Вернуться   Другой Форум - Антивирусы, Программы, Norton, Касперский, ESET, Windows > Безопасность системы > Обсуждение антивирусов и файерволов
Войти через профиль в соц. сети
Регистрация Справка Правила Пользователи Календарь Статистика Все разделы прочитаны
Обсуждение антивирусов и файерволов Обсуждения и сравнения антивирусных программ и файерволов, раздел допускает наличие флуда и свободного общения в рамках приличия

Ответ
Старый 07.09.2011, 23:10   #411
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума

IT-безопасность-свежие новости.


Новый троян требует активацию Windows
Новый троян просит заплатить 100 евро в качестве штрафа за активацию нелицензионной ОС Windows, и для ее последующей легальной активации.

Специалисты лаборатории G Data Software Lab обнаружили новую троянскую программу, которая вымогает деньги из пользователей, используя стиль и логотип Windows.

В случае заражения компьютер блокируется и перестает выполнять какие-либо операции. Вредонос отображает на экране картинку с лживым запросом на активацию Microsoft Windows.

Лаборатория G Data Software определяет эту программу-вымогателя, как Trojan.Generic.KDV.340157 (Engine A) and Win32:Trojan-gen (Engine B)

Как выявить такую или подобную угрозу и подделку

Для начала не верьте официальному логотипу Windows или каким-либо другим атрибутам известных компаний. Ни при каких условиях не перечисляйте деньги, запрашиваемые злоумышленниками, не вводите ваши личные данные или номер официальной лицензии для Windows.

В представленном выше сообщении есть информация о том, что текущая лицензия Windows нелегальная. Но такое предупреждение совсем не похоже на официальное сообщение об активации этой операционной системы:

Подлинность установленной операционной системы Windows можно проверить на официальной странице Microsoft ([Ссылки могут видеть только зарегистрированные пользователи. ]). Также там представлена вся информация о том, как активировать копию Windows.

Жертве предлагают оплатить штраф в размере 100 Евро, причем расплатиться придется номером купона Ukash или с помощью Paysafecard. Обе эти валюты являются предоплатными и доступны в европейских магазинах.

Microsoft никогда не заставить пользователя оплатить какиеми-либо другими средствами кроме кредитной карты!

Также злоумышленники запрашивает ввести идентификационный номер оплаченной заранее карты и персональный номер пользователя вместе с e-mail, мобильным телефоном на сайте для активации лицензии Windows.

Сайт, очевидно, является подделкой. Даже клавиши, которые должны быть ссылками, представляют собой картинки.

Microsoft никогда не создаст подобного рода сервис, не расположенный на официальном сервере компании! Вместо этого пользователю будет предложено купить новую лицензию у одного из партнеров и дистрибьюторов компании, а не на поддельном сайте, который даже не соответствует стилю бренда Windows. После оплаты пользователю не будет предложено получить номер лицензии в виде SMS, о чем сообщается на экране.

Текст на экране гласит, что в случае не проведения активации и приобретения новой лицензии все данные, хранящиеся на компьютере, будут удалены в течение 48 часов. Эксперты G Data Software не заметили удаления каких-либо документов по истечению 48 часов.

И, наконец, сообщение гласит о том, что использование нелегальных копий программного обеспечения противоречит закону об авторском праве. Это правда, но орфографические ошибки мешают ему выглядеть достаточно убедительно.

Как вести себя с подобными угрозами

Никогда не переводите деньги незнакомым людям;

Никогда не открывайте или сообщайте какую-либо личную или банковскую информацию по электронной почте или на сомнительных сайтах;

Запомните, что сообщение о подлинности системы всегда будет отображаться на языке вашей системы, Иными словами, если вы работаете в Windows на русском языке, то не верьте сообщениям с запросом о реактивации вашей системы на любом другом языке;

Обращайте внимание на стиль и орфографию в сообщении. Ошибки свидетельствую о том, что к его написанию приложил руку мошенник;

Не переходите по неизвестным ссылкам. Зачастую злоумышленники пытаются заманить на вредоносные сайты, использую слова и словосочетания, относящиеся, например, к программному обеспечению или антивирусам;

Всегда загружайте все обновления, предложенные вашей системой и браузером;

