Вернуться   Другой Форум - Антивирусы, Программы, Norton, Касперский, ESET, Windows > Безопасность системы > Обсуждение антивирусов и файерволов
Войти через профиль в соц. сети
Регистрация Справка Правила Помощь форуму Пользователи Календарь Статистика Все разделы прочитаны
Обсуждение антивирусов и файерволов Обсуждения и сравнения антивирусных программ и файерволов, раздел допускает наличие флуда и свободного общения в рамках приличия

Ответ
Старый 29.08.2011, 21:56   #401
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума

IT-безопасность-свежие новости.


Новый червь распространяется по протоколу RDP
Специалисты по безопасности сообщают о появлении редкого на сегодняшний день явления – нового сетевого червя. Новый червь получил название Morto. Для распространения он использует протокол Windows RDP (Remote Desktop Protocol).

Протокол RDP используется для удаленного доступа к Windows системам. В настоящий момент известно, что червь использует брут-форс атаку и пытается подобрать пароль к учетной записи Administrator. После попадания на систему, он сканирует компьютеры в локальной сети и пытается подключиться к ним под учетной записью Administrator и паролями:

admin
password
server
test
user
pass
letmein
1234qwer
1q2w3e
1qaz2wsx
aaa
abc123
abcd1234
admin123
111
123
369
1111
12345
111111
123123
123321
123456
654321
666666
888888
1234567
12345678
123456789
1234567890

После проникновения на систему, Morto использует общедоступные папки \\tsclient\c и копирует себя на удаленную систему. Червь создает временный диск A и копирует на него файл a.dll. После этого, на системе создаются некоторые файлы, например \windows\system32\sens32.dll и \windows\offline web pages\cache.txt.

Червь имеет возможность удаленного управления, для этого используются домены jaifr.com и qfsl.net. Образцы червя, которые попали к специалистам компании F-Secure содержат следующие MD5 хеши:

0c5728b3c22276719561049653c71b84
14284844b9a5aaa680f6be466d71d95b
58fcbc7c8a5fc89f21393eb4c771131d

В настоящий момент червь идентифицируется компанией F-Secure как Backdoor:W32/Morto.A и Worm:W32/Morto.B.

Trusteer: червь Win32.Ramnit использует тактику трояна Zeus в банковском мошенничестве
Специалисты компании Trusteer обнаружили вредоносное ПО Win32.Ramnit, который активно используется для совершения онлайн мошенничеств, связанных с банковскими операциями.

Ramnit позаимствовал у известного трояна Zeus способность внедрять HTML-код в веб-браузер, что помогает ему обойти систему защиты при проведении банковских операций.

Командные серверы Ramnit расположены в Германии и в настоящее время активны. Согласно отчету компании Symantec Intelligence за июль, Ramnit ответственный за 17.3% всех новых заражений программного обеспечения.

Впервые Ramnit был обнаружен в 2010 году и тогда он заражал файлы с расширением .EXE, .SCR, .DLL, .HTML и другие файлы.

Превращение Ramnit в инструмент, с помощью которого осуществляется банковское мошенничество, стало возможным, когда в начале этого года исходный код Zeus был выложен в свободный доступ в сети Интернет.

С тех пор, мошенники и авторы вредоносного ПО заимствовали части Zeus и использовали их в создании других вредоносных программ. Исследователи Trusteer выяснили, что метод, который использовал Ramnit, чтобы осуществить атаку на определенный банк идентичен тому, который в свое время использовал Zeus.
[Ссылки могут видеть только зарегистрированные пользователи. ]

"Лаборатория Касперского" прогнозирует DDoS-атаки во вторник
На вторник приходится самое большое количество DDoS-атак, происходящих в течение недели - свыше 23 процентов. Об этом говорится в отчете "Лаборатории Касперского".

"В будние дни пользователи активно работают с Интернетом. Следовательно, именно в эти дни недели различные интернет-ресурсы наиболее востребованы, и DDoS-атаки могут причинить наибольший ущерб атакованному сайту, - утверждают авторы исследования. - Важно учесть и то, что в будние дни включено максимальное количество компьютеров, а значит, и максимальное количество зараженных машин, которые и составляют армию ботоводов".

Максимальная активность киберпреступников зарегистрирована с понедельника по четверг - на эти дни приходится 80 процентов всех DDoS-атак. Первые три места в рейтинге дней с максимальной хакерской активностью занимают вторник, среда и понедельник - в порядке убывания частоты атак.

Самыми активными хакерскими группами во втором квартале 2011 стали LulzSec и Anonymous, отмечают в "Лаборатории Касперского". Киберпреступники все активнее используют DDoS-атаки в качестве отвлекающего маневра при проведении более сложных атак, отмечает старший вирусный аналитик компании Юрий Наместников.
[Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 31.08.2011, 19:06   #402
"СЧАСТЬЕ ДЛЯ ВСЕХ, ДАРОМ, И ПУСТЬ НИКТО НЕ УЙДЕТ ОБИЖЕННЫЙ!"
 
Аватар для ole44

 
Регистрация: 18.08.2009
Сообщений: 3 849

ole44 на форуме
По умолчанию Re: IT-безопасность-свежие новости.

В Рунете взломано более 21 000 сайтов, отмечается эпидемия троянца Mayachok

Специалисты компании «Доктор Веб» сообщили об обнаружении массового взлома веб-сайтов (более 21 000 на 31 августа 2011 года), с которых на компьютеры пользователей под видом драйверов загружается вредоносное ПО, в том числе печально известный троянец Trojan.Mayachok.1. "Мы призываем пользователей проявлять внимательность, а владельцев веб-сайтов в Рунете — проверить свои интернет-ресурсы на предмет наличия посторонних каталогов и файлов", - заявили в российской антивирусной компании.

