируса занимает 4 Кб памяти, где собирает свое тело, и далее записывает в папке Windows файл с именем ia*.cfg. В этот файл сохраняются коды нажатых пользователем клавиш. Как показало исследование червя, проведенное аналитиками "Лаборатории Касперского", файл с отслеженными вредоносной программой данными отправляется на FTP-сервер rdtsc.***.com.
Червь Email-Worm.Win32.Lover.a применяет нетипичную для таких программ маскировку своей основной функции , скрываясь за красивыми картинками и выдавая себя за скринсейвер. Лексика, обнаруженная в коде вредоносной программы, даёт основания предположить, что автор червя является русскоговорящим.

3dnews

Автор: Leon71 2.07.2008 - 20:17

Специалисты "Лаборатории Касперского" представили обзор вирусной активности за июнь текущего года, подготовленный на основе анализа почтового трафика. Они отмечают, что в июне наблюдалось относительное затишье в двадцатке вредоносных программ в почтовом трафике.
Единственное более-менее интересное событие в текущей двадцатке – это появление старого червя Nimda, который был впервые обнаружен еще в 2001 году. Nimda является многофункциональным червем и распространяется не только по электронной почте, но и по сетевым дискам, а также пытается атаковать IIS-серверы в сети. Это очень неприятный червь, поскольку он полностью открывает доступ к компьютеру путем добавления пользователя Guest в группу администраторов и делает локальные диски сети доступными злоумышленнику.

Также следует отметить появление в почтовом трафике эксплойта Exploit.Win32.IMG-WMF.y. Рассылка эксплойтов по электронной почте представляет большую опасность, поскольку некоторые почтовые клиенты отображают мультимедиаконтент без запроса пользователя и тем самым подвергают компьютер риску автоматического заражения. Иными словами, пользователю не нужно подтверждать сохранение или запуск объекта, пришедшего во вложении: вредоносный код выполнится автоматически при просмотре письма.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент — 7,29% — от общего числа перехваченных.

3dnews

Автор: Leon71 12.08.2008 - 10:38

Известный разработчик антивирусных приложений «Лаборатория Касперского» опубликовала отчет об основных тенденциях спама в Рунете за июль. Согласно данным компании, в июле доля спама в почтовом трафике, по сравнению с июнем, снизилась и составила 78,9%.
В июле снизился процент спамовых писем с вредоносными вложениями и фишинговыми ссылками. Письма со ссылками на фишинговые сайты составили 0,58%, что в два раза меньше июньских показателей. Вредоносные файлы содержались в 0,27% всех писем. Спамеры постарались по-своему компенсировать этот спад: во второй половине месяца прошла масштабная рассылка писем со ссылками на сайты, зараженные вредоносными программами. Хакеры взломали десятки сайтов, расположенных в различных доменных зонах. Чтобы пользователь с большей вероятностью проследовал по ссылке, письма сопровождались шокирующими новостными заголовками. Кроме того, в ряде рассылок письма содержали предложение скачать бесплатный антивирус, который на деле оказался разновидностью Trojan-Downloader.
Пятерка лидирующих спам-тематик в июле не претерпела значительных изменений по сравнению с предыдущим месяцем. В нее вошли "Медикаменты; товары и услуги для здоровья" (18%), сезонная тема "Отдых и путешествия" (14%), спам "для взрослых" (12%) и "Реплики элитных товаров" (7%). Кроме того, грядущий учебный год вызвал волну спама на тему "Образование" (8%).

Растущая популярность социальных сетей не может не привлекать внимания спамеров и хакеров, которые использовали все возрастающую славу подобных сайтов в своих целях. При этом спамеры, рекламирующие обычные товары и услуги, пока не эксплуатируют тему социальных сетей, тогда как ссылки на вредоносные программы и предложения хакерского и спамерского ПО уже стали постоянными спутниками подобного спама в электронной почте.

В июле пользователям ресурса Odnoklassniki.ru спамеры предлагали утилиту для автоматического ввода логина и пароля при входе на личную страницу сайта. "Полезная" утилита на самом деле оказалась троянской программой Trojan-PSW.Win32.SocNet.a, которая, действительно, автоматически заполняла форму регистрации, но при этом передавала личные данные владельца на сайт злоумышленников. В середине июля была зафиксирована волна фальшивых извещений о получении сообщения с сайта Odnoklassniki.ru со ссылкой на зараженный сайт. В последние дни месяца прошла рассылка с приглашением зарегистрироваться на портале Friends - якобы от пользователя этой сети. Ссылка в письме не работала, однако можно предположить, что рассылка имела ту же цель, как и письма, имитирующие сообщения с сайта Odnoklassniki.ru.

Спам, не имеющий отношения к социальным сетям, также все чаще носит криминальный характер. Черный PR, компрометирующий ресурсы различной направленности, ссылки на вредоносные программы или на зараженные сайты, реклама поддельных и контрафактных товаров, предложения услуг криминального характера или ПО для хакерской и спамерской деятельности - все это содержалось в спамовых письмах в июле.

3dnews

Автор: Leon71 25.10.2008 - 08:34

«Лаборатория Касперского» предупреждает о необходимости установить обновление MS08-067 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx для операционной системы Microsoft Windows. Уязвимость, которую исправляет последнее обновление, представляет серьезную угрозу для многочисленных пользователей ПК.

Компания Microsoft объявила о выходе внеочередного обновления для операционных систем Microsoft Windows 2000, XP, Vista, Server 2003 и 2008. Для Microsoft Windows 2000, XP и Server 2003 обновление носит критический характер.

Необходимо отметить, что факт выхода внеочередного патча сам по себе уникален – последнее подобное обновление было весной 2007 года. В этот раз оно призвано избежать распространения через обнаруженную уязвимость потенциальных вредоносных червей, которые могут быть созданы злоумышленниками в ближайшие дни, а также исключить риск хакерских атак, связанных с уязвимостью.

По сведениям «Лаборатории Касперского», эта брешь схожа с критическими уязвимостями Microsoft Windows, обнаруженными в 2003-2004 гг., приведшими к массовым вирусным эпидемиям таких опасных сетевых червей, как LoveSan, Sasser и Rbot.

Уже известно, что существует вредоносная программа Trojan-Spy.Win32.Gimmiv.a, которая распространяется благодаря описанной уязвимости. Этот троянец был добавлен в антивирусные базы «Лаборатории Касперского» в ночь на 24 октября, и представляет собой программу-шпиона, нацеленную на кражу паролей пользователей. По данным экспертов «Лаборатории Касперского», оперативно осуществивших анализ данной троянской программы, она имеет китайское происхождение. Кроме того, обнаруженная уязвимость в операционной системе Microsoft Windows позволяет злоумышленникам удаленно получать полный контроль над компьютером пользователя.

«Лаборатория Касперского» рекомендует всем пользователям установить обновление MS08-067 как можно быстрее, и напоминает, что гарантией надежной защиты в таких случаях может служить лишь своевременное обновление операционной системы и использование эффективных решений для защиты от вредоносных программ и хакерских атак.

Источник: «Лаборатория Касперского»

Автор: Leon71 28.11.2008 - 07:10

Компания «Доктор Веб» сообщает о значительном увеличении потока новых вирусов, для распространения которых используются съемные устройства (USB Flash Drive, CD/DVD, внешние жесткие диски и др.). Данные вредоносные объекты созданы на языке программирования AutoIt. При этом применяются методы запутывания кода скриптов при сохранении их функциональности для усложнения анализа.

В последние месяцы значительный процент вирусных заражений происходит посредством автоматического запуска вредоносных программ со съёмных дисков. По классификации Dr.Web, этот вредоносный код именуется Win32.HLLW.Autoruner.

Увеличение потока новых вирусов на съемных устройствах объясняется распространением языка AutoIt (свободно распространяемый язык автоматизации задач Microsoft Windows). Его характеризуют легкость программирования и широкие возможности, которые он предоставляет авторам вирусов для действий в инфицированной системе пользователя.

В результате действия подобных вирусов после преобразования исходного текста программы получается не скрипт, но полноценный исполняемый файл. Кроме того, у вирусописателей существует возможность упаковывать все части конечного файла, за исключением скрипта, с помощью различных упаковщиков, что также затрудняет их анализ.