Используйте комплексное решение для защиты вашего ПК с обновленными базами вирусных сигнатур и http-фильтром.
[Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 09.09.2011, 21:45   #412
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Осторожно: дубль S! Интернет-мошенники "косят" под McDonald’s
В Интернете, как стало известно в пятницу, выявлен новый вид фишинга: на почту приходит письмо, якобы, от компании McDonald's, с приглашением поучаствовать в опросе, направленном на улучшение сервисов сети.
За работу в качестве респондента, сообщается в письме, пользователь может мгновенно получить $80 на свой счет. Однако, как сообщают эксперты Лаборатории Касперского 9 сентября, это не более чем затейливая уловка мошенников.
Письма с предложением принять участие в опросе удовлетворенности качеством работы сети общественного питания McDonald’s начали приходить 5 сентября. "После прохождения опроса пользователь попадает на другую форму, где нужно указать номер своей кредитной карточки, срок ее действия и код, чтобы получить награду", - поясняют антивирусные эксперты на сайте kaspersky.ru. - "После этого жертва перенаправляется на официальный сайт "Макдоналдс", а данные платежной карты уходят злоумышленникам".
В качестве отправителя письма значится адрес "[Ссылки могут видеть только зарегистрированные пользователи. ]" с лишней буквой "s" в доменном имени.
Эксперты предупреждают, что эта мошенническая схема активна и сейчас и призывают интернет-пользователей быть осторожными и не переходить по ссылкам из спам-писем.
[Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 10.09.2011, 12:05   #413
"СЧАСТЬЕ ДЛЯ ВСЕХ, ДАРОМ, И ПУСТЬ НИКТО НЕ УЙДЕТ ОБИЖЕННЫЙ!"
 
Аватар для ole44

 
Регистрация: 18.08.2009
Сообщений: 3 822

ole44 вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Корпорация Microsoft выпустит 5 бюллетеней безопасности в ближайший вторник

Напомним, что в августе Microsoft выпустила 13 бюллетеней с исправлениями 22 уязвимостей, некоторые из которых были критическими. Сентябрьский пакет патчей будет значительно меньше по объемам.

Microsoft предоставила лишь косвенную информацию о планируемых обновлениях, чтобы уберечь от атак незащищенные пользовательские системы. Известно лишь, что два исправления относятся к операционной системе Windows, причем одно затрагивает серверную версию ОС (Server 2003, 2008 и 2008 R2), а второй бюллетень касается всех поддерживаемых на данный момент версий Windows - от Windows XP до Windows 7.

Еще два патча предназначены для программы для работы с таблицами MS Excel, а именно для Excel 2010 для Windows и Excel 2011 для Mac. Последний патч имеет отношение к некоторым серверным программам Microsoft - SharePoint, Groove и Office Web Apps. В своем сообщении корпорация указывает, что при выполнении определенных условий последнюю уязвимость можно эксплуатировать удаленно.

Все подробности об уязвимостях будут известны после 13 сентября.

[Ссылки могут видеть только зарегистрированные пользователи. ]
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 12.09.2011, 09:08   #414
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Самопровозглашённый антивирус AVG - шпионская программа?

На днях компания AVG выложила на Windows Phone Marketplace приложение, которое якобы защищает Windows Phone от вирусов и вредоносных программ, и пообещала постоянно выпускать к нему новые антивирусные базы. Есть большое сомнение в том, что это антивирус. Дело в том, что Microsoft не открывает доступ к файлам и хранилищам приложений. Это приложение просто ищет файлы содержащие какую-то бессмыслицу (Рафаэль Ривьера подтвердил это). Но это не просто бесполезное приложение. Оно непонятно зачем собирает информацию о местоположении телефона (разработчик Silverlight Джастин Эйнджел подтвердил это). Сейчас на приложение обратил внимание Брэндон Уотсон из Microsoft и, возможно, творение AVG удалят с Marketplace за нарушение требований.
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 12.09.2011, 09:08   #415
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Киберпреступность по масштабности догоняет наркоторговлю
Киберпреступность на сегодняшний день является доходным и процветающим бизнесом. Согласно результатам исследования, проведенного компанией Symantec, нелегальная активность хакеров обходится современному обществу в 388 миллиардов долларов год, и этот относительно новый вид криминальной деятельности столь же привлекателен для преступных сообществ, как и незаконная торговля наркотиками.