Сотрудниками антивирусной лаборатории обнаружен ряд веб-сайтов, имеющих в своей структуре отдельный подсайт, никак не связанный с основной тематикой данных интернет-ресурсов. Оформление этих «встроенных» страниц идентично и отличается лишь незначительными деталями. Все они предлагают пользователям загрузить драйверы различных устройств. Ссылка на файл драйвера перенаправляет пользователя на промежуточный сайт, например ipurl.ru (сайт биржи трафика), а уже оттуда на другой ресурс, с которого под видом драйвера загружается троянская программа Trojan.Mayachok.1. Кроме того, ссылки с некоторых взломанных сайтов ведут на поддельные службы файлового обмена.

По состоянию на 12.00 31 августа 2011 года было выявлено более 21 000 адресов веб-сайтов, распространяющих это вредоносное ПО. Имеются все основания предполагать, что владельцы или администраторы этих ресурсов стали жертвами хищения паролей от FTP-клиентов, для чего злоумышленники могли воспользоваться многочисленными троянскими программами.




Среди десятков тысяч взломанных ресурсов можно отметить серверы общества «Православная семья», сайт российской организации буддистов, сервер «Алтайского краевого объединения профсоюзов», а также многочисленные сайты различных коммерческих и некоммерческих организаций. Получить список взломанных сайтов можно с использованием, например, поискового запроса файл samsung syncmaster драйвер упакован в архив.

Напоминаем, что вредоносная программа Trojan.Mayachok.1, о которой мы уже неоднократно писали в наших новостях и обзорах, блокирует нормальную работу браузеров на инфицируемом компьютере. В начале июля 2011 года атаке этой троянской программы подверглись пользователи интернет-провайдера «Ростелеком», а в августе Trojan.Mayachok.1 стал, согласно данным статистики, одной из самых распространенных угроз.

Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение. Среди блокируемых троянцем сайтов замечены youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Запустившись на инфицированном компьютере, троянец создает в каталоге system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временный каталог под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в каталог

C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.

"Поскольку взлому подверглись тысячи интернет-ресурсов в Рунете, можно смело говорить о том, что угроза весьма серьезная: имеет место массовая компрометация администраторских учетных записей. «Доктор Веб» призывает владельцев и администраторов веб-сайтов проверить структуру своих интернет-ресурсов на предмет наличия посторонних каталогов и файлов, а также использовать современное антивирусное ПО с целью избежать кражи паролей от FTP-клиентов", - говорят в компании.

[Ссылки могут видеть только зарегистрированные пользователи. ]
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 02.09.2011, 12:38   #403
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Отчет Symantec: MBR-инфекции возвращаются
Эксперты Symantec в своем очередном августовском отчете [PDF 1,75 Мб] объявляют о возобновлении интереса хакеров к инфекциям MBR (Master Boot Record, основная загрузочная запись).

Операция по проверке загрузочного сектора жесткого диска проводится непосредственно сразу после включения компьютера. Инфицирование данной области позволяет перехватить управление компьютером. Поэтому изменение MBR столь привлекательно для создателей вредоносного ПО. При этом данная методика довольно сложна и требует высокой квалификации. Возможно, именно по этой причине не так много хакеров пользуются ей.

Прошлым летом появился троянец Backdoor.Tidserv, поражающий файлы системного реестра. Однако на тот момент еще нельзя было сказать, что MBR-инфекции пользуются большой популярностью среди кибер-мошенников. К августу этого года картина изменилась: на данный момент в активе хакеров уже есть Backdoor.Tidserv.M, Trojan.Smitnyl, Trojan.Fispboot, Trojan.Alworo и Trojan.Cidox. Это указывает на всплеск интереса к MBR, подобного которому не наблюдалось в предыдущие три года.

Современные загрузочные вирусы обладают большими возможностями, чем их предшественники десятилетней давности. Среди них появились вредоносные программы с принципиально новым подходом, такие, как Trojan.Cidox, который вместо MBR заражает область IPL (Initial Program Loader). По мнению экспертов, барьер для выхода загрузочных вирусов к настоящему моменту оказался занижен — их создателям даже не пришлось готовить рынок для появления данной разновидности вредоносного ПО.
[Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 03.09.2011, 14:42   #404
"СЧАСТЬЕ ДЛЯ ВСЕХ, ДАРОМ, И ПУСТЬ НИКТО НЕ УЙДЕТ ОБИЖЕННЫЙ!"
 
Аватар для ole44

 
Регистрация: 18.08.2009
Сообщений: 3 849

ole44 на форуме
По умолчанию Re: IT-безопасность-свежие новости.

"Лаборатория Касперского" ужесточит правила блокирования SMS-партнерок

В свете очередного инцидента с массовым взломом веб-сайтов в Рунете и распространением вредоносных программ через партнерские ресурсы, "Лаборатория Касперского" приняла решение ужесточить в своих антивирусных продуктах правила блокирования доступа к SMS-сервисам, перенаправляющим интернет-пользователей на сомнительные ресурсы.

"Под блокировку всеми доступными нам методами, включая проактивные облачные технологии, попадут все TDS-сети (Traffic Distribution System), скрипты, IP-адреса сайтов с подозрительным контентом, DNS-записи и хостеры, замешанные в любом из видов SMS-мошенничества в Рунете, будь то диеты или блокеры", - [Ссылки могут видеть только зарегистрированные пользователи. ] в опубликованном компанией информационном сообщении.