Проблема передачи вирусов посредством съемных устройств становится все острее. Это, в частности, подтверждают всё более строгие меры, принимаемые крупнейшими компаниями и государственными структурами различных стран. К примеру, как сообщают иностранные СМИ, в армии США введён временный запрет на использование съёмных устройств. На многих предприятиях применяется ПО, ограничивающее использование съёмных устройств на рабочих местах.

Компания «Доктор Веб» рекомендует пользователям Windows отключить функцию автозапуска съемных устройств (USB Flash Drive, CD/DVD, внешние жесткие диски и др.), что существенно снизит вероятность заражения вредоносным кодом. Кроме того, перед использованием данных, содержащихся на съемных устройствах, следует в обязательном порядке проверить их антивирусным сканером с актуальными вирусными базами.

3dnews

Автор: Leon71 16.12.2008 - 11:46

Корпорация Microsoft зафиксировала резкий рост атак на компьютеры пользователей, работающих с браузером Internet Explorer, сообщает Computerworld. Первый всплеск атак был отмечен вечером 13 декабря, тогда эксперты насчитали около шести тысяч атакованных машин. Для атаки злоумышленники используют незакрытую уязвимость в Internet Explorer. По словам представителей Microsoft, она связана с системой обработки данных. Впервые код для ее эксплуатации появился на китайских сайтах в конце прошлой недели...

Уязвимость встречается во всех версия браузера Microsoft - от Internet Explorer 5.01 до Internet Explorer 8 Beta 2. В настоящее время вредоносный код, эксплуатирующий эту уязвимость, распространяется через сайты, которые считаются безопасными, хотя вначале он был замечен только на порноресурсах.

В Microsoft работают над созданием патча для устранения уязвимости, однако точной даты его выхода не называют. Известно лишь, что плановый выпуск обновленийобновлений для браузера Internet Explorer назначен на девятое января 2009 года.

Лента

Автор: Leon71 20.01.2009 - 10:10

Компания F-Secure, занимающаяся IT-безопасностью и созданием антивирусов, обнаружила, что к 16 января червь Downadup заразил, по консервативным оценкам, 8,9 миллиона компьютеров, находящихся на 353495 уникальных IP-адресах.
Для заражения компьютеров червь использует уязвимость MS08-067 в операционной системе Windows, позволяющую злоумышленнику выполнить любой код на компьютере пользователя.

Два дня назад, 14 января, та же компания насчитала лишь 3,5 миллиона зараженных компьютеров. 13 января было заражено всего 2,4 миллиона PC. На тот момент Россия входила в тройку стран, где обнаружено наибольшее число заражений.

Определить, заражен ли компьютер, можно, попытавшись зайти на сайты f-secure.com или kaspersky.ru. Downadup блокирует эти адреса. И F-Secure, и 'Лаборатория Касперского' предлагают бесплатные программы, удаляющие Downadup.

lenta

Автор: Leon71 16.03.2009 - 11:31

Компания BitDefender выпустила новый инструмент Downadup Removal Tool, предназначенный для обнаружения и удаления червя Downadup, также известного как Conficker и Kido. Этот червь распространяется посредством уязвимости в службе Windows RPC Server. Червь отличается тем, что его достаточно сложно удалить из зараженной системы, поскольку после попадания на компьютер он блокирует большинство антивирусных сайтов, а также отключает систему Windows Update.

Бесплатный инструмент от BitDefender удаляет с компьютера все версии опасного червя. Скачать его можно отсюда. 2,5 Mb _http://bdtools.net/bd_rem_tool.zip

Автор: Leon71 26.03.2009 - 15:42

Компания «Доктор Веб» сообщает о появлении новой угрозы в закрытых сетях банкоматов некоторых российских банков. Уникальность обнаруженного вируса состоит в его способности перехватывать данные о банковских картах пользователей, которые ранее пользовались зараженным банкоматом. Тем самым, с помощью полученной информации злоумышленники получают возможность уводить со счетов людей все деньги, которыми они располагают.

Банкоматы и раньше подвергались вирусным атакам, однако в худшем случае они могли привести к некорректной работе данных устройств. Появившийся недавно вирус действует иначе и способен нанести серьезный ущерб клиентам российских банков, которые используют банкоматы.

Образец этого троянца Служба вирусного мониторинга компании «Доктор Веб» получила через сервис онлайн-сканера. Dr.Web классифицирует данную вредоносную программу как Trojan.Skimer. Троянский конь собирает информацию о кредитных картах и PIN-кодах к ним. Единственное, что требуется злоумышленникам, использующим данный вирус, - подойти к банкомату, ввести код и получить на чеке распечатку с данными потенциальных жертв мошенничества.

В связи с тем, что, как правило, сети банкоматов не связаны с Всемирной Паутиной, единственный способ проникновения на них подобной вредоносной программы - участие в этом людей, тесно связанных с банком или являющихся их сотрудниками. Об этом также говорит тот факт, что на банкоматах устанавливается специальное ПО, поставляемое непосредственно их производителем. Соответственно, велика вероятность того, что создавали данный вирус люди, близко знакомые с логикой работы данного ПО и структурой его кода.

Все это подтверждает результаты проведенных ранее исследований, свидетельствующих о том, что причиной утечек информации в организациях финансовой сферы зачастую становятся их сотрудники. Тем не менее, особенностью данной угрозы является тот факт, что ущерб наносится не только репутации банков, но и их многочисленным клиентам, в частности физическим лицам.

drweb

Автор: Leon71 28.04.2009 - 07:15

Специалисты компании ESET предупреждают о распространении в глобальной сети новой троянской программы Win32/Hexzone.AP. Вредоносная программа зафиксирована с помощью технологии раннего обнаружения новых угроз ThreatSense.Net. Троян взаимодействует с командно-контрольным сервером, используя протокол HTTP. Зараженный компьютер становится частью подконтрольного вирусописателям бот-нета, который может использоваться для рассылки спама, DDoS-атак и загрузки другого вредоносного ПО.

Win32/Hexzone.AP упакован с помощью стандартного упаковщика, который используется для безобидных файлов. Программа инициирует множественные обращения к графическому интерфейсу API, что может ввести в заблуждение системы защиты и вирусных экспертов, поскольку подобное поведение свойственно легитимным приложениям.

Источник распространения Win32/Hexzone.AP находится в Великобритании. В этой же стране обнаружен командно-контрольный сервер, с которым взаимодействуют зараженные ПК. Однако оба сервера используют доменные имена, зарегистрированные в России. Специалисты ESET уже зафиксировали случаи, когда Hexzone.AP инсталлировал на компьютеры пользователей вредоносное ПО с русским интерфейсом. Основная функция данного ПО – вымогательство.

На данный момент троянская программа успешно детектируется эвристическими методами. По данным статистики ESET, троян пока не входит в двадцатку самых распространенных мировых угроз. Однако только за прошлую неделю специалисты компании зафиксировали 140 тыс. случаев детектирования данной угрозы в сети Интернет.

3dnews

Автор: Leon71 4.05.2009 - 10:43

Компания «Доктор Веб» представила обзор вирусной активности в апреле 2009 года. Основным вектором развития вредоносных программ за последний месяц стало широкое распространение многочисленных модификаций программ-вымогателей. Также злоумышленники применили новые руткит-методы скрытия в системе. Кроме того, отмечено значительное увеличение количества русскоязычного спама, эксплуатирующего тему мирового финансового кризиса.

Среди программ-вымогателей выделялись всевозможные модификации порно-баннеров Trojan.Blackmailer, а также троянца, блокирующего доступ к системе Trojan.Winlock. До недавнего времени были известны случаи установки Trojan.Blackmailer только в качестве плагина браузера Internet Explorer. Однако в апреле 2009 года вирусными аналитиками компании «Доктор Веб» был обнаружен уже новый тип подобных программ. В отличие от ранее известных модификаций, новый троянец мог устанавливаться в виде дополнения к браузерам Mozilla Firefox и Opera. По классификации Dr.Web данная вредоносная программа получила название Trojan.BrowseBan.

