"Опасные " программы для компьютера.

[ALENA]

Антивирус от Comodo позволяет получить удаленный доступ к компьютеру

Решение Comodo Internet Security по умолчанию устанавливает и запускает VNC-сервер.
Исследователь команды Google Project Zero Тавис Орманди (Tavis Ormandy) обнаружил очередную проблему, связанную с программным обеспечением производства компании Comodo. В этот раз речь идет о продукте Comodo Internet Security, по умолчанию устанавливающим и запускающим VNC-сервер, предоставляющий удаленный доступ к компьютеру.
В начале февраля Орманди уже обращал внимание на решение Comodo Internet Security, предназначенное для защиты пользователей от вредоносного ПО и кибератак. Как оказалось, при инсталляции продукта по умолчанию осуществляется установка нового браузера под названием Chromodo – модифицированной версии интернет-обозревателя Chrome. Внешне Chromodo почти не отличается от Chrome и импортирует все настройки пользователя, файлы cookie и т.д.
Как отмечают исследователи, при инсталляции на компьютеры под управлением ОС Windows продуктов Comodo AntiVirus, Comodo Firewall или Comodo Internet Security, устанавливается программа GeekBuddy, предназначенная для осуществления удаленной техподдержки.
GeekBuddy устанавливает и запускает VNC-сервер с правами администратора, доступный по локальной сети. Одно время на сервере не была установлена парольная защита. Comodo исправила ситуацию, однако установленные компанией пароли оказались довольно предсказуемыми, утверждает Орманди.
«Любой авторизованный пользователь или ПО, запущенное на системе, могли получить пароль из реестра Windows и повысить привилегии, подключившись к серверу. Подобрать пароль не составит труда – он короткий, простой и предсказуемый», - отметил Орманди.
Эксперт сообщил производителю о проблеме 19 января нынешнего года. По словам представителей компании, уязвимость устранена в версии GeekBuddy 4.25.380415.167, выпущенной 10 февраля.

[ALENA]

Браузеры компании Baidu собирают информацию о пользователях

На этот раз проблемы в очередном браузере выявил не Тевис Орманди, а специалисты компании Citizen Lab
Эксперты пишут, что собственный браузер китайского гиганта Baidu, основанный на движке Chromium, не только собирает данные о пользователях, но и передает их на сторону, при этом не слишком тревожась о шифровании.

Так как Baidu стремится ни в чем не отставать от Google, у китайского поисковика тоже есть собственный браузер, по сути – клон Google Chrome. Однако «под капотом» у браузера Baidu обнаружилось множество проблем, в частности у версий для Windows и Android.

Эксперты Citizen Lab отмечают, что в наши дни практически все браузеры собирают информацию о пользователях, равно как и многие другие веб-сервисы. Разумеется, это нехорошо, но компании прикрываются использованием информации «в аналитических целях». Браузер компании Baidu отличается тем, что он не просто собирает данные, он отсылает собранную информацию на серверы Baidu. При этом обозреватель пренебрегает шифрованием вообще или использует очень слабые методы шифрования.

Версия для Android сливает в Китай историю браузера, историю поиска, IMEI устройства, координаты GPS, информацию о ближайших сетях Wi-Fi и MAC-адреса локальных устройств.

Версия для Windows тоже отправляет на удаленные серверы историю поиска и посещенных сайтов, MAC-адреса, модель CPU, серийный номер и модель жесткого диска, а также информацию о логических дисках.

Исследователи пришли к выводу, что за утечку данных в обоих случаях несет ответственность популярный SDK — Baidu Mobile Tongji (Analytics). Удалось подсчитать, что данное решение используется в 22 548 различных приложениях. Ранее, в ноябре 2015 года, аналитики компании Trend Micro выявили похожий SDK от Baidu, использующийся в 14 112 приложениях, он вообще может применяться для установки бэдкоров на зараженные устройства.

Также специалисты Citizen Lab заметили, что браузер скачивает обновления, не проверяя никаких сигнатур кода, то есть можно провести против браузера атаку man-in-the-middle и подменить обновления малварью.