Согласно отчету Norton Cybercrime Report, 73% взрослых жителей США знают о киберпреступлениях не понаслышке. Эту цифру можно считать относительно небольшой, если принимать во внимание постоянно растущее количество угроз. Жертвы преступлений оценивают собственное время, потерянное в результате хакерской активности, в 107.6 миллиардов долларов.

Чаще всего жертвами злоумышленников становятся представители сильного пола. Среди опрошенных американских пользователей в расставленные хакерами сети попадались 75% мужчин и 71% женщин. Эксперты объясняют это тем, что мужчинам свойственно более рискованное поведение, именно они чаще посещают порносайты и онлайновые казино, где можно с большой вероятностью подхватить вирус. Примерно треть американцев мужского пола регулярно посещают сайты для взрослых и лишь 6% женщин проявляют интерес к данным ресурсам.

Наиболее распространенной разновидностью киберпреступлений признано заражение систем вирусами и троянами. Чаще всего вредоносные приложения используются для кражи конфиденциальной информации или включения скомпрометированного компьютера в состав «ботнета». 56% пользователей приходилось как минимум однажды бороться с вирусами на собственном ПК. Второе и третье места в списке наиболее популярных разновидностей преступного промысла в онлайне занимают мошенничество с кредитными картами (18%) и фишерские схемы (14%).

46% американских пользователей входят в сеть с мобильных устройств и сотрудники Symantec сообщают, что 8% обитателей онлайна уже сталкивались с угрозами, ориентированными на мобильные платформы. К сожалению, несмотря на весьма реальную опасность, большинство владельцев смартфонов по прежнему не используют средства защиты или даже не догадываются об их существовании.

По материалам сайта ReadWriteWeb.
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 13.09.2011, 09:25   #416
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Осторожно! Новый троян, маскируется под оповещение от Microsoft
Антивирусная лаборатория PandaLabs компании Panda Security обнаружила новый троян-«вымогатель», показывающийся пользователю в виде оповещения Microsoft.

Троян с названием Ransom.AN предупреждает пользователей о том, что их копия операционной системы Windows является незаконной, и угрожает заблокировать компьютер, если пользователь не введет специальный код, который можно получить за 100 евро. Вредоносное программное обеспечение ориентировано на немецкоязычных пользователей и распространяется разными способами, включая спам и P2P-загрузки.

После предупреждения пользователя о незаконной копии операционной системы Windows жертве предлагается оплатить получение кода с помощью кредитной карты через сайт мошенников. Чтобы выудить у пользователей их банковские данные, Ransom.AN угрожает удалить всю информацию, хранящуюся на компьютере, в случае если платеж не будет произведен в течение 48 часов.

«Подобные трояны очень опасны: если компьютер заражён, то вирус чрезвычайно сложно удалить вручную, поэтому пользователи или оплачивают код, или переформатируют устройства, – говорит Луи Корронс, технический директор PandaLabs. – А поскольку Ransom.AN оповещает якобы от имени Microsoft и угрожает действиями со стороны властей, многие пользователи верят этому, и, испугавшись последствий, перечисляют деньги».


Кто попался на эту нехитрую уловку, могут попытаться разблокировать экран с кодом QRT5T5FJQE53BGXT9HHJW53YT


В Интернете компьютерных пользователей атакует новый вирус. Он блокирует Windows и требует уплатить штраф в двести гривен.
В Интернете появился новый вирус, который блокирует Windows и требует уплатить штраф в двести гривен, иначе - грозит уголовной ответственностью.

На мониторе появляется окошко, где подробно все написано. Якобы, секьюрити компьютерной компании следили за вашими движениями в Сети и поймали за просмотром "детского порно".

"Виндовс - заблокирован. Вас застали на горячем - просмотре детской порнографии. За незаконные действия придется заплатить штраф - 200 гривен", - появляется на мониторе интернет-пользователя.

Ниже - страшное предупреждение: если в течение 12-ти часов сумму не оплатить - вас привлекут к уголовной ответственности.

