Для тех ,кто решил зарегистрироваться на форуме «Беседка» !
Категорически запрещена регистрация  с одноразового и временного e-mail !Такие пользователи будут отправляться в бан без объяснения причин.
После регистрации необходимо активировать свою учетную запись .Если Вы в почте не обнаружили письмо с активацией рекомендуется проверить папку «Спам».
С уважением
 Администрация форума

Автор Тема: Новости из мира вирусов  (Прочитано 123601 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79228
  • Пол: Женский

Новости из мира вирусов
« : 29 Декабря 2012, 15:25 »
Вредоносный Word-документ атакует россиян

Цитата
Эксперты FireEye обнаружили вредоносный Word-документ, предназначенный для использования в целевых атаках против русскоязычных пользователей, пишет блогер «Лаборатории Касперского» Татьяна Никитина. Чем она еще занимается в «Лаборатории Касперского», кроме написания постов, не очень понятно, но вот, что она пишет:
«Данный doc-файл содержит дроппер, который устанавливает в систему многокомпонентного зловреда, ворующего персональные данные. Эксперты нарекли его Sanny, воспользовавшись именем одного из email-адресов, используемых в данной схеме атаки. Для отвода глаз воспроизводится легальный документ ― русскоязычный справочный материал о форуме АСЕАН по безопасности.
По свидетельству экспертов, Sanny собирает идентификаторы к учетным записям из MS Outlook, Internet Account Manager; пароли к онлайн-сервисам, сохраненные в Firefox, а также параметры локали, региона и другую информацию, определяющую профиль пользователя. Краденые данные затем отсылаются через HTTP POST на C&C сервер. Любопытная деталь: зловред при этом обращается к веб-форме, размещенной на легальной странице корейской доски объявлений. Поскольку этот ресурс не требует авторизации, весь перечень жертв Sanny хранится на сервере в открытом виде. Инициатор атаки регулярно изымает эту информацию ― примерно раз в 2 дня ― и стирает ее из базы. Если доска объявлений недоступна, зловред пытается связаться с почтовым сервером Yahoo, также размещенным в Южной Корее, и отослать краденые данные на какой-либо из заданных почтовых адресов. FireEye обнаружила 2 таких адреса, и один из логинов ― jbaksanny ― вдохновил экспертов при выборе имени для данного зловреда.
Как определила FireEye, список жертв Sanny включает, в основном, российских пользователей, в частности, Университет дружбы народов и ИТАР-ТАСС. Эксперты нашли в нем также несколько антивирусных компаний и специалистов по компьютерной безопасности, изучающих эту угрозу. Корейский C&C сервер пока активен. По последним данным, многие антивирусы списка Virus Total уже детектируют зловредного дроппера как Win32.Daws.»
Поблагодарили: Надежда, Нагайна

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79228
  • Пол: Женский

Новости из мира вирусов
« Ответ #1 : 29 Декабря 2012, 23:30 »
Троян-блокировщик перехватывает изображение с веб-камеры зараженного ПК

Цитата
Сотрудники компании «Доктор Веб» закончили анализ одного из плагинов, загружаемых на инфицированный ПК троянской утилитой Trojan.Gapz.1. В результате удалось выяснить, что за модулем скрывается типичный троян-блокировщик, способный подключаться к веб-камере пользователя.Как и в случае с утилитой Trojan.Winlock.7372, данный вымогатель, добавленный в вирусные базы как Trojan.Winlock.7384, не использует собственных изображений и текстов: вместо этого троянское приложение формирует контент блокирующего окна при помощи файла в формате XML, который загружается с внешнего сервера.
Запустившись на инфицированном компьютере, Trojan.Winlock.7384 распаковывает собственный конфигурационный файл, содержащий информацию о том, с какими платежными системами и регионами работает вирус.По информации специалистов, в большинстве случаев это ваучерные системы Moneypack, Paysafecard и Ukash. Далее вредоносная утилита генерирует уникальный идентификатор (на основании аппаратной составляющей ПК) и отправляет его на сервер управления вместе с другой персональной информацией об инфицированном ПК. В ответ сервер присылает WHOIS-данные об IP-адресе инфицированного компьютера с обозначением местоположения ПК.
Загрузив данные сведения, троянская программа сверяет эту информацию со списком стран в файле конфигурации. Блокировка системы происходит только в том случае, если пользователь находится в Испании, Канаде, Франции, Германии, Португалии, Италии, Швейцарии, Австрии, Австралии, Великобритании или США.
После выполнения данной проверки, Trojan.Winlock.7384 формирует и отправляет новый запрос и в ответ получает подтверждение регистрации нового бота на управляющем сервере.
В завершении, в ответе на последний запрос управляющий сервер отправляет несколько XML-файлов, при помощи которых и формируется окно блокировки операционной системы.
Отличительной особенность данной версии вымогателя является то, что он способен фиксировать изображения в веб-камеры пользователя и демонстрировать соответствующую картинку в блокирующем окне с целью запугивания пользователя. Сообщение, якобы отправленное от имени правоохранительных структур, подчеркивает, что все действия владельца ПК записываются, а его портрет, снятый при помощи его собственной камеры, храниться для дальнейшей идентификации и сбора дополнительных данных.
Для разблокировки операционной системы Trojan.Winlock.7384 требует от пользователя код ваучера платежного сервиса – данный код обычно указывается на чеке, который выдает платежный терминал при внесении денежной суммы. Введенный пользователем код отправляется на управляющий сервер и проверяется на корректность. В случае подтверждения оплаты управляющий сервер отправляет вирусу команду на разблокировку операционной системы. Стоимость разблокировки составляет обычно 150 долларов (100 евро).

Оффлайн Nik

  • *
  • Сообщений: 9729
  • Пол: Мужской

Новости из мира вирусов
« Ответ #2 : 12 Января 2013, 22:29 »
Обзор вирусов 2012

Антивирусная лаборатория PandaLabs компании Panda Security, производителя «облачных» решений безопасности, ведущего поставщика программ защиты от вредоносного программного обеспечения и вирусов, опубликовала свой обзор вирусов за 2012 год. Было нелегко выбирать из 24 миллионов новых образцов.

Как всегда, в обзоре присутствуют не самые распространенные вирусы и не те, что вызвали максимальное количество инфекций, а те вирусы, которые по какой-либо причине выделились на фоне остальных.

Итак, ниже представлены вирусы, заслуживающие упоминания:

·         Руки вверх! Вы окружены! Чем не боевой клич «полицейского вируса»? Вирус Police – вредоносная программа, добавившая головной боли пользователям и IT-отделам в течение 2012 года. Данный вирус показывает сообщение якобы из полиции, которое информирует пользователей о том, что их компьютер заблокирован якобы за скачивание незаконных материалов. Чтобы восстановить свои системы, пользователям необходимо заплатить штраф. Самые последние версии даже показывают изображения с веб-камеры пользователя, что делает данную аферу еще более реалистичной.

·         Агент 007. Выдающейся шпионской программой года должна стать, безусловно, Flame, близкий родственник Stuxnet. Это один из самых мощных инструментов кибервойн, созданных до настоящего времени, а вызванные им инфекции были направлены преимущественно на страны Ближнего Востока.

·         Не садите Мак! Flashback – этот бот инфицирует не компьютеры с Windows, а системы Apple, атакуя тысячи пользователей компьютеров Mac во всем мире. После его появления пользователи Mac перестали беззаботно относиться к своей безопасности.

·        Глава Олимпа. Zeus (в переводе на русский означает Зевс) – троян, осуществляющий кражу информации у пользователей банковских онлайн-сервисов. Данное семейство вредоносных программ появилось недавно и продолжает распространяться. В этом году были обнаружены его новые варианты, которые заражают не только ПК, но и смартфоны (Android, Blackberry, Symbian), в расчете на банки, отправляющие пользователям информацию через сотовые телефоны в качестве дополнительной меры безопасности.

·         Пиноккио. Если бы у вируса был нос, как у Пиноккио из «Шрека», то он бы уже достиг стратосферы. Koobface – самое лживая вредоносная программа года, т.к. она в течение всего 2012 года распространяла бесконечную ложь в социальных сетях с целью заражения пользователей. В одной из атак использовалась лживая история о Президенте США Бараке Обама, который якобы кого-то избил за расовое оскорбление в свой адрес. Так что остерегайтесь сенсационных историй в социальных сетях, потому что это любимый трюк киберпреступников.

·         Минер. BlackHole Exploit kit стал одним из самых популярных инструментов для создания вредоносных программ за прошедший год. Он использует многочисленные дыры безопасности, которые позволяют ему установить и использовать все типы эксплойтов, особенно в Java и Adobe.

·         Подражатель: В чем секрет успеха? В подражании тем, кто успеха уже добился. И именно это делает DarkAngle – фальшивый антивирус, который представляет себя как Panda Cloud Antivirus. Таким образом, он использует успех бесплатного облачного антивируса компании Panda Security для инфицирования максимально возможного числа пользователей.

 
·        Тоталитарный бот. В духе традиций культа личности, Ainslot.L разработан для того, чтобы господствовать над другими. Заразив ПК или сеть, бот Ainslot.L сканирует компьютеры и удаляет все другие боты, которые находит на них. Как видите, это случай недобросовестной конкуренции.

·         Вам пришло электронное письмо: Правда, не от Мэг Райан или Тома Хэнкса из «Неспящих в Сиэтле»… Это всего лишь происки червя Kuluoz, который информирует о покупке, а затем заражает компьютеры. Червь приходит в виде электронного письма и выглядит так, словно это сообщение было отправлено службой доставки FedEx, информируя пользователей о доставленной посылке.

Оффлайн Nik

  • *
  • Сообщений: 9729
  • Пол: Мужской

Новости из мира вирусов
« Ответ #3 : 15 Января 2013, 09:56 »
"Лаборатория Касперского" раскрыла международную шпионскую сеть

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Цитата
Антивирусная "Лаборатория Касперского" обнаружила международную сеть под кодовым названием "Red October" ("Красный октябрь"), используемую для кибершпионажа. Первая часть "исследования операции 'Red October'" опубликована на сайте лаборатории 14 января. Анонсирована также вторая часть, "содержащая детальный технический анализ всех известных модулей", которая должна выйти в течение нескольких дней.

Эксперты обнаружили, что на протяжении последних пяти лет (начиная с 2007 года) в разных странах мира хакеры произвели серию атак против дипломатических ведомств, государственных структур и научно-исследовательских организаций.

В подобные организации вирус внедрялся через конкретного пользователя с помощью фишинговой почты. Троян использовал уязвимости, имеющиеся , например, в Microsoft Office и продуктах Adobe. Атаки тщательно готовились и в каждом конкретном случае модуль вируса дорабатывался вручную с учетом специфики пользователя, через которого осуществлялось заражение.

Злоумышленникам, по данным экспертов, удалось осуществить десятки успешных атак, похитить терабайты данных и при этом остаться фактически незамеченными большинством жертв. Вирус, имеющий не менее 30 различных модулей, получил от "Лаборатории Касперского" условное обозначение Backdoor.Win32.Sputnik. Он похищает документы с различными расширениями - от простого txt до acid - это расширение принадлежит секретному программному обеспечению для шифрования "Acid Cryptofiler", которое используется в структурах Евросоюза и НАТО.

"Информация, украденная атакующими, очевидно является крайне конфиденциальной и включает в себя, в частности, различные геополитические данные, которые могут быть использованы на государственном уровне", - отмечается в отчете.

Эксперты отмечают, что некоторые модули содержат "забавные" ошибки, указывающие на русскоязычных разработчиков вредоносной программы. В частности в скриптах использованы слова "PROGA" и "zakladka", которые, очевидно, являются транслитерацией русских слов. Для управления атаками использовалось более 60 доменных имен, прикрепленных к IP-адресам в Германии и России. Наибольшее число заражений приходится на Россию, страны бывшего СССР и азиатские страны.

Эксперты "Лаборатории Касперского" отмечают, что продолжают исследование операции "Red October" совместно с Computer Emergency Response Teams (CERT) из разных стран, в том числе США, Румынии и Белоруссии.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79228
  • Пол: Женский

Новости из мира вирусов
« Ответ #4 : 16 Января 2013, 17:41 »
Новый троянец подменяет поисковые запросы

Компания «Доктор Веб» сообщает о распространении вредоносной программы
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
способной подменять запросы в различных поисковых системах, а также перенаправлять браузер на сайты злоумышленников.
Запустившись в инфицированной системе, троянец BackDoor.Finder создает собственную копию в папке %APPDATA% текущего пользователя и вносит соответствующие изменения в ветвь системного реестра Windows, отвечающую за автозагрузку приложений. Затем эта вредоносная программа встраивается во все запущенные процессы. Если троянцу удается внедриться в процессы браузеров Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape или Avant, он осуществляет перехват функций WSPSend, WSPRecv и WSPCloseSocket.
Затем BackDoor.Finder генерирует до 20 доменных имен управляющих серверов и последовательно обращается к ним, передавая зашифрованный запрос. При попытке пользователя зараженной машины обратиться к поиску на google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx,
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
,
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
или yandex.com введенный запрос передается на управляющий сервер, а в ответ троянец получает конфигурационный файл со списком адресов сайтов, на которые будет перенаправляться браузер. В результате вместо веб-страницы с результатами поиска пользователь увидит в окне браузера указанные злоумышленниками интернет-ресурсы.
Поскольку специалистам компании «Доктор Веб» удалось определить используемый BackDoor.Finder алгоритм генерации имен командных центров, было зарегистрировано несколько управляющих серверов с целью сбора статистики. Выяснилось, что наибольшее распространение эта троянская программа имеет на территории США, причем абсолютным лидером по количеству заражений выступает штат Канзас, на втором месте находится Нью-Джерси, на третьем — Огайо и Алабама. Меньше всего случаев инфицирования троянцем BackDoor.Finder приходится на долю Юты и Мичигана.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79228
  • Пол: Женский

Новости из мира вирусов
« Ответ #5 : 17 Января 2013, 08:56 »
В США не рекомендуют пользоваться платформой Java, несмотря на выпуск обновления ПО

Несмотря на выпуск компанией Oracle обновления, предназначенного для устранения уязвимостей в Java для браузеров, Министерство внутренней безопасности США (Department of Homeland Security, DHS) по-прежнему не рекомендует владельцам компьютеров пользоваться этой платформой ввиду сохранившейся опасности хакерского проникновения. Oracle выпустила в минувшее воскресенье обновление программного обеспечения в связи с обнаруженной на прошлой неделе критической уязвимостью в Oracle Java 7 и выпуском группой быстрого реагирования на компьютерные инциденты при Министерстве внутренней безопасности США (United States Computer Emergency Readiness Team, US-CERT) рекомендации пользователям отключить в браузере плагин Java.
Уязвимость использовалась в троянской программе Mal/JavaJar-B, входящей в состав хакерских пакетов Blackhol и NuclearPack. С их помощью производился взлом систем под управлением ОС Windows и Linux.
По мнению US-CERT, выпуск обновления (версия Java 7 Update 11) не решает проблему уязвимости платформы Java, использование которой повышает риск хакерского проникновения с целью кражи информации о пользователе, включая данные платежных карт и пароли доступа к различным ресурсам.
«Я бы не назвал неожиданностью сообщение о ненадежности платформы Java, — заявил Чарли Миллер (Charlie Miller), бывший консультант по вопросам безопасности компаний из перечня Fortune 500.— Об этом известно уже многие годы».

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79228
  • Пол: Женский

Новости из мира вирусов
« Ответ #6 : 17 Января 2013, 21:58 »
В 2013 году число угроз для Android увеличится в два раза и появятся вирусы для Windows 8: прогноз компании "Доктор веб"

Исходя из анализа угроз, поступивших в вирусную лабораторию компании «Доктор Веб» в течение 2012 года, специалисты компании спрогнозировали основные тенденции, которые с определенной долей вероятности получат развитие в следующие двенадцать месяцев.
Так, отмечается, что в нынешнем году будет расти число угроз для операционной системы Mac OS X. Возможно как распространение троянских программ, использующих для проникновения в систему различные уязвимости (в том числе уязвимости Java), так и бот-сетей, ориентированных исключительно на Apple-совместимые компьютеры. Также значительно увеличится и «ассортимент» вредоносных приложений для мобильной платформы Android. Предполагаемые темпы роста могут составить порядка 50–100% от нынешнего числа известных угроз. Продолжится и рост ботнетов, ориентированных на операционную систему Microsoft Windows. Так, уже в первом квартале 2013 года численность зарегистрированных в бот-сети компьютеров, инфицированных файловым вирусом Win32.Rmnet.12, превысит 10 миллионов (если не будут предприняты масштабные меры, направленные на ликвидацию ботнета).
Вирусные аналитики отмечают, что возможно появление вирусов или троянских программ, эксплуатирующих уязвимости или характерные технологии, применяемые в Microsoft Windows 8. Например, возможно возникновение вредоносных приложений, перехватывающих координаты GPS-модуля планшетных компьютеров, использующих эту платформу. Предполагают, что будет расти число и усложняться функции банковских троянцев, ориентированных на перехват конфиденциальных данных и хищение информации, необходимой для работы в системах дистанционного банковского обслуживания. Возможно увеличение количества заранее спланированных таргетированных атак на различные коммерческие структуры. Прогнозируют, что в целях слежения за пользователями вредоносные программы будут все чаще использовать данные, полученные с помощью веб-камер, микрофонов, GPS-приемников. Вырастет и ассортимент троянцев-шпионов. Также возможно появление угроз, использующих для осуществления атак облачные сервисы и другие распределенные системы, увеличится количество вредоносных программ, применяющих в своих целях P2P-сети, а также сеть TOR.

