IPB

Здравствуйте, гость ( Вход | Регистрация )

> ВИРУС!!! Читать всем!!!
FUriCK
12.08.2003 - 18:01
Сообщение #1



Silver Member
Group Icon
Группа: VIP
Сообщений: 314
Регистрация: 20.06.2002
Из: Dnepropetrovsk

Пользователь №: 197




Источник =http://www.livejournal.com/users/olegart/33500.html

Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка
( раз => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp ,
два => =http://www.securityfocus.com/bid/8234 ) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.
Выглядеть атака будет, например, вот так:
[img]http://dnph.phys.msu.su/~oleg/img/rpccrash.gif[/img]

Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на =http://www.securityfocus.com/ .
Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется.

Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя => http://www.securityfocus.com/news/6689 , использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.

Таким образом, началась настоящая пьянка - эпидемия очередного червя.

Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших.

Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все.

Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте =http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html .

Кто не спрятался - я не виноват.

Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя.


--------------------
P.S. Сорри за опоздание. :*)
User is offlineProfile Card PM
Go to the top of the page
+
10 Страницы V « < 8 9 10  
Reply to this topicStart new topic
Ответов(225 - 243)
Leon71
20.03.2010 - 14:45
Сообщение #226



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Червь Koobface, заражающий социальные сети, снова активен
«Лаборатория Касперского» предупредила о всплеске активности червя Koobface, активно заражающего сайты социальных сетей. Вредоносная программа атакует такие популярные порталы как Facebook и Twitter, и использует взломанные сайты в качестве собственных командных серверов.

По наблюдениям группы исследователей «Лаборатории Касперского», в течение трех последних недель командные серверы Koobface отключались или подвергались лечению в среднем три раза в сутки. Командные серверы используются для посылки удаленных команд и обновлений на все компьютеры, зараженные данным червем.

Сначала количество работающих командных серверов червя постоянно снижалось: 25 февраля их было 107, а 8 марта уже 71. Однако затем в течение всего двух суток их число выросло вдвое, до 142. По состоянию на 18 марта количество серверов составило 79, так что в ближайшее время стоит ожидать очередного роста.

Проследить количество командных серверов Koobface можно, оценив географическое распределение IP-адресов, через которые происходит обмен информацией с зараженными компьютерами. В первую очередь количество серверов увеличилось в США — их доля выросла с 48% до 52%.

Советы «Лаборатории Касперского» пользователям:
Будьте осторожны при открытии ссылок в сообщениях подозрительного содержания, даже если вы получили их от пользователя, которому доверяете.
Используйте современный браузер последней версии: Firefox 3.x, Internet Explorer 8, Google Chrome, Opera 10.
По возможности не раскрывайте в сети личную информацию: домашний адрес, телефонный номер и т. д.
Регулярно обновляйте антивирусное ПО на вашем компьютере, чтобы обезопасить себя от новейших версий вредоносных программ.
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
21.03.2010 - 10:29
Сообщение #227



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




«Лаборатория Касперского» расшифрует файлы, запароленные троянцем
«Лаборатория Касперского» сообщила о появлении новой модификации троянской программы Cryzip, упаковывающей файлы пользователя в запароленные zip-архивы. У пострадавших пользователей есть возможность разблокировать данные, воспользовавшись бесплатным сервисом компании.

Заражение зловредом осуществляется через сайты, содержащие контент для взрослых. Попав на компьютер, троянец начинает поиск по нескольким десяткам популярных расширений, в том числе .rar, .zip, .7z, .pdf, .djvu, .txt, .xls, .xlsx, .rtf, .doc .docx, .htm, .html, .mht, .jpg, .jpeg и другим. Для каждого найденного файла создается архив <имя_оригинального_файла>_crypt_.rar, затем оригинал удаляется без возможности восстановления. За пароль от архивов программа требует отправить 2000 рублей с помощью SMS-сообщения.

Данная программа детектируется "Лабораторией Касперского" как Trojan-Ransom.Win32.Cryzip.c (компания "Доктор Веб" детектирует ее как Trojan.Encoder.68).