Компьютерные секьюрити добрались и до интернет-пользователя Эльвиры. Женщина как раз просматривала корреспонденцию. Машина умерла сразу. Перестала работать даже клавиатура и мышка. Для разблокировки ей предложили уплатить штраф. Далее предоставили инструкцию. Номер счета, куда следует перевести деньги. Однако платить Эльвира - не собиралась.

"Никоим образом мне эта мысль не приходила, потому что все эти обвинения, которые там написаны и выдвигаются, это все смешно и грешно, то есть конечно я не буду платить, это "развод". Хочу сказать, что уже прошло трое суток, и ни один правоохранитель в мои двери не стучал по этому поводу", - возмущается Эльвира.

Такие письма - чистой воды мошенничество, уверяют эксперты. Однако по статистике, 40 процентов юзеров подвергаются психологическому давлению и переводят деньги.
По материалам:Новотека.ру

Опытные компьютерщики убеждены, на этом задача вируса не заканчивается. Еще одна цель - контроль над компьютером.

Вычислить этих взломщиков почти невозможно. Обычно они регистрируются под чужими именами. А вот избежать заражения есть шанс. Главное не экономить на антивирусных программах и не заходить на сомнительные сайты.
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 13.09.2011, 19:13   #417
Форумчанин
 
Аватар для Навуходоносор

 
Регистрация: 26.05.2010
Адрес: Россия
Сообщений: 2 950

Навуходоносор вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Хакеры атаковали сайты крупных СМИ

Неизвестные злоумышленники, предположительно, турецкого происхождения, на несколько часов вывели из строя сайты популярной газеты The Daily Telegraph, канала National Geographic, службы транспортировки UPS, мобильного оператора Vodafone, компании Acer и ряд других интернет-ресурсов, сообщила антивирусная компания Sophos.

По данным экспертов Sophos, хакеры атаковали сайты в минувшее воскресенье. В течение нескольких часов при попытке зайти на любой из этих веб-ресурсов, пользователи перенаправлялись на страницу, созданную злоумышленниками. Она содержала сообщение на турецком языке, что позволило сделать предположение о национальности хакеров.

Согласно содержанию послания, хакеры приурочили свой взлом ко всемирному дню хакеров, который якобы празднуется 4 сентября.

К вечеру воскресенья работоспособность всех атакованных сайтов была восстановлена.

По словам специалистов Sophos, для проведения взлома хакеры атаковали обслуживающие сайты DNS-серверы. Такие серверы транслируют символьные имена сайтов в понятные компьютерам числовые адреса.

Если DNS-сервер недостаточно защищен, хакер может изменить записи, хранящиеся на нем, так, что даже после ввода правильного адреса пользователь попадет на страницу, принадлежащую злоумышленникам. На сленге специалистов по информационной безопасности эта хакерская уловка называется "отравление DNS" (DNS cache poisoning). Первым этот метод описал специалист по информационной безопасности Дэн Камински в 2008 году.

[Ссылки могут видеть только зарегистрированные пользователи. ]
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 14.09.2011, 10:18   #418
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Ответ AVG на обвинение в распространении вредоносного "антивируса"
Технический директор AVG Юваль Бен-Ицхак отвергает обвинения в обмане и слежке за пользователями.

AVG опубликовал длинный ответ на жалобы и обвинения, появившиеся после выпуска приложения для сканирования вирусов AVG Mobilation для Windows Phone.

Приложение обвинили как минимум в бесполезности, а как максимум - в том, что это шпионская программа, крадущая информацию и сообщающая о местонахождении пользователя без его ведома и согласия.

Юваль Бен-Ицхак заявил, что их продукт находится на начальной стадии развития, и точно такая же ситуация была на Android, где сейчас их база насчитывает сотни тысяч вирусов.

Угрозы нанесения вреда телефонам на Android появились после того, как эта платформа стала популярна. В настоящее время наш антивирус сканирует 594 892 025 SMS в месяц и находит среди них 783 963 вредоносных или спамерских. Также наш антивирус ежедневно сканирует 157 миллионов приложений и обнаруживает, что 225 034 из них содержат вредоносный код.
AVG уверен, что с ростом популярности Windows Phone привлечёт внимание злоумышленников и хакеров.