Эксперт "Лаборатории Касперского" Александр Гостев убежден, что такие суровые контрмеры помогут сделать Рунет чище и свободнее от киберпреступников. "Ведь именно криминал и мошенничество отпугивают большую часть людей от использования онлайновых ресурсов в полной мере. Именно они отталкивают аудиторию от совершения покупок в Сети и сдерживают развитие интернет-технологий в России", - резюмирует представитель антивирусной компании.

Напомним, массированная хакерская атака, затронувшая тысячи сайтов в российском сегменте Сети, была зафиксирована специалистами компании "Доктор Веб" несколько дней назад. Предварительное расследование инцидента показало, что взломанные площадки использовались злоумышленниками для распространения зловреда Trojan.Mayachok.1 под видом драйверов для различных устройств. По состоянию на 12 часов дня 31 августа 2011 года было выявлено более 21 тысяч адресов веб-сайтов, распространяющих упомянутое вредоносное ПО. Эксперты предполагают, что владельцы этих ресурсов стали жертвами хищения паролей от FTP-клиентов, для чего киберпреступники могли воспользоваться многочисленными троянскими программами.

[Ссылки могут видеть только зарегистрированные пользователи. ]
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 03.09.2011, 14:52   #405
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Взломана учетная запись «ВКонтакте» Павла Дурова
В ночь с 27 на 28 августа была взломана личная страница Павла Дурова на сайте ВКонтакте. На «стене» личной страницы Павла Дурова появилась надпись "кавесру кавесру кавесру", также изменился статус Павла на "танк пв руферы привет лодка девочка и ко".

«Хакерами» оказались дети, называющие себя руферами - теми, кто лазит по крышам в свое удовольствие. Они без проблем смогли проникнуть через крышу в Дом Книги в Санкт-Петербурге, где в настоящий момент располагается офис социальной сети «ВКонтакте». Ребята сделали подробный фотоотчет и выложили его в интернете.

"Весь поход занял чуть больше получаса. Минут 20 посидели в стеклянном шаре, что наверху стеклянного купола, минут пять побыли в самом куполе. Далее пошли через кабинет Павла, вышли на крышу и ушли. Успели побывать в комнате разработчиков не более минуты. Когда загрузили компьютер Павла, на рабочем столе было несколько ярлыков. Операционная система Windows 7, браузер Google Chrome. Введя адрес vk.com, сразу попали на страницу Павла. За компьютером провели не более двух минут. Оставили запись, сменили статус и ушли. У Павла тысячи заявок в друзья и непрочитанных личных сообщений".

Что же получается и какой вывод из этого можно сделать?

В Доме Книги явные проблемы с охраной. Мало того, что кто угодно может проникнуть в здание, так еще и могут попасть в любые кабинеты.
Явные проблемы с безопасностью внутри компании «ВКонтакте», мало того, что любой желающий может попасть в кабинет руководителя, так еще и доступ к компьютеру не защищен паролем.

Редакция SecurityLab рекомендует своим читателям не забывать использовать пароли на рабочих станциях и серверах, а также закрывать двери хотя бы на ключ.

По материалам:SecurityLab
__________________
  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 03.09.2011, 23:26   #406
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Вредоносные программы семейства Trojan-Spy.Win32.Zbot: описание и методы удаления

В настоящее время вирусные аналитики Лаборатории Касперского отмечают все большее распространение троянских программ семейства Trojan-Spy.Win32.Zbot, которые используются злоумышленниками для кражи с компьютеров пользователей различной банковской информации. Как правило, работа данных вредоносных программ не сопровождается какими-либо визуальными эффектами, и это значительно усложняет ее обнаружение на компьютере-жертве, который не защищен антивирусной программой. Более того, с целью самозащиты программы данного семейства используют технологии rootkit, позволяющие им скрывать наличие своих исполняемых файлов и процессов.

Основным путем проникновения программ семейства Trojan-Spy.Win32.Zbot на компьютер является посещение зараженных страниц в интернете. Однако принцип работы данного типа "троянцев" используют различные киберпреступники, и каждый из них придумывает свой способ проникновения на компьютер-жертву.

Единственной мерой предотвращения проникновения вредоносных программ семейства Trojan-Spy.Win32.Zbot на ваш компьютер является установка на него антивирусной программы и регулярное обновление антивирусных баз, чтобы Антивирус "знал" о появлении новых модификаций данной троянской программы. В частности, приложения Лаборатории Касперского помогут вам предотвратить заражение всеми известными модификациями программы Trojan-Spy.Win32.Zbot и, при необходимости, удалить все следы заражения из системы.

Если же вы не используете антивирусную программу, то настоятельно рекомендуем вам перед совершением банковских операций через интернет проверить компьютер на наличие модификаций программы Trojan-Spy.Win32.Zbot при помощи специальной утилиты ZbotKiller.exe. И, в случае обнаружения, пролечить зараженную систему.

Ниже в статье вы найдете описание мест в системе, куда программы Trojan-Spy.Win32.Zbot обычно сохраняют свои данные (но, как указано выше, эти файлы могут быть скрыты), и способы запуска утилиты ZbotKiller.exe, предназначенной для обнаружения и удаления данной вредоносной программы.
Основные признаки заражения вредоносными программами семейства Trojan-Spy.Win32.Zbot
1.В папках %windir%\system32 и %AppData% появляются файлы (один или несколько):

ntos.exe
twex.exe
twext.exe
oembios.exe
sdra64.exe
lowsec\\local.ds
lowsec\\user.ds

%windir%\system32 и %AppData% это системные папки операционной системы Microsoft Windows. В зависимости от того, какая именно версия ОС установлена на вашем компьютере, путь к этим папкам меняется.
Например, на ОС Windows Vista полные пути к этим папкам таковы: C:\Windows\System32 и C:\Users\<имя_профиля>\AppData. А на ОС Windows XP Professional - C:\WINDOWS\system32 и C:\Documents and Settings\<имя_профиля>\Application Data.
2. Ссылки на указанные выше подозрительные файлы появляются в следующих ключах системного реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

Способы лечения зараженных систем
Лечение систем, зараженных вредоносными программами семейства Trojan-Spy.Win32.Zbot, производится с помощью утилиты ZbotKiller.exe. В ходе своей работы утилита:

Проводит быстрое сканирование системы на наличие заражения.