По данным «Лаборатории Касперского», случаи заражения этой вредоносной программой зафиксированы не только в России, но и в Казахстане, Латвии, Польше, Республике Молдова, Египте, во Франции, Индии, Италии, Мексике, Саудовской Аравии, Испании, США, на Украине, а также в других странах.

Специалистами «Лаборатории Касперского» оперативно разработан генератор паролей для расшифровки архивов. Им можно воспользоваться тут. Для получения пароля в первое поле необходимо ввести cryzip, а в поле «Текст сообщения» — идентификатор, записанный в файле auto_rar_report.txt, где вредоносная программа генерирует инструкцию «Как вернуть ваши файлы».
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
30.04.2010 - 06:27
Сообщение #228



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Новая версия Dr.Web CureNet! с улучшенным модулем самозащиты

Обновлена утилита Dr.Web CureNet!, предназначенная для централизованного лечения локальных сетей, в том числе с установленным антивирусом другого производителя. В продукт включен обновленный модуль самозащиты Dr.Web SelfPROtect, а также внесены изменения, повышающие удобство работы с ним.

Была добавлена возможность автоматического выключения рабочих станций после сканирования Dr.Web CureNet!, что особенно актуально в ситуации, когда проверка затягивается во времени. Появилась опция, позволяющая отображать или не отображать извещение об антивирусной проверке на удаленном ПК. Также реализована возможность обновления репозитория через прокси-сервер. Кроме того, были доработаны локализации.

Для того чтобы обновление вступило в силу, пользователям Dr.Web CureNet! необходимо заново скачать дистрибутив программы. http://products.drweb.com/curenet/
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
13.05.2010 - 10:16
Сообщение #229



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Злоумышленники используют Google Groups для рассылки вирусов

Специалисты компании "Доктор Веб" информируют пользователей Интернета о том, что злоумышленники начали использовать популярный сервис Google Groups для распространения вредоносных программ.

По сведениям экспертов, начинается все с того, что пользователь получает по электронной почте сообщение, содержащее в себе ссылку на файл, который выложен в одной из специально подготовленных злоумышленниками групп Google. В письме могут использоваться различные методы социальной инженерии, вынуждающие пользователей скачать файл. К примеру, может сообщаться о том, что изменились параметры доступа к электронной почте, и пользователю необходимо скачать инструкции перед тем, как вносить изменения. Либо что почта пользователя была взломана, в связи с чем также предлагается воспользоваться специальными инструкциями.

После того как жертва злоумышленников проходит по ссылке, в браузере открывается окно со ссылкой непосредственно на вредоносный файл, за которым могут скрываться, в частности, модификации семейства троянцев Trojan.Fakealert, которые являются лжеантивирусами.

Сотрудники компании "Доктор Веб" рекомендуют пользователям с осторожностью относиться к сообщениям, которые приходят от неизвестных адресатов, особенно если они касаются параметров доступа к интернет-аккаунтам и другой приватной информации.
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
29.05.2010 - 10:42
Сообщение #230



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Продукты Adobe - излюбленная мишень хакеров

«Лаборатория Касперского» сообщила о том, что по ее данным, мишенью №1 для хакеров и вирусописателей в первом квартале 2010 года стали продукты компании Adobe. Это связано с популярностью и кроссплатформенностью данного программного обеспечения, а также тем, что пользователи плохо осведомлены об опасности открытия неизвестных PDF-файлов.

Среди всех обнаруженных эксплойтов абсолютным лидером стало семейство Exploit.Win32.Pdfka, использующее уязвимости в программах Adobe Reader и Adobe Acrobat. Его доля составила 42,97%.

В сумме доля двух семейств эксплойтов для продуктов Adobe – Exploit.Win32.Pdfka и Exploit.Win32.Pidief — достигла 47,5%, то есть почти половины обнаруженных эксплойтов. Эти эксплойты являются PDF-документами, содержащими сценарии Java Script, которые без ведома пользователя загружают из интернета и запускают другие вредоносные программы.
Прикрепленное изображение

На компьютерах пользователей часто присутствуют продукты Adobe с незакрытыми уязвимостями. Среди десяти самых распространённых уязвимостей ПО, обнаруженных на компьютерах пользователей за отчётный период, три уязвимости найдены в ПО производства Adobe, шесть — Microsoft и одна — Sun. Три уязвимости продуктов Adobe присутствуют на 23,37%, 17,87% и 15,27% пользовательских компьютеров, причём первая и последняя являются критическими, то есть позволяют удалённому хакеру получить контроль над системой.

