Для тех ,кто решил зарегистрироваться на форуме «Беседка» !
Категорически запрещена регистрация  с одноразового и временного e-mail !Такие пользователи будут отправляться в бан без объяснения причин.
После регистрации необходимо активировать свою учетную запись .Если Вы в почте не обнаружили письмо с активацией рекомендуется проверить папку «Спам».
С уважением
 Администрация форума

Автор Тема: Новости из мира вирусов  (Прочитано 82117 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #30 : 11 Апреля 2013, 15:39 »
Новый троянец охотится на пользователей, «блокируя» доступ к социальным сетям
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации —
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
об опасности заражения новой версией вредоносной программы Trojan.Zekos, одна из функций которой заключается в перехвате DNS-запросов на инфицированном компьютере. Этот механизм применяется вирусописателями в целях проведения фишинговых атак – на зараженной машине могут отображаться принадлежащие злоумышленникам веб-страницы вместо запрошенных пользователем сайтов.
С конца прошлой недели в службу технической поддержки компании «Доктор Веб» стали поступать заявки от пользователей, утративших возможность заходить на сайты социальных сетей. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. Вот примеры текстов, опубликованных злоумышленниками на поддельных веб-страницах, имитирующих «ВКонтакте» и «Одноклассники»:
«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».
«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».
При этом оформление веб-страниц и демонстрируемый в строке браузера адрес оказывались идентичны оригинальному дизайну и интернет-адресу соответствующей социальной сети. Кроме того, на поддельной веб-странице даже демонстрировалось настоящее имя пользователя, поэтому многие жертвы киберпреступников попросту не замечали подмены, считая, что их учетная запись в социальной сети действительно была взломана.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Проведенное вирусными аналитиками «Доктор Веб» расследование показало, что виновником инцидента стала видоизмененная вирусом системная библиотека rpcss.dll, являющаяся компонентом службы удаленного вызова процедур (RPC) в операционных системах семейства Microsoft Windows. А троянская программа, «дополнившая» библиотеку вредоносным объектом, получила название Trojan.Zekos, причем она умеет заражать как 32-битные, так и 64-битные версии Windows. Примечательно, что первые версии данного троянца были найдены еще в начале 2012 года, однако эта модификация вредоносной программы обладает некоторыми отличиями от своих предшественников.
Trojan.Zekos состоит из нескольких компонентов. Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именем и расширением, отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе. Затем троянец модифицирует библиотеку rpcss.dll, добавляя в нее код, основное предназначение которого — загрузка в память компьютера хранящейся на диске копии троянца. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1000000.
Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari и др. Таким образом, при попытке, например, посетить сайт популярной социальной сети, браузер пользователя получит в ответ на DNS-запрос некорректный IP-адрес запрашиваемого ресурса, и вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу. При этом в адресной строке браузера будет демонстрироваться правильный URL. Помимо этого Trojan.Zekos блокирует доступ к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.
Сигнатура данной угрозы и алгоритм лечения последствий заражения троянцем Trojan.Zekos успешно добавлены в вирусные базы Dr.Web. Пользователям, пострадавшим от данной угрозы, рекомендуется проверить жесткие диски своих компьютеров с помощью антивирусного сканера, или воспользоваться бесплатной лечащей утилитой Dr.Web CureIt!

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #31 : 16 Апреля 2013, 09:57 »
Злоумышленники выпустили новую версию самого распространенного троянца в Рунете
Специалисты компании «Доктор Веб» – российского производителя антивирусных средств защиты информации –
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
новую и крайне оригинальную версию вредоносной программы Trojan.Mayachok. Троянцы этого семейства уже насчитывают порядка 1500 различных модификаций, причем некоторые из них являются самыми распространенными на компьютерах пользователей по статистике Dr.Web.
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
позволяет встраивать в просматриваемые пользователями веб-страницы постороннее содержимое, благодаря чему злоумышленники получают возможность зарабатывать на жертвах этой вредоносной программы, подписывая их на различные платные услуги.
В процессе изучения архитектуры троянца Trojan.Mayachok.18607 у вирусных аналитиков «Доктор Веб» сложилось впечатление, что автор попытался переписать код этой вредоносной программы «с чистого листа», опираясь на логику семейства Trojan.Mayachok. То есть, не исключено, что у популярных среди злоумышленников троянцев семейства Trojan.Mayachok появился новый автор.
Trojan.Mayachok.18607 способен инфицировать как 32-разрядные, так и 64-разрядные версии ОС Windows. В момент запуска троянец вычисляет уникальный идентификатор зараженной машины, для чего собирает информацию об оборудовании, имени компьютера и имени пользователя, после чего создает свою копию в папке MyApplicationData. Затем троянец модифицирует системный реестр с целью обеспечения автоматического запуска собственной копии. В 32-разрядных версиях Windows Trojan.Mayachok.18607 встраивается в предварительно запущенный процесс explorer.exe, после чего пытается встроиться в другие процессы. В архитектуре вредоносной программы предусмотрен механизм восстановления целостности троянца в случае его удаления или повреждения.
В 64-разрядных версиях Windows троянец действует несколько иначе: Trojan.Mayachok.18607 видоизменяет ветвь системного реестра, отвечающую за автоматическую загрузку приложений, запускает свой исполняемый файл и еще одну копию самого себя, после чего удаляет файл дроппера. Троянец периодически проверяет наличие двух своих копий в памяти инфицированного компьютера, а также соответствующих записей в реестре.
В момент запуска Trojan.Mayachok.18607 определяет наличие на инфицированном компьютере антивирусных программ, проверяя имена активных процессов, а также пытается определить, не запущен ли он в виртуальной среде. Завершив установку в инфицированной системе, Trojan.Mayachok.18607 пытается встроиться во все процессы Windows, в том числе, в процессы вновь запускаемых браузеров. Затем троянец сохраняет в одну из папок собственный конфигурационный файл. После этого Trojan.Mayachok.18607 устанавливает соединение с управляющим сервером и отправляет злоумышленникам информацию об инфицированном компьютере. Кроме конфигурационных данных ответ удаленного сервера может содержать команду на загрузку исполняемого файла. После загрузки Trojan.Mayachok.18607 запускает этот файл. Помимо прочего, конфигурационный файл содержит скрипт, который троянец встраивает во все просматриваемые пользователем веб-страницы.
Основное предназначение Trojan.Mayachok.18607 заключается в осуществлении так называемых веб-инжектов: при открытии различных веб-страниц вредоносная программа встраивает в них постороннее содержимое. Под угрозой находятся браузеры Google Chrome, Mozilla Firefox, Opera и Microsoft Internet Explorer нескольких версий, включая последние. Пользователь зараженной машины при открытии некоторых популярных интернет-ресурсов может увидеть в окне обозревателя оригинальную веб-страницу, в которую троянец встраивает постороннее содержимое. Например, на сайте социальной сети «ВКонтакте» пользователю может быть продемонстрировано сообщение:
Цитата
На вашу страницу в течение 24 часов было сделано более 10 неудачных попыток авторизации (вы или кто-то другой ввели неверный пароль 12 раз). Аккаунт временно заблокирован для предотвращения взлома. Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите номер вашего мобильного телефона, к которому привязана страница. Если ранее страница не была привязана к номеру Вашего мобильного телефона, то она будет привязана к номеру, который вы введете ниже.
Проверка системного файла hosts, в который некоторые троянцы вносят изменения (что может служить одним из признаков заражения), также не принесет должного результата: Trojan.Mayachok.18607 не модифицирует данный файл. При этом троянец располагает вариантами поддельных веб-страниц для многих интернет-ресурсов, в частности, пользователи социальной сети «Одноклассники» могут получить сообщение следующего содержания:
Цитата
Вы пытаетесь зайти из необычного места. Если вы пытаетесь войти из привычного места, возможно, провайдер сменил ваш IP.
После ввода номера мобильного телефона пользователь оказывается подписан на услуги веб-сайта
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
, стоимость подписки составляет 20 рублей в сутки. Услуга предоставляется совместно с компанией ЗАО «Контент-провайдер Первый Альтернативный». В качестве другого метода монетизации злоумышленники используют так называемые «псевдоподписки»: с номера 6681 жертве приходит СМС с текстом «Для подтверждения ответьте DA на эту SMS. Поддержка 7hlp.com или 88001007337(бесплатно)». Стоимость ответного сообщения составляет 304.79 руб.
На том же IP-адресе, где располагается сайт vkmediaget.com, платные услуги которого монетизирует троянец Trojan.Mayachok.18607, располагаются и другие интернет-ресурсы, например, odmediaget.com (для пользователей соцсети odnoklassniki.ru) — имена и оформление таких веб-страниц специально подобраны с целью ввести пользователей в заблуждение. Кроме того, на данном сервере расположен сайт mediadostupno.com, якобы предоставляющий услуги анонимайзера. В данном случае, как и во множестве аналогичных, сайт используется как прикрытие для одобрения предоставляемой подписки со стороны контент-провайдера и подключения мобильных платежей.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #32 : 20 Апреля 2013, 08:46 »
Очередная  "страшилка" . %((
Новый вариант вредоноса Gozi размещается в MBR
Исследователи из ИТ-компании Trusteer обнаружили новый вариант банковского троянца Gozi, способного инфицировать главную загрузочную запись MBR, чтобы избежать обнаружения со стороны антивирусов. Напомним, что MBR представляет собой начальный сектор на жестком диске, где содержатся данные о разбиении разделов носителя и сведения об установленных операционных системах. Загрузка данных из MBR начинается до того, как загружается операционная система с антивирусным программным обеспечением. Именно поэтому некоторые сложные вредоносные программы создаются в расчете на работу из MBR. Ранее работу из MBR применяли такие вредоносные коды, как TDL4 или TDSS.
Именно поэтому в операционной системе Windows 8 появилась функция Secure Boot для защиты нулевого сектора от сторонних записей. Эксперты говорят, что вредоносов, размещенных в MBR, очень сложно обнаружить и не все операционные системы в принципе способны обращаться к MBR штатными средствами.
В Trusteer говорят, что хотя размещение вредоносных кодов в MBR - это эффективный способ их сокрытия, подобные руткиты не могут работать с прикладными функциями, например воровать данные о платежах, поэтому им нужны модули в операционной системе.
Новый Gozu MBR применяет компонент, который ожидает запуска браузера Microsoft Explorer и внедряет вредоносный код в рабочие процессы браузера. Это позволяет вредоносу перехватывать и анализировать трафик в веб-сессиях, подобно тому, как это делают другие троянцы.
"Факт того, что новый вариант Gozi появился, говорит о том, что киберпреступники продолжают использовать этот вредоносный код для реализации противозаконных схем. Новый вариант очень похож на прежний, но он имеет MBR-компонент", - говорят в Trusteer.
В компании говорят, что не все антивирусные программы способны детектировать угрозу в MBR.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #33 : 23 Апреля 2013, 22:57 »
Троянцы-шифровальщики продолжают наступление на Россию и страны СНГ

Троянцы-шифровальщики за последние годы стали весьма распространенной категорией угроз. Во многом благодаря выгодной для злоумышленников модели монетизации, аналогичной той, что использовалась при массовом распространении Trojan.Winlock. Вредоносные программы семейства Trojan.Encoder отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифруют их. Зашифровав файлы, энкодеры требуют у жертвы оплатить их расшифровку, при этом сумма «выкупа» может достигать нескольких тысяч долларов.
Троянец Trojan.Encoder.205 и его более поздняя модификация — Trojan.Encoder.215 – начали массово распространяться в конце марта — начале апреля 2013 года. Как правило, заражение происходит с использованием массовой рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). С использованием этого эксплойта на компьютер жертвы проникает троянец-загрузчик, который, в свою очередь, скачивает и устанавливает энкодер. По данным на пятницу, 19 апреля 2013 года в службу технической поддержки компании «Доктор Веб» уже обратилось 105 пользователей, пострадавших от Trojan.Encoder.205, и 74 жертвы троянца Trojan.Encoder.215, при этом заявки продолжают поступать.
Зашифровав файлы на инфицированном компьютере, вредоносная программа демонстрирует на экране следующее сообщение, начинающееся с фразы «Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024» или «Все важные для Вас данные на этом компьютере (документы, изображения, базы данных, почтовая переписка и т.д.) зашифрованы с использованием уникального криптографического алгоритма. Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года.», при этом жертве предлагается отправить письмо на адрес электронной почты muranchiki@yahoo.com, gdf@gdfsgd.com, specialmist@gmail.com или decrypfiles@yahoo.com.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

В последнее время наблюдается распространение еще одной модификации данной угрозы, отличающейся от предшественниц другим текстом и адресом электронной почты (на 19 апреля служба технической поддержки «Доктор Веб» зафиксировала 58 обращений пользователей, пострадавших от этой угрозы).
Несмотря на заявления киберпреступников, обе модификации троянца используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации троянца пользовательские данные порой не могут расшифровать даже сами злоумышленники. Вместе с тем, этот алгоритм без труда поддается расшифровке специалистами «Доктор Веб». Если вы стали жертвой указанных вредоносных программ, воспользуйтесь следующими рекомендациями:
обратитесь с соответствующим заявлением в полицию;
ни в коем случае не пытайтесь переустановить операционную систему;
не удаляйте никаких файлов на вашем компьютере;
не пытайтесь восстановить зашифрованные файлы самостоятельно;
обратитесь в службу технической поддержки компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна;
к тикету приложите зашифрованный троянцем файл;
дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #34 : 27 Апреля 2013, 11:55 »
Программа-вымогатель требует заплатить штраф от имени Spamhaus

Как известно, названиями различных правоохранительных органов и контролирующих организаций весьма часто прикрываются киберпреступники, использующие как инструмент обогащения программы-вымогатели. Эксперты компания Spamhaus обнаружили, что киберпреступники распространяют вредонос, блокирующий экран инфицированного компьютера и требующий от жертв заплатить штраф за распространение вредоносных программ.Деньги вредоносная программа требует от имени Spamhaus. Так называемый штраф жертвам кибермошенников предлагается оплатить посредством MoneyPak.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Вредонос сообщает жертвам, что в случае неуплаты штрафа в течение 48 часов, их компьютер будет заблокирован, а файлы зашифрованы.
Spamhaus напоминает интернет-пользователям, что ни госорганы, ни контролирующие организации (включая Spamhaus) не используют подобную тактику взимания штрафов за нарушения.
Эксперты советуют жертвам кибермошенников не поддаваться на угрозы и пользоваться антивирусными решениями, удаляющими подобные вредоносы.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #35 : 02 Мая 2013, 19:51 »
Сейчас буду вас пугать . dm Целую кучу страшилок выложу . :jokingl:
Новый бэкдор охотится за самым популярным веб-сервером в мире
Eset обнаружил вредоносную кампанию в интернете, использующую бэкдор для популярных веб-серверов Apache и имеющих своей целью перенаправить пользователей на вредоносный сайт с набором эксплоитов для платформы BlackBerry.
В Eset говорят, что обнаружили вредоносную кампанию еще в пятницу и за минувшие несколько дней в ней уже оказались охвачены "многие сотни" сайтов.
Ригхард Цвайненберг, старший специалист по ИТ-безопасности Eset, говорит, что указанный бэкдор получил название Linux/Cdorked.A представляет собой одну из наиболее продвинутых атак в адрес сервера Apache, так как рассчитана она на серверное использование. На веб-серверах достаточно редко устанавливают антивирусы, но сами веб-серверы могут обслуживать сотни тысяч клиентов в сутки, поэтому ущерб от подобной атаки может быть очень существенным.
В Eset говорят, что для проникновения в целевую серверную систему вредоносный код применяет хитроумную систему теневых HTTP-запросов, которые в ряде случаев открывают доступ к серверному ПО, но не оставляют запросов в apache-логах на веб-сервере, что значительно затрудняет выявление взлома администраторами. После проникновения на сервер через ряд HTTP-POST-запросов бэкдор начинает выполнение своей основной задачи.
"В случае с Linux/Cdorked.A проблема заключается в том, что этот код не оставляет следов на скомпрометированной машине и не модифицирует исполняемые файлы httpd, что затрудняет выявление факта взлома", - говорят в Eset.
По словам антивирусной компании, выявить факт компрометации сервера можно либо при помощи ручного исследования файлов, либо при помощи посещения всех обслуживаемых сервером сайтов и поиска несанкционированных редиректов, либо путем установки антивируса на сервер, либо путем сложного дебаггинга памяти работающего сервера. Многие из перечисленных решений на современных серверах, обслуживающих десятки или даже сотни сайтов, просто невозможны.
Сообщается, что зараженные сайты ведут пользователей на несколько вредоносных ресурсов, связанных с эксплоитом Blackhole. В Eset говорят, что уже сейчас несколько сотен серверов заражено кодом, тогда как количество взломанных сайтов, скорее всего, идет на тысячи.
"Атака особенно опасна в свете того, что Apache - это самый популярный сервер в мире. Кроме того, многие серверы не обслуживаются антивирусами, поэтому точно говорить о масштабах заражения просто невозможно", - говорят в Eset.
В самой антивирусной компании говорят, что впервые наткнулись на указанный вредоносный код, когда обнаружили факты взлома сайтов двух известных неназванных компаний.

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Обнаружен бэкдор в системах с Apache, установленных вместе с Cpanel
Исследователи компании Sucuri обнаружили модифицированную версию бинарного файла web-сервера Apache, который перенаправлял некоторые адресованные к нему запросы на набор эксплоитов Blackhole.
Выявленный бэкдор предназначен для перенаправления трафика на вредоносные сайты.
Вредоносное ПО, поражающее компоненты http-сервера Apache, обнаружено на Linux-серверах, использующих панель управления хостингом Cpanel. В отличие от ранее встречающихся способов внедрения в Apache, основанных на загрузке отдельного троянского модуля, новый бэкдор отличается прямой интеграцией в исполняемый файл httpd. Вредоносная вставка добавляется непосредственно в исполняемый файл и перенаправляет на свой код несколько обработчиков, вызываемых в процессе обслуживания внешних запросов к http-серверу.
Обнаружение бэкдора намного усложнено тем, что он не оставляет каких-либо следов своей деятельности на жестком диске взломанного хоста. Так, вредоносное ПО сохраняет всю используемую им информацию в памяти, без привлечения жесткого диска. Для передачи служебной информации вредоносному коду злоумышленники также используют обфусцированные HTTP-запросы, которые не фиксируются в лог-файле работы Apache, в связи с чем следы взаимодействия вредоносного кода с C&C-сервером также отсутствуют.
Скомпрометированный web -сервер осуществляет перенаправление клиента на вредоносные страницы, для этого код бэкдора добавляет закодированную в формате base64 строку запроса, которая содержит информацию об оригинальном URL и был ли запрос адресован к js-файлу, для того, чтобы сервер смог предоставить правильную полезную нагрузку.
После перенаправления, для браузера клиента устанавливаются cookie, так что в дальнейшем, исключено его повторное перенаправление. Также эти cookie устанавливается в том случае, если запрашивается страница, похожая на страницу администрирования сервера.
Чтобы проверить системы на предмет инфицирования бэкдором, можно использовать тот факт, что вредонос использует вызов open_tty, которого нет в обычном httpd, поэтому если при выполнении grep -r open_tty /usr/local/apache/ будут выявлены файлы, то вероятно хост поражен вредоносным ПО.
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #36 : 03 Мая 2013, 14:08 »
"Троянский конь" в обличии Firefox
Долгие годы Mozilla считалась одной из самых защищенных интернет-компаний. Но британская Gamma International решила подмочить ее репутацию, замаскировав свое шпионящее программное обеспечение FinFisher под браузер Firefox.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь


Интересно, что Mozilla приходится иметь дело не с обычной группой хакеров. Gamma International - достаточно известная компания, специализирующаяся на производстве систем слежения и в том числе фишинга. У нее есть офисы по всему миру, но особой популярностью продукция пользуется на Ближнем Востоке, где власти закупают ПО для отслеживания инакомыслия. Программа FinFisher активно использовалась против активистов в Бахрейне и во время революции 2011 г. в Египте. И на этот раз вредоносное программное обеспечение замаскировалось на редкость удачно.
Firefox является одним из самых привычных и базовых типов софта. Это значит, что многие пользователи, скачав FinFisher в таком обличии, проигнорируют сигналы от системы безопасности компьютера. Впрочем, эта драма может закончиться очень быстро. Mozilla уже сделала предупредительный выстрел, потребовав от Gamma International отказа от распространения шпионящего ПО под личиной браузера. Если согласие не будет получено в ближайшее время, на разработчиков FinFisher подадут в суд.
Эксперты отмечают, что для Gamma International такое разбирательство нежелательно. Скорее всего, она откажется от маскировки под Firefox, но тут же найдет новую жертву.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #37 : 10 Мая 2013, 14:25 »
"Доктор Веб": троянец Trojan.Mods.1 подменяет веб страницы
Специалисты компании
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
одну из самых распространенных в апреле 2013 года угроз, троянца Trojan.Mods.1, ранее известного под наименованием Trojan.Redirect.140.
Согласно статистическим данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, количество случаев обнаружения этого троянца составило 3,07% от общего числа выявленных заражений. Ниже представлены краткие результаты проведенного исследования.
Троянец состоит из двух компонентов: дроппера и динамической библиотеки, в которой и содержится основная вредоносная нагрузка. В процессе установки на компьютер жертвы дроппер создает собственную копию в одной из папок на жестком диске и запускает себя на исполнение. В операционной системе Microsoft Windows Vista для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC) дроппер может запуститься под видом обновления Java, потребовав у пользователя подтверждения загрузки приложения.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Затем дроппер сохраняет на диск основную библиотеку троянца, которая встраивается во все запущенные на инфицированном ПК процессы, однако продолжает работу только в процессах браузеров Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Интернет, Яндекс.Браузер, Рамблер Нихром. Конфигурационный файл, содержащий все необходимые для работы Trojan.Mods.1 данные, хранится в зашифрованном виде в библиотеке.
Основное функциональное назначение Trojan.Mods.1 — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса. В результате деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы, где его просят указать номер мобильного телефона, а также ответить на присланное с короткого номера 4012 СМС-сообщение. Если жертва идет на поводу у мошенников, то с ее счета списывается определенная сумма.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

В архитектуре Trojan.Mods.1 предусмотрен специальный алгоритм, с помощью которого можно отключить перенаправление браузера на определенную группу адресов.
Сигнатура данной вредоносной программы добавлена в вирусные базы Dr.Web, и потому Trojan.Mods.1 не представляет угрозы для пользователей программных продуктов «Доктор Веб».

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #38 : 13 Мая 2013, 21:08 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Вредоносное ПО маскируется под обновления для Chrome и Firefox.
Эксперты Microsoft предупредили о вредоносном ПО, при помощи которого злоумышленники могут похищать у пользователей учетные данные в Facebook. Вредоносный код Trojan:JS/Febipos.A, впервые обнаруженный в Бразилии, определяется системой как расширения для Chrome и Firefox.
После загрузки на компьютер троян определяет, авторизован ли пользователь в своей учетной записи в Facebook. Далее вредонос загружает файл со списком браузерных расширений, после чего он может выполнять без ведома пользователя такие действия в соцсети, как открытие чат-сессий, расставление «лайков», открытие закрытой информации для сторонних пользователей, а также вступление в группы.
Некоторые варианты этого трояна также публикуют сообщения на португальском языке, содержащие ссылки на инфицированные страницы в Facebook. Пока неизвестно, каким образом вредоносное ПО загружается на компьютеры и какое количество систем уже стало его жертвами.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #39 : 16 Мая 2013, 21:57 »
Новый троянец охотится на пользователей Facebook, Twitter и Google Plus
Компания «Доктор Веб» — российский производитель антивирусных средств защиты — обнаружила неизвестный ранее функционал в новой вредоносной программе для Facebook, о которой сообщали многочисленные сетевые СМИ. Trojan.Facebook.311 может не только публиковать от имени пользователя новые статусы, вступать в группы, оставлять комментарии, но и рассылать спам в социальных сетях Twitter и Google Plus.
Троянская программа Trojan.Facebook.311 представляет собой написанные на языке JavaScript надстройки для популярных браузеров Google Chrome и Mozilla Firefox. Злоумышленники распространяют троянца с использованием методов социальной инженерии — вредоносные программы попадают в систему при помощи специального приложения-установщика, маскирующегося под «обновление безопасности для просмотра видео».
Примечательно, что установщик имеет цифровую подпись компании Updates LTD, принадлежащей Comodo. Надстройки называются Chrome Service Pack и Mozilla Service Pack соответственно. С целью распространения троянца злоумышленники создали специальную страницу на португальском языке, ориентированную, по всей видимости, на бразильских пользователей Facebook.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

После завершения установки в момент запуска браузера Trojan.Facebook.311 пытается загрузить с сервера злоумышленников файл с набором команд. Затем встроенные в браузеры вредоносные плагины ожидают момента, когда жертва выполнит авторизацию в социальной сети Facebook. После этого троянец может выполнять от имени пользователя различные действия, обусловленные содержащимися в конфигурационном файле командами злоумышленников: поставить «лайк», опубликовать статус, разместить на стене пользователя сообщение, вступить в группу, прокомментировать сообщение, пригласить пользователей из списка контактов жертвы в группу или отправить им сообщение. Помимо этого троянец может по команде злоумышленников периодически загружать и устанавливать новые версии плагинов, а также взаимодействовать с социальными сетями Twitter и Google Plus, в частности, рассылать спам.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

В последнее время Trojan.Facebook.311 был замечен за распространением в сети Facebook сообщений, содержащих изображение, которое имитирует встроенный в браузер медиаплеер.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

При щелчке мышью по нему пользователь перенаправляется на различные мошеннические ресурсы. Аналогичным образом с помощью личных сообщений и статусов троянец рекламирует мошеннические викторины, в которых якобы можно выиграть различные ценные призы.
Сигнатура данной угрозы добавлена в вирусные базы и потому не представляет опасности для пользователей антивирусных программных продуктов Dr.Web. Несмотря на то, что злоумышленники ориентировали Trojan.Facebook.311 на жителей Бразилии, схожая схема может быть применена и в отношении других пользователей Facebook. Специалисты «Доктор Веб» рекомендуют проявлять бдительность, не загружать и не устанавливать подозрительные приложения или «обновления безопасности» для браузеров.

Оффлайн Nik

  • *
  • Сообщений: 9729
  • Пол: Мужской

Новости из мира вирусов
« Ответ #40 : 18 Мая 2013, 17:22 »
Интернет-червь атак в чате на Facebook

Новая версия программы распространяется вредоносное Dorkbot через социальные сети сетей Facebbok чат и влияют на пользователей со всего мира сообщили, что разработчики информационной безопасности компании BitDefender.
Программа умеет шпионить за действиями пользователя на зараженную систему и кражи персональных данных. Увидели инцидентов в США, Индии, Великобритании, Германии, Турции и Румынии.

Есть разные варианты угрозы разделяют лаборатории BitDefender. MediaFire E Продолжительность записи угроза в виде файла изображения, и обнаруживаются Bitdefender приложений замаскированы. Jpeg файл, который на самом деле имеет впоследствии исполняемый файл.
В программе IRCBot, угроза может легко управляться с удаленного сервера и его действия - тоже разнообразны. Кроме того, Backdoor.IRCBot.Dorkbot (по определению BitDefender) может обновляться, что еще больше затрудняет ее открытия и удаление зараженной системе. Более того, эти характеристики могут позволить программе скрыть свое присутствие от антивирусного программного обеспечения, запрещающие загрузку и установку критических обновлений системы.

Компания сообщает, что вам избежать нажав на ссылку в чате на Facebook или на IRC каналах.

Malwarebytes сообщили о другом нападении на Skype

Антивирусные компании и информационной безопасности Malwarebytes сообщили, возникающих угроз, направленных на пользователей Skype.Атака маскируется под ложное сообщение, что исходит от контактного лица Skype, который утверждал, что он мог бы построить свою программу Skype премиум и ссылка на страницу. Конечно, последнюю страницу, пользователь обращается к Skype Premium, и украденную информацию (имя пользователя и пароль для Skype), то он будет доставлен и троянского коня в системе.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #41 : 11 Июня 2013, 10:14 »
Что то давно я вас не пугала  :jokingl: Вирусы тоже на каникулах что ли ?  :? Сейчас пугать начну  dm

Эпидемия Trojan.RpcTonzil в социальной сети ВКонтакте
Троянской программой RpcTonzil заражено не менее 50,000 пользователей социальной сети ВКонтакте
Санкт-Петербург, 10 июня 2013 г. – Компания Cezurity, российский разработчик средств защиты от вредоносных программ и хакерских атак, сообщает о том, что в текущий момент характер заражения пользователей социальных сетей троянской программой Trojan.RpcTonzil принимает характер эпидемии.
Так, по оценке вирусной лаборатории Cezurity, сегодня этой вредоносной программой заражено не менее 50,000 участников ВКонтакте. К такому выводу привел анализ данных, получаемых с помощью Cezurity Cloud - облачной технологии антивирусной защиты нового поколения, которая способна обнаруживать подобные угрозы с помощью выявления аномалий в файлах. Большинство антивирусных продуктов способны обнаружить лишь некоторые модификации Trojan.RpcTonzil. Заражению могут быть подвержены компьютеры под управлением операционных систем Microsoft Windows, причем как 32-битных, так и 64-битных.
В результате заражения злоумышленники получают целый ряд возможностей - от получения доступа к аккаунтам в социальной сети и последующей рассылки спама с взломанных страниц до похищения персональных данных пользователей и СМС-мошенничества.
Троянская программа Trojan.RpcTonzil модифицирует запросы компьютеров к DNS-серверу. В результате при попытке зайти в социальную сеть пользователь оказывается на специально созданной злоумышленниками фишинговой web-странице, которая имитирует и практически неотличима от страницы ВКонтакте, где сообщается о том, что аккаунт социальной сети был взломан. Злоумышленники предлагают создать новый пароль и верифицировать привязку своего номера мобильного телефона к аккаунту в социальной сети. Пользователей может обмануть адрес, который отображается в адресной строке браузера - он полностью соответствует правильному и возникает ощущение, что страница действительно принадлежит ВКонтакте.Троян также блокирует доступ к сайтам большинства антивирусных компаний и серверам обновления Microsoft. Таким образом, у антивирусных лабораторий зачастую нет достаточного количества данных для того, чтобы заметить распространение заражения. Отдельные варианты Trojan.RpcTonzil были обнаружены и детектировались антивирусными компаниями уже с начала марта этого года. Однако, на сегодняшний день распространение Trojan.RpcTonzil продолжается и большинством антивирусов вредоносная программа либо вообще не обнаруживается, либо детектируются лишь некоторые модификации.
Трудность обнаружения всех модификаций Trojan.RpcTonzil связана с тем, что в троянской программе используется достаточно сложная техника сокрытия от антивирусов. При этом на компьютеры жертв троянская программа может попадать различными способами. В некоторых случаях заражение может быть предотвращено встроенными в антивирусы поведенческими механизмами защиты.
"После заражения компьютера троянская программа существует только в зашифрованном виде. Ее расшифровка и автозапуск осуществляется с помощью небольшой модификации системной библиотеки rpcss.dll, - говорит Кирилл Пресняков, ведущий вирусный аналитик Cezurity, - троян использует технику заражения, похожую на метод EPO (Entry Point Obfuscation, скрытая точка входа). Большинство антивирусов не способно детектировать заражение, произведенное таким образом, то есть, не зная вируса "в лицо" - они могут обнаружить этот троян только по поведению. Осложняет детектирование и тот факт, что внедренный в системную библиотеку фрагмент носит условно-случайный характер".
Другим возможным препятствием для обнаружения и лечения вредоносной программы может быть географическая направленность атаки - заражение причиняет вред только пользователям российских социальных сетей.
"Эта троянская программа любопытна не как образец техники заражения - антивирусная индустрия давно знакома с похожими методами - говорит Алексей Чалей, генеральный директор Cezurity, - скорее история распространения трояна хорошо иллюстрирует сложившуюся в антивирусной индустрии ситуацию. Так, вредоносная программа известна уже три месяца, продолжает распространяться, однако, большинством антивирусных продуктов либо вообще не обнаруживается, либо они не способны корректно вылечить компьютер после заражения”.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #42 : 11 Июня 2013, 22:21 »

