Для тех ,кто решил зарегистрироваться на форуме «Беседка» !
Категорически запрещена регистрация  с одноразового и временного e-mail !Такие пользователи будут отправляться в бан без объяснения причин.
После регистрации необходимо активировать свою учетную запись .Если Вы в почте не обнаружили письмо с активацией рекомендуется проверить папку «Спам».
С уважением
 Администрация форума

Автор Тема: Новости из мира вирусов  (Прочитано 82647 раз)

0 Пользователей и 2 Гостей просматривают эту тему.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #465 : 29 Октября 2018, 12:33 »
Bing выдает вредоносный сайт на запрос «Download Chrome»
Пользователи Windows-ПК, ищущие через Bing браузер Chrome, попадают на фишинговую страницу. 

Киберпреступники используют поисковую систему Bing для заражения вредоносным ПО новых компьютеров под управлением Windows. Жертвами злоумышленников становятся пользователи, ищущие через Bing и желающие установить на своем ПК браузер Google Chrome.

Для заражения компьютеров используется фишинговый сайт, появляющийся в самом верху поисковой выдачи, когда пользователь вводит в Bing запрос «Download Chrome». В результате жертва оказывается на фишинговой странице, с виду неотличимой от настоящей страницы загрузки Google Chrome.

На запрос пользователя «Download Chrome» поисковая система должна выдавать результат google.com, однако вверху выдачи Bing оказывается сайт googleonline2018.com, являющийся на сто процентов мошенническим.

Когда пользователь нажимает на кнопку «Download Chrome», начинается загрузка файла ChromeSetup.exe – такое же имя носит настоящий загрузочный файл Chrome. Тем не менее, если проверить свойства файла, в цифровой подписи упоминается название Alpha Criteria, тогда как файл от Google должен быть подписан Google.

Первым о проблеме сообщил пользователь Twitter Габриель Ландау (Gabriel Landau). По словам Ландау, первое, что он сделал, купив новый ноутбук под управлением Windows 10, – попытался установить Chrome и сразу же стал жертвой взлома.

Если попробовать зайти на фишинговый сайт через Chrome, браузер сразу же выдаст соответствующее предупреждение. Однако ни Bing, ни Edge не распознают ресурс как мошеннический.

По данным Howtogeek, Microsoft, похоже, не проверяет адреса, на которые ведет реклама, чем и пользуются мошенники. Согласно заявлению Bing Ads Team, поддельная реклама была удалена из поисковика, а связанная с ней учетная запись уже заблокирована.

Почему реклама была отмечена как якобы от google.com, неизвестно. Также нет никаких гарантий, что через некоторое время она не появится снова.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #466 : 17 Ноября 2018, 21:09 »
Word начал заражать компьютеры
Представители исследовательской компании Cymulate обнаружили новый способ заражения компьютеров. Хакеры стали использовать для своих целей онлайн-видео, встраиваемые в файлы Microsoft Word.
По словам экспертов, злоумышленники вставляют в текст видео, взятое с любого интернет-ресурса, а затем редактируют файл document.xml, заменяя ссылку на видео на вредоносный код. При открытии таких файлов антивирусы не предупреждают пользователей о возможной угрозе.

По мнению специалистов Cymulate, исправить уязвимость пока невозможно. Единственное, что могут сейчас сделать пользователи – это блокировать текстовые файлы, содержащие встроенные видео.
Антон Иванов, антивирусный эксперт «Лаборатории Касперского»:

Цитата
«Лаборатория Касперского» постоянно отслеживает появление в публичном пространстве техник, которые могут быть использованы злоумышленниками для проведения атак на пользователей. На данный момент описанная в статье техника не использовалась ITW (in the wild).
Все наши продукты могут обнаруживать попытку заражения с использованием данной техники. Для проверки данной техники мы провели эксперимент, в рамках которого сгенерировали документ, который при запуске предлагает сохранить и запустить вредоносный файл - известный шифровальщик GandCrab. Наш продукт успешно детектирует и блокирует попытку заражения:
Для защиты нужно использовать надежное защитное решение, в которое входит компонент поведенческого детектирования.

Напомним, ранее в операционных системах Windows обнаружили уязвимость, из-за которой злоумышленники могут получить контроль над компьютером жертвы.



Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #467 : 19 Ноября 2018, 19:06 »
Большинство антивирусов не могут обнаружить новую вредоносную программу для кражи криптовалюты
В новой вредоносной кампании, нацеленной на опустошение кошельков для хранения криптовалюты жертв, используется вредоносная программа, которая остается незамеченной для традиционных антивирусов.