Находит и удаляет вредоносный код известных модификаций Trojan-Spy.Win32.Zbot, распространившийся в другие работающие на компьютере программы.

Устраняет функциональность вредоносных программ, которая используется для сокрытия вредоносных файлов и процессов (rootkit).

Удаляет вредоносные файлы и очищает системный реестр от активности троянских программ Trojan-Spy.Win32.Zbot.
Локально:
1.Скачайте архив [Ссылки могут видеть только зарегистрированные пользователи. ] и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине.
2.Запустите файл ZbotKiller.exe

По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту ZbotKiller.exe с ключом -y.
3.Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения не требуется.



Запуск утилиты ZbotKiller.exe можно производить непосредственно на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 05.09.2011, 19:53   #407
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Обзор вирусной обстановки за август от Доктор Веб

Последний летний месяц 2011 года ознаменовался появлением нового троянца, инфицирующего среду разработки Delphi, а также скачкообразным ростом числа модификаций вредоносных программ семейства Android.SmsSend для мобильных устройств, работающих под управлением ОС Android. Помимо этого в августе была зафиксирована беспрецедентная атака на поклонников компьютерной игры Counter-Strike. Наиболее распространенной угрозой за истекший месяц стали троянские программы семейства Trojan.Mayachok, заразившие большое число персональных компьютеров пользователей операционной системы Microsoft Windows.
Android.SmsSend: рост числа модификаций в августе
Нажмите чтобы раскрыть спойлер
Как известно, Остап Бендер знал четыреста способов относительно честного отъема денег у граждан, создателям вирусов под мобильную операционную систему Android их известно значительно меньше. Большинство таких вредоносных программ либо отправляют втайне от пользователя СМС на платные сервисные номера, либо подписывают их на премиум-услуги, за предоставление которых со счета пользователя снимаются средства. Троянцы семейства Android.SmsSend не уничтожают файлы владельца мобильного устройства и не шпионят за ним. Они предлагают неискушенным пользователям отправить платное СМС-сообщение для установки программ, которые при иных обстоятельствах можно получить совершенно бесплатно.

Авторы троянцев семейства Android.SmsSend, известного еще с августа 2010 года, используют ту же мошенническую схему, которая применяется для распространения Trojan.SmsSend для настольных ПК. Жертва скачивает с одного из веб-сайтов нужное ей приложение, например, браузер Opera Mini для мобильных устройств. В процессе его инсталляции на экране неожиданно появляется предложение отправить несколько СМС на короткий номер для продолжения установки. В ответ пользователь обычно получает ссылку и пароль, который необходимо ввести в соответствующую форму на сайте злоумышленников. После этого ему предоставляется возможность полностью загрузить требуемую программу. Суть мошенничества заключается в том, что, если бы изначально пользователь перешел не на веб-страницу злоумышленников, а на сайт разработчиков соответствующего ПО, то он мог бы скачать это приложение совершенно бесплатно.

На начало 2011 года в вирусных базах Dr.Web значилось всего шесть модификаций данного троянца, а на текущий момент их насчитывается уже 60. Иными словами, только за истекшие семь с половиной месяцев количество версий Android.SmsSend выросло в десять раз. Резко возросло и число новых модификаций этой вредоносной программы, присланных в вирусную лабораторию компании «Доктор Веб» в августе 2011 года, — всего с начала месяца выявлено 22 неизвестные ранее версии троянца против среднего показателя, составляющего 5–7 новых детектов в месяц. Таким образом, можно говорить о 36-процентном росте числа версий данной угрозы только в августе 2011 года.

Очевидно, что столь резкое увеличение количества вариаций Android.SmsSend обусловлено выгодностью для вирусописателей финансовой модели, включающей производство и распространение этих троянцев, а также прибылью, получаемой от беспечных пользователей, мобильные устройства которых оказались инфицированы. Вполне вероятно, что указанная тенденция будет сохраняться и в дальнейшем. На приведенном ниже графике показана динамика обнаружения новых версий Android.SmsSend с начала текущего года.

Пользователям мобильных устройств, работающих под управлением ОС Android, рекомендуется предварительно проверить в Интернете информацию о приложениях, которые они планируют установить, и, если такие приложения распространяются бесплатно, не отправлять никаких сообщений на предлагаемые злоумышленниками телефонные номера. Кроме того, можно обезопасить себя от установки вредоносного ПО, загружая его только из проверенных источников, таких как официальный Android Market.

Атака на пользователей Counter-Strike
Нажмите чтобы раскрыть спойлер
Многочисленные специалисты в области психологии утверждают, что игромания является зависимостью, а следовательно, болезнью. В августе 2011 года специалисты компании «Доктор Веб» установили, что поклонникам игр угрожают и иные опасности, одна из которых может передаваться через Интернет. 5 августа на форуме компании «Доктор Веб» появилось сообщение об обнаружении очередной угрозы: при попытке подключиться к одному из игровых серверов Counter-Strike 1.6 на компьютер пользователя начинали загружаться подозрительные файлы svhost.exe и bot2.exe, а также файл с именем admin.cmd (в начале этого года данный файл раздавался под именем Counter-Strike.cmd). Следует отметить, что такое поведение нестандартно для программного обеспечения игры Counter-Strike.