Фишинг-рассылки в апреле не получили широкого распространения. Из зафиксированных фишинг-писем можно отметить те, которые направлены на клиентов банка Chase Bank, а также интернет-аукциона eBay.

Несмотря на общее снижение количества вредоносных программ, рассылаемых с помощью спама, в апреле 2009 года были зафиксированы массовые рассылки писем с приложенным zip-архивом. Внутри архива находился исполняемый файл, определяемый Dr.Web как Trojan.PWS.Panda.114. Чтобы побудить пользователя запустить исполняемый файл, в письме сообщается о том, что получатель якобы оплатил заказ в интернет-магазине Amazon с помощью платёжной системы WorldPay.

Еще одна особенность последнего месяца — резкий рост объемов русскоязычного спама. Значительную долю таких спам-сообщений составляет по-прежнему реклама услуг самих спамеров, что говорит о том, что спрос на спам-рассылки в настоящее время ниже, чем обычно. Также всё больше спам-сообщений посвящено рекламе продукции и услуг, предлагаемых различными российскими предприятиями и предпринимателями.

Всё чаще в спаме мелькают предложения по оказанию незаконных услуг. Например, в апреле было замечено значительное количество сообщений с предложением приобрести дипломы российских ВУЗов с регистрацией в архивах университетов. Масштабы работы преступников впечатляют – в письме утверждалось: «За долгие годы работы мы наработали очень большое количество связей во многих городах России».

Всё чаще эксплуатируется тема мирового финансового кризиса и связанные с этим настроения в обществе. Интернет-пользователи всё чаще становятся жертвами мошенников, которые наживаются за счёт желания пользователей получить «лёгкие деньги». В частности, в одной из наиболее распространённых схем мошенничества предлагается отправить некоторую сумму денег на электронный счёт. В обмен кибер-преступники обещают вернуть сумму вдвое большую. На самом же деле пользователь просто теряет свои деньги.

Ещё более часто используются менее явные схемы мошенничества, похожие по структуре на финансовые пирамиды. Основная часть таких писем принадлежит по-прежнему участникам так называемой программы NEWPRO. Но появляются и новые схемы завлечения пользователей. В частности, злоумышленники предлагают приобрести некие уникальные программные продукты, которые позволяют быстро зарабатывать деньги. Другие говорят о том, что обнаружили слабости в банковской системе и предлагают заработать на этом.

Автор: Leon71 18.06.2009 - 06:38

"Лаборатория Касперского" сообщила об обнаружении 25-миллионной вредоносной компьютерной программы.

Каждый год число компьютерных угроз увеличивается в несколько раз. «Лаборатория Касперского» прогнозировала десятикратный рост количества вредоносных программ: с 2,2 млн. в 2007 г. до 20 млн. в 2008. Однако темпы развития киберпреступной индустрии опередили даже самые смелые прогнозы.

Экспертами «Лаборатории Касперского» девятого июня был обнаружен сетевой червь, ставший 25-миллионной вредоносной программой, добавленной в антивирусные базы компании. «Юбилейным» червем стала очередная модификация Koobface, Net-Worm.Win32.Koobface, нацеленного на пользователей популярных социальных сетей Facebook и MySpace.

Для распространения червь использует простой метод. Пользователь социальной сети получает якобы от своего друга ссылку на некий видеоролик, хранящийся на неизвестном сайте, затем, при попытке просмотреть видео, ему сообщается о необходимости обновить Flash Player. Однако вместо обновления на компьютер пользователя устанавливается червь Koobface, который содержит в себе бэкдор-функционал, позволяющий получать команды от сервера управления.

3dnews

Автор: Leon71 6.07.2009 - 06:53

Компания «Доктор Веб» повысила уровень безопасности антивирусных продуктов Dr.Web версии 5.0, устранив уязвимости, теоретически позволявшие вредоносным программам действовать в обход самозащиты. По имеющимся у нас данным, эти уязвимости злоумышленниками не эксплуатировались.

В обновлениях, коснувшихся веб-антивируса SpIDer Gate, почтового монитора SpIDer Mail и сканера с графическим интерфейсом, закрыты уязвимости, позволявшие загружать вредоносный код в процессы антивируса.

В утилите обновления устранена уязвимость, открывавшая возможность запуска любого процесса с правами запустившего утилиту пользователя (администратора).

Для пользователей Dr.Web Security Space, Антивируса Dr.Web 5.0 для Windows, Dr.Web Enterprise Suite, Dr.Web для Windows Servers, а также услуги «Антивирус Dr.Web», подписаться на которую можно у интернет-провайдеров, обновление пройдет автоматически.

3dnews

Автор: Leon71 18.09.2009 - 07:43

К юбилею Panda Security эксперты PandaLabs составили рейтинг наиболее опасных компьютерных угроз для домашних пользователей и бизнеса за последние 20 лет. Они даже постарались придать каждой из угроз узнаваемый облик.

Угрозы были выбраны в соответствии с уровнем известности, который они приобрели в ходе широкомасштабных эпидемий. Вот эта «Аллея Звезд»:
Пятница 13 или Иерусалим Созданная в Израиле в 1988 году (еще до появления Panda) и впервые обнаруженная в Иерусалиме, эта угроза предположительно стала вехой 40-ой годовщины Израиля. Как только наступала Пятница 13, она удаляла все программы, запущенные на зараженном компьютере.
Тюремный узник Первый, ставший известным испанский вирус, появившийся в 1993 году. Попадая в компьютер, он скрывался до 5 января, а затем активировался и демонстрировал пользователю железные прутья решетки по всему монитору.
Каскад падающих букв Был создан в Германии в 1997 году. При заражении компьютера он превращал все буквы на мониторе в падающий каскад.
CIH или Чернобыль Этот вирус был создан в Тайване в 1998 году и всего за одну неделю распространился и заразил тысячи компьютеров.
Мелисса Впервые появился 26 марта в США. Этот чрезвычайно смышленый вредоносный код использовал для своего распространения методы социальной инженерии, приходя в письме со следующим текстом «Документ, который Вы запрашивали... никому его не показывайте ;-)».
I Love You или Письмо счастья Настолько известен, что вряд ли требует представления. Этот романтичный вирус появился на Филиппинах в 2000 году. Благодаря своему названию "ILoveYou" он заразил миллионы компьютеров по всему миру, даже включая такие организации, как Пентагон.
Klez Созданный в 2001 году в Германии, он заражал компьютеры исключительно 13 числа нечетного месяца.
Nimda Название вируса фактически представляет собой слово «admin», написанное в обратном порядке, поскольку он был в состоянии создавать для себя на зараженных компьютерах права администратора. Вирус был создан в Китае 18 сентября 2001 года.
SQLSlammer Стал еще одной головной болью для компаний. Впервые он появился 25 января 2003 года и в течение нескольких дней заразил более полумиллиона серверов.
Blaster Этот вирус, созданный в США 11 августа 2003 года, содержал в своем коде следующее сообщение: «Я просто хочу сказать любите своего(ю) san / I just want to say love you san!!» (До сих так и не стало известно, кто такой(ая) «San»), и «БиллиГейтс, зачем ты сделал это? Прекрати зарабатывать деньги и почини свое ПО / Billy gates, why do you make this possible? Stop making money and fix your software».
Sobig Этот немецкий вирус стал известен летом 2003 года. Вариант F был наиболее опасен, он атаковал 19 августа этого же года и создал свыше миллиона копий самого себя.
Bagle Появился 18 января 2004 года и стал одним из наиболее плодовитых вирусов, если учитывать количество его вариантов.
Netsky Этот червь также пришел из Германии в 2004 году и эксплуатировал уязвимости Internet Explorer. Его создатель также стал автором печально известного вируса Sasser.
Conficker Последний в списке и самый новый, он появился в ноябре 2008 года. Довольно странно, но, если включена украинская раскладка клавиатуры - вирус не тронет ПК.
Более подробная информация доступна на сайте разработчика _http://www.pandasecurity.com/20anniversary . Здесь же можно найти интересную информацию о вирусах, самой компании, игры и многое другое

thg

Автор: Leon71 30.09.2009 - 08:14

Компания «Доктор Веб» сообщает о широком распространении Trojan.Encoder (Trojan.Encoder.34, а также 37, 38, 39, 40 и 41). Вирусы данного семейства шифруют данные на компьютерах пользователей и требуют деньги за расшифровку. Последние модификации Trojan.Encoder принадлежат перу одного автора, иногда называющего себя «Корректор».