Представители Baidu дали исследователям официальный ответ, в котором сообщили, что уже работают над исправлением обнаруженных проблем. Ожидается, что в конце февраля будет представлена обновленная версия мобильного браузера, а версию для десктопов обновят в мае 2016 года.

[ALENA]

Антивирус McAfee показывает рекламу и отслеживает пользователей в Сети

Эксперты компании Duo Security протестировали ряд ноутбуков от разных производителей, работающих под управлением операционной системы Windows (версии 8, 8.1 и 10) на предмет безопасности и конфиденциальности персональной информации. Результаты исследования оказались довольно неутешительными. Как выяснилось, установленное на шести устройствах антивирусное ПО McAfee использует web-маяки (небольшие прозрачные файлы изображений) для показа рекламы пользователям и, возможно, отслеживания их деятельности в Сети.
Специалисты Duo Security протестировали семь ноутбуков: Lenovo Flex 3, Lenovo G50-80, HP Envy, HP Stream x360, HP Stream, Acer Aspire F15 и Dell Inspiron 14. В ходе исследования сотрудники компании осуществляли мониторинг входящего и исходящего интернет-трафика.
Как выяснилось при проверке, компания Dell продолжает поставлять ноутбуки с корневым сертификатом eDellRoot, содержащим закрытый ключ. Наличие данного сертификата делает возможной атаку «человек посередине». К примеру, если подверженное данной проблеме устройство Dell подключится к вредоносной точке доступа Wi-Fi, ее оператор сможет воспользоваться сертификатом и ключом для расшифровки трафика жертвы. В результате, когда пользователь осуществляет online-покупки или банковские операции, в руках злоумышленников может оказаться конфиденциальная информация (имя пользователя, пароль, cookie-файлы сессий и т.д.).
Также эксперты обратили внимание на ряд функций в Windows 8.1 и 10, предназначенных для сбора данных об устройстве и его владельце. По их словам, значительное количество приложений и сервисов, связанных с настройками конфиденциальности, начинают передавать данные на удаленный сервер уже при подключении к интернету. Как отмечается, после установки обновлений в рамках «вторника обновлений» многие настройки конфиденциальности восстанавливаются до заводских, однако пользователю об этом не сообщается. Злоумышленники могут воспользоваться установленными по умолчанию настройками для перехвата и перенаправления трафика в случае подключения устройства к незащищенным сетям Wi-Fi, предупреждают эксперты Duo Security.

[ALENA]

В антивирусе Trend Micro обнаружен очередной бэкдор

Удаленная служба отладки Node.js запускается по умолчанию и слушает разные порты на интерефейсе localhost.
Исследователь команды Google Project Zero Тэвис Орманди (Tavis Ormandy) обнаружил очередной бэкдор в продуктах компании Trend Micro. Речь идет о следующих решениях: Trend Micro Antivirus, Maximum Security, Premium Security и Password Manager. Суть уязвимости заключается в следующем: удаленная служба отладки Node.js запускается по умолчанию и слушает на интерефейсе localhost.
Ошибка позволяет удаленному пользователю с помощью специально сформированной web-страницы обратиться к отладочной службе и выполнить произвольные команды на системе с привилегиями учетной записи SYSTEM. Поскольку прослушиваемые порты могут меняться, атакующему потребуется осуществить брутфорс-атаку и подобрать правильный номер порта.
Тэвис Орманди опубликовал PoC-код, запускающий калькулятор при посещении специально сформированного сайта:

Код: [Выделить]

http://localhost:50820/json/new/?javascript:require('child_process').spawnSync('calc.exe')"

19 марта нынешнего года Орманди сообщил о проблеме команде Trend Micro, и 30 марта компания выпустила временный патч. Финальная версия патча будет доступна через несколько недель. В настоящее время нет свидетельств активной эксплуатации уязвимости.
В январе нынешнего года Орманди обнаружил похожую проблему в антивирусе Trend Micro. Тогда речь шла о компоненте Password Manager в Trend Micro Antivirus для Windows. Как оказалось, менеджер паролей открывал несколько HTTP RPC-портов, позволяющих выполнить произвольные команды. В настоящее время ошибка уже устранена.