Одна из уязвимостей продуктов Adobe известна более трёх лет и для неё имеется патч, что указывает на то, что многие пользователи не следят за своевременным обновлением программ. Чтобы решить эту проблему компания Adobe запустила 13 апреля сервис автоматических обновлений своих продуктов в фоновом режиме. Разработчики надеются, что это позволит своевременно обновлять приложения, вызывающие у киберпреступников такой повышенный интерес.

3dnews
User is offlineProfile Card PM
Go to the top of the page
+
CheD
23.07.2010 - 04:52
Сообщение #231



Full Member
Group Icon
Группа: VIP
Сообщений: 295
Регистрация: 10.11.2004

Пользователь №: 69154




Новый червь Win32/Stuxnet атакует промышленные компании
Компания ESET предупреждает пользователей о распространении червя Win32/Stuxnet. Червь используется для атак на ПО класса SCADA, системы управления и контроля, используемые в промышленности.

Win32/Stuxnet представляет большую угрозу для промышленных предприятий. При запуске этой вредоносной программы используется ранее неизвестная уязвимость в обработке файлов с расширением LNK, содержащихся на USB-накопителе. Выполнение вредоносного кода происходит благодаря наличию уязвимости в Windows Shell, связанной с отображением специально подготовленных LNK-файлов. Новый способ распространения может повлечь появление других злонамеренных программ, использующих такую технологию заражения, поскольку на данный момент уязвимость остается открытой. "Злоумышленники постарались разработать свою программу таким образом, чтобы она привлекала к себе как можно меньше внимания, - комментирует Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства компании ESET. - Способ заражения Win32/Stuxnet тоже уникален, так как ПО использует неизвестную ранее уязвимость. А возможность проникновения вируса на ПК через USB-накопители позволяет в короткие сроки получить большую распространенность".

Win32/Stuxnet также может обходить технологию HIPS (Host Intrusion Prevention System), которая защищает от попыток внешнего воздействия на систему. Это стало возможным благодаря наличию во вредоносной программе файлов, имеющих легальные цифровые подписи.

"Скорее всего, создание Win32/Stuxnet имеет целевую направленность, так как общеизвестных способов монетизации при анализе данного вредоносного ПО выявлено не было, - добавляет Александр Матросов. - Что касается географии распространения червя, высокое проникновение угрозы именно в США, возможно, связано с целевой атакой, задачей которой является промышленный шпионаж".

http://www.securitylab.ru/news/395917.php
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
31.08.2010 - 13:34
Сообщение #232



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Эксперты по безопасности предупреждают о появлении нового IM-червя

Специалисты "Лаборатории Касперского" сообщили об обнаружении нового IM-червя, распространяемого через интернет-пейджеры, включая Skype, Google Talk, Yahoo Messenger и Live MSN Messenger. Зловреду было присвоено имя IM-Worm.Win32.Zeroll.a.

Вредоносная программа написана на Visual Basic и характеризуется знанием 13 языков, используемых встроенным ботом для рассылки сообщений со ссылками на картинки, представляющие собой зараженные файлы. Как только ничего не подозревающий пользователь проходит по такой ссылке, червь перехватывает управление мессенджером и рассылает свои копии находящимся в контакт-листе собеседникам. Помимо этого червь осуществляет контроль над инфицированным компьютером и скачивает другие вредоносные приложения. Управление зараженными ПК осуществляется злоумышленниками через IRC-канал.

По данным Kaspersky Security Network, самое большое число заражений новым червем зарегистрировано в Мексике и Бразилии.