В ходе проведенного аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие самостоятельно скачали и установили его на своих ПК). Технология «раздачи» троянца была весьма интересной: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.

Основное назначение троянца заключалось в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на реальный игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии. Пример работы троянца показан на следующей иллюстрации, демонстрирующей несколько игровых серверов, якобы запущенных на инфицированной машине с одним IP-адресом:

Троянец Win32.Induc.2 заражает среду Delphi
Нажмите чтобы раскрыть спойлер
Появившаяся в августе новая троянская программа Win32.Induc.2 заражает среду разработки Delphi таким образом, что все созданные с ее помощью приложения оказываются инфицированными вредоносным ПО. Основное отличие Win32.Induc.2 от Win32.Induc заключается в том, что новая версия троянца несет в себе функциональную нагрузку, а не просто способна создавать собственные копии.

Троянец прописывает ярлык своего исполняемого файла в стандартной папке автозагрузки Windows под именем APMV и снабжает его случайным значком. Стартовав при следующем запуске операционной системы, Win32.Induc.2 выполняет поиск папки, в которую установлена среда разработки Delphi, записывает копию самого себя в файл defines.inc и модифицирует файл sysinit.pas таким образом, что при запуске инфицированной программы троянец сохраняется в файле с именем ~.exe и запускается на выполнение. Затем Win32.Induc.2 осуществляет пересборку модуля sysinit, вслед за чем возвращает содержимое папки Source в исходное состояние с целью затруднить определение присутствия вредоносной программы в системе. Полученный в результате компиляции dcu-файл троянец помещает в папку /lib, что приводит к заражению всех создаваемых пользователем Delphi программ.


Как уже упоминалось, данная модификация троянца несет определенную функциональную нагрузку, которая реализована весьма любопытным образом. Во вредоносном файле «зашито» несколько URL, ссылающихся на «аватарки» пользователей ряда интернет-форумов. Внутри самих «аватарок», в свою очередь, скрыта закодированная строка, содержащая другой URL, по которому троянец скачивает с удаленного узла зашифрованный exe-файл. Таким образом, в Win32.Induc.2 реализована функция загрузки и запуска исполняемых файлов, способных нанести вред операционной системе.

Бот-сети Darkness атакуют серверы LineAge2
Нажмите чтобы раскрыть спойлер
BackDoor.DarkNess — не просто бэкдор, на основе которого любой желающий может построить бот-сеть, способную осуществить DDoS-атаку на выбранную цель. Это многопрофильный инструмент, позволяющий злоумышленникам реализовывать различные функции. Например, модификация BackDoor.DarkNess.25 умеет красть пользовательские данные из таких популярных программ, как Total Commander (параметры доступа к FTP), FlashFXP, FileZilla, WS_FTP, QIP, CuteFTP, The Bat!, но основное назначение бэкдора — реализация DDoS-атак по команде с удаленного сервера. BackDoor.DarkNess написан на языке Delphi, административная часть реализована на языке PHP. Вот так выглядит страница административного центра бот-сети изнутри:

За последние четыре месяца специалистами компании «Доктор Веб» было зафиксировано 49 бот-сетей, построенных с использованием BackDoor.DarkNess. Порядка десяти из них действуют до сих пор, и за их активностью компания продолжает внимательно следить. Всего за этот период ботам было передано 363 уникальные команды, большинство из которых инициировало DDoS-атаки. Наиболее популярной целью таких атак стали многочисленные российские серверы онлайновой игры LineAge-2: игровые серверы LA2 подвергались нападению в 13,5% случаев (71 уникальная атака). Другие атакованные сайты имеют следующую тематическую направленность (в порядке убывания популярности): эскорт-агентства, форумы, посвященные вредоносному ПО и информационной безопасности, магазины поддельных часов ведущих мировых марок, СМИ, хостинг-провайдеры, службы доставки пиццы и, наконец, площадки биржи «Форекс». Среди наиболее популярных целей хакерских атак следует отметить следующие серверы:

f**kav.ru (35 уникальных атак, 6,6%)
tempelgirls.ch (31 уникальная атака, 5,8%)
katera.ru (26 уникальных атак, 4,9%)
flyspb.ru (16 уникальных атак 3%)
realescort.eu (15 уникальных атак, 2,8%)
superbeach.ru (12 уникальных атак, 2,2%)
auction.de (8 уникальных атак, 1,5%)
all-lineage2.ru (7 уникальных атак, 1,3%)

Если атакованный сайт имеет скрипты, обращающиеся к базе данных (например, форум), то такие скрипты также были «подключены» к DDoS-атаке в 14,5% случаев. Распределение атакованных серверов по доменным зонам (в процентах) показано на следующей диаграмме:



[IMG]Как видно из графика, лидирующие позиции в данном случае занимают доменные зоны .ru и .com (36,8% и 35,9% соответственно), на третьем месте — зона .ch с показателем 9%, за ней расположились домены .net (4,7%), .eu (4,3%), .de (3,7%), .org (3,4%) и .su (1,5%). Общее количество атак на сайты, расположенные в других доменных зонах, составило менее процента. Можно предположить, что благодаря широкой распространенности этого бэкдора (а также проникновению этой программы в свободный доступ) количество бот-сетей и их активность в ближайшем будущем вряд ли уменьшится. Несмотря на то, что BackDoor.DarkNess известен в течение уже длительного времени, он все еще пользуется определенной популярностью: в месяц вирусная лаборатория «Доктор Веб» получает 30 новых сэмплов данного бэкдора, то есть в среднем по одному сэмплу в сутки. Можно также ожидать появления новых модификаций BackDoor.DarkNess, несущих дополнительную функциональную нагрузку помимо реализации основной функции DDoS-бота.[/IMG]

