Для тех ,кто решил зарегистрироваться на форуме «Беседка» !
Категорически запрещена регистрация  с одноразового и временного e-mail !Такие пользователи будут отправляться в бан без объяснения причин.
После регистрации необходимо активировать свою учетную запись .Если Вы в почте не обнаружили письмо с активацией рекомендуется проверить папку «Спам».
С уважением
 Администрация форума

Автор Тема: Новости из мира вирусов  (Прочитано 82182 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #60 : 13 Августа 2013, 12:49 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Жертв уверяют в том, что компьютер заражен огромным количеством опасных вирусов, для удаления которых необходимо осуществить подписку.
Киберпреступники постоянно развивают применение вредоносного ПО, известного как Reveton, главной целью которого является вымогательство.
Последним новшеством стало то, что теперь Reveton не требует от пользователя выплаты определенной суммы денег для разблокировки компьютера. Более того, вирус вовсе не блокирует устройство.
Вредоносное ПО загружается на ПК жертвы и устанавливает поддельную версию антивирусной программы Live Security Professional. Затем пользователю сообщают, что компьютер заражен огромным количеством опасных вирусов, для удаления которых необходимо осуществить подписку:
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Вирус обеспечивает постоянную активность тем, что при создании подписки разрешается автоматический запуск программы при включении системы. Таким образом, пользователям регулярно отображаются уведомления об угрозах безопасности и заражении.

При запуске вирус загружает следующие файлы:

Цитата
\Application Data\{random file name}.dat – распознается как Win32.Malware!Drop

\Application Data\{random file name}.js – распознается как Trojan.JS.Reveton.a (v)

\Application Data\{random file name}.pad

\Application Data\{random file name}.txt

\Application Data\rundll32.exe

\Application Data\sdaksda.txt

\Start Menu\Programs\Startup\regmonstd.lnk – распознается как Trojan.LNK.Ransom.aay (v)

Опасность состоит не только в том, что пользователи теряют немалую сумму денег, но и то, что их уверяют в безопасности – жертвы не будут знать о наличии различных троянов на компьютере.
По словам специалиста из ThreatTrack Криса Бойда (Chris Boyd), этот вариант Reveton распространяется через взломанные сайты, содержащие набор эксплоитов Sweet Orange.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #61 : 15 Августа 2013, 18:21 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Троян, нацеленный на пользователей «Вконтакте», распространялся через латиноамериканские сайты
Москва, 15 августа 2013 г. Международная антивирусная компания ESET сообщает новые подробности о троянской программе Win32/Bicololo, нацеленной на пользователей российских социальных сетей.
Напомним, что Win32/Bicololo.A – троян, целью которого является кража персональных данных интернет-пользователей. Данная угроза распространяется под видом ссылок на графические файлы с расширением .jpg. При активации подобной ссылки вместо изображения загружается вредоносное ПО.
Попав на компьютер, вредоносная программа модифицирует системный файл hosts, чтобы при попытке пользователя зайти на определенный легальный сайт, тайно перенаправлять его на фальшивую страницу, принадлежащую злоумышленникам. Вся информация, введенная пользователем на такой странице, автоматически попадает к злоумышленникам.
В файле hosts, модифицированном программой Win32/Bicololo, были обнаружены ссылки на сайты «Одноклассники» и «Вконтакте», а также на портал Mail.ru – т.е. угроза нацелена на пользователей именно этих ресурсов.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Следует отметить, что, хотя измененный файл hosts содержит адреса мобильных версий сайтов (m.ok.ru, m.vk.com и др.), угроза Win32/Bicololo не распространяется на мобильные платформы и рассчитана только на семейство операционных систем Windows.
Эксперты ESET обнаружили образцы описываемой модификации Win32/Bicololo в один день в четырех разных странах: Аргентине, Бразилии, Колумбии и Чили. Именно поэтому сначала предполагалось, что эта угроза имеет латиноамериканское происхождение.
Тем не менее, детальный анализ угрозы подтверждает ее российские корни: в коде Win32/Bicololo встречаются комментарии на русском языке. Кроме того, в одном из файлов, создаваемых вредоносной программой, была обнаружена фраза «стою у трапа самолета». Это строка из песни «Аэропорт» 1987 года, которую исполнял Александр Барыкин.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Ссылки на вредоносное ПО Win32/Bicololo, замаскированные под jpg-изображения
По данным экспертов ESET, сайты с доменами .ar, .br, .cl и .c o, использованные для размещения вредоносного ПО, являются вполне легальными ресурсами. Они специально были заражены программами-взломщиками с целью распространения данной модификации Win32/Bicololo. Скорее всего, эти сайты были обнаружены злоумышленниками путем автоматического сканирования на предмет уязвимостей.
Кроме того, в своей схеме кибератаки преступники использовали два сервера. На одном были размещены фальшивые аналоги главных страниц «Вконтакте», «Одноклассники» и Mail.ru, второй использовался для связи с вредоносной программой. Эти сервера могли быть арендованы или взломаны киберпреступниками. Судя по IP-адресам, они расположены за пределами Латинской Америки.
В 2013 году семейство троянов Win32/Bicololo неизменно попадает в рейтинг наиболее распространенных в России вредоносных программ, ежемесячно составляемый аналитиками ESET.
Необходимо отметить, что различные модификации Bicololo могут распространяться разными способами, маскируясь под легальные приложения или файлы. Компания ESET рекомендует соблюдать осторожность, не открывать ссылки в незапрошенных сообщениях и не отключать антивирусное ПО.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #62 : 26 Августа 2013, 10:09 »
Вирус вымогатель изменяет учетные данные пользователей Windows, требуя связаться со своими разработчиками
Инструкции по оплате выкупа передаются жертвам через популярный в Китае сервис мгновенных сообщений.
Как сообщают исследователи безопасности из
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
в их распоряжении оказался образец вредоносной программы вымогателя, использующей довольно непривычные приемы мошенничества. Вместо угрожающих сообщений о штрафах и уголовном преследовании, ориентированный на китайских граждан вирус просто меняет учетные данные текущего пользователя Windows и перезагружает систему.
После этого жертвы злоумышленников, как правило, не могут вернуть себе доступ и для того, чтобы разобраться в ситуации связываются с создателем вируса через популярный в Китае IM-сервис - свой ID вирусописатели заботливо разместили на экране авторизации.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Далее злоумышленники требуют выплатить им 20 китайских юаней, что равняется примерно $3, в обмен на которые пользователю предоставляется новый пароль.
«Вирус написан на простом языке программирования и большей частью распространяется через популярный китайский сервис мгновенных сообщений», - поясняют эксперты Symantec. По их словам, проанализированный образец всегда генерирует один и тот же пароль - tan123456789.
Вместе с тем исследователи отмечают, что для нейтрализации действий вируса пользователю достаточно авторизоваться в любой другой учетной записи с правами администратора и сбросить пароль для заблокированной учетной записи.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #63 : 03 Сентября 2013, 14:24 »
Новый вирус в Facebook - в видеороликах
Он блокирует настройки браузера и не дает зайти на сайт производителей антивирусов
В Facebook гуляет очередной вирус. Пользователь получает личное сообщение о том, что его друг отметил его в видеоролике. Нажав на него, он попадает на страницу, где ему предлагают установить расширение или плагин (программный модуль, предназначенный для расширения возможностей программы) для своего браузера, чтобы он смог посмотреть видео. После того, как пользователь скачает плагин, злоумышленники получают доступ ко всем данным, хранящимся в браузере пользователя, в том числе, пароли к социальным сетям и электронной почте.
Предположительно, вирус распространяется со скоростью около 40 тысяч атак в час, а всего от него уже пострадало более 800 тысяч пользователей (речь идет о браузере Google Chrome). Изюминка вируса в том, что он блокирует доступ к настройкам браузера, и пользователь не может удалить расширение. Он также не может попасть на сайты производителей антивирусов.
Google и Facebook предпринимают меры по борьбе с вирусом. Первая компания заблокировала возможность расширения браузера, а вторая убирает ссылки на вредоносное
ПО.
Вирус за вирусом
Недавно был выявлен вирус в Instagram, который генерировал лайки и добавлял юзеров в друзья, несмотря на то, что сервис защищен от автоматических регистраций псевдопользователей.
Весной среди пользователей Facebook распространялся вирус, который от имени владельца профиля публиковал ссылки на страницы, ставил лайки, делился контентом, присоединялся к группам и общался в чате.
Вирус назывался Trojan:JS/Febipos.A, он маскировался под расширение для браузеров Google Chrome и Mozilla Firefox.
До этого в Facebook гулял вирус, который публиковал якобы от имени пользователя сообщение с вредоносной ссылкой. При этом в сообщении отмечались друзья пользователя. Если другие участники социальной сети переходили по ссылке, то их компьютеры также заражались.

Оффлайн Винни Пух

  • Винни очень любит мёд! Почему? Кто поймёт? В самом деле, почему Мёд так нравится ему?
  • *
  • Сообщений: 15878
  • Пол: Мужской
  • Имя : С@Ш@

Новости из мира вирусов
« Ответ #64 : 03 Сентября 2013, 19:12 »
ALENA%(( %(( %(( Блин . Им бы руки оторвать  .Пытаются проехать на неопытности народа . Я к примеру зная на такое не попадусь . Да и многие продвинутые пользователи . Зная что качать и для чего , многие просто закроют браузер .  er er er А те кто не знает думаю таких большинство . Попадутся на удочку . На что и надеются злоумышленники .  ;((( ;((( ;(((

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #65 : 10 Сентября 2013, 12:27 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о широком распространении вредоносной программы BackDoor.Saker.1, обходящей механизм контроля учетных записей пользователей. Основная функция BackDoor.Saker.1 — выполнение поступающих от злоумышленников команд, и, главное, перехват нажимаемых пользователем клавиш (кейлоггинг).
Проникнув на инфицируемый компьютер, троянец запускает на исполнение файл temp.exe, предназначенный для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC). Этот файл извлекает из ресурсов библиотеку для обхода UAC и встраивается в процесс explorer.exe. После этого данная библиотека сохраняется в одной из системных папок. Далее, при запуске системной утилиты Sysprep, эта библиотека запускает вредоносное приложение ps.exe, детектируемое антивирусным ПО Dr.Web как Trojan.MulDrop4.61259. В свою очередь, данный файл сохраняет в другую папку еще одну библиотеку, которую регистрирует в реестре Windows в качестве службы с именем «Net Security Service» и следующим описанием: «keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device». Именно в этой библиотеке и сосредоточен основной вредоносный функционал бэкдора.

После успешного запуска BackDoor.Saker.1 собирает и передаёт злоумышленникам сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объём физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска. Затем троянец создает в одной из системных папок файл, в который записываются нажатия пользователем клавиш на клавиатуре компьютера. После этого бэкдор ожидает ответ от удаленного сервера, в котором могут содержаться следующие команды: перезагрузка, выключение компьютера, самоудаление, запуск отдельного потока для выполнения команды через командный интерпретатор, или для запуска собственного файлового менеджера, который имеет возможность выгружать файлы с машины пользователя, загружать файлы по сети, создавать папки, удалять, перемещать файлы, а также запускать их.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Сигнатура данной вредоносной программы добавлена в вирусные базы, и потому BackDoor.Saker.1 не представляет опасности для пользователей антивирусного ПО Dr.Web.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #66 : 17 Сентября 2013, 19:58 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Злоумышленники рассылают пользователям письма о голосовых сообщениях в WhatsApp.
Эксперты компании Trend Micro зафиксировали спам-кампанию, направленную на распространение вирусов на нескольких платформах, среди которых Windows, Android и iOS, при этом владельцы не взломанных устройств Apple угрозе не подвержены.
Злоумышленники рассылают своим потенциальным жертвам письма якобы от разработчиков WhatsApp. В этих письмах говорится о том, что получателю пришло голосовое сообщение. Когда жертва нажимает на кнопку «Play» для того чтобы проиграть аудио, она перенаправляется на вредоносную web-страницу.
На вредоносной странице владельцам ПК предлагают установить более новую версию браузера, но вместо обновления им устанавливается вирус. «Ясно, что мобильные платформы рассматриваются (вирусописателями) как основные. На Android вредоносный сайт загружает, browser_update_installer.apk, определяемый как ANDROIDOS_OPFAKE.CTD. Загруженный файл маскируется как «Browser 6.5». После запуска открывается файл .html, показанный на рисунке. Если пользователь по ошибке нажимает кнопку «Agree», вредоносное приложение отправляет текстовые сообщения по определенным телефонным номерам. Жертву также попытаются убедить установить на устройство еще одну вредоносную программу», - говорится в уведомлении Trend Micro.
На iOS-устройства данный вирус установиться не может, хотя полоса прогресса и отображается, так как по умолчанию приложения на них устанавливаются только с официального магазина. При этом, неизвестно, могут ли себя считать защищенными владельцы Apple-устройств с Jailbreak.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #67 : 25 Сентября 2013, 19:39 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Антивирусная компания ESET сообщает о стремительном росте активности опасной троянской программы FileCoder, которая шифрует личные файлы пользователя с целью получения выкупа за расшифровку. Большую часть пострадавших составляют российские пользователи.
Эксперты компании ESET зафиксировали необычный всплеск активности семейства вредоносных программ Filecoder. Согласно данным, полученным при помощи облачной технологии ESET Live Grid, активность Win32/Filecoder по сравнению со средним уровнем, зафиксированным в первой половине 2013 года, возросла более чем на 200%.
От данной активности больше всего пострадали пользователи из России. По данным ESET, на нашу страну приходится 44% обнаружений. Кроме того, значительная доля заражений зафиксирована в Европе – от вымогателей FileCoder пострадали пользователи из Германии, Испании, Италии, Польши, Румынии, Украины и Чехии. Также заражения этим вредоносным ПО были отмечены в США.
Попав на компьютер, троян шифрует файлы пользователя, по расширению выбирая те, которые с наибольшей вероятностью представляют для него ценность: как правило, это документы, фотографии, музыкальные файлы и различные архивы.
В информационном окне трояна киберпреступники могут сообщить, что доступ к компьютеру пользователя ограничен, поскольку данный ПК является источником чрезвычайно опасного вируса или распространяет ссылки на детскую порнографию. За «чрезвычайно тяжелую работу по детектированию вируса» от пользователя могут потребовать заплатить от 100 до 3 000 евро.
«Семейство Win32/Filecoder представляет большую угрозу, чем другие разновидности блокеров-вымогателей, поскольку могут шифровать файлы пользователя. Разные модификации FileCoder используют разные по сложности алгоритмы шифрования, - говорит Роберт Липовски, аналитик антивирусной лаборатории ESET. - Суммы выкупа варьируются от 100 до 200 евро, однако некоторые варианты могут запрашивать суммы до 3 000 евро. Потребовать такой большой выкуп могут в тех случаях, когда зараженный компьютер принадлежит какой-либо компании».
«Деструктивность и последствия от заражения такой вредоносной программой трудно переоценить, так как пользователь лишается всех своих данных. Риски потери важной информации только увеличиваются, если речь идет о заражении компьютеров сотрудников компании, поскольку в этом случае может пострадать корпоративная информация, - говорит Артем Баранов, ведущий вирусный аналитик ESET Russia. - Если в случае обычных вымогателей, которые блокируют рабочий стол пользователя, можно избавиться через несколько общеизвестных действий в ОС, то в случае с шифровальщиком, на это может уйти очень много времени. Все зависит от конкретной модификации FileCoder».

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #68 : 28 Сентября 2013, 10:31 »
А я все вас пугаю ,дорогие мои пользователи . :jokingl:   Но мы же за безопасный секс ность  ;))  А кто предупрежден ,тот вооружен (с)Очередная страшилка  dm
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Вредоносная программа осуществляет атаки через runtime-память, напрямую получая доступ к информации, находящейся в памяти компьютера.
Патрик Стьюин и Илья Быстров из FGSect при Техническом университете Берлина разработали новую вредоносную программу, жертвами которой становились 32- и 64-битные версии ОС Windows и Linux, и которая способна обойти ASLR-функционал. Эта вредоносная программа впервые появилась в прошлом году под названием DAGGER в качестве кейлоггера. Сейчас ее функционал был обновлен, и она способна осуществлять атаки через runtime-память, напрямую получая доступ к информации, находящейся в памяти компьютера.
Вся опасность разработки экспертов заключается в том, что она может атаковать и похищать данные из выделенных сервисов, через систему DMA (Direct Memory Access).
«Атаки через систему DMA, запущенные с периферийный устройств, способны скомпрометировать хост без эксплуатации уязвимостей в операционной системе, работающей на хосте», - отмечают специалисты. Более того, указывается, что в настоящее время ни одна операционная система не содержит механизмов, которые способны противостоять DMA-атакам.
Стоит отметить, что экспертам удалось разработать инструмент для обнаружения вредоносного ПО. Созданный сенсор, который получил название BARM, способен зафиксировать наличие Dagger и ему подобных вредоносных программ. При этом сенсор не влияет на скорость выполнения процессов на машине.
Более подробную информацию о Dagger и сенсоре для его обнаружения исследователи представят на 16-ом симпозиуме по вопросам кибератак, вторжений и нападений в октябре в Сент-Люсии.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #69 : 03 Октября 2013, 21:02 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Международная антивирусная компания ESET сообщает новые подробности о трояне FilеCoder, который шифрует личные файлы пользователя с целью получения выкупа за расшифровку.
Напомним, что с июля 2013 года активность Win32/Filecoder возросла втрое, по сравнению со средними показателями первой половины года. От действий трояна сильнее всего пострадали российские пользователи – по данным ESET, на нашу страну приходится 44% обнаружений FileCoder. Кроме того, значительная доля заражений зафиксирована в Европе и США.
Число жертв FileCoder во всем мире ежедневно увеличивается на сотни.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

График активности троянов из семейства Win32/FileCoder в 2013 году
Для заражения ПК разработчики FileCoder и его модификаций используют целый ряд методик, в том числе:
— скрытая установка с помощью набора эксплойтов, использующих различные программные уязвимости (drive-by download);
— вредоносные вложения в письмах, рассылаемых злоумышленниками по электронной почте;
— установка с помощью другой троянской программы.
Также была зафиксирована установка FileCoder вручную, c использованием доступа к компьютеру жертвы через службу подключения к удаленному рабочему столу Windows.
Попав на компьютер тем или иным способом, троян шифрует файлы пользователя, по расширению выбирая те, которые с наибольшей вероятностью представляют для него ценность – как правило, документы, фотографии, музыкальные файлы или архивы.
Для шифрования файлов различные модификации FileCoder могут использовать как встроенный функционал самого трояна, так и сторонние легальные программы – например, была отмечена архивация файлов при помощи WinRAR с функцией защиты паролем.
После шифрования или архивации FileCoder избавляется от оригинального файла – иногда он просто удаляется (в таких случаях его нетрудно восстановить программными средствами), но чаще удаленные файлы перезаписываются без возможности восстановления. Таким образом, на зараженном ПК остается только одна копия файла, надежно зашифрованная трояном-вымогателем.
Для информирования пользователя о том, что его ПК заражен, а файлы зашифрованы, троян демонстрирует всплывающее окно с подробной информацией о том, как расшифровать файлы. Различные модификации трояна используют разные варианты текста, причем на разных языках. Эксперты ESET обнаруживали сообщения на русском и английском языках, а также на плохом английском, похожем на результат работы онлайн-переводчика.
Что примечательно, в сообщении, демонстрируемом зараженному пользователю, киберпреступники могут выдавать себя за официальную государственную службу, которая ограничила доступ к компьютеру, поскольку данный ПК якобы является источником чрезвычайно опасного вируса или же распространяет ссылки на детскую порнографию.
Описывая действие выдуманного вируса, киберпреступники с иронией упоминают, что он опасен тем, что блокирует файлы пользователя и требует за разблокировку крупную сумму (меньшую, чем указано в сообщении самих мошенников). Также в сообщении особо отмечено, что пользователь не должен пытаться удалить этот опасный вирус, поскольку с ним не смогли справиться даже государственные спецслужбы.
Существуют два способа избавиться от «вируса», пишут авторы настоящей вредоносной программы, – надо просто подождать 66 с небольшим нониллионов (1054) лет или же заплатить «специалистам». За «чрезвычайно тяжелую работу по детектированию вируса» от пользователя могут потребовать заплатить в среднем 100-200 евро (или схожую сумму в рублях), но некоторые модификации могут запрашивать до 3000 (трех тысяч) евро.

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Примеры сообщений, которые показываются жертвам в окне вымогателя
Конечно, даже выполнение требований киберпреступников не гарантирует возвращения доступа к зашифрованным файлам. А в случае сложной методики шифрования у пользователя без ключа просто нет возможности расшифровать файлы самостоятельно. Поэтому, помимо полноценной антивирусной защиты, важно регулярное резервное копирование ценной информации.
Стоит отметить, что все решения ESET NOD32 успешно обнаруживают вредоносные файлы семейства Win32/FileCoder.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #70 : 16 Октября 2013, 14:00 »
Обнаружена новая версии Egobot
Как сообщают в Symantec, эксперты антивирусной компании обнаружили распространение трояна Backdoor.Egobot, представляющего собой крайне эффективный хакерский инструмент для проведения целевых атак. В настоящий момент зафиксированы случаи использования вредоносного приложения на пользователей из Кореи.
Как отмечают исследователи, вирусные атаки с применением Egobot фиксируются еще с 2009 года и на протяжении этого времени программа беспрерывно эволюционировала, совершенствуя свои функциональные возможности. В настоящий момент, основной целью злоумышленников являются руководители крупных корейских предприятий, а также состоятельные предприниматели, имеющие деловые отношения с корейскими организациями.
Среди прочего, жертвами хакеров стали ряд компаний, специализирующихся на финансах, инвестициях, инфраструктуре, а также на оборонных и правительственных проектах.
В подавляющем большинстве инцидентов, основной задачей Egobot являлось хищение конфиденциальной информации, хранимой на инфицированной системе. В этих целях злоумышленники отправляли жертвам фишинговые письма с вредоносными вложениями. Последняя версия вируса эксплуатировала уязвимости в Microsoft Office и Adobe Flash Player .

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #71 : 17 Октября 2013, 21:37 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о появлении нового Android-троянца, предназначенного для кражи у южнокорейских пользователей их конфиденциальных сведений. По своему функционалу он схож с аналогичными вредоносными программами, однако при его создании злоумышленниками была использована уязвимость операционной системы Android, позволяющая обойти проверку антивирусными программами, что существенно увеличивает потенциальный риск для владельцев Android-устройств. В настоящий момент основная «зона обитания» этого троянца — Южная Корея, однако в будущем его возможные модификации вполне могут начать распространяться и в других странах.
Новый троянец, добавленный в вирусную базу Dr.Web как Android.Spy.40.origin, распространяется среди южнокорейских пользователей при помощи нежелательных СМС-сообщений, содержащих ссылку на apk-файл. В настоящий момент это один из самых популярных методов, который используется киберпреступниками в Юго-Восточной Азии (преимущественно в Южной Корее и Японии) для распространения вредоносного программного обеспечения для ОС Android. После установки и запуска Android.Spy.40.origin запрашивает у пользователя доступ к функциям администратора мобильного устройства, а затем удаляет свой значок с главного экрана, скрытно продолжая свою работу.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Далее троянец соединяется с удаленным сервером, откуда получает дальнейшие указания. В частности, Android.Spy.40.origin способен выполнить следующие действия:
начать перехват входящих СМС и загрузку их содержимого на сервер (от пользователя эти сообщения скрываются);
блокировать исходящие звонки;
отправить на сервер список контактов или список установленных приложений;
удалить или установить определенное приложение, указанное в поступившей команде;
отправить СМС на заданный в команде номер с указанным текстом.
Эта вредоносная программа может представлять серьезную угрозу для пользователей, т.к. в перехватываемых ею СМС-сообщениях может содержаться конфиденциальная информация, включающая как личную, так и деловую переписку, сведения о банковских реквизитах, а также одноразовые mTAN-коды, предназначенные для защиты совершаемых финансовых операций. Кроме того, полученный киберпреступниками список контактов впоследствии может быть использован для организации массовых СМС-рассылок и фишинг-атак.
Однако главной особенностью Android.Spy.40.origin является использование уязвимости ОС Android, которая позволяет вредоносной программе избежать детектирования существующими антивирусными решениями. Для этого злоумышленники внесли в apk-файл троянца специальные изменения (apk-файл является стандартным zip-архивом, имеющим другое расширение).
Согласно спецификации формата zip, заголовок архива для каждого из находящихся в нем файлов имеет специальное поле General purpose bit flag. Установленный нулевой бит этого поля указывает на то, что файлы в архиве зашифрованы (защищены паролем). Иными словами, несмотря на фактическое отсутствие пароля, при значении этого бита равным 1 архив должен обрабатываться как защищенный.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Как видно на изображении выше, в нормальных условиях при попытке распаковки такого zip-файла выдается соответствующее предупреждение о необходимости ввода пароля, однако в случае с ОС Android алгоритм обработки подобных архивов имеет ошибку и заданный нулевой бит игнорируется, что позволяет выполнить установку программы. В отличие от операционной системы, имеющей данную уязвимость, различные антивирусные приложения должны корректно обрабатывать поле General purpose bit flag, считая файл защищенным при помощи пароля и не сканируя его даже в том случае, если запись о содержащемся в apk-пакете вредоносном файле имеется в вирусной базе.
Специалисты компании «Доктор Веб» оперативно внесли в функционал антивируса Dr.Web для Android необходимые изменения, поэтому вредоносные программы, использующие описанный выше метод, успешно им детектируются. Тем не менее, пользователям Android-устройств настоятельно рекомендуется соблюдать повышенную осторожность и не устанавливать подозрительные приложения, а также не переходить по ссылкам, полученным в нежелательных СМС-сообщениях.

Оффлайн lexus

  • *
  • Сообщений: 1527
  • Пол: Мужской
  • Статус : ути-пути

Новости из мира вирусов
« Ответ #72 : 18 Октября 2013, 13:59 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.


гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь



Цитата
Зверушка под названием CryptoLocker, всплыла на Реддите и в новостях на Арс Технике.

Целевая аудитория зверя — машины от ХР до 7-ки 64-бит. Зловред распространяется в аттачах к имейлам и не детектируется антивирями сразу (реддитовцы протестировали на MSE, Trend Micro WFBS, Eset, и Касперском). Жертвы ботнета Zeus так же получили данный вирус через пуш.

Virustotal scan
Зловред использует public 2048-bit RSA ключ и берёт private ключ с C&C сервера для зашифровки документов в алфавитном порядке на диске, а так же на всех расшареных сетевых папках где имеет доступ к записи (у многих так были зашифрованы сетевые бэкапы). При активации вирус создаёт Зашифрованные файлы попадают под маску: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c, *.pdf, *.tif

Закончив своё тёмное дело или при отключении от интернета, CryptoLocker выводит окошко наподобие того что вы видите вверху и просит $300 или 2BTC на определённый счёт, за расшифровку данных. На всё про всё жертве даётся 72 часа (правда таймер можно обмануть через BIOS), после чего малварь самоудаляется. Так же, на данный момент многие провайдеры уже заблокировали C&C сервера, и поэтому некоторые жертвы не смогут даже выкупить свои файлы.

От переводчика: хочется много нецензурного сказать про то что 21 век на дворе и что пора бы уже перестать открывать экзешники в аттачах, но не буду. Делайте холодные бэкапы, машу вать.

Оффлайн Nik

  • *
  • Сообщений: 9729
  • Пол: Мужской

Новости из мира вирусов
« Ответ #73 : 24 Октября 2013, 19:56 »
Троян-вымогатель научился заражать пользователей через поиск Google

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь


ESET сообщила о новом способе распространения троянской программы Nymaim, которая может блокировать компьютер пользователя с целью получения выкупа за расшифровку.
С конца сентября 2013 года внимание экспертов привлекла уже известная вредоносная программа Nymaim – троян с функциями вымогателя. Раньше заражение этим ПО осуществлялось при помощи известного комплекта взломщиков-эксплойтов BlackHole, которые использовали имеющиеся на компьютере уязвимости приложений или операционной системы для доставки вредоносного кода. Однако недавно появилась информация о том, что автор комплекта BlackHole был задержан в России. Похоже, в этой связи злоумышленники стали использовать новый способ заражения пользователей.

С конца сентября было зафиксировано большое количество обнаружений этой вредоносной программы среди загруженных при помощи браузера файлов. Эксперты установили, что реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежат Google. Это означает, что перед заражением пользователь ввел в Google-поиск некий запрос и кликнул на одну из ссылок в поисковой выдаче.

Согласно результатам исследования веб-страниц, которые инициировали загрузку вредоносного кода, для масштабного заражения злоумышленники использовали т.н. «темную поисковую оптимизацию» (Black Hat SEO), с помощью которой продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам.

Кликнув на такую ссылку в поисковой выдаче, пользователь перенаправляется на вредоносную страницу и инициирует загрузку архива, название которого – для повышения доверия пользователей – соответствует введенному в строку поиска тексту. Т.е. один и тот же архив будет загружен с разными именами, в зависимости от поискового запроса. Вот несколько примеров обнаруженных экспертами ESET названий одного файла:

video-studio-x4.exe
speakout-pre-intermediate-wb-pdf.exe
new-headway-beginner-3rd-edition.exe
donkey-kong-country-3-rom-portugues.exe
barbie-12-dancing-princesses-soundtrack.exe

Как можно видеть, в данном случае зараженные пользователи искали программу-редактор видео, учебник английского языка, образ игры Donkey Kong, саундтрек к мультфильму «Барби и 12 танцующих принцесс» и т.д. Так или иначе, загруженный под любым названием вредоносный архив содержит исполняемый файл, который после запуска устанавливает в систему код Nymaim.

Win32/Nymaim заражает систему в два этапа. Попав на компьютер, первый вредоносный файл осуществляет скрытую загрузку и запуск второго файла, который, в свою очередь, также может загружать дополнительное вредоносное ПО, а может и просто блокировать операционную систему для получения выкупа.

В ходе исследования аналитики обнаружили более десятка вариантов экрана блокировки, созданных на разных языках и с различным оформлением. Нетрудно догадаться, что их целью были пользователи из разных стран Европы и Северной Америки. На данный момент обнаружены экраны блокировки из Австрии, Великобритании, Германии, Ирландии, Испании, Канады, Мексики, Нидерландов, Норвегии, Румынии, Франции и США. Однако, этот список не является окончательным – скорее всего, существуют пострадавшие и в других странах. Пользователь из любой страны может быть заражен.

Интересно, что стоимость выкупа отличается для разных стран. В большинстве из найденных экранов блокировки цена выкупа составляет около $150, однако пользователей из США просят заплатить за разблокировку самую высокую цену – $300 долларов; в Румынии же зараженный пользователь может отделаться «всего лишь» 100 €, т.е. около $135.

Вся активность трояна Win32/Nymaim осуществляется в рамках кампании по распространению злонамеренного ПО, в процессе которой вредоносные Apache-модули заражают легальные веб-сервера, что приводит к перенаправлению пользователей на вредоносные сайты. Эта кампания, называемая The Home Campaign, продолжается с февраля 2011 года. По данным независимых исследований, за это время злоумышленники заразили почти 3 млн компьютеров.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #74 : 03 Ноября 2013, 13:52 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Известный специалист по информационной безопасности и авторитетный хакер Драгос Руйю (Dragos Ruiu) рассказал о проекте, которым он занимается в последнее время. Это очень необычный руткит под названием badBIOS, который он обнаружил на своих компьютерах три года назад.
Руткит оказался очень странным. Во-первых, он заражал компьютеры под Linux, Windows, OS X и OpenBSD. Он исключительно живуч — даже полная переустановка системы не помогала избавиться от него. Загрузка с CD на зараженных компьютерах не работала. Что самое странное, даже после отключения компьютера от локальной сети, перезаписи BIOS и замены жесткого диска этот компьютер вскоре снова проявлял признаки заражения. Исследователь долго не мог понять, как такое возможно. Такие мистические истории больше похожи на сюжет научно-фантастического фильма или компьютерные «страшилки» 90-х годов, в которые никто не верил.
В последнее время Драгос Руйю посвятил много времени исследованию необычного феномена, историю его изысканий можно посмотреть и в твиттере по хэштегу #badBIOS. Самая необычная теория, которую он выдвинул за эти месяцы, — что зловред способен передавать информацию с компьютера на компьютер в высокочастотном звуковом диапазоне, используя колонки и микрофон.
В общем, это исключительно невероятная история. Легче всего усомниться в словах Драгоса Руйю, ведь его историю до сих пор не подтвердил никто из коллег, и нет информации от антивирусных компаний. Но мы говорим не о простом компьютерщике, а об известном хакере, организаторе известных хакерских конференции CanSecWest и PacSec и основателе хакерского конкурса Pwn2Own! Авторитет Драгоса здесь поставлен на карту, и он бы не стал поднимать эту историю на пустом месте. Кстати говоря, как один из известных хакеров он может быть мишенью для таргетированной профессиональной атаки со стороны спецслужб.
Вскоре история должна проясниться, когда образец зараженного BIOS опубликуют на malware.lu.
Хотя факт существования «супер-руткита» не подтвержден, но некоторые известные специалисты склонны считать, что история серьезная. Например, Алекс Стамос (Alex Stamos) на прошлой неделе опубликовал твит, что всем нужно обязательно следить за развитием этого дела. Его коллега Джефф Мосс (Jeff Moss), организатор конференций Defcon и Blackhat, советник Департамента по национальной безопасности США, сделал ретвит с комментарием: «Без шуток, это очень серьезно».
Кстати, некоторые эксперты видят за руткитом след российских хакеров, потому что якобы только русские способы разработать программу такой сложности.