По мнению эксперта "Лаборатории Касперского" Дмитрия Бестужева, создатели IM-червя находятся сейчас на первом этапе реализации своих преступных планов, то есть стремятся заразить как можно больше машин, чтобы затем получать выгодные предложения от других киберпреступников, в т.ч. предусматривающие оплату за количество зараженных компьютеров, использование их для рассылки спама и решения других задач.

Во избежание заражения специалисты по информационной безопасности советуют интернет-пользователям быть предельно внимательными при работе в сетях мгновенного обмена сообщениями и рекомендуют проявлять осторожность при открытии различных ссылок и файлов.
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
2.09.2010 - 10:26
Сообщение #233



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Новый троян выдает себя за обновление для Twitter-клиента

Пользователей микроблоггерской социальной сети Twitter подстерегает опасность в виде нового трояна. Аналитики компании Sophos сообщают о том, что новый троян маскируется под «важное обновление» для TweetDeck — популярного клиента для работы с микроблогами.

Для установки «обновления» пользователям предлагается пройти по указанной в сообщении ссылке. После перехода по ссылке на компьютер пользователя устанавливается вредоносная программа, которую эксперты Sophos идентифицируют как Troj/Agent-OOA. После заражения троян получает доступ к аккаунту пользователя и использует его для дальнейшего распространения вредоносной ссылки.

В тексте сообщения, сопровождающего ссылку, говорится, что выход «обновления» для TweetDeck приурочен к Осеннему банковскому выходному — официальному выходному дню в Англии, который приходится на последний понедельник августа.
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
10.09.2010 - 12:13
Сообщение #234



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Каждую неделю хакерами создается 57 тыс. вредоносных веб-страниц

Еженедельно совместными усилиями киберпреступников и хакеров в Интернете создается около 57 тысяч фишинговых и зараженных веб-страниц, таящих потенциальную угрозу для пользователей Всемирной сети. Таковы результаты исследования, проведенного экспертами антивирусной лаборатории PandaLabs.

Сотрудники PandaLabs, в частности, выяснили, что 65% поддельных ресурсов стилизованы злоумышленниками под сайты банковских организаций, 27% представляются онлайновыми аукционами, 2,3% - финансовыми порталами и 1,9% - сайтами государственных учреждений. Подобного рода фишинговые ресурсы быстро индексируются поисковыми системами, и эта оперативность играет на руку преступным группам.

Во избежание неприятных инцидентов, специалисты PandaLabs рекомендуют при работе в Интернете быть предельно внимательными и советуют не оставлять без внимания предусмотренный во многих современных браузерах фильтр фишинговых интернет-ресурсов.

3dnews
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
15.09.2010 - 11:40
Сообщение #235



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Хакеры превратили The Pirate Bay в распространителя вирусов

Злоумышленники воспользовались уязвимостью в рекламной платформе The Pirate Bay для распространения через сайт вредоносных программ. Объектом атаки стала платформа OpenX, которая используется для показа рекламы посетителям сайта. Воспользовавшись уязвимостью в OpenX, злоумышленники загрузили на сайт собственный код.
Прикрепленное изображение

В результате атаки посетители The Pirate Bay, нажимая на рекламный баннер, попадали на сторонний сайт, на котором размещались вирусы и троянские программы. Из-за этого поисковая система Google, браузер Firefox и ряд антивирусов причислили The Pirate Bay к вредоносным ресурсам. Сейчас специалисты TPB работают над устранением уязвимости.
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
27.09.2010 - 08:44
Сообщение #236



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




"Лаборатория Касперского": червь Stuxnet знаменует собой начало новой эры кибервойн

Эксперты "Лаборатории Касперского" провели исследование червя Stuxnet и пришли к неутешительному выводу, что данная вредоносная программа знаменует собой начало новой эры кибервойн.

Специалисты антивирусной компании отмечают, что на данный момент нет достаточной информации, позволяющей идентифицировать организаторов атаки или цель, на которую она направлена. Однако несомненно, что это технически сложная атака, за которой стоит хорошо финансируемая, высококвалифицированная команда, обладающая глубокими знаниями в области технологии SCADA. По мнению аналитиков "Лаборатории Касперского", подобная атака могла быть осуществлена только с поддержкой и с одобрения суверенного государства.