[ALENA]

Lenovo исправила опасную уязвимость в Lenovo Solution Center

Компания Lenovo исправила опасную уязвимость в программном инструменте Lenovo Solution Center (LSC). С ее помощью локальный пользователь или скомпрометировавший его удаленный атакующий может повысить привилегии, выполнить произвольный код на Windows и получить полный контроль над ОС.
LSC представляет собой приложение, предустановленное на многих ПК и лэптопах производства Lenovo. Инструмент позволяет проверять статус межсетевого экрана и аккумулятор, выполнять резервное копирование файлов, обновлять ПО, тестировать аппаратное обеспечение и получать информацию о гарантийном обслуживании. Инструмент состоит из двух компонентов – графического пользовательского интерфейса и сервиса LSCTaskService, работающего в фоновом режиме, даже если пользовательский интерфейс не запущен.   
Проблема исправлена в версии LSC 3.3.002. Данный случай является не первым, когда в LSC обнаруживается подобная уязвимость (первая была исправлена в декабре прошлого года). Компания Lenovo не выпустила новое уведомление о проблеме, а просто обновила уже существующее. Пользователи, активировавшие автоматическое получение обновлений, смогут обновить программу  при ее открытии, остальным нужно установить их вручную.

[ALENA]

Предустановленные OEM-приложения угрожают безопасности вашего ПК

Исследователи обнаружили множественные уязвимости в OEM-программах от Acer, Asus, Lenovo, Dell и HP.
По умолчанию поставляемое на компьютеры ПО от производителей аппаратного обеспечения содержит множественные уязвимости. Однако проблема намного масштабнее, чем кто-либо мог предположить. К такому заключению пришли исследователи из компании Duo Security.
Специалисты проанализировали приложения от пяти производителей: Acer, ASUSTeK Computer, Lenovo, Dell и HP, поставляемые на Windows-системы. По результатам исследования, ПО каждого производителя содержало как минимум одну опасную уязвимость.
В большинстве случаев самой распространенной проблемой оказалось отсутствие защищенного канала передачи данных при загрузке или проверке доступности обновлений. К тому же далеко не все приложения проверяли цифровую подпись загруженного файла обновлений перед его установкой. Отказ от HTTPS при загрузке обновлений и отсутствие проверки цифровой подписи файла перед его выполнением позволяют атакующему осуществить атаку «человек посередине», подменить загружаемый файл и выполнить произвольный код на уязвимой системе.
Исследователи очень удивились архитектуре большинства приложений и служб, использующих всевозможные и особо не нужные решения, обилие web-сервисов, COM-объектов, сокетов, расширений к браузерам, именных каналов. У исследователей сложилось впечатление, что большинство ПО писалось на основе сообщений и не очень хороших решений, взятых со StackOverflow.
В некоторых случаях на системы поставляются утилиты с одинаковым функционалом, которые по существу дублируют друг друга. Исследователи отдельно отметили утилиту для обновления от Lenovo. Lenovo Solutions Center (LSC) оказалась самой защищенной системой обновления из всех тестируемых, с отличной защитой от атаки «человек посередине». Однако вместе с этой утилитой на систему поставляется также UpdateAgent, которые не имеет никакой защиты.
В завершение, исследователи рекомендуют после приобретения нового ПК переустанавливать ОС, избавляясь от ПО производителей аппаратного обеспечения.

[Nik]

VISUAL STUDIO ПРЯЧЕТ В ПРОГРАММАХ СБОР ТЕЛЕМЕТРИИ ДЛЯ MICROSOFT

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Программисты давно подозревали, что Visual Studio C++ автоматически добавляет в компилируемые программы вызовы функций, которые собирают данные телеметрии для Microsoft. На этот раз разработчики Visual Studio объяснили, что это за вызовы, зачем они нужны, что с ними делать, и когда же этому придёт конец.