Угрозы используются во вредоносной атаке DarkGate – данная хакерская операция была обнаружена на прошлой неделе исследователями безопасности из enSilo.

Команда исследователей, сообщает, что DarkGate активно распространяется в Испании и Франции, заражая компьютеры Windows с помощью торрент-файлов.
В большинстве случаев торрент-файлы связаны с распространением пиратского контента, но сама технология не является запрещенной и может использоваться домашними и корпоративными пользователями для обмена крупными файлами. В данном случае инфицированные торрент-файлы выдают себя за пиратские копии телевизионных передач и сериалов, в том числе сериала «Ходячие мертвецы».

Вредоносное ПО DarkGate использует различные приемы обфускации кода, чтобы предотвратить обнаружение традиционными антивирусными программами. Командно-административная (С2) структура зловреда, которая позволяет операторам удаленно отправлять команды для передачи украденных данных, использует скрытые DNS записи в легитимных сервисах, таких как Akamai CDN и AWS.

За счет маскировки командного центра с помощью надежных DNS-служб вредоносная программа может обходить проверки репутации, которые обычно безошибочно распознают типичные угрозы, применяющие подозрительные службы и хостинг-платформы.

Кроме того, для сокрытия своего присутствия в системе DarkGate использует метод, известный как «Process Hollowing». Данная техника позволяет загружать надежное приложение в замороженном состоянии в качестве контейнера для вредоносного процесса, который в свою очередь может выполнять действия от имени надежной программы.

Угроза DarkGate также проводит ряд проверок, чтобы определить, были ли она загружена в изолированную виртуальную среду, которая применяется исследователями для анализа и распаковки вредоносного ПО. Более того, зловред умеет сканировать систему на предмет установленных антивирусов, в частности продуктов Avast, Bitdefender, Trend Micro и «Лаборатории Касперского».

Вредоносная программа использует также инструменты восстановления, чтобы предотвратить удаление критически важных для проведения атаки файлов.

Эксперты enSilo убеждены, что автор вредоносной программы потратил очень много времени и усилий, чтобы разработать техники защиты от обнаружения и, как показывает их собственное тестирование, «многие антивирусы не смогли обнаружить угрозу».

Во время исполнения, DarkGate использует сразу две техники обхода службы контроля учетных записей, чтобы получить права администратора, скачать и запустить дополнительную полезную нагрузку.

Эти вспомогательные пакеты позволяют DarkGate перехватывать учетные данные, связанные с кошельками для хранения криптовалюты жертв, запускать трояны-шифровальщики, создавать туннели удаленного доступа для операторов с целью взлома системы и выполнять операции майнинга криптовалюты.

enSilo сообщает, что управленческий модуль С2 контролируется отдельными операторами, которые получают уведомления о новых заражениях, связанных с криптокошельками от инструментов удаленного доступа, служащих для кражи цифровых монет.

Исследователи из enSilo опасаются дальнейшего развития угрозы в будущем. Анализ DarkGate показал, что зловред также связан с семейством вредоносных программ для кражи паролей Golroted, которые используют аналогичные техники для обхода службы контроля учетных записей.
Команда enSilo сообщает:

Цитата
Становится очевидым, что DarkGate постоянно развивается и дорабатывается, и каждая новая версия угрозы получает улучшения. Обычно целью вредоносных программ для скрытого майнинга, вымогательства и кражи криптовалюты является получение финансовой выгоды. В случае с DarkGate до конца не ясно, если ли у автора зловреда другие мотивы. Для определения конечной мотивации вредоносного ПО нужно провести более глубокое исследование.

Индикаторы компрометации IOCS
(открыть/скрыть)

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #468 : 22 Ноября 2018, 18:43 »
Новый вариант Mirai атакует Linux-серверы
Обнаружен первый образец Mirai, предназначенный не для устройств «Интернета вещей».

Похоже, чересчур усердные операторы ботнетов Mirai решили, что для создания настоящего «монстра» одних маршрутизаторов и камер недостаточно, и теперь принялись за Linux-серверы. По словам специалиста компании Netscout Мэтью Бинга (Matthew Bing), новые образцы являются первыми вариантами Mirai, не предназначенными для устройств «Интернета вещей» (IoT).

Для распространения нового варианта злоумышленники пытаются эксплуатировать уязвимость в серверах Hadoop, затрагивающую модуль Yet Another Resource Negotiator (YARN) и впервые опубликованную на GitHub восемь месяцев назад. Уязвимость позволяет осуществить внедрение команд и выполнить произвольные команды shell.

По словам Бинга, Netscout ежедневно фиксирует десятки тысяч попыток атаковать Hadoop YARN. Из 225 проанализированных исследователями кодов как минимум десяток образцов «несомненно являются вариантами Mirai».

Поскольку образцы разработаны специально для атак на YARN, они намного проще, чем предшественники. Варианты Mirai для IoT должны уметь определять архитектуру устройства и различать x86, x64, ARM, MIPS и пр., а новым образцам это не нужно, поскольку они предназначены исключительно для архитектуры х86.

Как и в случае с IoT, новый вариант вредоносного ПО VPNFilter (разновидности Mirai) по-прежнему пытается взламывать серверы путем подбора заводских учетных данных через Telnet. Тем не менее, в случае успеха он не устанавливает вредонос, а «звонит домой», сообщая IP-адрес, логин и пароль атакуемого устройства.

О появлении вредоносного ПО VPNFilter впервые сообщили специалисты компании Cisco в мае нынешнего года. Оригинальный вариант вредоноса предназначался для атак на устройства Linksys, MikroTik, Netgear и TP-Link потребительского и офисного сегментов, а также сетевые накопители (NAS) производства Qnap.


Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #469 : 21 Декабря 2018, 17:52 »
Фишеры распространяют троян Houdini через облако Google
Злоумышленники хранят вредоносное ПО на доверенном домене, для того чтобы успешно обходить обнаружение.

Специалисты из Menlo Labs сообщили о новой вредоносной кампании, нацеленной на банки и финансовые организаций в США и Великобритании. Сотрудникам рассылаются фишинговые письма с ссылкой на архив .zip или .gz, после нажатия на которую на компьютер жертвы загружается вредоносное ПО.

Во всех случаях вредоносная нагрузка хранилась на storage.googleapis.com – домене сервиса Google Cloud Storage, используемого множеством компаний. Как пояснили исследователи, злоумышленники хранят вредоносное ПО на доверенном домене с хорошей репутацией, для того чтобы успешно обходить обнаружение. Из 100 тыс. проанализированных ими доменов из рейтинга Alexa 4,6 тыс. фишинговых сайтов используют легитимные хостинговые сервисы.

В новой вредоносной кампании злоумышленники рассылают фишинговые письма с вредоносной ссылкой, а не вложением. Многие решения безопасности для электронной почты способны распознавать вложенные вредоносные документы, а вредоносные URL-адреса распознаются только при условии их наличия в репозитории защитного продукта.

Для рассылки фишинговых писем злоумышленники используют целый ряд электронных адресов. Часть из них была создана специально, а часть представляет собой чужие взломанные электронные ящики. Все они использовались только единожды, за исключением одного адреса.

Для заражения атакуемых систем используются два типа полезной нагрузки – скрипты VBS и файлы JAR. Как показал анализ, скрипты VBS были созданы с помощью одного из многих доступных наборов для создания вредоносных документов и являются сильно обфусцированными. Скрипты и файлы JAR принадлежат к семейству мощных троянов для удаленного доступа Houdini .


Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #470 : 24 Декабря 2018, 18:21 »
Новая мошенническая кампания заставляет Chrome расходовать 100% ЦП
Выдающие себя за техподдержку мошенники используют код JavaScript, заставляющий браузер расходовать все ресурсы ЦП.

Обнаружена новая мошенническая кампания, в ходе которой злоумышленники используют код JavaScript, заставляющий Google Chrome расходовать все ресурсы центрального процессора и в результате «зависать».

Как сообщает Bleeping Computer, о новой кампании стало известно через программу сообщений об уязвимостях в Chrome. Согласно сообщению, когда пользователь открывает определенную страницу в браузере, ресурсы центрального процессора начинают расходоваться на 100%. В результате закрыть вкладку или браузер становится невозможно, а продолжать работу с компьютером можно только после принудительного завершения процесса браузера.

После открытия вредоносной ссылки пользователь оказывается на поддельной странице «техподдержки». Страница замаскирована под уведомление Windows об ошибке «Internet Security Alert! Code: 055BCCAC9FEC». Согласно уведомлению, компьютер был якобы заражен вредоносным ПО, и жертва должна позвонить по указанным номерам, чтобы получить помощь.

Страница содержит код JavaScript, принуждающий браузер бесконечное число раз обращаться к # URL, после чего появляется кнопка «Назад» для возврата на предыдущую страницу в истории браузера и кнопка «Вперед», возвращающая на первоначальную страницу. Образовавшаяся петля заставляет браузер расходовать все ресурсы центрального процессора, в результате чего он «зависает» и пользоваться компьютером становится невозможно. В таком случае единственный способ возобновить работоспособность системы – завершить процесс Chrome.exe через Диспетчер задач Windows.

Проблема заключается в том, что если завершить процесс, а потом снова открыть браузер, Chrome автоматически восстановит открытые вкладки. Вредоносная страница откроется снова, и JavaScript снова запустит петлю.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #471 : 28 Декабря 2018, 20:37 »
Новый вариант червя Shamoon маскируется под ПО Baidu
Специалисты компании Anomali Labs обнаружили новую версию червя Shamoon, ранее использовавшегося в кибератаках на нефтегазовые компании в странах Ближнего Востока. Последним известным случаем применения одной из свежих версий вайпера стала атака на серверы итальянской нефтегазовой компании Saipem в декабре текущего года, от которой пострадало свыше 300 серверов и 100 компьютеров предприятия.

По данным исследователей, новый вариант Shamoon был загружен на сервис VirusTotal 23 декабря 2018 года с французского IP-адреса. Вредонос маскировался под инструмент для настройки и оптимизации системы китайской компании Baidu и был подписан ее цифровым сертификатом, выпущенным в мае 2015 года. В настоящее время цифровая подпись недействительна, поскольку срок действия сертификата истек еще в марте 2016 года. Новая версия была упакована с использованием утилиты для лицензирования и защиты исполняемых файлов Enigma Protector (версия 4).

В попытке выдать вредонос за официальное программное обеспечение вирусописатели в имени файла указали «Baidu PC Faster», а в описании – «Baidu WiFi Hotspot Setup». К слову, похожая тактика использовалась и при разработке предыдущего варианта – Shamoon 2. Тогда злоумышленники пытались замаскировать червя под продукт VMWare.

Судя по некоторым признакам, в частности, наличии изображений с политическим подтекстом, новая версия разрабатывалась на основе исходного кода Shamoon 2, замеченного в 2016-2017 годах в атаках на организации, работающие в критически важных и экономических секторах Саудовской Аравии.

На данный момент специалисты не могут с точностью утверждать, что проанализированный вариант Shamoon уже использовался в кибератаках, но учитывая временной промежуток предыдущих кампаний (ноябрь 2016 и конец января 2017 годов), новые атаки могут быть запланированы на период праздников. По мнению ряда экспертов в области кибербезопасности, к разработке Shamoon причастна иранская правительственная кибергруппировка APT33, но аналитики Anomali Labs не исключают, что старый образец червя мог быть модифицирован другими злоумышленниками, не имеющими отношения к создателям оригинальной версии Shamoon.


Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #472 : 04 Января 2019, 10:34 »
Зафиксирована мощная атака вируса WannaCry
В конце 2018 года в столице зафиксирована мощная атака вируса WannaCry. Как рассказал корреспонденту "РГ" генеральный директор АО "Электронная Москва" Игорь Сафронов, в третьем квартале этот шифровальщик совершил 28 процентов от всех зафиксированных угроз.
WannaCry и ей подобные программы шифруют данные на компьютере, а потом вымогают деньги за расшифровку и возвращение к обычной работе. Нечто подобное произошло с Московской канатной дорогой в Лужниках, сервер которой по такому же принципу атаковали в ноябре.

А персональные компьютеры чаще всего атакуют криптомайнеры. "По данным "Лаборатории Касперского", число российских пользователей, столкнувшихся с этим видом киберугроз, увеличилось почти в два раза по сравнению с 2017 годом - в 2018 году ими был атакован каждый десятый", - сообщил собеседник "РГ". Опасность в том, что майнеры заставляют процессоры работать на износ. При этом никто не даст гарантии, что майнер не похитит личные данные.

Избежать этих киберугроз довольно просто, отметил Сафронов. Нужно регулярно обновлять программы, проводить профилактику и не переходить по подозрительным ссылкам.

Оффлайн Сержик

  • *
  • Сообщений: 6563
  • Пол: Мужской

Новости из мира вирусов
« Ответ #473 : 04 Января 2019, 10:38 »
Не знаю. Я уже лет 5 их не вижу. Антивирь сидит себе спокойно в трее и ни гугукает. Иной раз нет думаю проверю, может не работает. Запущу тестовый, вроде срабатывает, значит живой.