"Я думаю, что это поворотный момент - теперь мы живем в совершенно новом мире, потому что раньше были только киберпреступники, а теперь, боюсь, пришло время кибертерроризма, кибероружия и кибервойн, - сказал Евгений Касперский, соучредитель и генеральный директор "Лаборатории Касперского". - Эта вредоносная программа предназначена не для кражи денег, рассылки спама или воровства личных данных - нет, этот зловред создан для вывода из строя заводов, повреждения промышленных систем. Девяностые были десятилетием кибервандалов, двухтысячные - эпохой онлайн-преступников, теперь наступает эра цифрового терроризма".

Изучив червя, эксперты "Лаборатории Касперского" обнаружили, что он использовал четыре различные неизвестные ранее уязвимости "нулевого дня" (zero-day) и два действительных сертификата (выпущенных компаниями Realtek и JMicron), которые позволили зловреду долгое время избегать попадания на экраны антивирусных радаров. Конечной целью червя был доступ к системам предприятий Simatic WinCC SCADA, которые используются для мониторинга и управления промышленными, инфраструктурными и сервисными процессами. Подобные системы широко применяются в нефтепроводах, электростанциях, крупных системах связи, аэропортах, судах и даже на военных объектах по всему миру.

"Лаборатория Касперского" считает, что Stuxnet представляет собой прототип кибероружия, создание которого повлечет за собой новую всемирную гонку вооружений. На сей раз это будет гонка кибервооружений.

3dnews
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
27.09.2010 - 21:27
Сообщение #237



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Эксперты предупреждают о распространении опасного банковского трояна

Специалисты антивирусной лаборатории PandaLabs сообщили об обнаружении нового вредоносного кода Bandra.GUC, распространяющегося посредством видеороликов о спасении застрявших чилийских шахтеров и представляющего собой новую разновидность известного банковского трояна из семейства Banbra, который впервые появился в 2003 году.

Троян разработан для похищения паролей пользователей в то время, когда они осуществляют банковские операции в режиме онлайн. Когда интернет-пользователь заходит на инфицированный сайт банка или какой-либо другой финансовой организации, Banbra.GUC отображает фальшивую страницу, которая в точности копирует настоящую. Как только пользователь вводит свои аутентификационные данные, программа автоматически закрывается и перенаправляет на подлинный сайт. После этого троян отправляет украденные логин и пароль мошенникам.

"Этот зловред особенно опасен, так как он не только похищает личные данные пользователя, но и устанавливает другое вредоносное ПО, контролируемое киберпреступниками, - предупреждает Луис Корронс (Luis Corrons), технический директор PandaLabs. - Подобные угрозы обычно распространяются через электронную почту или социальные сети посредством ссылок на видеоролики YouTube. При переходе по такой ссылке, пользователь действительно видит видеоролик, но в это время на его компьютер загружается троян.

Более подробная информация доступна в блоге лаборатории PandaLabs.
http://www.pandalabs.com/
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
30.09.2010 - 12:43
Сообщение #238



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Вирусы будут использовать графические процессоры?

Исследователи в области компьютерных наук представили прототип зловредного программного обеспечения, использующего ресурсы графического процессора для обхода традиционных методов обнаружения антивирусных средств. Продемонстрированный код задействовал GPU для дешифрования, или распаковки собственно вирусной части файла на атакуемом компьютере.

Техника самораспаковки – распространенный метод маскировки вирусов от антивирусной проверки на базе сигнатурного анализа, поскольку это дает возможность разработчику вируса непрерывно вносить небольшие изменения в результаты работы шифрования или компрессии без изменения собственно ядра атакующего кода. Но до сих пор использование средств центрального процессора накладывало практические ограничения на возможные типы алгоритмов упаковки.