Новая волна интереса к теме последовала за постом на Reddit. Его автор обратил внимание на то, что в скомпилированных при помощи Visual Studio C++ исполняемых файлах появляется вызов функции telemetry_main_invoke_trigger. В исходниках этой функции нет, а её название позволяет предположить, что она каким-то образом связана со сбором данных телеметрии Microsoft.

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Дополнительное изучение вопроса показало, что такое поведение свойственно лишь Visual Studio 15. Вызовы телеметрических функций появляются и в отладочных, и в финальных сборках. Насколько можно судить, они сохраняют информацию, но не отправляет её Microsoft.

Агрессивный сбор данных телеметрии уже становился поводом для скандала. Windows 10 передаёт Microsoft сведения о компьютере, установленных приложениях и драйверах, а также о некоторых аспектах его работы. Предполагается, что телеметрия помогает разработчикам Windows идентифицировать и решать проблемы, связанные с безопасностью и надёжностью. Критики Microsoft сравнивают сбор данных телеметрии со слежкой и требуют его отключить.

Пост на Reddit с жалобой на Visual Studio привлек внимание Microsoft. Представитель компании вмешался в обсуждение и рассказал, что в действительности происходит. По его словам, задача, которую призваны решать эти вызовы, совершенно невинна. Они собирают информацию о проблемах с производительностью, чтобы помочь установить их причины и в перспективе улучшить качество оптимизатора.

Он объяснил, что телеметрические функции, которые встраивает Visual Studio C++, срабатывают в случае появления событий ETW. Для интерпретации данных о событиях необходима отладочная информация (PDB), которой у Microsoft нет. Это означает, что собранные сведения могут быть использованы лишь в том случае, если пользователь сам обратится в Microsoft и предоставит компании всё необходимое для расследования. В реальности этого пока ни разу не случалось.

Microsoft планирует убрать эту функциональность в третьем апдейте Visual Studio C++. Пока этого не произошло, программист может избежать включения телеметрических функций, добавив в командную строку компоновщика notelemetry.obj.

[ALENA]

В Adobe Flash Player обнаружена очередная уязвимость нулевого дня

Уязвимость активно эксплуатируется киберпреступной группировкой ScarCruft с марта 2016 года. 
Исследователи «Лаборатории Касперского» Костин Раю (Costin Raiu) и Антон Иванов обнаружили критическую уязвимость в Adobe Flash Player для Windows, Mac, Linux и Chrome OS, позволяющую злоумышленникам выполнить произвольный код и получить полный контроль над уязвимой системой. CVE-2016-4171 затрагивает Adobe Flash Player 21.0.0.242 и более ранние версии.
По словам Раю, уязвимость активно эксплуатируется с марта текущего года сравнительно новой APT-группой, которую в ЛК назвали ScarCruft. В настоящее время она проводит несколько операций с эксплуатацией двух уязвимостей в Adobe Flash Player и одной - в Microsoft Internet Explorer. Жертвы ScarCruft были обнаружены в ряде стран, в том числе в России, Непале, Южной Корее, Китае, Индии, Кувейте и Румынии.
Сейчас группировка проводит две масштабные кампании – Operation Daybreak и Operation Erebus. Operation Daybreak началась в марте 2016 года. В ходе операции злоумышленники эксплуатируют уязвимость нулевого дня в Adobe Flash Player (CVE-2016-4171). В рамках кампании Operation Erebus хакеры используют известную критическую уязвимость в Adobe Flash Player (CVE-2016-4117). По мнению экспертов, ScarCruft также может эксплуатировать исправленную в апреле уязвимость в Microsoft Windows (CVE-2016-0147).
Исследователи ЛК предоставят больше подробностей о CVE-2016-4171 после ее исправления, которое будет выпущено в четверг, 16 июня.