Модификации данного семейства вирусов шифруют большинство документов на компьютере, делая невозможной работу с ними. Исключение составляют файлы, относящиеся к системе и установленным в ней программам. Заражению они не подвергаются, а компьютер продолжает работать, позволяя жертве мошенничества связаться со злоумышленником и перечислить ему требуемую сумму денег.

Особенностью последних модификаций Trojan.Encoder является то, что они добавляют к зараженным файлам окончание vscrypt — к примеру, вместо pic.jpg файл получает имя pic.jpg.vscrypt.

Trojan.Encoder в настоящее время распространяется посредством ссылок на вредоносный сайт в почтовых сообщениях. Пользователю предлагается просмотреть открытку, якобы присланную от имени сервиса открыток Мail.ru. При открытии соответствующей страницы предлагается установить кодек, который на самом деле оказывается троянской программой.

После окончания процесса шифрования файлов Trojan.Encoder выводит на Рабочий стол Windows сообщение о том, что документы зашифрованы, а также приводит контактные данные злоумышленника.

Большинство модификаций Trojan.Encoder предлагают пользователю воспользоваться дешифровщиком, для чего требуют перевести на счет киберпреступников от 10 до 89 долларов. Аппетит «Корректора» сопоставим с запросами авторов предыдущих модификаций — в настоящий момент пользователи-жертвы сообщают о цене в 600 рублей за один экземпляр расшифровщика.

Компания «Доктор Веб» категорически не рекомендует платить злоумышленникам выкуп. Кроме того, не рекомендуется пытаться переустановить систему и восстанавливать ее из резервных копий. Для расшифровки данных можно воспользоваться специальными утилитами, разработанными специалистами компании «Доктор Веб». Доступ к этим утилитам предоставляется по запросу пользователей, выславших образцы зашифрованных файлов, которые позволят определить версию Trojan.Encoder.

3dnews

Автор: Leon71 13.10.2009 - 06:58

В связи с будущим выходом ускорителя Larrabee, который будет значительно превосходить по мощности центральные процессоры в многопоточных задачах, корпорация Intel занимается вопросом защиты пользователей от неотвратимого появления вирусов, способных задействовать столь высокую производительность для разрушительных целей.
По сообщению Филиппа Герасимова, корпорация Intel уже сегодня изучает возможности защиты Larrabee на уровне драйвера и интерфейса программирования, чтобы вовремя отреагировать на появление первой вредоносной программы, которая будет исполняться на Larrabee.

В настоящее время графические карты не могут управлять файловой системой или похищать личную информацию из-за архитектурных ограничений. Однако, Intel разрабатывает свой параллельный процессор Larrabee на основе архитектуры x86, поэтому этот ускоритель будет иметь самые широкие возможности для расчётов общего назначения, а значит, и для запуска вирусов.
Но не стоит недооценивать опасность исполнения вирусов в среде OpenCL
, DirectX Compute или CUDA . Небольшая вредоносная программа, исполняемая на центральном процессоре, может также задействовать средства видеокарты, к примеру, для подбора пароля или кода с целью взлома защиты и похищения важных данных. Как известно, криптографические задачи на видеокартах исполняются в десятки раз быстрее, чем на центральном процессоре

nvworld

Автор: Leon71 9.12.2009 - 08:31

«Лаборатория Касперского» представила отчет по спам-активности в ноябре. Средняя доля спама в почтовом трафике составила 84,8%, уменьшившись в сравнении с октябрем на 0,9%. Меньше всего спама — 78,3% — было зафиксировано 18 ноября, а 16 ноября было отмечено максимальное значение — 89,6%.

Бессменным лидером в рейтинге стран-распространителей спама остались США, однако количество «американского» спама уменьшилось по сравнению с октябрем на 10%, составив 19,9%. К сожалению, это снижение произошло в том числе за счет России прибавившей 2,8% и занявшей сразу второе место с показателем в 8%.

Ноябрьская пятерка самых популярных у спамеров тематик с октября не слишком изменилась. Продолжает снижаться доля «образовательного» спама, все еще остающегося самой широко распространяемой категорией (24,3%). На втором месте оказался медицинский спам (14,7%), слегка опередивший рекламу отдыха и путешествий (12,3%). Последняя прибавила почти 4% — причина, конечно, в скорых новогодних праздниках. Четвертое и пятое места занимают реклама элитных товаров (8,9%) и компьютерное мошенничество (8,4%).

Мошенники продолжают привлекать внимание неопытных пользователей предложениями «узнать все секреты социальных сетей» (сеть — на выбор), прочитать чужие SMS или отследить местонахождение пользователя по номеру мобильника. Эти «заманчивые» возможности часто оформлялись в виде картинок, и, вдобавок, с орфографическими ошибками — чтобы обойти спам-фильтры.

Также злоумышленники продолжили атаковать геймеров, покоряющих просторы Азерота в игре World of Warсraft. Многие фишинг-письма, присланные игрокам, были умело подделаны под легитимные: e-mail в поле “From” очень походил на настоящий электронные адрес компании Blizzard Entertainment. Подлог можно было заметить, только внимательно присмотревшись. В этих письмах, как обычно, злоумышленники требовали авторизоваться на фишинговом сайте.

Ознакомиться с полной версией спам-отчета за ноябрь 2009 года можно здесь.

_http://www.securelist.com/ru/analysis/208050592/Spam_v_noyabre_2009

Автор: Leon71 10.12.2009 - 13:55

«Лаборатория Касперского» предупреждает о вирусном заражении сайта телеканала СТС. Эксперты обнаружили заражение доменов files.ctc-tv.ru и club.ctc-tv.ru, принадлежащих телеканалу СТС (холдинг «СТС Медиа»), несколькими вредоносными программами.

При загрузке сайта активизируется скрипт, с помощью которого на ПК проникают ряд троянов и сетевых червей (Backdoor.Win32.Goolbot.an, Packed.Win32.Krap.w, Packed.Win32.TDSS.z, Trojan.Win32.Pasmu.gd, Backdoor.Win32.Kbot.acm, Email-Worm.Win32.Gibon.de, P2P-Worm.Win32.Palevo.kjf). Они угрожают пользователю потерей контроля над компьютером, кражей конфиденциальной информации, включением зараженной машины в сеть ботнетов и т. д.

Эти вредоносные программы уже детектированы и добавлены в антивирусные базы. «Лаборатория Касперского» настоятельно рекомендует всем пользователям – и особенно посетителям порталов канала СТС – обновить базы сигнатур и проверить компьютер на предмет вирусного заражения.

Автор: Leon71 13.01.2010 - 14:39

Вирусные аналитики компании "Доктор Веб" получили пароль к файлам, зашифрованным вредоносной программой Trojan.Encoder.

Начало распространения новой модификации Trojan.Encoder зафиксировано 22 декабря. На сегодняшний день этим троянцем заражаются около 10 пользователей в сутки.

Зашифрованные Trojan.Encoder файлы имеют двойное расширение [исходное имя файла].[оригинальное расширение файла]_crypt_.rar (например, s7300653.jpg_crypt_.rar). Для блокировки доступа к документам троянец упаковывает их в Zip-архив с паролем, используя шифрование по стойкому к взлому алгоритму AES-256. Данный алгоритм принят в качестве стандарта шифрования правительством США и является одним из наиболее распространённых на сегодняшний день.

Теперь пользователи, пострадавшие от новой модификации Trojan.Encoder, смогут самостоятельно разархивировать зашифрованные файлы любым архиватором, который может распаковывать Zip-архивы. Для этого достаточно использовать следующий пароль:

HF8374-SF3GV-DFGT3G-343G2-VBBRT-34RGD-SE4GBB-4534V

Автор: Leon71 25.01.2010 - 11:10

Компания «Доктор Веб» предупреждает о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты. В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей.

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей).

С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительные возможности. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта http://www.drweb.com/unlocker/ собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код.