По утверждениям исследователей, использование команд GPU для распаковки вирусов может значительно затруднить работу существующих средств обнаружения и анализа вредоносного кода. «Автор злонамеренного кода может прибегнуть к вычислительной мощности современных графических процессоров и упаковать его с применением очень сложной схемы шифрования, которая может быть эффективно обсчитана на массивно-параллельной архитектуре GPU» – отметили Гиоргос Василиадис (Giorgos Vasiliadis) и Сотирис Иоаннидис (Sotiris Ioannidis) из Фонда исследований и технологий Греции и Михалис Полихронакис (Michalis Polychronakis) из Университета Колумбии в своем докладе, подготовленному к намеченной на следующий месяц международной конференции IEEE по вредоносному и нежелательному ПО.

Вредоносный код, использующий GPU, позволяет минимизировать количество инструкций процессоров x86, и тем самым уменьшить возможность для традиционных методов антивирусного анализа. Намного затрудняется и исследование методов работы вирусов «вручную», поскольку к традиционным методам, усложняющим обратный инжиниринг, добавится поддерживаемый средствами графических процессоров полиморфизм.

Исследователи предположили, что со временем вполне могут появиться ботнеты, способные использовать распределенные ресурсы GPU, хорошо подходящие для таких типов задач, как подбор паролей или ключей шифрования. В прогнозах возможных вирусных новинок фантазия специалистов дошла до вирусов, способных манипулировать CPU для вывода на монитор фальшивой информации, и даже до вероятности появления вредоносного кода, исполняемого целиком на GPU, без привязки к процессам, поддерживаемым средствами центрального процессора.
User is offlineProfile Card PM
Go to the top of the page
+
CheD
6.10.2010 - 05:22
Сообщение #239



Full Member
Group Icon
Группа: VIP
Сообщений: 295
Регистрация: 10.11.2004

Пользователь №: 69154




Корпорация Microsoft выпустила долгожданное обновление безопасности KB2286198, которое устраняет весьма серьёзную уязвимость в обработке ярлыков оболочки Windows Shell, позволяющую злоумышленнику запустить вредоносный код без вашего ведома.(червь Stuxnet)

Уязвимости подвержены все версии Windows, Windows 7 Service Pack 1 Beta - в том числе.
Обновление KB2286198 будет распространяться через Windows Update, а вы можете скачать его прямо сейчас с сайта Microsoft.

Полный список загрузок KB2286198 для всех поддерживаемых систем.
http://www.microsoft.com/downloads/en/results.aspx?freetext=KB2286198&displaylang=en&stype=s_basic
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
7.11.2010 - 16:16
Сообщение #240



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Вредоносные программы в октябре: новые способы распространения Zeus и троян-вымогатель на сайтах с «клубничкой»

Согласно ежемесячному отчету «Лаборатории Касперского» о развитии вредоносных программ в октябре 2010 г., абсолютным лидером по количеству заражений в интернете в этом месяце стал размещаемый на порно-сайтах скрипт из семейства FakeUpdate – Trojan.JS.FakeUpdate.bp. Он предлагает скачать видео соответствующего содержания, однако для его просмотра требуется установить новый плеер, дистрибутив которого содержит еще и троян, модифицирующий файл hosts. Этот вирус перенаправляет пользователя с популярных сайтов на страницу с требованием отправить SMS-сообщение на премиум-номер для продолжения работы в интернете.

В отчете компании также отмечается рост популярности поддельных архивов: для получения их содержимого пользователю предлагается отправить SMS-сообщение на премиум-номер. В большинстве случаев после отправки SMS на экране компьютера появляется инструкция по использованию торрент-трекера и/или ссылка на него. «Возможных вариантов развития ситуации много, но результат всегда один – пользователь теряет деньги, так и не получив искомый файл. Такого рода мошенничество появилось несколько месяцев назад, и с тех пор интерес к нему со стороны злоумышленников не угасает», – отметил автор отчета, старший вирусный аналитик «Лаборатории Касперского» Вячеслав Закоржевский. В период с июля по октябрь 2010 г. эксперты компании каждый месяц фиксировали более миллиона попыток заражения вредоносными программами этого класса.

Особенным отчетный период выдался для корпорации Microsoft. Она побила свой рекорд, выпустив в октябре 16 бюллетеней по безопасности, закрывающих 49 различных уязвимостей. Предыдущий рекорд был установлен в августе, но тогда было исправлено только 34 «узких места». По мнению специалистов «Лаборатории Касперского», такое положение дел может говорить о том, что киберпреступники активно используют недоработки в продуктах софтверного гиганта.