 
значит грядет очередное обновление  флешплеера в эксплорере 

[ALENA]

Злоумышленники распространяют TeamViewer, содержащий бэкдор

Trend Micro обнаружила вредоносную кампанию, направленную на хищение учетных данных пользователей.
Недавно стало известно о компрометации большого количества рабочих станций, использующих TeamViewer для удаленного управления доступом. Изначально предполагалось, что причиной взлома компьютеров стала утечка данных компании TeamViewer, однако в компании опровергли эти слухи. Представители разработчика обвинили пострадавших пользователей в использовании небезопасных паролей.
Исследователи антивирусной компании Trend Micro обнаружили в Сети распространение инсталлятора TeamViewer, в состояв которого входит бэкдор. Злоумышленники использовали спам рассылки для установки устаревшей версии TeamViewer на компьютеры жертв в Италии. Не исключено, что именно таким образом пользовательские системы были взломаны.
В обнаруженной специалистами Trend Micro атаке использовался TeamViewer версии 6.0.17222.0, выпущенный еще в декабре 2010 года. В состав приложения входила подлинная версия инструмента для удаленного доступа совместно с одноименной системной библиотекой avicap32.dll (определяется как BKDR_TEAMBOT.DLL по классификации TrendMicro).
Приложение устанавливается в директорию %APPDATA%\Div или %APPDATA%/Addins на системе и может использоваться для получения полного контроля над компьютером жертвы. Библиотека, входящая в состав поддельного дистрибутива TeamViewer, является бэкдором с возможностями кейлогера. Учитывая особенности ОС Windows при подключении динамических библиотек, установленная таким образом библиотека активировалась при запуске устаревшей версии TeamViewer.
По информации Trend Micro, злоумышленники в течение месяца собирали логины и пароли пользователей на инфицированных системах.

[Brat]

Изначально предполагалось, что причиной взлома компьютеров стала утечка данных компании TeamViewer, однако в компании опровергли эти слухи. Представители разработчика обвинили пострадавших пользователей в использовании небезопасных паролей.

Самая лучшая защита, это нападение!

[ALENA]

Cerber атакует пользователей Office 365

Злоумышленники продолжают распространять вымогательское ПО всеми доступными методами.
На прошлой неделе исследователи обнаружили новую вредоносную кампанию, нацеленную на пользователей облачного сервиса Office 365.
Кампания началась 22 июня этого года. С 23 июня Microsoft начала блокировать письма с вредоносными вложениями. По информации экспертов из Avanan, обнаруживших вредоносную активность, примерно 57% пользователей сервиса получили письма от злоумышленников.
В письме содержался документ Office с вредоносным макросом:

(открыть/скрыть)

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Подобная кампания была впервые зафиксирована в марте этого года. Многие пользователи Сети получили письма с вредоносными вложениями. В этот раз злоумышленникам удалось обойти механизмы обеспечения безопасности Office 365 путем создания учетной записи в сервисе.

[ALENA]

Обнаружены критические уязвимости в антивирусных продуктах Symantec

Тэвис Орманди нашел 7 критических уязвимостей в различных антивирусных продуктах от Symantec.
На сайте Project Zero опубликованы подробности 7 уязвимостей, обнаруженных исследователем безопасности из компании Google Тэвисом Орманди (Tavis Ormandy). Все обнаруженные уязвимости позволяют выполнить произвольный код на целевой системе.
Уязвимости затрагивают приложения семейства Norton, Symantec Endpoint Protection, Advanced Threat Protection (ATP), Symantec Email Security, Symantec Protection Engine, Symantec Protection for SharePoint Servers, Symantec Web Gateway, Symantec Message Gateway и другие продукты компании. С полным перечнем уязвимого ПО можно ознакомиться в бюллетене безопасности, выпущенном производителем.
Большинство уязвимостей обнаружены в коде, предназначенном для обработки файлов. Уязвимость CVE-2016-2207 существует из-за множественных переполнений буфера, связанных с распаковкой RAR-архивов. Брешь CVE-2016-2210 позволяет злоумышленнику вызвать переполнение буфера в стеке в библиотеке dec2lha. Повреждение памяти при обработке MSPACK архивов (CVE-2016-2211) позволяет удаленному пользователю выполнить произвольный код на системе. Также обнаружены уязвимости при обработке MIME-сообщений (CVE-2016-364), в TNEF декодере (CVE-2016-3645), библиотеке dec2zip (CVE-2016-3646) и при обработке PowerPoint файлов (CVE-2016-2209).
Всем пользователям рекомендуется установить последнее исправление от производителя.