В ответ на обвинение в бесполезности программы Юваль Бен-Ицхак напомнил, что новому продукту всегда есть куда развиваться, и критика вполне оправданна. Относительно слежки и сбора данных о пользователе Юваль Бен-Ицхак сказал:

Вся собираемая нами информация используется исключительно для защиты наших пользователей, в том числе с помощью сверхнадёжного GPS-трекинга.

Стоить заметить, что нигде в описании продукта не говорится о GPS-трекинге и о том, каким образом пользователь может получить к нему доступ.

В общем, ответ AVG получился таким же несостоятельным, как их "антивирус", и вряд ли их приложение вернётся на Marketplace в ближайшее время.
По материалам:Новотека.ру
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 14.09.2011, 17:40   #419
Форумчанин
 
Аватар для Навуходоносор

 
Регистрация: 26.05.2010
Адрес: Россия
Сообщений: 2 950

Навуходоносор вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Trojan.Bioskit.1 заражает BIOS компьютера

В первых числах сентября в руки экспертов вирусной лаборатории компании «Доктор Веб» попал примечательный экземпляр вредоносной программы, получившей название Trojan.Bioskit.1. В целом это стандартный по функционалу троянец, заражающий MBR (загрузочную область диска) и пытающийся скачать что-то из сети. После проведенного специалистами «Доктор Веб» исследования оказалось, что в него также заложены механизмы, позволяющие заразить BIOS материнской платы компьютера.

Чем больше деталей функционирования этой вредоносной программы вскрывалось в процессе исследования, тем больше мы укреплялись во мнении, что это скорее экспериментальная разработка, нежели полноценная вредоносная программа, — либо она «утекла» раньше, чем этого хотелось бы автору. Об этом, в частности, могут свидетельствовать следующие факты:

наличие проверки параметров командной строки (запуск данного экземпляра троянца с ключом -u излечивает систему);
использование сторонних утилит;
отключенный код дезактивации вируса через 50 дней;
присутствие двух разных вариантов заражения системных файлов (из которых используется только один);
ошибки в коде, выглядящие, как описки.

Но все эти обстоятельства нисколько не умаляют потенциальной опасности данного троянца. Сразу оговоримся, что заражению могут подвергнуться только материнские платы, оборудованные BIOS производства компании Award.

Заражение

Первоначально дроппер троянца Trojan.Bioskit.1 проверяет, запущены ли в операционной системе процессы нескольких китайских антивирусов: если таковые обнаруживаются, то троянец создает прозрачное диалоговое окно, из которого осуществляется вызов его главной функции. Затем Trojan.Bioskit.1 определяет версию операционной системы и в случае, если это Windows 2000 и выше (за исключением Windows Vista), продолжает заражение. Троянец проверяет состояние командной строки, из которой он может быть запущен с различными ключами:

-d — данный ключ не функционирует (вероятно, в «релизной сборке» эта функция была удалена);
-w — заразить систему (используется по умолчанию);
-u — вылечить систему (включая MBR и BIOS).

В ресурсах дроппера упаковано несколько файлов:

cbrom.exe
hook.rom
my.sys
flash.dll
bios.sys

В процессе своей работы дроппер распаковывает и сохраняет на жестком диске драйвер %windir%\system32\drivers\bios.sys. В случае если в системе есть устройство \\.\MyDeviceDriver (в исследуемом дроппере драйвера, реализующего такое устройство, нет), троянец сбрасывает на диск библиотеку %windir%\flash.dll и, вероятнее всего, последовательно пытается внедрить ее в системные процессы services.exe, svchost.exe и explorer.exe. Назначение данной библиотеки — запуск драйвера bios.sys штатными средствами (service control manager) с целью создания службы bios. При выгрузке библиотеки эта служба удаляется. В случае отсутствия устройства \\.\MyDeviceDriver троянец инсталлируется в систему путем перезаписывания системного драйвера beep.sys. После запуска beep.sys восстанавливается из предварительно созданной копии. Единственное исключение из этого правила сделано для ОС Microsoft Windows 7: в данной системе дроппер сбрасывает на диск библиотеку %windir%\flash.dll и сам же ее загружает.

Затем дроппер сохраняет в корне диска C: руткит-драйвер my.sys. Если драйвер bios.sys так и не удалось запустить или BIOS компьютера отличается от Award, троянец переходит к заражению MBR. На диск сбрасывается файл %temp%\hook.rom, который является полноценным модулем расширения (PCI Expansion ROM). Но на данном этапе он используется всего лишь как контейнер, из которого извлекаются данные для последующей записи на диск. После этого перезаписываются первые 14 секторов жесткого диска, включая MBR. Оригинальный MBR сохраняется в восьмом секторе.

Драйвер my.sys

По сегодняшним меркам это достаточно примитивный драйвер: он перехватывает у системного драйвера disk.sys обработчики IRP_MJ_READ, IRP_MJ_WRITE и IRP_MJ_DEVICE_CONTROL, при этом:

IRP_MJ_READ возвращает нули вместо первых 63 секторов винчестера;
IRP_MJ_WRITE не позволяет осуществлять запись в первые 63 сектора. При этом вирус пытается разрешить своему дропперу перезаписать MBR и прочие секторы, но из-за явной ошибки в коде уловка не срабатывает. Таким образом, автор троянца разрешает перезаписывать 0x14 (20) секторов, а дроппер пишет только 0xE (14);
IRP_MJ_DEVICE_CONTROL возвращает STATUS_UNSUCCESSFUL в ответ на запросы IOCTL_DISK_GET_DRIVE_LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TYPES_EX и IOCTL_DISK_GET_DRIVE_GEOMETRY_EX.

Заражение BIOS

Но вернемся к случаю, когда драйверу bios.sys удается опознать Award BIOS. Надо сказать, что именно наличие этого драйвера выделяет данную вредоносную программу из большого списка подобных троянцев, заражающих MBR.

Упомянутый драйвер очень мал и обладает пугающим деструктивным потенциалом. В нем реализовано три метода:

Опознать Award BIOS (попутно определить размер его образа и, самое главное, I/O порта, через который можно программно заставить сгенерировать SMI (System Management Interrupt) и таким образом исполнить код в режиме SMM);
Сохранить образ BIOS на диск в файл С:\bios.bin;
Записать образ BIOS из файла С:\bios.bin.

Получить доступ и тем более перезаписать микросхему с BIOS — задача нетривиальная. Для этого сначала необходимо организовать взаимодействие с чипсетом материнской платы для разрешения доступа к чипу, затем нужно опознать сам чип и применить знакомый для него протокол стирания/записи данных. Но автор этой вредоносной программы пошел более легким путем, переложив все эти задачи на сам BIOS. Он воспользовался результатами работы китайского исследователя, известного под ником Icelord. Работа была проделана еще в 2007 году: тогда при анализе утилиты Winflash для Award BIOS был обнаружен простой способ перепрошивки микросхемы через сервис, предоставляемый самим BIOS в SMM (System Management Mode). Программный код SMM в SMRAM не виден операционной системе (если BIOS корректно написан, то доступ к этой памяти им заблокирован) и исполняется независимо от нее. Назначение данного кода весьма разнообразно: это эмуляция не реализованных аппаратно возможностей материнской платы, обработка аппаратных ошибок, управление режимами питания, сервисные функции и т.д.

Для модификации самого образа BIOS данная вредоносная программа использует утилиту cbrom.exe (от Phoenix Technologies), которую, как и все прочие файлы, несет у себя в ресурсах. При помощи этой утилиты троянец внедряет в образ свой модуль hook.rom в качестве ISA BIOS ROM. Затем Trojan.Bioskit.1 отдает своему драйверу команду перепрошить BIOS из обновленного файла.

При следующей перезагрузке компьютера в процессе инициализации BIOS будет вызывать все имеющиеся PCI Expansion ROM, в том числе и hook.rom. Вредоносный код из этого модуля каждый раз проверяет зараженность MBR и перезаражает ее в случае необходимости. Следует отметить, что наличие в системе Award BIOS вовсе не гарантирует заражение данным троянцем. Так, из трех проверенных в вирусной лаборатории материнских плат заразить удалось только одну, а в двух других в памяти BIOS банально не хватило места для записи нового модуля.