Несмотря на недавние аресты части группировки, причастной к ботнету Zeus, продолжают появляться вредоносные программы, поддерживающие его распространение. Благодаря тому, что конфигурация троянских программ семейства Zeus несложна и их легко использовать с целью кражи информации, этот троян стал одной из самых распространенных и продаваемых программ-шпионов на черном рынке интернета, говорится в отчете компании.

Из интересных событий в отчете также отмечается обнаружение в начале месяца Virus.Win32.Murofet, который генерирует доменные имена для последующего распространения с них бота Zeus. Его основная особенность заключается в генерировании ссылок для загрузки и исполнения ехе-файлов Zeus из интернета с помощью специального алгоритма, который основывается на использовании текущих времени и даты инфицированного компьютера. «Virus.Win32.Murofet демонстрирует изобретательность и рвение, с которым разработчики Zeus пытаются распространить своё творение по всему миру», – сказал Вячеслав Закоржевский.

cnews
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
2.12.2010 - 16:18
Сообщение #241



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Два новых трояна-блокера требуют деньги за восстановление данных

«Лаборатория Касперского» предупредила о распространении двух программ-блокеров, шифрующих файлы пользователя и требующих деньги за восстановление данных.

Один из зловредов представляет собой модификацию опасного троянца GpCode. Он шифрует файлы с популярными расширениями (doc, docx, txt, pdf, xls, jpg, mp3, zip, avi, mdb, rar, psd и др.), после чего самоуничтожается.

Эта программа была обнаружена аналитиками «Лаборатории Касперского» 29 ноября и детектируется как Trojan-Ransom.Win32.GpCode.ax. В настоящее время эксперты компании работают над способами восстановления зашифрованных данных.

GpCode не распространяется самостоятельно – на компьютер он попадает через зараженные сайты и уязвимости в Adobe Reader, Java, Quicktime Player или Adobe Flash. В отличие от предыдущих версий блокера, существующих еще с 2004 года, новая модификация не удаляет оригинальные файлы после расшифровки, а перезаписывает в них данные.

Вторым обнаруженным блокером стал троянец Seftad, поражающий главную загрузочную запись операционной системы (MBR). Две разновидности этой вредоносной программы добавлены в антивирусные базы компании под именами Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a.

После заражения Seftad переписывает главную загрузочную запись и требует деньги за предоставление пароля, с помощью которого можно восстановить изначальную MBR. После трех неверно введенных паролей инфицированный компьютер перезагружается, и троянец заново выводит требование о переводе средств.
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
14.12.2010 - 10:58
Сообщение #242



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Лаборатория Касперского" и спам в ноябре 2010 года

"Лаборатория Касперского" представила отчет по спам-активности в ноябре 2010 года. По сравнению с октябрем средняя доля спама в почтовом трафике незначительно уменьшилась и составила 76,8%. Самый низкий показатель месяца был отмечен 1 ноября — 71%; больше всего спама было получено пользователями 7 числа — 85,6 %.

В ноябре рейтинг стран-распространителей спама возглавила Индия с показателем в 10,4% от общего количества разосланного спама. Россия заняла четвертую строку (5,6%), пропустив вперед Вьетнам (8,8%) и Великобританию (6,0%). Пятерку замыкает Италия, по сравнению с октябрем прибавившая 1,4% к объему распространенных рекламных сообщений (5,2%). Соединенные Штаты, бывшие когда-то бессменным лидером рейтинга, впервые не вошли даже в TOP 20 стран-распространителей — это связано с активной борьбой против ботнетов, развернувшейся на территории США.