Trojan.Mayachok.1 и Mayachok.2 — хиты сезона
Нажмите чтобы раскрыть спойлер
Начало августа ознаменовалось стремительным ростом числа заражений троянской программой Trojan.Mayachok.1. Атаке этой вредоносной программы подверглись многие пользователи, неожиданно столкнувшиеся с невозможностью выйти в Интернет: вместо запрашиваемых ими сайтов в окне браузера демонстрировалось сообщение: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. […] Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение». Если пользователь следовал указаниям злоумышленников и вводил свой телефонный номер в соответствующую форму, а затем отвечал на входящее СМС, с его счета незамедлительно списывались средства. Были зафиксированы случаи блокировки доступа в Интернет с подменой сайта «Ростелеком», однако этим аппетиты злоумышленников не ограничивались: вот неполный список интернет-ресурсов, страницы которых может подменить этот троянец: youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru.

Одновременно с этим множество пользователей оказались подвержены заражению второй версией данной троянской программы: ее особенность заключается в том, что эта модификация Trojan.Mayachok инфицирует Volume Boot Record, после чего в браузерах пользователей появляется сообщение о том, что их компьютер якобы заражен вирусом Trojan.Win32.Ddox.ci. Для устранения «проблемы» злоумышленники предлагают жертве установить обновление браузера, для чего требуется отправить на короткий номер платное СМС-сообщение. При этом создатели троянца не поленились разработать отличающиеся своим оформлением баннеры для наиболее популярных на сегодняшний день браузеров: Microsoft Internet Explorer, Mozilla Forefox, Opera, Google Chrome.

Для устранения этих угроз пользователям, пострадавшим от троянских программ Trojan.Mayachok.1 и Trojan.Mayachok.2, рекомендуется просканировать диски своего компьютера с помощью антивирусного ПО Dr.Web либо воспользоваться средством аварийного восстановления системы Dr.Web LiveCD или лечащей утилитой Dr.Web CureIt!.

Угрозы в почтовом трафике
Нажмите чтобы раскрыть спойлер
Не забывают вирусописатели и об одной из традиционных схем распространения вредоносных программ — почтовом спаме. В августе лидирующие позиции среди подобных рассылок занял троянец BackDoor.Pushnik.15, основное предназначение которого состоит в краже электронных денег пользователей платежной системы WebMoney. Довольно активно по каналам электронной почты распространяются даунлоадеры, в частности, троянец Trojan.DownLoad2.24758, зафиксированный в почтовом трафике в 13,79% случаев. Не отстает от него и давно известная вредоносная программа семейства Trojan.Oficla. Среди прочих угроз, замеченных в августе в почтовом трафике, следует упомянуть о Win32.HLLM.MyDoom в различных модификациях, а также о троянцах Trojan.Tenagour.3 и Win32.HLLM.Netsky.
01.08.2011 00:00 - 31.08.2011 17:00
1 Trojan.DownLoad2.24758 150146 (26.36%)
2 Trojan.Oficla.zip 123791 (21.73%)
3 Exploit.Cpllnk 48091 (8.44%)
4 BackDoor.Pushnik.15 39771 (6.98%)
5 BackDoor.Pushnik.16 27612 (4.85%)
6 Trojan.Tenagour.3 21166 (3.72%)
7 Win32.HLLM.MyDoom.33808 18437 (3.24%)
8 Win32.HLLM.MyDoom.54464 15161 (2.66%)
9 Win32.HLLM.Netsky.18401 11308 (1.99%)
10 Trojan.DownLoad2.32643 7547 (1.32%)
11 Win32.HLLM.Netsky.35328 7503 (1.32%)
12 BackDoor.IRC.Nite.60 7383 (1.30%)
13 Win32.HLLM.Netsky 6783 (1.19%)
14 Win32.HLLM.Beagle 5135 (0.90%)
15 Trojan.Siggen2.58686 5090 (0.89%)
16 Trojan.Packed.246 4971 (0.87%)
17 Trojan.Carberp.13 4622 (0.81%)
18 Win32.HLLM.MyDoom.based 4373 (0.77%)
19 Trojan.MulDrop1.54160 2981 (0.52%)
20 Trojan.Siggen3.345 2450 (0.43%)

Всего проверено: 243,888,860
Инфицировано: 569,637 (0.23%)
Вредоносные файлы, обнаруженные в августе на компьютерах пользователей
01.08.2011 00:00 - 31.08.2011 17:00
1 JS.Click.218 113154597 (58.49%)
2 Win32.Rmnet.12 26016817 (13.45%)
3 JS.IFrame.112 14774950 (7.64%)
4 Trojan.IFrameClick.3 10379698 (5.37%)
5 Win32.HLLP.Neshta 7375872 (3.81%)
6 Trojan.MulDrop1.48542 3065544 (1.58%)
7 Win32.HLLP.Whboy.45 2091622 (1.08%)
8 JS.IFrame.117 1645574 (0.85%)
9 Win32.HLLP.Whboy.101 1403859 (0.73%)
10 JS.Click.222 1270764 (0.66%)
11 Win32.HLLP.Novosel 1089446 (0.56%)
12 Win32.HLLW.Whboy 1083364 (0.56%)
13 Trojan.Click.64310 810689 (0.42%)
14 ACAD.Pasdoc 777253 (0.40%)
15 Trojan.DownLoader.42350 593013 (0.31%)
16 Trojan.NtRootKit.10544 477728 (0.25%)
17 JS.Click.232 422188 (0.22%)
18 JS.IFrame.95 412791 (0.21%)
19 HTTP.Content.Malformed 408269 (0.21%)
20 Trojan.PWS.Ibank.323 384619 (0.20%)