[ALENA]

Уязвимость в UEFI позволяет обойти механизмы безопасности

Проблема затрагивает продукты компании Lenovo и других производителей ПК. 
Исследователь безопасности Дмитрий Олексюк (также известен как Cr4sh) обнаружил уязвимость в интерфейсе UEFI, затрагивающую продукты компании Lenovo и других производителей ПК. Уязвимость, получившая название ThinkPwn, позволяет деактивировать механизм защиты прошивки от записи. Олексюк опубликовал эксплоит для нее на GitHub.
По данным исследователя, уязвимость ThinkPwn присутствует в коде System Management Mode (SMM) в используемом Lenovo интерфейсе UEFI. С ее помощью атакующий может отключить защиту от записи на flash-накопитель и перепрошить устройство. Уязвимость также позволяет деактивировать функцию безопасной загрузки (Secure Boot) и обойти функции безопасности в Windows 10 Enterprise, такие как Device Guard и Credential Guard.
Проблема затрагивает все устройства серии Lenovo ThinkPad. По мнению исследователя, «Lenovo скопировала уязвимый код драйвера для SystemSmmRuntimeRt UEFI с кода Intel для восьмой серии чипсетов Intel». Как пояснил эксперт, данный конкретный код сам по себе не доступен широкой общественности, однако он используется в прошивках с открытым исходным кодом некоторых плат. Согласно заявлению Олексюка, функция SmmRuntimeManagementCallback() в Intel Quark BSP содержит тот же уязвимый код.
В Lenovo уверяют, что уязвимость ThinkPwn возникает из-за использования кода по крайней мере одного из троих независимых поставщиков BIOS. Поставщики создают свои версии кода, полученного от производителей чипов, таких как AMD и Intel.
Как предположил исследователь, уязвимость может представлять собой умышленно оставленный бэкдор.   

[ALENA]

Уязвимости в 15 антивирусах позволяют внедрить вредоносный код в любой процесс на системе

Большая часть проблем позволяет атакующим с легкостью обойти защиту от эксплоитов в Windows или сторонних приложениях.
Исследователи из компании EnSilo обнаружили шесть серьезных проблем с безопасностью в 15 антивирусных решениях от AVG, «Лаборатория Касперского», McAfee, Symantec, Trend Micro, Bitdefender, Citrix, Webroot, Avast, Emsisoft, Microsoft и Vera Security. Все проблемы связаны с методами перехвата вызовов других процессов, используемыми антивирусами средствами виртуализации.
Уди Яво (Udi Yavo) и Томмер Биттон (Tommer Bitton) обнаружили уязвимости в процессе изучения вопроса, каким образом производители ПО используют технологию перехвата (hooking) для внедрения кода с целью перехвата, мониторинга и модификации системных вызовов. По словам исследователей, большая часть уязвимостей позволяет атакующим с легкостью обойти защиту от эксплоитов в Windows или сторонних приложениях и проэксплуатировать проблемы, которые в иных случаях могут быть труднодоступны или вовсе недоступны. Некоторые уязвимости позволяют злоумышленнику внедрить вредоносный код в любой процесс, запущенный на системе.
Метод перехвата используется антивирусами для отслеживания потенциально вредоносного поведения. Кроме того, hooking применяется для защиты от эксплоитов, виртуализации, мониторинга производительности и сэндбоксинга. Некоторые вредоносные программы используют перехват для осуществления MitB-атак.
Исследователи проинформировали о проблеме вышеуказанных производителей антивирусных решений. Некоторые из них уже выпустили соответствующие патчи. Более подробный доклад по данной теме эксперты представят на конференции Black Hat, которая пройдет в августе нынешнего года.

[Мирослава]

Подскажите, пожалуйста, я ничего не испорчу, если обновлю.Почитала отзывы,кто что пишет..

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь