Все новости о вирусах и антивирусах

[Gorra]

Новая версия троянца угрожает серверам на базе ОС Linux


Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает об обнаружении новой версии троянской программы Linux.Sshdkit, представляющей опасность для работающих под управлением ОС Linux серверов. Согласно собранной аналитиками «Доктор Веб» статистике, на сегодняшний день от действий троянцев данного семейства пострадало уже несколько сотен серверов, среди которых имеются серверы крупных хостинг-провайдеров.

О первых версиях вредоносной программы Linux.Sshdkit компания «Доктор Веб» сообщала в феврале 2012 года. Данный троянец представляет собой динамическую библиотеку. При этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.

 Специалисты компании «Доктор Веб» перехватили несколько управляющих серверов предыдущей версии Linux.Sshdkit. Кроме того, нам удалось собрать статистику не только по количеству зараженных машин, но и определить их адреса. Всего в течение мая 2013 года троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Обнаруженная специалистами «Доктор Веб» новая версия троянца, получившая название Linux.Sshdkit.6, также представляет собой динамическую библиотеку: в настоящий момент выявлена модификация, предназначенная для 64-битных Linux-систем. В данной реализации Linux.Sshdkit злоумышленники внесли ряд изменений с целью затруднить перехват вирусными аналитиками украденных паролей. Так, вирусописатели изменили метод определения адресов серверов, на которые троянец передает краденую информацию. Теперь для вычисления целевого сервера используется специальная текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 байт. Алгоритм генерации адреса командного сервера показан на приведенной ниже иллюстрации.

Кроме того, вирусописатели изменили алгоритм получения троянцем команд: теперь для их успешного выполнения вредоносной программе передается специальная строка, для которой проверяется значение хеш-функции.

Троянцы семейства Linux.Sshdkit представляют высокую опасность для серверов, работающих под управлением ОС Linux, поскольку позволяют злоумышленникам получить данные для несанкционированного доступа на сервер. Администраторам серверов, работающих под управлением ОС Linux, специалисты «Доктор Веб» рекомендуют проверить операционную систему на наличие данной угрозы.

[kuki]

Троян семейства Bicololo поражает пользователей российских соцсетей


Вирус подменяет ссылки на социальные сети в файле hosts, и ворует конфиденциальную информацию пользователей.

Международная компания по разработке антивирусного ПО Eset заявила о том, что в интернете активно распространяется новый вирус Win32/Bicololo, который действует преимущественно в социальных сетях. Вредоносная программа используется для кражи персональной информации. Троян проявляет себя как ссылку на графические файлы с расширением .jpg и при активации загружает вредоносное программное обеспечение, модифицируя системный файл hosts и переправляя пользователя на фальшивую страницу вместо загрузки страницы социальной сети.

В один день Bicololo стал проявлять себя одновременно в четырех различных странах – Аргентине, Бразилии, Колумбии и Чили. Примечательно, что в его коде были обнаружены комментарии на русском языке.

Хотя в измененный файл hosts и прописывается много мобильных версий сайтов, действует этот вирус только на семейство настольных операционных систем Windows.     

Для размещения вредоносного ПО используются легальные ресурсы, расположенные в доменных зонах .ar, .br, .cl и .co. Эти ресурсы были заражены хакерами и в дельнейшем использовались без ведома их владельцев. Скорее всего, злоумышленники нашли эти сайты с помощью специальных инструментов для поиска уязвимых web-приложений.

При развертывании своей схемы взломщики использовали два сервера. На одном из них хранились фальшивые подделки «ВКонтакте», «Одноклассники» и Mail.ru, а другой применяется для связи с вредоносной программой. IP-адреса серверов указывают на то, что они расположены в Латинской Америке.

[Марат]

Новый вирус “замораживает” жёсткий диск

Исследователи обнаружили вредоносную программу, которая устанавливает сразу несколько модулей на компьютеры своих жертв, “замораживая” деятельность жёсткого диска.

Эксперты из компании Bkav обнаружили и проанализировали так называемый руткит, который скрывает следы присутствия злоумышленника или вредоносной программы в системе.

“Заморозка” жёсткого диска является специфическим механизмом защиты руткита. Вирус запускает несколько модулей, которые исполняют основные функции вредоносного ПО, и способствуют его распространению.

Один из них, PassThru, – это драйвер сетевого модуля, блокирующий или перенаправляющий пользователя на определенные сайты. А модуль Wininite подключается к C&C-серверам и получает от них команды. Один из этих серверов расположен в Китае, а другой – в США.

Наконец, модуль DiskFit каждый раз после перезагрузки компьютера восстанавливает жёсткий диск компьютера до статуса, который был до инфицирования машины.

Кроме того, DiskFit создаёт на компьютере жертвы область для хранения кэшированных данных, в которой хранится информация обо всех операциях, осуществляемых пользователем.

Таким образом, пользователь не может вносить изменения в данные на оригинальном диске.

Каждый раз, когда пользователь проводит перезагрузку компьютера, все его действия на системе удаляются, начиная с создания или загрузки новых документов, и заканчивая установкой программного обеспечения.

[student]

Стали известны новые подробности о троянце-вымогателе FileCoder

ESET сегодня сообщила новые подробности о трояне FilеCoder, который шифрует личные файлы пользователя с целью получения выкупа за расшифровку. Напомним, что с июля 2013 года активность Win32/Filecoder возросла втрое, по сравнению со средними показателями первой половины года. От действий трояна сильнее всего пострадали российские пользователи – по данным ESET, на нашу страну приходится 44% обнаружений FileCoder. Кроме того, значительная доля заражений зафиксирована в Европе и США.

Для заражения ПК разработчики FileCoder и его модификаций используют целый ряд методик, в том числе: скрытая установка с помощью набора эксплойтов, использующих различные программные уязвимости (drive-by download); вредоносные вложения в письмах, рассылаемых злоумышленниками по электронной почте; установка с помощью другой троянской программы.

Также была зафиксирована установка FileCoder вручную, c использованием доступа к компьютеру жертвы через службу подключения к удаленному рабочему столу Windows. Попав на компьютер тем или иным способом, троян шифрует файлы пользователя, по расширению выбирая те, которые с наибольшей вероятностью представляют для него ценность – как правило, документы, фотографии, музыкальные файлы или архивы.

Для шифрования файлов различные модификации FileCoder могут использовать как встроенный функционал самого трояна, так и сторонние легальные программы – например, была отмечена архивация файлов при помощи WinRAR с функцией защиты паролем.

После шифрования или архивации FileCoder избавляется от оригинального файла – иногда он просто удаляется (в таких случаях его нетрудно восстановить программными средствами), но чаще удаленные файлы перезаписываются без возможности восстановления. Таким образом, на зараженном ПК остается только одна копия файла, надежно зашифрованная трояном-вымогателем.

Для информирования пользователя о том, что его ПК заражен, а файлы зашифрованы, троян демонстрирует всплывающее окно с подробной информацией о том, как расшифровать файлы. Различные модификации трояна используют разные варианты текста, причем на разных языках. Эксперты обнаруживали сообщения на русском и английском языках, а также на плохом английском, похожем на результат работы онлайн-переводчика.

Что примечательно, в сообщении, демонстрируемом зараженному пользователю, киберпреступники могут выдавать себя за официальную государственную службу, которая ограничила доступ к компьютеру, поскольку данный ПК якобы является источником чрезвычайно опасного вируса или же распространяет ссылки на детскую  задорнографию.

Описывая действие выдуманного вируса, киберпреступники с иронией упоминают, что он опасен тем, что блокирует файлы пользователя и требует за разблокировку крупную сумму (меньшую, чем указано в сообщении самих мошенников). Также в сообщении особо отмечено, что пользователь не должен пытаться удалить этот опасный вирус, поскольку с ним не смогли справиться даже государственные спецслужбы.

Существуют два способа избавиться от «вируса», пишут авторы настоящей вредоносной программы, – надо просто подождать 66 с небольшим нониллионов (1054) лет или же заплатить «специалистам». За «чрезвычайно тяжелую работу по детектированию вируса» от пользователя могут потребовать заплатить в среднем 100-200 евро (или схожую сумму в рублях), но некоторые модификации могут запрашивать до 3000 (трех тысяч) евро.

[Gorra]

Троян ZeuS распространятся при помощи нового загрузчика Upatre

Наряду с Pony Loader, загрузчик Upatre распространяется через ботнет Cutwail.

Команда исследователей безопасности Dell SecureWorks Counter Threat Unit (CTU) провела исследование трояна Gameover ZeuS, известного также как P2P ZeuS. Данный вредонос используется в одном из наиболее сложных ботнетов, связанных с мошенничеством в сфере online-банкинга.

Операторы ботнета хорошо связаны с другими киберпреступниками в нелегальных сообществах и для проведения своих операций полагаются на различные инструменты и услуги, предоставляемые ими. В частности, для заманивания новых жертв группа регулярно использует спам-ботнет Cutwail, а для кражи учетных данных и загрузки дополнительных вредоносных программ, таких, как Gameover ZeuS - вредоносное ПО Pony Loader.

В августе 2013 года эксперты CTU обнаружили, что в дополнение к Pony Loader для распространения вредоносного ПО киберпреступники используют новый загрузчик Upatre. Его файл имеет небольшой размер и является предельно простым. Upatre использует SSL-соединение для загрузки и выполнения вредоносного файла. После активации файла Upatre копирует себя во временную директорию, запускает временную копию и прекращает текущий процесс. Оригинальный вредонос при этом удаляется. Также, как и Pony Loader, загрузчик распространяется посредством Cutwail.

[student]

В популярном файлообменном клиенте обнаружены вредоносные модули


Компания ESET сообщила об обнаружении потенциально вредоносных модулей в популярном менеджере загрузок Xunlei (Thunder). Компоненты этой программы собирают информацию без ведома пользователя, а также устанавливают дополнительные приложения на Android-устройства. Xunlei (в переводе с китайского – «гром» или «удар молнии») – файлообменный клиент, разработанный китайской компанией Thunder Networking Technologies. Сегодня сайт Xunlei ежемесячно посещают более 400 млн человек, а по количеству активных пользователей он опережает даже известный файлообменный клиент uTorrent.


Активность Win32/Kankan

В середине августа эксперты ESET обратили внимание на компоненты Xunlei, в поведении которых была замечена необычная функциональность. Помимо возможностей, привычных для менеджера загрузок, Xunlei содержит потенциально вредоносные компоненты, используемые в качестве бэкдоров. Семейство данных компонентов детектируется решениями ESET NOD32 под общим названием Win32/Kankan.


Скриншоты мобильных приложений, устанавливаемых при помощи Xunlei

Эти компоненты осуществляют скрытую загрузку и установку на компьютер пользователя дополнительного ПО, а также пересылают информацию о системе на удаленный сервер. Кроме того, специалисты ESET обнаружили модуль, который может устанавливать приложения не только на сам ПК, но и на подключенное к нему устройство под управлением ОС Android. Все эти действия осуществляются без ведома пользователя.

Следует отметить, что данные компоненты подписаны цифровым сертификатом компании-разработчика Xunlei Networking Technologies, что придает им статус доверенных файлов. Анализ компонентов загрузчика показал, что для их запуска и обеспечения «выживаемости» в системе был использован пакет решений Microsoft Office.

Когда пользователь запускает одно из приложений этого программного пакета – Word, Excel или любое другое, – то в память, маскируясь под плагин этого приложения, подгружается специальная динамическая библиотека (dll, dynamic-link library) загрузчика Xunlei. Эта библиотека содержит функциональность бэкдора, с помощью которого она отправляет информацию об ОС пользователя на удаленный сервер. Кроме того, библиотека может распознавать программное обеспечение, способное отследить ее сомнительную активность.

Другой запускаемый компонент Xunlei – своего рода «апдейтер» – осуществляет загрузку на компьютер пользователя сторонних исполняемых файлов с их дальнейшей активацией. После выполнения этих действий запускается последний компонент, т.н. «сервис», отвечающий за исполнение различных команд.

Особый интерес представляет команда installphoneapp, применяемая для загрузки мобильных приложений (apk-файлов) с последующей установкой на Android-устройство, подключенное к компьютеру по USB. Данные приложения, в том числе, имеют рекламную направленность. Эти действия также совершаются в скрытом режиме.

[student]

Хакеры провели масштабную мошенническую операцию в ЮАР

 Bloomberg News сообщает о масштабной и неожиданной вредоносной кампании, реализованной в отношении ресторанов, банков, кафе и магазинов в ЮАР. Злоумышленники могли похитить миллионы долларов, получив доступ к номерам и пин-кодам посетителей банков, кафе и ресторанов, где банда злоумышленников подсадила троянское программное обеспечение на POS-терминалы, применяемые для оплаты за товары и услуги.

Отмечается, что жертвами хакеров стали местные закусочные KFC, ряд банков и некоторые местные фаст-фуды. Информация о выявлении масштабной вредоносной кампании поступила от Платежной Ассоциации ЮАР, которая сообщила, что деньги из банков хакерам увести не удалось, а вот из сектора розничной торговли и быстрого питания они вполне могли похитить значительные суммы.

Вредоносный код, поразивший местный бизнес, получил название Dexter и, судя по имеющимся на сегодня данным, его распространение пока очень ограничено. Особенность Dexter в том, что он способен работать с различными POS-терминалами, скидывая данных из их оперативной памяти на удаленный сервер. Учитывая экзотическую реализацию кода, написан он был, скорее всего, профессионалами, которые имеют опыт работы с подобным торгово-кассовым оборудованием.

Расследование, проведенное местными специалистами показало, что Dexter проявлял разную степень активности и в ряде случаев с POS-терминалов он один или два раза скидывал данные, тогда как в других случаях дампы памяти создавались десятками раз. Какие именно данные оказались в руках у злоумышленников достоверно неизвестно, но обычно POS-терминалы держат в памяти такую информацию, как данные о своем местоположении, название предприятия, время и дату, платежные реквизиты текущих покупок, адреса и служебные данные банковских шлюзов и некоторые другие сведения.

Специалисты говорят, что номера карт вполне могли оказаться у хакеров, хотя их полезность ставится под вопрос, так как POS-терминалы не хранят в ОЗУ пин- коды карт и их коды безопасности, без которых зачастую воспользоваться картой невозможно.

На сегодня непонятно, как именно хакерам удалось осуществить масштабную кампанию по заражению оборудования, но известно, что все атакованное оборудование работало на базе Microsoft Windows.

[student]

Бельгийский оператор Belgacom сообщает о второй шпионской атаке

 Бельгийский телекоммуникационный оператор Belgacom расследует факт еще одной хакерской атаки на ее международное оптовое подразделение BICS, сообщили в Belgacom в четверг вечером. В компании говорят, что повторно обнаружили хакерскую активность во внутренних сетях компании.

Также в заявлении оператора говорится, что все данные, связанные с атакой, были переданы в правоохранительные органы Бельгии.

Напомним, что ранее Эдвард Сноуден в интервью немецкому изданию Der Spiegel сообщал, что британская разведка GCHQ стояла за одной атакой на сети Belgacom. Также она разместила на серверах Belgacom шпионское ПО.

Журнал сообщал, что британские разведчики целенаправленно инфицировали компьютеры нескольких сотрудников Belgacom в рамках атаки, известной как Quantum Insert, которая изначально была создана представителями АНБ США, но реализовывалась полностью британцами. Конечной целью атаки было получение доступа к корневым сетевым маршрутизаторам бельгийского оператора, чтобы проводить анализ перехваченного трафика в интернете и сотовых сетях.

Также в документах, полученных Der Spiegel, говорилось, что британские разведчики интересовались компанией BICS - совместным предприятием Belgacom, Swisscom и южноафриканской MTN, которая занималась оптовыми продажами услуг проводной телефонии другим операторам, в частности в Йемене и Сирии. Кроме того BICS имела доступ к ряду трансконтинентальных интернет-кабелей для передачи трафика.

Сообщается, что в задачи британских разведчиков входило детальное исследование VPN-инфраструктуры Belgacom и BICS, а также проведение атак типа man-in-the-middle.

[Марат]

Создан первый вирус для Firefox OS

Молодой программист из Индии создал первую в мире вредоносную программу для Firefox OS. Пока что её совершенно невозможно обнаружить.

Автором первого в мире вируса для Firefox OS стал 17-летний хакер Шантану Гауде (Shantanu Gawde). Свою программу юное дарование представит в ходе конференции The Ground Zero 2013, которая состоится 7-10 ноября в Нью-Дели, Индия.

Созданный молодым умельцем PoC-код способен инфицировать смартфон ZTE One в удалённом режиме, и получить доступ к нему с любого ботнета.

Через вирус хакер может удалённо отдавать команды на доступ к SD-карте, копировать контакты, загружать и выгружать фотографии, музыку и видео, отслеживать координаты пользователя, и даже управлять FM-радио.

Хакер отмечает, что вмешательство при помощи его программы может привести к серьёзным проблемам для пользователей Firefox OS, потому как на данный момент ещё не существует способа засечь подобную атаку, или блокировать её.

Шантану Гауде пообещал, что на презентации покажет работу вредоносной программы, и попробует портировать Firefox OS на смартфон Nexus, чтобы поискать новые векторы атаки. В случае успеха он их тоже добавит в презентацию.

[student]

Троян-вымогатель заражает через поиск Google

Антивирусная компания ESET сообщила о новом способе распространения троянской программы Nymaim, которая может блокировать компьютер пользователя с целью получения выкупа за расшифровку. С конца сентября 2013 года внимание экспертов антивирусной лаборатории привлекла уже известная вредоносная программа Nymaim – троян с функциями вымогателя. Раньше заражение этим ПО осуществлялось при помощи известного комплекта взломщиков-эксплойтов BlackHole, которые использовали имеющиеся на компьютере уязвимости приложений или операционной системы для доставки вредоносного кода.

Однако недавно появилась информация о том, что автор комплекта BlackHole был задержан в России. Похоже, в этой связи злоумышленники стали использовать новый способ заражения пользователей. С конца сентября было зафиксировано большое количество обнаружений этой вредоносной программы среди загруженных при помощи браузера файлов. Эксперты ESET установили, что реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежат Google. Это означает, что перед заражением пользователь ввел в Google-поиск некий запрос и кликнул на одну из ссылок в поисковой выдаче.

Согласно результатам исследования веб-страниц, которые инициировали загрузку вредоносного кода, для масштабного заражения злоумышленники использовали так называемую «темную поисковую оптимизацию» (Black Hat SEO), с помощью которой продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам.

Кликнув на такую ссылку в поисковой выдаче, пользователь перенаправляется на вредоносную страницу и инициирует загрузку архива, название которого – для повышения доверия пользователей – соответствует введенному в строку поиска тексту. То есть один и тот же архив будет загружен с разными именами, в зависимости от поискового запроса. Так или иначе, загруженный под любым названием вредоносный архив содержит исполняемый файл, который после запуска устанавливает в систему код Nymaim.

Win32/Nymaim заражает систему в два этапа. Попав на компьютер, первый вредоносный файл осуществляет скрытую загрузку и запуск второго файла, который, в свою очередь, также может загружать дополнительное вредоносное ПО, а может и просто блокировать операционную систему для получения выкупа. В ходе исследования аналитики ESET обнаружили более десятка вариантов экрана блокировки, созданных на разных языках и с различным оформлением. Нетрудно догадаться, что их целью были пользователи из разных стран Европы и Северной Америки.

На данный момент обнаружены экраны блокировки из Австрии, Великобритании, Германии, Ирландии, Испании, Канады, Мексики, Нидерландов, Норвегии, Румынии, Франции и США. Однако, этот список не является окончательным – скорее всего, существуют пострадавшие и в других странах. Пользователь из любой страны может быть заражен.

Интересно, что стоимость выкупа отличается для разных стран. В большинстве из найденных экранов блокировки цена выкупа составляет около $150, однако пользователей из США просят заплатить за разблокировку самую высокую цену – $300 долларов; в Румынии же зараженный пользователь может отделаться «всего лишь» €100, т.е. около $135.

Вся активность трояна Win32/Nymaim осуществляется в рамках кампании по распространению злонамеренного ПО, в процессе которой вредоносные Apache-модули заражают легальные веб-сервера, что приводит к перенаправлению пользователей на вредоносные сайты. Эта кампания, называемая The Home Campaign, продолжается с февраля 2011 года. По данным независимых исследований, за это время злоумышленники заразили почти 3 млн компьютеров.

[student]

"МегаФон" предупредил о новой угрозе для Android-смартфонов

Компания «МегаФон» и «Лаборатория Касперского» сегодня сообщили об увеличении случаев заражения мобильных телефонов на базе Android вредоносным программным обеспечением (ПО), которое переводит мошенникам деньги с банковских карт абонентов.

Впервые вредоносное ПО с подобным функционалом было обнаружено летом этого года. Новая угроза позволяла быстро и незаметно выудить у ничего не подозревающей жертвы значительную сумму денег. В отличие от своих собратьев этот новый SMS-троянец предоставлял своим хозяевам возможность хищения денег не с мобильного, а с банковского счета жертвы. Мошенники рассылали владельцам мобильных устройств сообщения с гиперссылками. Пройдя по ссылке, пользователь скачивал себе вредоносную программу, которая способна без участия абонента запрашивать баланс, пополнять счет с банковской карты, если она привязана к  номеру, и далее выводить денежные средства с лицевого счета абонента на электронные кошельки злоумышленников.

В конце сентября был обнаружен новый троянец с подобным функционалом, нацеленный на клиентов того же крупного банка. Этот троянец также ориентирован на кражу денег с банковского счета жертвы. В первую очередь он отправляет SMS-BALANCE на «короткий» номер банка, затем ждет команды от сервера о переводе некой суммы со счета.

«Злоумышленники постоянно разрабатывают модификации троянцев, большая часть которых приходится на Россию. В этот раз мошенники создали нового троянца с похожим функционалом. Пользователь даже не догадывается о том, что его телефон заражен, и с его счета списываются средства, так как зловред полностью удаляет входящие SMS-уведомления от банка.  Узнать о наличии угрозы в телефоне можно только с помощью антивирусного программного обеспечения или путем постоянного отслеживания транзакций по своему банковскому счету, - отмечает директор по предотвращению мошенничества Сергей Хренов, «МегаФон». -  Я хотел бы предупредить клиентов «МегаФона» о возникшей угрозе и посоветовать обновить антивирусное ПО, а также не проходить по ссылкам в сообщениях и не закачивать в свой смартфон программы из непроверенных источников».

По данным «Лаборатории Касперского», Россия является самой атакуемой страной – на нее приходится более 66% атак на мобильные устройства. В среднем в России защитные решения «Лаборатории Касперского для платформы Android блокируют около 2500 установок вредоносного ПО в сутки. Большинство SMS-троянцев для ОС Android воруют в среднем около 300 рублей с мобильного устройства. Но существуют угрозы, способные подписывать жертву на ежедневное снятие денег. Кроме того, последнее время набирают популярность зловреды с возможностью неоднократной отправки премиум SMS.

[student]

В Рунете зафиксирован "нигерийский" спам, связанный с ситуацией в Сирии

«Лаборатория Касперского» зафиксировала волну так называемого «нигерийского» спама, использующего в качестве прикрытия беспорядки и нестабильную политическую ситуацию в Сирии. Представители банков, сотрудники гуманитарных организаций и простые граждане этой страны якобы обращаются к пользователям Интернета с просьбой помочь вывести свои многомилионные сбережения за границу в обмен на щедрое вознаграждение.

Схема мошенничества в этих «нигерийских» письмах с сирийским сюжетом довольно стандартна. Отправитель письма рассказывает жалобную историю о том, что он сам, его клиент или родственник из-за сложного положения в стране хочет перевести огромную сумму денег в безопасное место за пределами Сирии. Получателю письма предлагается выступить помощником в этом деле. Взамен он получит не только глубокое признание и благодарность «несчастных людей», но и долю от спасенных денег «за хлопоты». Все, что для этого нужно, по уверениям мошенников, – ответить на письмо, чтобы узнать подробности ситуации, и, как выяснится потом, перевести некоторое количество денег для оплаты услуг посредника.

Чаще всего эти «нигерийские» письма написаны на английском языке, а в теле письма злоумышленники нередко используют слова «волнения», «кризис», «революция». Для обратной связи мошенники оставляют контактный телефон и адрес электронной почты, причем в качестве последнего может выступать как личный адрес отправителя, так и личный адрес непосредственно «клиента» или «родственника», которому нужна помощь. Как бы то ни было, после того, как пользователь переводит свои деньги мошенникам, переписка заканчивается, и обладатели сокровенных знаний о несметных богатствах исчезают так же внезапно, как и появились.

«Арсенал уловок «нигерийских» мошенников богат, но все они спекулируют на желании людей получить «легкие» деньги и при этом помочь оказавшемуся в беде человеку. Злоумышленники придумывают различные сюжеты, порой фантастические, используют имена известных людей и громкие события, чтобы заставить жертву поверить в придуманный ими рассказ, – поясняет Татьяна Щербакова, старший спам-аналитик «Лаборатории Касперского». – Не стоит отвечать на такие письма, так как, вступив в переписку с автором «нигерийского» письма, вы рискуете остаться без собственных денег».

[student]

Десятки тысяч мобильных приложений подвержены серьезной уязвимости

 Большое количество приложений для iPhone и iPad подвержены атакам, которые могут привести к передаче приложениями данных на вредоносные серверы, а также приему вредоносных данных с хакерских серверов, вместо того, чтобы общаться с легитимными удаленными узлами, указанными разработчиками.

Исследователи из израильской компании Skycure обнаружили данную проблему, когда они столкнулись с неправильными веб-редиректами в мобильном софте. Вскоре группа специалистов обнаружила, что аналогичную ситуацию можно воссоздать и в случае с другими приложениями, спровоцировав аналогичное их поведение. В результате этого, приложения, отображающие новости, котировки акций, данные соцсетей или даже банковские данные, начинают показывать не подлинные данные, а те, что хакеры подсовывают ничего не подозревающему пользователю.

После того, как приложение однажды было обмануто, оно может отображать поддельные данные на протяжении длительного времени, не выдавая никаких сообщений о проблеме. Данная ситуация становится возможной из-за атаки HRH или HTTP Request Hijacing. По оценкам израильской компании, сейчас в Apple App Store размещены как миниум 10 000 приложений с HRH-проблемой.

«Так как Apple не принимает приложения с автоматическими даунлоадами и сетевым сканирование, мы решили вручную протестировать многие из известных приложений. Практически половина из них была подвержена HRH, следовательно очень большое количество всех других приложений потенциально подвержены проблеме. Восзможно счет таким приложениям идет на десятки тысяч», - рассказывает Яир Амит, технический директор Skycure.

Атака сама по себе злоупотребляет простым HTTP-ответом, известным как 301 Moved Permanently, который указывает на изменение адреса целевой страницы на сервере. Браузеры и приложения, как правило, хранят инструкции по редиректам в кеше, чтобы они могли автоматически использовать обновленные адреса, если пользователь попытается вновь обратиться к уже несуществующему адресу. Механизм переадресации легко наблюдать в браузере, когда адресная строка вида, но это не так для приложений, где работа с URL-адресами происходит на заднем фоне и видеть процесс смены адресов невозможно.

Учитывая это, хакер может провести разновидность атаки man-in-the-middle в незащищенной беспроводной сети. Когда конечный пользователь приложения открывает уязвимое приложение, атакующий перехватывает HTTP-трафик и предоставляет клиенту поддельный ответ в виде 301-й ошибки для веб-сервера. В итоге приложение переводит клиента на указанную злоумышленником страницу, причем, этот вариант работает даже в случае защищенной сети или межсетевого экрана.

Технически, данную атаку можно свести на нет, если использовать HTTPS-защиту, которая строже относится к редиректам, так как сертификаты не сработают на подложные адреса. Однако HTTPS-соединения используют немногие приложения.

[youtube]http://www.youtube.com/watch?v=wByvUoe7pHw&feature=player_embedded[/youtube]

[Gorra]

11 самых ярких компьютерных вирусов: от невидимки до монстра

11 ноября 1983 года американский студент из Университета Южной Калифорнии Фред Коэн составил программу, демонстрирующую возможность заражения компьютера. Скорость размножения вируса внутри компьютера VAX составила от пяти минут до часа, и дальнейшие опыты в этом направлении были запрещены как исключительно опасные.

Через год Коен написал об этом научную работу, в которой не только дал определение вирусу, но и предвосхитил распространение вирусов по компьютерным сетям и появление антивирусных программ.

Первый нелабораторный вирус появился позже — в 1986 году, он назывался Brain («Мозг») и пришел из Пакистана. Вирус был способен инфицировать лишь дискеты и ловко скрывал свое присутствие. Следующие два вируса — Lehigh и Jerusalem — появились в университетских кругах США и Израиля соответственно.

Первый антивирус, способный очищать дискеты от Brain, вышел в 1988 году. Вслед за этим число «бойцов» с обеих сторон стало расти как снежный ком.

Существующие технологии позволяют создать вирус, который распространится по всей планете менее чем за час. Digit.ru из миллионов вредоносных программ выбрал 11 наиболее печально запомнившихся вирусов и отсортировал их в хронологическом порядке.

Компьютерный вирус — это разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). Вирусы могут повредить или полностью уничтожить файлы, данные и даже операционную систему со всеми файлами в целом.

1. Brain, 1986 год: первый вирус, вызвавший эпидемию

Спойлер   :

По сравнению с последователями, Brain практически безопасен, но он стоит нашего внимания в первую очередь потому, что первым вызвал настоящую вирусную эпидемию.

Передавался Brain по загрузочным секторам дискет. Разработка вируса лежит на совести братьев Амджата и Базита Алви (Amdjat и Basit Faroog Alvi), которые запустили его в 1986 году. Обнаружен Brain был летом 1987 года. Только в США вирус заразил более 18 тысяч компьютеров.

В основе разработки Brain лежали благие намерения: программа должна была наказать местных пиратов, ворующих программное обеспечение у фирмы братьев.

Вирус Brain ко всему прочему еще и первый стелс-вирус (вирус, полностью или частично скрывающий свое присутствие в системе). Так, при попытке чтения заражeнного сектора, он «подставлял» его незаражeнный оригинал.

2. Jerusalem, 1988 год: в пятницу 13-ого удалял все данные с жесткого диска

Вирус «Jerusalem» появился 13 мая 1988 года, он уничтожал зараженные файлы при попытке их запуска. Проявил себя в Европе, США, на Ближнем Востоке. Первые сообщения о заражении приходили из высших учебных заведений и от крупных компаний в самых различных странах.

Этот вирус был создан в Израиле — отсюда и основное имя. Второе его название — «Пятница 13-е». Это был первый вирус для MS-DOS, вызвавший грандиозную панику: скачанный с дискеты, он активировался при наступлении злополучного числа — пятницы 13-е — и удалял абсолютно все данные с жесткого диска.

В те времена еще мало кто верил в существование компьютерных вирусов. Антивирусных программ почти не существовало, а потому пользователи были беззащитны перед ними.

3. Червь Морриса, 1988 год: вывел из строя весь интернет

Активность этого опасного вредителя пришлась на ноябрь 1988 года. «Червь Морриса» парализовывал работу компьютеров своим хаотичным и бесконтрольным размножением. Из-за него вышла из строя вся, тогда еще не слишком глобальная, сеть. И хотя сбой длился недолго, общие убытки тогда оценивались в 96 миллионов долларов.

4. Michelangelo («March6»), 1992 год: сыграл на руку антивирусным компаниям

Проникая через дискеты на загрузочный сектор диска, Michelangelo тихо сидел там, не напоминая о своем существовании до 6 марта. А в этот день «счастливчики», получившие «Микеланджело» на свой компьютер, обнаруживали, что все данные с их жесткого диска стерты.

Лютовал этот вирус в 1992 году. Он сыграл на руку компаниям, производящим антивирусы: пользуясь случаем, бизнесмены раздули истерию до невиданных масштабов, в то время как от него пострадали всего около 10 тысяч машин.

5. CIH, «Win95.CIH» или «Чернобыль», 1998 год: заразил до полумиллиона ПК

Один из самых знаменитых вирусов мира. Зараженный компьютер не «заводился», поскольку вирус уничтожал BIOS подчистую.

CIH создан в 1998 году тайваньским студентом, по инициалам которого и назван. Вирус попадал в компьютер через интернет, электронную почту и диски, прятался внутри других программ, а в определенный момент (26 апреля, совпадает с датой аварии на Чернобыльской АЭС) вирус активировался, стирая содержимое жесткого диска и нанося вред аппаратной части компьютера.

Эпидемия «Чернобыля» пришлась на апрель 1999 года. Тогда из строя было выведено более 300 тысяч компьютеров, в основном, в Восточной Азии. В течение нескольких последующих лет 26 апреля вирус продолжал свое черное дело, что, по разным экспертным оценкам, нанесло урон до полумиллиона компьютеров во всем мире.

6. Melissa, 1999 год: массово засорил корпоративную почту

Пришествие «Мелиссы» пришлось на 26 марта 1999 год. Вирус после заражения системы находил адресную книгу программы MS Outlook и рассылал свои копии первым 50 адресам в этой книге. Пользователь об этом не подозревал, хотя рассылка производилась от его имени.

Из-за «Мелиссы» крупные IT-компании, в том числе Microsoft и Intel, в массовом порядке отключали корпоративные сервисы электронной почты. Вирус распространялся с бешеной скоростью, сумма нанесенного им ущерба оценивается экспертами более чем в 100 миллионов долларов.

7. I Love You, Loveletter, The Love Bug, 2000 год: «романтик», нанесший ущерб на 5,5 миллиарда долларов

Список самых опасных компьютерных вирусов продолжает вирус с романтическим названием «I Love You», он же «Loveletter», он же «The Love Bug». Многие эксперты считают его самым вредоносным за всю историю существования интернета.

Распространялся «романтик» по электронной почте, в теме письма при этом были слова: «я тебя люблю». К такому письму прилагалось вложение, в котором и сидел зловред, крадущий с зараженной машины пароли.

Механизм распространения Loveletter — как у «Мелиссы»: вирус искал адреса в Outlook и отправлял собственные копии. Loveletter заразил миллионы компьютеров по всему миру, 10% всех существовавших на тот момент компьютеров были инфицированы, что нанесло ущерб в размере 5,5 миллиарда долларов.

8. Nimda, 2001 год: первый вирус-«администратор»

Вирус был создан в Китае 18 сентября 2001 года Название произошло от слова admin, написанного в обратном порядке. Суть Nimda в том, что вирус мог создавать для себя на зараженных компьютерах права администратора, после чего изменял и нарушал конструкцию сайтов, блокировал доступ на хосты, IP-адреса и т.д.

На компьютеры Nimda проникал столь виртуозно, что уже через 22 минуты после своего создания он стал самым распространенным интернете.