Новая версия троянца угрожает серверам на базе ОС Linux
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации —
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
об обнаружении новой версии троянской программы Linux.Sshdkit, представляющей опасность для работающих под управлением ОС Linux серверов. Согласно собранной аналитиками «Доктор Веб» статистике, на сегодняшний день от действий троянцев данного семейства пострадало уже несколько сотен серверов, среди которых имеются серверы крупных хостинг-провайдеров.
О первых версиях вредоносной программы Linux.Sshdkit компания «Доктор Веб» сообщала в феврале 2012 года. Данный троянец представляет собой динамическую библиотеку. При этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.
Специалисты компании «Доктор Веб» перехватили несколько управляющих серверов предыдущей версии Linux.Sshdkit. Кроме того, удалось собрать статистику не только по количеству зараженных машин, но и определить их адреса. Всего в течение мая 2013 года троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.
Обнаруженная специалистами «Доктор Веб» новая версия троянца, получившая название Linux.Sshdkit.6, также представляет собой динамическую библиотеку: в настоящий момент выявлена модификация, предназначенная для 64-битных Linux-систем. В данной реализации Linux.Sshdkit злоумышленники внесли ряд изменений с целью затруднить перехват вирусными аналитиками украденных паролей. Так, вирусописатели изменили метод определения адресов серверов, на которые троянец передает краденую информацию. Теперь для вычисления целевого сервера используется специальная текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 байт.
Кроме того, вирусописатели изменили алгоритм получения троянцем команд: теперь для их успешного выполнения вредоносной программе передается специальная строка, для которой проверяется значение хеш-функции.
Троянцы семейства Linux.Sshdkit представляют высокую опасность для серверов, работающих под управлением ОС Linux, поскольку позволяют злоумышленникам получить данные для несанкционированного доступа на сервер. Администраторам серверов, работающих под управлением ОС Linux, специалисты «Доктор Веб» рекомендуют проверить операционную систему на наличие данной угрозы.

Оффлайн Винни Пух

  • Винни очень любит мёд! Почему? Кто поймёт? В самом деле, почему Мёд так нравится ему?
  • *
  • Сообщений: 15878
  • Пол: Мужской
  • Имя : С@Ш@

Новости из мира вирусов
« Ответ #43 : 11 Июня 2013, 23:09 »
Что то давно я вас не пугала  :jokingl: Вирусы тоже на каникулах что ли ?  :? Сейчас пугать начну  dm
%)) %)) %)) Я не из пужанных  :)) :)) :))

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #44 : 11 Июня 2013, 23:13 »
Я не из пужанных
Winnie Pooh,
зараза к заразе не пристает, да ?  ;)