Всего проверено: 129,475,241,055
Инфицировано: 193,468,376 (0.15%)
__________________
  Ответить с цитированием
FBI / IFPI учат Украинцев, как бороться с онлайн-пиратами!
Старый 06.09.2011, 19:29   #408
Banned
 
Регистрация: 19.08.2011
Сообщений: 44

pma59 вне форума
Smile FBI / IFPI учат Украинцев, как бороться с онлайн-пиратами!

В дипломатических документах (за 2008 год – прим. перев.), недавно обнародованных на Wikileaks, говорится о 125 000$,
потраченных властями США на обучение украинских милиционеров в области интернет-пиратства.


Между прочим, эксперты с ФБР и Международной Федерации Производителей Фонограмм учили 30 лучших украинских кибер-полицейских тонкостям «взлома» пиратских торрент-сайтов. Результаты заставят себя долго ждать, так как некоторые из обучаемых заявили об отсутствии интернет подключения на их обычных рабочих местах.
Похоже что власти США действительно готовы идти на «всё», в своей борьбе против онлайн-пиратов.
В документах посол Тэйлор пишет, что проведённая акция была оплачена Международным Бюро по делам Наркотиков и Нарушениям Закона (IFPI).
Одним из главных вопросов стало то, что именно в Украине хостятся многие крупные торрент-порталы, например Demonoid – полу-приватный торрент-трекер, запущенный в начале 2008 года.
«Ламберти (Matthew Lamberti из Департамента Юстиций США) отметил ранее в этом году один из наибольших пиратских веб-сайтов переместился в Украину, и что хозяин сайта заявил о поиске более пригодного «места жительства» после того как на него начали «давить» в других странах – Нидерландах, Канаде и Малайзие. Ламберти предостерёг, что Украина может стать раем для пиратства, если не буду усилены меры безопасности», отметил посол.
Однако проще сказать, чем сделать – украинские власти не имеют законных причин лишить серверы хостинга.
«Представители Украины заявили, что местное законодательство не дает органам властей чёткой причины для закрытия таких сайтов, однако иногда есть возможность «убедить» провайдера сделать это».
Кроме того, в рамках обучения, для украинских офицеров были наведены примеры эффективной борьбы с приватными трекерами в США и Великобритании.

Али Мумит (Mumith Ali), спонсор анти-пиратской организации IFPI объяснил как им удалось ориентированный на музыку трекер OiNK, в 2007 году.
«Али предоставил участникам стратегии и лучшие практики со своего опыта исследования некоторых крупнейших пиратских сайтов в Европе, включая приватный сайт из Великобритании с 180 000 участниками, который предоставлял для скачивания ещё не вышедшие музыкальные альбомы», подытожил посол Тэйлор.
Далее, работники IFPI представили украинским кибер-полицейским несколько следственных инструментов, с помощью которых можно шпионить за участниками р2р сетей, включая програмку для перехвата пакетов – Wireshark.
Несомненно, эксперты с Украины получили неоценимый опыт во время встречи. Однако есть серьёзные сомнения, что десятки тысяч долларов американских налогоплательщиков произведут должный эффект. Очевидно, существуют намного большие проблемы в локальной системе полиции, с которыми нужно разобраться.

«К сожалению все старания будут продолжать упираться в вопрос ресурсов. Например, некоторые участники с украинской стороны в приватном разговоре жаловались на отсутствие интернета на их рабочих местах», пишет посол.


[Ссылки могут видеть только зарегистрированные пользователи. ]

PS: Я плакалЪ!!! У нас оказывается есть аж 30! кибер-милиционеров, но не у всех на рабочем месте есть подключение к сети интернет!
Бедные не "загазованные" Украинские кибер-милиционеры...
  Ответить с цитированием
Пользователь сказал cпасибо:
Re: IT-безопасность-свежие новости.
Старый 06.09.2011, 22:52   #409
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Киберпреступники пытаются нажиться на событиях в Ливии
Сетевые мошенники активно рассылают "нигерийские" письма, в которых представляются родственниками опального ливийского лидера Муаммара Каддафи, нуждающимися в помощи в выводе за пределы Ливии огромных денежных средств, сообщила во вторник пресс-служба антивирусной компании Symantec.

Мошенническая схема этих писем осталась прежней, однако если раньше преступники представлялись сверженными правителями какой-нибудь африканской страны (иногда вовсе не существующей), то теперь они стараются формировать содержание писем в соответствии с наиболее популярными темами новостных лент.

В частности, специалисты компании зафиксировали большое количество спам-сообщений, в которых злоумышленники от имени жены, дочери и личного охранника Каддафи сообщают о том, что планируют вывести крупную сумму денежную средств за пределы Ливии, но сами они этого сделать не могут, и в обмен на крупное вознаграждение просят помочь получившего письмо пользователя.

В ответном письме злоумышленники просят жертву указать свои имя, домашний адрес, телефон, возраст и страну проживания. Как правило, если жертва вступает в переписку с преступниками, они под благовидным предлогом убеждают пользователя перечислить определенную сумму на счет злоумышленников или сообщить им данные своего банковского счета и повторяют свои просьбы снова и снова, пока "жертва" не поймет свою ошибку.

В связи с этим специалисты Symantec напоминают, что вступать в переписку с авторами подобных писем чревато финансовыми потерями.

Мошенники часто используют громкие информационные поводы в своих преступных схемах. Так, в марте этого года после землетрясения в Японии неизвестные киберпреступники создали поддельный сайт по сбору пожертвований в пользу пострадавших от стихийного бедствия.

Еще раньше злоумышленники использовали аналогичные схемы мошенничества, собирая "пожертвования" в адрес жертв урагана "Катрина" в 2005 году, урагана "Густав" и землетрясения в Китае в 2008 году, а также землетрясения на Гаити в 2010 году.
Источник:"РепортерUA"
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 07.09.2011, 18:49   #410
"СЧАСТЬЕ ДЛЯ ВСЕХ, ДАРОМ, И ПУСТЬ НИКТО НЕ УЙДЕТ ОБИЖЕННЫЙ!"
 
Аватар для ole44

 
Регистрация: 18.08.2009
Сообщений: 3 849

ole44 на форуме
По умолчанию Re: IT-безопасность-свежие новости.

В ПФО компьютерный пират получил реальный срок

В Приволжском федеральном округе суд повторно осудил компьютерного пирата-рецидивиста за нарушение авторских и смежных прав. На этот раз он получил реальный срок.

Компьютерное пиратство по сути является преступлением, поэтому распространение нелицензионной продукции – это реальный риск заплатить большой штраф или даже лишиться свободы.


30 июля 2011 года Мировой судья судебного участка № 52 Самарской области вынес приговор в отношении Виктора Голдобина и назначил ему наказание в виде 6 месяцев лишения свободы с отбыванием в колонии-поселении.

Преступная деятельность подсудимого была выявлена в рамках оперативно-следственного мероприятия "Проверочная закупка". 20 апреля 2011 года Голдобин продал диск с нелицензионным ПО Microsoft и Corel сотруднику правоохранительных органов. Совокупный размер деяния составил 73 980 рублей.

В апреле 2011 года Голдобин был судим по ст. 242 УК РФ (Незаконное распространение порнографических материалов) и ст. 146 УК РФ (Нарушение авторских и смежных прав), за что получил 6 месяцев условного лишения свободы и штраф. Учитывая данный факт, на этот раз суд вынес приговор путем поглощения менее строгого наказания более строгим.


Правоприменительная практика в сфере компьютерного пиратства регулярно демонстрирует обществу, что в результате нарушения авторских и смежных прав часто наступает уголовная ответственность. Таким образом, извлечение выгоды из пиратского бизнеса оборачивается для компьютерного пирата сроками или серьезными штрафами.
По словам директора Некоммерческого партнерства поставщиков программных продуктов Дмитрия Соколова, «приговор с реальным заключением в отношении пирата-рецидивиста демонстрирует, насколько серьезно ведется работа по противодействию компьютерному пиратству. Как показывает практика, случается, что условный срок или наложенный штраф не для всех нарушителей являются веской причиной прекратить свою преступную деятельность. В таких случаях суд выносит более суровые решения».
Клиенты компьютерных пиратов, в свою очередь, также идут на серьезные риски. Ведь, отдав предпочтение пиратскому софту, пользователь получает не только пакет программ, которые зачастую работают некорректно, но и вредоносные вирусы и трояны, способные нанести реальный вред компьютерам и их владельцам, привести к уничтожению или утечке важной информации.
Экономия денег на лицензионной версии автоматически приводит к проблемам и сбоям при работе на ПК, а также ограничивает потребителя в использовании широких возможностей лицензионного ПО. Нелицензионное ПО не подлежит технической поддержке и своевременным обновлениям, гарантированным компанией-разработчиком. Следовательно, пользователи не получают ожидаемого эффекта от работы с программами.
«Нарушение прав интеллектуальной собственности в современных информационных реалиях часто наносит больший вред владельцу, рынку и экономике страны, нежели воровство материальных ценностей. Все чаще серьезно страдают конечные пользователи, в 96% подобных случаев получающие модифицированный программный продукт без обновлений и поддержки, часто со встроенными программами-шпионами и уязвимостями. Неудивительно, что случаи вынесения приговоров с реальными сроками лишения свободы за подобные систематические нарушения закона перестают быть редкостью. Хочется верить, что распространители нелицензионных компьютерных программ прислушаются к решению суда и займутся законной деятельностью. Microsoft стоит на позиции, что уважение к интеллектуальной собственности – важнейшее условие развития России как правового государства с инновационной экономикой», — говорит Дмитрий Береснев, руководитель отдела по продвижению лицензионного ПО Microsoft в России.
Компания Microsoft считает своим долгом защитить пользователей от рисков использования пиратского ПО, оградить партнеров Microsoft от нечестной конкуренции со стороны преступного пиратского бизнеса, а также ведет активную работу, направленную на информирование общественности о последствиях распространения нелицензионного ПО.

[Ссылки могут видеть только зарегистрированные пользователи. ]
  Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Новости кино DolphinDаrk Кино, Видео и ТВ 265 13.11.2016 08:33
iSpy (безопасность дома, офиса...) Igoranama Другие программы - free version 108 29.07.2016 12:55
Anvide Flash Lock ( Безопасность / Защита данных ) masteroleg Другие программы - free version 1 17.09.2015 16:23
LockXLS - безопасность Microsoft Excel rekc Офисные программы 2 10.12.2013 12:32
Правила раздела "Безопасность системы" creator Правила раздела 0 18.01.2011 20:49


Часовой пояс GMT +3, время: 12:06.




Яндекс.Метрика