Автор: Leon71 28.01.2010 - 12:04

Компания «Доктор Веб» сообщила о внесении сайта ВКонтакте.ру в раздел «Порнография» «черного списка» модуля Родительского контроля.

Ограничение доступа к ВКонтакте.ру как к ресурсу, содержащему порнографические материалы, вызвано заботой о пользователях Dr.Web (в первую очередь – о детях). К сожалению, на сегодняшний день администрация сайта, несмотря на его широкую популярность, не несет ответственности за материалы, размещенные пользователями. Согласно пункту 7.5 Пользовательского соглашения социальной сети, «Администрация Сайта не занимается предварительной модерацией или цензурой информации Пользователей и предпринимает действия по защите прав и интересов лиц и обеспечению соблюдения требований законодательства Российской Федерации только после обращения заинтересованного лица к Администрации Сайта в установленном порядке».

Посетители ВКонтакте.ру, в том числе и несовершеннолетние, могут в любой момент столкнуться с нежелательным контентом. Защита детей от материалов, которые могут нанести вред их психике, является важнейшей задачей модуля Родительского контроля Dr.Web.

Сайт ВКонтакте, заблокированный Родительским контролем по списку «Порнография», будет недоступен и в том случае, если доступ к нему разрешен в категории «Социальные сети». Тем не менее, пользователи будут иметь возможность по собственному желанию откры

Автор: Leon71 22.02.2010 - 15:57

Лаборатория PandaLabs обнаружила новый червь - Spybot.AKB. Этот червь использует необычный способ обмана пользователей. Он может распространяться через программы P2P, в этом случае он копирует сам себя под разными именами в папки, которыми делятся пользователи. Еще один способ распространения - электронная почта.
Spybot.AKB может выглядеть как приглашение присоединиться к социальным сетям, таким как Twitter и Hi5, или же как ответ на заявление о приеме на работу. При установке на компьютер Spybot.AKB выдает себя за расширение безопасности Firefox.

Письмо электронной почты может выглядеть следующим образом:
Jessica would like to be your friend on hi5! (Джессика хотела бы стать Вашим другом на hi5!)
You have received A Hallmark E-Card! (Вы получили Электронную карту Hallmark!)
Shipping update for your Amazon.com order 254-71546325-658732 (Отправка обновлений для Вашего Amazon.com, заказ 254-71546325-658732)
Thank you from Google! (Спасибо от Google!)
Your friend invited you to twitter! (Ваш друг приглашает Вас в twitter!)
После установки Spybot.AKB направляет пользователя на различные веб-сайты, если он начинает поиск по различным распространенным ключевым словам (Airlines, Amazon, Antivir, Antivirus, Dating, Design, Doctor, Iphone и пр.). Червь также снижает уровень безопасности зараженных компьютеров. Он добавляет себя в список разрешенных соединений брандмауэра Windows и повреждает сервис Windows Error Reporting и User Access Control (UAC).

Автор: Leon71 19.03.2010 - 14:38

Компания ESET предупредила о резком росте числа заражений троянской программой Win32/Lethic.AA.

С помощью Win32/Lethic.AA мошенники заражают компьютеры пользователей и создают бот-сеть для распространения нежелательной почты. Один такой бот может рассылать около 20 мегабайт спама в сутки. В большинстве случаев программа попадает на ПК посредством ее скачивания другим вредоносным ПО, ранее установленным на данном компьютере. Кроме того, Lethic маскируется под системный процесс «Explorer.exe». Это делает троянскую программу менее заметной для пользователя и усложняет процесс ее обнаружения.

К середине марта Win32/Lethic.AA уже получил высокое распространение в Нидерландах, где на его долю приходится почти 13% от общего числа обнаруженных угроз, в Эстонии (9%), Бельгии (7%). Кроме того, зафиксирован рост уровня обнаружения и в России – сегодня данная программа входит в двадцатку самых распространенных интернет-угроз региона.

Автор: Leon71 20.03.2010 - 14:45

«Лаборатория Касперского» предупредила о всплеске активности червя Koobface, активно заражающего сайты социальных сетей. Вредоносная программа атакует такие популярные порталы как Facebook и Twitter, и использует взломанные сайты в качестве собственных командных серверов.

По наблюдениям группы исследователей «Лаборатории Касперского», в течение трех последних недель командные серверы Koobface отключались или подвергались лечению в среднем три раза в сутки. Командные серверы используются для посылки удаленных команд и обновлений на все компьютеры, зараженные данным червем.

Сначала количество работающих командных серверов червя постоянно снижалось: 25 февраля их было 107, а 8 марта уже 71. Однако затем в течение всего двух суток их число выросло вдвое, до 142. По состоянию на 18 марта количество серверов составило 79, так что в ближайшее время стоит ожидать очередного роста.

Проследить количество командных серверов Koobface можно, оценив географическое распределение IP-адресов, через которые происходит обмен информацией с зараженными компьютерами. В первую очередь количество серверов увеличилось в США — их доля выросла с 48% до 52%.

Советы «Лаборатории Касперского» пользователям:
Будьте осторожны при открытии ссылок в сообщениях подозрительного содержания, даже если вы получили их от пользователя, которому доверяете.
Используйте современный браузер последней версии: Firefox 3.x, Internet Explorer 8, Google Chrome, Opera 10.
По возможности не раскрывайте в сети личную информацию: домашний адрес, телефонный номер и т. д.
Регулярно обновляйте антивирусное ПО на вашем компьютере, чтобы обезопасить себя от новейших версий вредоносных программ.

Автор: Leon71 21.03.2010 - 10:29

«Лаборатория Касперского» сообщила о появлении новой модификации троянской программы Cryzip, упаковывающей файлы пользователя в запароленные zip-архивы. У пострадавших пользователей есть возможность разблокировать данные, воспользовавшись бесплатным сервисом компании.

Заражение зловредом осуществляется через сайты, содержащие контент для взрослых. Попав на компьютер, троянец начинает поиск по нескольким десяткам популярных расширений, в том числе .rar, .zip, .7z, .pdf, .djvu, .txt, .xls, .xlsx, .rtf, .doc .docx, .htm, .html, .mht, .jpg, .jpeg и другим. Для каждого найденного файла создается архив <имя_оригинального_файла>_crypt_.rar, затем оригинал удаляется без возможности восстановления. За пароль от архивов программа требует отправить 2000 рублей с помощью SMS-сообщения.

Данная программа детектируется "Лабораторией Касперского" как Trojan-Ransom.Win32.Cryzip.c (компания "Доктор Веб" детектирует ее как Trojan.Encoder.68).

По данным «Лаборатории Касперского», случаи заражения этой вредоносной программой зафиксированы не только в России, но и в Казахстане, Латвии, Польше, Республике Молдова, Египте, во Франции, Индии, Италии, Мексике, Саудовской Аравии, Испании, США, на Украине, а также в других странах.

Специалистами «Лаборатории Касперского» оперативно разработан генератор паролей для расшифровки архивов. Им можно воспользоваться тут. Для получения пароля в первое поле необходимо ввести cryzip, а в поле «Текст сообщения» — идентификатор, записанный в файле auto_rar_report.txt, где вредоносная программа генерирует инструкцию «Как вернуть ваши файлы».

Автор: Leon71 30.04.2010 - 06:27

Обновлена утилита Dr.Web CureNet!, предназначенная для централизованного лечения локальных сетей, в том числе с установленным антивирусом другого производителя. В продукт включен обновленный модуль самозащиты Dr.Web SelfPROtect, а также внесены изменения, повышающие удобство работы с ним.

Была добавлена возможность автоматического выключения рабочих станций после сканирования Dr.Web CureNet!, что особенно актуально в ситуации, когда проверка затягивается во времени. Появилась опция, позволяющая отображать или не отображать извещение об антивирусной проверке на удаленном ПК. Также реализована возможность обновления репозитория через прокси-сервер. Кроме того, были доработаны локализации.

Для того чтобы обновление вступило в силу, пользователям Dr.Web CureNet! необходимо заново скачать дистрибутив программы. http://products.drweb.com/curenet/

Автор: Leon71 13.05.2010 - 10:16

Специалисты компании "Доктор Веб" информируют пользователей Интернета о том, что злоумышленники начали использовать популярный сервис Google Groups для распространения вредоносных программ.