В списке наиболее популярных у спамеров тематик на первом месте оказалась реклама образовательных услуг (26,8%). На вторую строку опустилась тема «Медицина» (12,5%), а предложения с саморекламой спамеров заняли третью строку (8,3%). Четвертое и пятое места делит реклама азартных игр и реплик элитных товаров (по 7,3%). Среди самых атакуемых фишерами организаций вновь лидирует PayPal — на эту платежную систему приходится около трети всех атак (34,2%), что значительно меньше, чем в прошлые месяцы. В ноябре социальной сети Facebook досталось 16,9% атак, что почти в два раза больше, чем в октябре. Количество атак на интернет-аукцион eBay за месяц возросло втрое (14,8%).

Одним из ключевых событий ноября стало открытие регистрации доменных имен в недавно созданной зоне «.рф». Как и предполагали эксперты «Лаборатории Касперского» спамеры проявили повышенное внимание к новому домену.

Уже 9-10 ноября пользователи начали получать сообщения, в которых мошенники рекламировали возможность подать заявку на регистрацию домена в зоне .рф до официального старта процедуры. Пытаясь убедить пользователей прибегнуть к их услугам, спамеры спекулировали на актуальной теме сквоттерства, то есть скупке доменных имен, соответствующих названиям различных организаций, для дальнейшей перепродажи или шантажа.

Кириллические домены уже появились в незапрошенных рекламных сообщениях не только как товар, но и как рабочие ссылки на спам-сайты (в том числе посвященные обучению, SEO и саморекламе спамеров). Отсутствие должного контроля, скорее всего, приведет к тому, что реклама виагры и казино будет столь же часто встречаться в доменной зоне .рф, как сейчас — в зоне .ru.

ixbt
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
16.12.2010 - 00:24
Сообщение #243



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Вирусы снова научились удалять антивирусы

Компания "Доктор Веб" сообщила о выявлении нового метода противодействия работе антивирусов. Обнаружена вредоносная программа, которая может удалять компоненты антивирусной защиты из системы - это троянец Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети "ВКонтакте". Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1.

После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса. Затем производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. Причем, в арсенале программы - процедуры удаления многих популярных антивирусных продуктов.

Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. Сейчас данная уязвимость закрыта, утверждает "Доктор Веб". Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались. После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477.

Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут. После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. Таким образом, для неподготовленных пользователей создается иллюзия, что антивирусная защита системы продолжает работать в штатном режим, хотя на самом деле это не так и компьютер остается незащищенным.

drweb
User is offlineProfile Card PM
Go to the top of the page
+
Leon71
18.01.2011 - 22:01
Сообщение #244



Honorable Member
Group Icon
Группа: Администраторы
Сообщений: 9009
Регистрация: 16.12.2004

Пользователь №: 78139




Опасный троян замаскировался под TeamViewer

Компания ESET уведомила об обнаружении новой угрозы – Win32/Sheldor.NAD, которая является модификацией популярной программы для удаленного администрирования компьютера – TeamViewer.

Был модифицирован один из модулей легальной программы, который используется в процессе сетевого взаимодействия с серверами TeamViewer. Модификация позволяла отправлять аутентификационные данные актуального сеанса TeamViewer на сервер злоумышленников, у которых появлялась возможность в любой момент получить доступ к активной сессии пользователя на зараженном ПК. Это означает, что мошенники имели не только доступ к конфиденциальным данным пользователя, но и могли выполнять ряд действий на инфицированном компьютере, в том числе осуществлять транзакции в системах ДБО, что вело к финансовым потерям пользователя.

Так как большинство компонентов модифицированной версии TeamViewer имели легальную цифровую подпись и являлись легальными компонентами, за исключением одного модуля, количество антивирусных продуктов, зафиксировавших угрозу на момент ее обнаружения, было мало. Аналитики ESET отмечают, что модифицированная версия TeamViewer устанавливалась в систему пользователя при помощи специально разработанной троянской программы-инсталлятора, которая создавала все необходимые ключи реестра для работы Win32/Sheldor.NAD: копировала компоненты TeamViewer в системную папку %WINDIR% и добавляла в автозапуск.

3dnews
User is offlineProfile Card PM
Go to the top of the page
+
Реклама

10 Страницы V « < 8 9 10
Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0 -

 



- Текстовая версия Сейчас: 28.03.2024 - 22:53
]]> ]]>
]]> Яндекс.Метрика ]]>