Заражение MBR

Троянец размещает в MBR код, основная задача которого — инфицировать файлы winlogon.exe (в операционных системах Windows 2000 и Windows XP) или wininit.exe (Windows 7). Для решения этой задачи Trojan.Bioskit.1 располагает собственным парсером NTFS/FAT32. Троянец ведет счетчик запусков, который обновляется раз в день. Через 50 дней предполагается дезактивация зараженного модуля: он будет изменен таким образом, что вирусный код перестанет получать управление. Но в данной версии троянца этот механизм отключен. Всего Trojan.Bioskit.1 включает две версии шелл-кода, из которых в настоящий момент активна только одна.

Заключение

Трудно недооценивать опасность подобного рода угроз, особенно с учетом того, что в будущем возможно появление более совершенных модификаций данной троянской программы либо вирусов, действующих по схожему алгоритму. В настоящий момент в антивирусное ПО Dr.Web добавлено детектирование и лечение MBR, системных файлов и файловых компонентов вируса. В случае если после детектирования и лечения данной угрозы система вновь оказывается инфицированной Trojan.Bioskit.1, источником заражения, скорее всего, является инфицированный BIOS компьютера. Специалисты компании «Доктор Веб» продолжают работать над проблемой.

[Ссылки могут видеть только зарегистрированные пользователи. ]
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 16.09.2011, 21:14   #420
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Хайди Клум — самая опасная знаменитость в киберпространстве
Модель и ведущая Хайди Клум названа самой опасной знаменитостью в киберпространстве. Как передает портал PopcornNews, как правило, именно ее имя используют при приглашении скачивания вредоносных программ и компьютерных вирусов.

Представители компании McAfee, занимающейся интернет-безопасностью, рассказали, что при поиске закачек и скринсейверов с Клум в одном из десяти случаев дают загрузку вредоносных сайтов с программами-шпионами, спамом и другими вирусами, предназначенными для кражи личной информации.

При этом, как выяснили специалисты, певцы и звезды спорта при поиске обычно более безопасны, чем кинозвезды и модели.

Отметим, что в прошлом году в списке самых "опасных" знаменитостей лидировала Кэмерон Диаз, в этом году она лишь на втором месте.

Добавим, что список опасных знаменитостей в киберпространстве 2011 года выглядит так:

1. Хайди Клум
2. Кэмерон Диаз
3. Пирс Морган
4. Джессика Бил
5. Кэтрин Хайгл

Фальшивые антивирусы наступают
Российское представительство компании Fortinet объявило о выходе отчета, посвященного анализу современных угроз. Согласно исследованиям активность фальшивого антивируса W32/FraudLoad.OR составляет 58% от активности нового вредоносного ПО за последний период.

«Обычно FraudLoad инсталлирует фальшивые антивирусные утилиты на компьютеры пользователей, но в нашей лаборатории мы обнаружили, что сейчас его активность похожа на поведение загрузчиков ботнетов, загружающих дополнительное вредоносное ПО, например генерирующее спам», - уверяет старший стратег по безопасности компании Fortinet Дерек Манки.

Вторым по активности за последний период является только что обнаруженная вариация ботнета Zeus. Данные отчета свидетельствуют: за последний период наблюдались четыре варианта загрузчика ботнета W32/Yakes, которые распространялись посредством электронной почты, с использованием шаблонов писем основных производителей кредитных карт. Письмо в почтовом ящике жертвы чаще всего имело тему «Кредитная карта заблокирована». Текст внутри письма объяснял, что карта клиента была вовлечена в нелегальные операции и поэтому заблокирована. Для получения подробных объяснений, в письме содержалась рекомендация открыть вложенный файл. При открытии файла ботнет Yakes инсталлировался на компьютер.
Источник:Новотека.ру
__________________
  Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Новости кино DolphinDаrk Кино, Видео и ТВ 265 13.11.2016 08:33
iSpy (безопасность дома, офиса...) Igoranama Другие программы - free version 108 29.07.2016 12:55
Anvide Flash Lock ( Безопасность / Защита данных ) masteroleg Другие программы - free version 1 17.09.2015 16:23
LockXLS - безопасность Microsoft Excel rekc Офисные программы 2 10.12.2013 12:32
Правила раздела "Безопасность системы" creator Правила раздела 0 18.01.2011 20:49


Часовой пояс GMT +3, время: 02:42.




Яндекс.Метрика