По сведениям экспертов, начинается все с того, что пользователь получает по электронной почте сообщение, содержащее в себе ссылку на файл, который выложен в одной из специально подготовленных злоумышленниками групп Google. В письме могут использоваться различные методы социальной инженерии, вынуждающие пользователей скачать файл. К примеру, может сообщаться о том, что изменились параметры доступа к электронной почте, и пользователю необходимо скачать инструкции перед тем, как вносить изменения. Либо что почта пользователя была взломана, в связи с чем также предлагается воспользоваться специальными инструкциями.

После того как жертва злоумышленников проходит по ссылке, в браузере открывается окно со ссылкой непосредственно на вредоносный файл, за которым могут скрываться, в частности, модификации семейства троянцев Trojan.Fakealert, которые являются лжеантивирусами.

Сотрудники компании "Доктор Веб" рекомендуют пользователям с осторожностью относиться к сообщениям, которые приходят от неизвестных адресатов, особенно если они касаются параметров доступа к интернет-аккаунтам и другой приватной информации.

Автор: Leon71 29.05.2010 - 10:42

«Лаборатория Касперского» сообщила о том, что по ее данным, мишенью №1 для хакеров и вирусописателей в первом квартале 2010 года стали продукты компании Adobe. Это связано с популярностью и кроссплатформенностью данного программного обеспечения, а также тем, что пользователи плохо осведомлены об опасности открытия неизвестных PDF-файлов.

Среди всех обнаруженных эксплойтов абсолютным лидером стало семейство Exploit.Win32.Pdfka, использующее уязвимости в программах Adobe Reader и Adobe Acrobat. Его доля составила 42,97%.

В сумме доля двух семейств эксплойтов для продуктов Adobe – Exploit.Win32.Pdfka и Exploit.Win32.Pidief — достигла 47,5%, то есть почти половины обнаруженных эксплойтов. Эти эксплойты являются PDF-документами, содержащими сценарии Java Script, которые без ведома пользователя загружают из интернета и запускают другие вредоносные программы.

На компьютерах пользователей часто присутствуют продукты Adobe с незакрытыми уязвимостями. Среди десяти самых распространённых уязвимостей ПО, обнаруженных на компьютерах пользователей за отчётный период, три уязвимости найдены в ПО производства Adobe, шесть — Microsoft и одна — Sun. Три уязвимости продуктов Adobe присутствуют на 23,37%, 17,87% и 15,27% пользовательских компьютеров, причём первая и последняя являются критическими, то есть позволяют удалённому хакеру получить контроль над системой.

Одна из уязвимостей продуктов Adobe известна более трёх лет и для неё имеется патч, что указывает на то, что многие пользователи не следят за своевременным обновлением программ. Чтобы решить эту проблему компания Adobe запустила 13 апреля сервис автоматических обновлений своих продуктов в фоновом режиме. Разработчики надеются, что это позволит своевременно обновлять приложения, вызывающие у киберпреступников такой повышенный интерес.

3dnews

Автор: CheD 23.07.2010 - 04:52

Новый червь Win32/Stuxnet атакует промышленные компании
Компания ESET предупреждает пользователей о распространении червя Win32/Stuxnet. Червь используется для атак на ПО класса SCADA, системы управления и контроля, используемые в промышленности.

Win32/Stuxnet представляет большую угрозу для промышленных предприятий. При запуске этой вредоносной программы используется ранее неизвестная уязвимость в обработке файлов с расширением LNK, содержащихся на USB-накопителе. Выполнение вредоносного кода происходит благодаря наличию уязвимости в Windows Shell, связанной с отображением специально подготовленных LNK-файлов. Новый способ распространения может повлечь появление других злонамеренных программ, использующих такую технологию заражения, поскольку на данный момент уязвимость остается открытой. "Злоумышленники постарались разработать свою программу таким образом, чтобы она привлекала к себе как можно меньше внимания, - комментирует Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства компании ESET. - Способ заражения Win32/Stuxnet тоже уникален, так как ПО использует неизвестную ранее уязвимость. А возможность проникновения вируса на ПК через USB-накопители позволяет в короткие сроки получить большую распространенность".

Win32/Stuxnet также может обходить технологию HIPS (Host Intrusion Prevention System), которая защищает от попыток внешнего воздействия на систему. Это стало возможным благодаря наличию во вредоносной программе файлов, имеющих легальные цифровые подписи.

"Скорее всего, создание Win32/Stuxnet имеет целевую направленность, так как общеизвестных способов монетизации при анализе данного вредоносного ПО выявлено не было, - добавляет Александр Матросов. - Что касается географии распространения червя, высокое проникновение угрозы именно в США, возможно, связано с целевой атакой, задачей которой является промышленный шпионаж".

http://www.securitylab.ru/news/395917.php

Автор: Leon71 31.08.2010 - 13:34

Специалисты "Лаборатории Касперского" сообщили об обнаружении нового IM-червя, распространяемого через интернет-пейджеры, включая Skype, Google Talk, Yahoo Messenger и Live MSN Messenger. Зловреду было присвоено имя IM-Worm.Win32.Zeroll.a.

Вредоносная программа написана на Visual Basic и характеризуется знанием 13 языков, используемых встроенным ботом для рассылки сообщений со ссылками на картинки, представляющие собой зараженные файлы. Как только ничего не подозревающий пользователь проходит по такой ссылке, червь перехватывает управление мессенджером и рассылает свои копии находящимся в контакт-листе собеседникам. Помимо этого червь осуществляет контроль над инфицированным компьютером и скачивает другие вредоносные приложения. Управление зараженными ПК осуществляется злоумышленниками через IRC-канал.

По данным Kaspersky Security Network, самое большое число заражений новым червем зарегистрировано в Мексике и Бразилии.

По мнению эксперта "Лаборатории Касперского" Дмитрия Бестужева, создатели IM-червя находятся сейчас на первом этапе реализации своих преступных планов, то есть стремятся заразить как можно больше машин, чтобы затем получать выгодные предложения от других киберпреступников, в т.ч. предусматривающие оплату за количество зараженных компьютеров, использование их для рассылки спама и решения других задач.

Во избежание заражения специалисты по информационной безопасности советуют интернет-пользователям быть предельно внимательными при работе в сетях мгновенного обмена сообщениями и рекомендуют проявлять осторожность при открытии различных ссылок и файлов.

Автор: Leon71 2.09.2010 - 10:26

Пользователей микроблоггерской социальной сети Twitter подстерегает опасность в виде нового трояна. Аналитики компании Sophos сообщают о том, что новый троян маскируется под «важное обновление» для TweetDeck — популярного клиента для работы с микроблогами.

Для установки «обновления» пользователям предлагается пройти по указанной в сообщении ссылке. После перехода по ссылке на компьютер пользователя устанавливается вредоносная программа, которую эксперты Sophos идентифицируют как Troj/Agent-OOA. После заражения троян получает доступ к аккаунту пользователя и использует его для дальнейшего распространения вредоносной ссылки.

В тексте сообщения, сопровождающего ссылку, говорится, что выход «обновления» для TweetDeck приурочен к Осеннему банковскому выходному — официальному выходному дню в Англии, который приходится на последний понедельник августа.

Автор: Leon71 10.09.2010 - 12:13

Еженедельно совместными усилиями киберпреступников и хакеров в Интернете создается около 57 тысяч фишинговых и зараженных веб-страниц, таящих потенциальную угрозу для пользователей Всемирной сети. Таковы результаты исследования, проведенного экспертами антивирусной лаборатории PandaLabs.

Сотрудники PandaLabs, в частности, выяснили, что 65% поддельных ресурсов стилизованы злоумышленниками под сайты банковских организаций, 27% представляются онлайновыми аукционами, 2,3% - финансовыми порталами и 1,9% - сайтами государственных учреждений. Подобного рода фишинговые ресурсы быстро индексируются поисковыми системами, и эта оперативность играет на руку преступным группам.

Во избежание неприятных инцидентов, специалисты PandaLabs рекомендуют при работе в Интернете быть предельно внимательными и советуют не оставлять без внимания предусмотренный во многих современных браузерах фильтр фишинговых интернет-ресурсов.

3dnews

Автор: Leon71 15.09.2010 - 11:40

Злоумышленники воспользовались уязвимостью в рекламной платформе The Pirate Bay для распространения через сайт вредоносных программ. Объектом атаки стала платформа OpenX, которая используется для показа рекламы посетителям сайта. Воспользовавшись уязвимостью в OpenX, злоумышленники загрузили на сайт собственный код.

В результате атаки посетители The Pirate Bay, нажимая на рекламный баннер, попадали на сторонний сайт, на котором размещались вирусы и троянские программы. Из-за этого поисковая система Google, браузер Firefox и ряд антивирусов причислили The Pirate Bay к вредоносным ресурсам. Сейчас специалисты TPB работают над устранением уязвимости.

Автор: Leon71 27.09.2010 - 08:44

Эксперты "Лаборатории Касперского" провели исследование червя Stuxnet и пришли к неутешительному выводу, что данная вредоносная программа знаменует собой начало новой эры кибервойн.

Специалисты антивирусной компании отмечают, что на данный момент нет достаточной информации, позволяющей идентифицировать организаторов атаки или цель, на которую она направлена. Однако несомненно, что это технически сложная атака, за которой стоит хорошо финансируемая, высококвалифицированная команда, обладающая глубокими знаниями в области технологии SCADA. По мнению аналитиков "Лаборатории Касперского", подобная атака могла быть осуществлена только с поддержкой и с одобрения суверенного государства.

"Я думаю, что это поворотный момент - теперь мы живем в совершенно новом мире, потому что раньше были только киберпреступники, а теперь, боюсь, пришло время кибертерроризма, кибероружия и кибервойн, - сказал Евгений Касперский, соучредитель и генеральный директор "Лаборатории Касперского". - Эта вредоносная программа предназначена не для кражи денег, рассылки спама или воровства личных данных - нет, этот зловред создан для вывода из строя заводов, повреждения промышленных систем. Девяностые были десятилетием кибервандалов, двухтысячные - эпохой онлайн-преступников, теперь наступает эра цифрового терроризма".

Изучив червя, эксперты "Лаборатории Касперского" обнаружили, что он использовал четыре различные неизвестные ранее уязвимости "нулевого дня" (zero-day) и два действительных сертификата (выпущенных компаниями Realtek и JMicron), которые позволили зловреду долгое время избегать попадания на экраны антивирусных радаров. Конечной целью червя был доступ к системам предприятий Simatic WinCC SCADA, которые используются для мониторинга и управления промышленными, инфраструктурными и сервисными процессами. Подобные системы широко применяются в нефтепроводах, электростанциях, крупных системах связи, аэропортах, судах и даже на военных объектах по всему миру.

"Лаборатория Касперского" считает, что Stuxnet представляет собой прототип кибероружия, создание которого повлечет за собой новую всемирную гонку вооружений. На сей раз это будет гонка кибервооружений.

3dnews

Автор: Leon71 27.09.2010 - 21:27

Специалисты антивирусной лаборатории PandaLabs сообщили об обнаружении нового вредоносного кода Bandra.GUC, распространяющегося посредством видеороликов о спасении застрявших чилийских шахтеров и представляющего собой новую разновидность известного банковского трояна из семейства Banbra, который впервые появился в 2003 году.

Троян разработан для похищения паролей пользователей в то время, когда они осуществляют банковские операции в режиме онлайн. Когда интернет-пользователь заходит на инфицированный сайт банка или какой-либо другой финансовой организации, Banbra.GUC отображает фальшивую страницу, которая в точности копирует настоящую. Как только пользователь вводит свои аутентификационные данные, программа автоматически закрывается и перенаправляет на подлинный сайт. После этого троян отправляет украденные логин и пароль мошенникам.

"Этот зловред особенно опасен, так как он не только похищает личные данные пользователя, но и устанавливает другое вредоносное ПО, контролируемое киберпреступниками, - предупреждает Луис Корронс (Luis Corrons), технический директор PandaLabs. - Подобные угрозы обычно распространяются через электронную почту или социальные сети посредством ссылок на видеоролики YouTube. При переходе по такой ссылке, пользователь действительно видит видеоролик, но в это время на его компьютер загружается троян.

Более подробная информация доступна в блоге лаборатории PandaLabs.
http://www.pandalabs.com/

Автор: Leon71 30.09.2010 - 12:43

Исследователи в области компьютерных наук представили прототип зловредного программного обеспечения, использующего ресурсы графического процессора для обхода традиционных методов обнаружения антивирусных средств. Продемонстрированный код задействовал GPU для дешифрования, или распаковки собственно вирусной части файла на атакуемом компьютере.

Техника самораспаковки – распространенный метод маскировки вирусов от антивирусной проверки на базе сигнатурного анализа, поскольку это дает возможность разработчику вируса непрерывно вносить небольшие изменения в результаты работы шифрования или компрессии без изменения собственно ядра атакующего кода. Но до сих пор использование средств центрального процессора накладывало практические ограничения на возможные типы алгоритмов упаковки.

По утверждениям исследователей, использование команд GPU для распаковки вирусов может значительно затруднить работу существующих средств обнаружения и анализа вредоносного кода. «Автор злонамеренного кода может прибегнуть к вычислительной мощности современных графических процессоров и упаковать его с применением очень сложной схемы шифрования, которая может быть эффективно обсчитана на массивно-параллельной архитектуре GPU» – отметили Гиоргос Василиадис (Giorgos Vasiliadis) и Сотирис Иоаннидис (Sotiris Ioannidis) из Фонда исследований и технологий Греции и Михалис Полихронакис (Michalis Polychronakis) из Университета Колумбии в своем докладе, подготовленному к намеченной на следующий месяц международной конференции IEEE по вредоносному и нежелательному ПО.

Вредоносный код, использующий GPU, позволяет минимизировать количество инструкций процессоров x86, и тем самым уменьшить возможность для традиционных методов антивирусного анализа. Намного затрудняется и исследование методов работы вирусов «вручную», поскольку к традиционным методам, усложняющим обратный инжиниринг, добавится поддерживаемый средствами графических процессоров полиморфизм.

Исследователи предположили, что со временем вполне могут появиться ботнеты, способные использовать распределенные ресурсы GPU, хорошо подходящие для таких типов задач, как подбор паролей или ключей шифрования. В прогнозах возможных вирусных новинок фантазия специалистов дошла до вирусов, способных манипулировать CPU для вывода на монитор фальшивой информации, и даже до вероятности появления вредоносного кода, исполняемого целиком на GPU, без привязки к процессам, поддерживаемым средствами центрального процессора.

Автор: CheD 6.10.2010 - 05:22

Корпорация Microsoft выпустила долгожданное обновление безопасности KB2286198, которое устраняет весьма серьёзную уязвимость в обработке ярлыков оболочки Windows Shell, позволяющую злоумышленнику запустить вредоносный код без вашего ведома.(червь Stuxnet)

Уязвимости подвержены все версии Windows, Windows 7 Service Pack 1 Beta - в том числе.
Обновление KB2286198 будет распространяться через Windows Update, а вы можете скачать его прямо сейчас с сайта Microsoft.

Полный список загрузок KB2286198 для всех поддерживаемых систем.
http://www.microsoft.com/downloads/en/results.aspx?freetext=KB2286198&displaylang=en&stype=s_basic

Автор: Leon71 7.11.2010 - 16:16

Согласно ежемесячному отчету «Лаборатории Касперского» о развитии вредоносных программ в октябре 2010 г., абсолютным лидером по количеству заражений в интернете в этом месяце стал размещаемый на порно-сайтах скрипт из семейства FakeUpdate – Trojan.JS.FakeUpdate.bp. Он предлагает скачать видео соответствующего содержания, однако для его просмотра требуется установить новый плеер, дистрибутив которого содержит еще и троян, модифицирующий файл hosts. Этот вирус перенаправляет пользователя с популярных сайтов на страницу с требованием отправить SMS-сообщение на премиум-номер для продолжения работы в интернете.