9. My Doom, 2004 год: чемпион по скорости распространения

My Doom — самый быстрый вирус электронной почты. Работал он по нарастающей: каждый следующий компьютер отправлял спама еще больше, чем предыдущий. Также он модифицировал операционную систему, блокируя доступ к сайтам многих антивирусных компаний, новостным лентам и различным разделам сайта компании Microsoft.

Помимо этого, на его счету даже DDoS-атака на сайт Microsoft.

10. Conficker, 2008 год: 12 миллионов жертв

Этот вирус имеет славу опаснейшего из известных компьютерных червей. Атакует он операционные системы семейства Microsoft Windows. Вирус поразил более 12 миллионов компьютеров во всeм мире.

Принцип действия Conficker таков: червь находит уязвимости Windows, связанные с переполнением буфера, и затем отключает сервисные службы и обновление Windows, а также блокирует доступ к сайтам ряда производителей антивирусов.

11. Win32/Stuxnet, 2010 год: первый, заразивший промышленные системы

И в заключение — об одном из наиболее страшных вирусов последних лет. Вирус был обнаружен не только на компьютерах рядовых пользователей, но и в промышленных системах, управляющих автоматизированными производственными процессами.

Win32/Stuxnet — компьютерный червь, поражающий компьютеры под управлением операционной системы Microsoft Windows. 17 июня 2010 года его обнаружил антивирусный эксперт Сергей Уласень из белорусской компании «ВирусБлокАда» (в настоящее время работает в «Лаборатории Касперского»).

Это первый известный компьютерный червь, перехватывающий и модифицирующий информационный поток между программируемыми логическими контроллерами марки Simatic S7 и рабочими станциями SCADA-системы Simatic WinCC фирмы Siemens. Таким образом, червь может быть использован в качестве средства несанкционированного сбора данных (шпионажа) и диверсий в автоматизированных системах управления технологическим процессом (АСУ ТП) промышленных предприятий, электростанций, аэропортов и т. п.

Уникальность программы заключалась в том, что впервые в истории кибератак вирус физически разрушал инфраструктуру. Существует предположение, что Stuxnet представляет собой специализированную разработку спецслужб Израиля и США, направленную против ядерного проекта Ирана. В качестве доказательства упоминаются завуалированные упоминания слова MYRTUS, содержащиеся в коде червя.

Кроме того, в коде однажды встречается никак не объясненная дата 9 мая 1979 года (19790509). В этот день произошла казнь известного иранского промышленника Хабиба Эльганяна, еврея по национальности.

Американский журналист Дэвид Сангер в книге «Противостоять и скрывать: тайные войны Обамы и удивительное использование американской силы» утверждает, что Stuxnet был частью антииранской операции «Олимпийские игры» американского правительства.

Данный вирус использует четыре уязвимости системы Microsoft Windows (уязвимость «нулевого дня» (zero-day) и три ранее известные уязвимости), позволяющие ему распространяться при помощи USB-flash накопителей. Оставаться незамеченным антивирусными программами ему помогало наличие настоящих цифровых подписей (два действительных сертификата, выпущенных компаниями Realtek и JMicron).

[Don S]

Названы лучшие приложения для удаления вирусов

Основное назначение антивирусов – надежно защищать систему от заражения. Но если вредоносное ПО все-таки проникает в компьютер, то от антивируса требуется еще и умение эффективно удалять все его компоненты. Независимая лаборатория AV-Comparatives провела тестирование, чтобы выяснить, какие антивирусные приложения лучше всего справляются с этой задачей.

Для исследования специалисты AV-Comparatives выбрали 11 образцов вредоносных программ, среди которых – троянцы, черви, взломщики backdoor и утилиты-вымогатели (ransomware). Каждый образец был скачан на 64-битную систему Windows 7 Professional; после перезагрузки ОС исследователи установили и запустили на ней антивирус.

Каждому образцу вирусного компонента в тесте присваивались определенные цифры в пределах 100-балльной системы, отражающие степень эффективности и удобства процесса удаления, – например, нужно ли было перейти в безопасный режим работы Windows или вставить загрузочный диск. Далее для каждого антивируса подсчитывался общий балл.

Лучшие результаты в ходе тестирования AV-Comparatives показал продукт «Лаборатории Касперского», набравший 98 баллов. 97 баллов получил антивирус компании Bitdefender, а 92 балла заслужила популярная программа Avira. В самом низу рейтинга расположилось приложение ThreatTrack Vipre – всего 65 баллов. В числе испытуемых также оказались G-DATA и BullGuard (по 73 балла) и Microsoft Security Essentials (83 балла).

Интересно, что ни одному антивирусу не удалось набрать максимальные 100 баллов, для чего продукт должен уметь удалять все виды угроз в обычном режиме работы системы. Ближе всего подошла «Лаборатория Касперского», сумевшая удалить в нормальном режиме 10 угроз, но потребовавшая загрузочный диск для одиннадцатой. Кроме трех топовых продуктов, все остальные полностью провалили данную задачу, причем особенно трудным оказалось удаление вредоносного ПО типа «вымогатель» (ransomware).

Полный отчет о результатах исследования AV-Comparatives доступен на официальном сайте лаборатории:

Скрытый текст

Скрытый текст (вы должны войти под своим логином или зарегистрироваться ).
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.