Оффлайн Юрий67

  • *
  • Сообщений: 2

Новости из мира вирусов
« Ответ #474 : 06 Января 2019, 14:38 »
Не знаю. Я уже лет 5 их не вижу. Антивирь сидит себе спокойно в трее и ни гугукает. Иной раз нет думаю проверю, может не работает. Запущу тестовый, вроде срабатывает, значит живой.
А на каком антивирусе сидите? Я вот например давно использовал NOD, тоже спокойно обновлялся он и не пищал, пока не затупил комп и я не переустановил на dr.web и удивился, что только он не обнаружил.
Поблагодарили: ALENA, Василий Алибабаевич

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #475 : 06 Января 2019, 14:41 »
Юрий67, у меня , например , бесплатный 360 тотал секьюрити на компе ( на обоих ) .Раз в месяц гурейтом прогоняю комп . Чисто .И уже не первый год так . :pardon:

Оффлайн topinant

  • *
  • Сообщений: 19480
  • Пол: Мужской

Новости из мира вирусов
« Ответ #476 : 06 Января 2019, 15:35 »
А я ни на каком не сижу кроме защитника виндовс. Была возможность поставить Кашпировского на три года, Нортона, Битдефендера, Нод. Не хочу.

Оффлайн Сержик

  • *
  • Сообщений: 6563
  • Пол: Мужской

Новости из мира вирусов
« Ответ #477 : 06 Января 2019, 15:51 »
А на каком антивирусе сидите?

Trend Micro.

Оффлайн Майкрософт

  • *
  • Сообщений: 874

Новости из мира вирусов
« Ответ #478 : 06 Января 2019, 16:55 »
А я ни на каком не сижу кроме защитника виндовс

Аналогично, и пока все тип-топ

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #479 : 15 Января 2019, 19:51 »
Распространяемый через торренты поддельный видеофайл подменяет результаты поиска в Google
Распространяемое через The Pirate Bay и замаскированное под видеофайл вредоносное ПО заражает компьютеры под управлением Windows и выполняет ряд вредоносных функций. К примеру, вредонос способен внедрять подготовленный злоумышленником контент на такие популярные сайты, как Википедия, Google или Яндекс.

Киберпреступники часто распространяют вредоносное ПО через The Pirate Bay, однако в данном случае интерес вызывает необычный способ заражения компьютеров и большое разнообразие вредоносной активности.

Все началось с того, что исследователь безопасности 0xffff0800 скачал с The Pirate Bay фильм «Девушка, которая застряла в паутине». Однако вместо видеофайла он получил файл .LNK, выполнявший команды PowerShell.

Исследователя заинтересовала иконка файла, и он пропустил его через VirusTotal. Как показало сканирование, файл представлял собой вредоносное ПО CozyBear, используемое одноименной APT-группой, также известной как APT29 и CozyDuke. Тем не менее, этот результат оказался ошибочным. По словам Ника Карра (Nick Carr) из FireEye Advanced Practices Team, вредоносные .LNK – частое явление в сфере интернет-пиратства.

0xffff0800 опубликовал скачанный файл .LNK, и как показал быстрый анализ Лоуренса Абрамса (Lawrence Abrams) из Bleeping Computer, он представляет собой нечто большее, чем просто инжектор рекламы для страницы поиска Google. Помимо внедрения контента на множество сайтов, вредонос отслеживает страницы кошельков Bitcoin и Ethereum и заменяет их другими, принадлежащими киберпреступникам.

Чтобы проделать все вышеописанное, вредонос модифицирует ключи реестра для отключения Windows Defender. ПО также принудительно устанавливает в Firefox расширение Firefox Protection и взламывает расширение для Chrome под названием Chrome Media Router, заменяя ID на «pkedcjkdefgpdelpbcmbmeomcjbeemfm».

Сразу после запуска браузера вредоносное расширение подключается к базе данных Firebase и извлекает оттуда множество настроек, в том числе JavaScript-код для внедрения в различные web-страницы.

В страницу поисковой выдачи Google вредонос внедряет нужные злоумышленнику результаты поиска (к примеру, сайты, предлагающие подозрительное антивирусное ПО). То же самое происходит и с другими поисковиками. Например, на странице Википедии отображается поддельный баннер с просьбой оказать финансовую поддержку в виде криптовалюты.

Поблагодарили: Василий Алибабаевич, topinant