В отчете компании также отмечается рост популярности поддельных архивов: для получения их содержимого пользователю предлагается отправить SMS-сообщение на премиум-номер. В большинстве случаев после отправки SMS на экране компьютера появляется инструкция по использованию торрент-трекера и/или ссылка на него. «Возможных вариантов развития ситуации много, но результат всегда один – пользователь теряет деньги, так и не получив искомый файл. Такого рода мошенничество появилось несколько месяцев назад, и с тех пор интерес к нему со стороны злоумышленников не угасает», – отметил автор отчета, старший вирусный аналитик «Лаборатории Касперского» Вячеслав Закоржевский. В период с июля по октябрь 2010 г. эксперты компании каждый месяц фиксировали более миллиона попыток заражения вредоносными программами этого класса.

Особенным отчетный период выдался для корпорации Microsoft. Она побила свой рекорд, выпустив в октябре 16 бюллетеней по безопасности, закрывающих 49 различных уязвимостей. Предыдущий рекорд был установлен в августе, но тогда было исправлено только 34 «узких места». По мнению специалистов «Лаборатории Касперского», такое положение дел может говорить о том, что киберпреступники активно используют недоработки в продуктах софтверного гиганта.

Несмотря на недавние аресты части группировки, причастной к ботнету Zeus, продолжают появляться вредоносные программы, поддерживающие его распространение. Благодаря тому, что конфигурация троянских программ семейства Zeus несложна и их легко использовать с целью кражи информации, этот троян стал одной из самых распространенных и продаваемых программ-шпионов на черном рынке интернета, говорится в отчете компании.

Из интересных событий в отчете также отмечается обнаружение в начале месяца Virus.Win32.Murofet, который генерирует доменные имена для последующего распространения с них бота Zeus. Его основная особенность заключается в генерировании ссылок для загрузки и исполнения ехе-файлов Zeus из интернета с помощью специального алгоритма, который основывается на использовании текущих времени и даты инфицированного компьютера. «Virus.Win32.Murofet демонстрирует изобретательность и рвение, с которым разработчики Zeus пытаются распространить своё творение по всему миру», – сказал Вячеслав Закоржевский.

cnews

Автор: Leon71 2.12.2010 - 16:18

«Лаборатория Касперского» предупредила о распространении двух программ-блокеров, шифрующих файлы пользователя и требующих деньги за восстановление данных.

Один из зловредов представляет собой модификацию опасного троянца GpCode. Он шифрует файлы с популярными расширениями (doc, docx, txt, pdf, xls, jpg, mp3, zip, avi, mdb, rar, psd и др.), после чего самоуничтожается.

Эта программа была обнаружена аналитиками «Лаборатории Касперского» 29 ноября и детектируется как Trojan-Ransom.Win32.GpCode.ax. В настоящее время эксперты компании работают над способами восстановления зашифрованных данных.

GpCode не распространяется самостоятельно – на компьютер он попадает через зараженные сайты и уязвимости в Adobe Reader, Java, Quicktime Player или Adobe Flash. В отличие от предыдущих версий блокера, существующих еще с 2004 года, новая модификация не удаляет оригинальные файлы после расшифровки, а перезаписывает в них данные.

Вторым обнаруженным блокером стал троянец Seftad, поражающий главную загрузочную запись операционной системы (MBR). Две разновидности этой вредоносной программы добавлены в антивирусные базы компании под именами Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a.

После заражения Seftad переписывает главную загрузочную запись и требует деньги за предоставление пароля, с помощью которого можно восстановить изначальную MBR. После трех неверно введенных паролей инфицированный компьютер перезагружается, и троянец заново выводит требование о переводе средств.

Автор: Leon71 14.12.2010 - 10:58

"Лаборатория Касперского" представила отчет по спам-активности в ноябре 2010 года. По сравнению с октябрем средняя доля спама в почтовом трафике незначительно уменьшилась и составила 76,8%. Самый низкий показатель месяца был отмечен 1 ноября — 71%; больше всего спама было получено пользователями 7 числа — 85,6 %.

В ноябре рейтинг стран-распространителей спама возглавила Индия с показателем в 10,4% от общего количества разосланного спама. Россия заняла четвертую строку (5,6%), пропустив вперед Вьетнам (8,8%) и Великобританию (6,0%). Пятерку замыкает Италия, по сравнению с октябрем прибавившая 1,4% к объему распространенных рекламных сообщений (5,2%). Соединенные Штаты, бывшие когда-то бессменным лидером рейтинга, впервые не вошли даже в TOP 20 стран-распространителей — это связано с активной борьбой против ботнетов, развернувшейся на территории США.

В списке наиболее популярных у спамеров тематик на первом месте оказалась реклама образовательных услуг (26,8%). На вторую строку опустилась тема «Медицина» (12,5%), а предложения с саморекламой спамеров заняли третью строку (8,3%). Четвертое и пятое места делит реклама азартных игр и реплик элитных товаров (по 7,3%). Среди самых атакуемых фишерами организаций вновь лидирует PayPal — на эту платежную систему приходится около трети всех атак (34,2%), что значительно меньше, чем в прошлые месяцы. В ноябре социальной сети Facebook досталось 16,9% атак, что почти в два раза больше, чем в октябре. Количество атак на интернет-аукцион eBay за месяц возросло втрое (14,8%).

Одним из ключевых событий ноября стало открытие регистрации доменных имен в недавно созданной зоне «.рф». Как и предполагали эксперты «Лаборатории Касперского» спамеры проявили повышенное внимание к новому домену.

Уже 9-10 ноября пользователи начали получать сообщения, в которых мошенники рекламировали возможность подать заявку на регистрацию домена в зоне .рф до официального старта процедуры. Пытаясь убедить пользователей прибегнуть к их услугам, спамеры спекулировали на актуальной теме сквоттерства, то есть скупке доменных имен, соответствующих названиям различных организаций, для дальнейшей перепродажи или шантажа.

Кириллические домены уже появились в незапрошенных рекламных сообщениях не только как товар, но и как рабочие ссылки на спам-сайты (в том числе посвященные обучению, SEO и саморекламе спамеров). Отсутствие должного контроля, скорее всего, приведет к тому, что реклама виагры и казино будет столь же часто встречаться в доменной зоне .рф, как сейчас — в зоне .ru.

ixbt

Автор: Leon71 16.12.2010 - 00:24

Компания "Доктор Веб" сообщила о выявлении нового метода противодействия работе антивирусов. Обнаружена вредоносная программа, которая может удалять компоненты антивирусной защиты из системы - это троянец Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети "ВКонтакте". Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1.

После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса. Затем производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. Причем, в арсенале программы - процедуры удаления многих популярных антивирусных продуктов.

Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. Сейчас данная уязвимость закрыта, утверждает "Доктор Веб". Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались. После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477.

Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут. После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. Таким образом, для неподготовленных пользователей создается иллюзия, что антивирусная защита системы продолжает работать в штатном режим, хотя на самом деле это не так и компьютер остается незащищенным.

drweb

Автор: Leon71 18.01.2011 - 22:01

Компания ESET уведомила об обнаружении новой угрозы – Win32/Sheldor.NAD, которая является модификацией популярной программы для удаленного администрирования компьютера – TeamViewer.

Был модифицирован один из модулей легальной программы, который используется в процессе сетевого взаимодействия с серверами TeamViewer. Модификация позволяла отправлять аутентификационные данные актуального сеанса TeamViewer на сервер злоумышленников, у которых появлялась возможность в любой момент получить доступ к активной сессии пользователя на зараженном ПК. Это означает, что мошенники имели не только доступ к конфиденциальным данным пользователя, но и могли выполнять ряд действий на инфицированном компьютере, в том числе осуществлять транзакции в системах ДБО, что вело к финансовым потерям пользователя.

Так как большинство компонентов модифицированной версии TeamViewer имели легальную цифровую подпись и являлись легальными компонентами, за исключением одного модуля, количество антивирусных продуктов, зафиксировавших угрозу на момент ее обнаружения, было мало. Аналитики ESET отмечают, что модифицированная версия TeamViewer устанавливалась в систему пользователя при помощи специально разработанной троянской программы-инсталлятора, которая создавала все необходимые ключи реестра для работы Win32/Sheldor.NAD: копировала компоненты TeamViewer в системную папку %WINDIR% и добавляла в автозапуск.

3dnews