Оффлайн Resistant

  • *
  • Сообщений: 239
  • Пол: Мужской
  • Имя : Андрей
  • Статус : Вольный читатель

Новости из мира вирусов
« Ответ #7 : 18 Января 2013, 09:28 »
Новый троянец подменяет поисковые запросы

Компания «Доктор Веб» информирует пользователей о распространении вредоносной программы BackDoor.Finder, способной подменять запросы в различных поисковых системах, а также перенаправлять браузер на сайты злоумышленников.
Запустившись в инфицированной системе, троянец BackDoor.Finder создает собственную копию в папке %APPDATA% текущего пользователя и вносит соответствующие изменения в ветвь системного реестра Windows, отвечающую за автозагрузку приложений. Затем эта вредоносная программа встраивается во все запущенные процессы. Если троянцу удается внедриться в процессы браузеров Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape или Avant, он осуществляет перехват функций WSPSend, WSPRecv и WSPCloseSocket.
Затем BackDoor.Finder генерирует до 20 доменных имен управляющих серверов и последовательно обращается к ним, передавая зашифрованный запрос. При попытке пользователя зараженной машины обратиться к поиску на google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx,
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
,
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
или yandex.com введенный запрос передается на управляющий сервер, а в ответ троянец получает конфигурационный файл со списком адресов сайтов, на которые будет перенаправляться браузер. В результате вместо веб-страницы с результатами поиска пользователь увидит в окне браузера указанные злоумышленниками интернет-ресурсы.
Поскольку удалось определить используемый BackDoor.Finder алгоритм генерации имен командных центров, было зарегистрировано несколько управляющих серверов с целью сбора статистики. Выяснилось, что наибольшее распространение эта троянская программа имеет на территории США, причем абсолютным лидером по количеству заражений выступает штат Канзас, на втором месте находится Нью-Джерси, на третьем — Огайо и Алабама. Меньше всего случаев инфицирования троянцем BackDoor.Finder приходится на долю Юты и Мичигана.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79228
  • Пол: Женский

Новости из мира вирусов
« Ответ #8 : 18 Января 2013, 19:00 »
Ботнет BlackEnergy возрождается
Компания
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
предупреждает о распространении очередной троянской программы семейства BackDoor.BlackEnergy. В июле 2012 года в средствах массовой информации появились публикации о ликвидации основных управляющих серверов ботнета на основе данного троянца, однако в течение еще нескольких месяцев бот-сеть BlackEnergy проявляла остаточную активность, которая практически полностью прекратилась лишь осенью 2012 года. И вот в январе 2013 года появилась новая модификация этой угрозы.
BackDoor.BlackEnergy — это сложная многокомпонентная троянская программа, в основном предназначенная для рассылки спама. С использованием этого приложения злоумышленникам удалось создать одну из самых крупных в мире бот-сетей для рассылки почтовых сообщений: в пик активности на его долю приходилось до 18 миллиардов писем в день. Троянцы семейства BackDoor.BlackEnergy используют для своей работы подгружаемые модули и конфигурационный файл в формате xml, получаемый с управляющего сервера.
Владельцами новой версии троянца, получившей обозначение BackDoor.BlackEnergy.36, являются, по всей видимости, те же злоумышленники, которые эксплуатировали предыдущие модификации данной вредоносной программы. Об этом, в частности, говорит тот факт, что BackDoor.BlackEnergy.36 использует для шифрования данных тот же ключ, что применялся в некоторых бот-сетях BlackEnergy, командные центры которых были ликвидированы летом 2012 года.
Основных отличий BackDoor.BlackEnergy.36 от предыдущих редакций этой вредоносной программы два: конфигурационный файл троянца хранится в зашифрованном виде в отдельной секции динамической библиотеки, которая, в свою очередь, содержится в одной из секций троянца и при его запуске встраивается в процесс svchost.exe или в explorer.exe. Помимо этого, злоумышленники немного изменили сетевой протокол, с использованием которого BackDoor.BlackEnergy.36 обменивается данными с управляющим центром.
К настоящему времени специалисты «Доктор Веб» зафиксировали несколько управляющих серверов BackDoor.BlackEnergy.36, с использованием которых злоумышленники пытаются построить новый ботнет для массового распространения спама.


PS  помню как мой комп  попал в эту сеть .  :evil: Ох и помучилась я,погонялась  за этим трояном . Трое суток отлавливала .  :evil:

Оффлайн Resistant

  • *
  • Сообщений: 239
  • Пол: Мужской
  • Имя : Андрей
  • Статус : Вольный читатель

Новости из мира вирусов
« Ответ #9 : 23 Января 2013, 10:00 »
Троян распространяется посредством протоколов обмена мгновенными сообщениями

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

 

Вредоносные программы способны получить удаленный доступ к системе жертвы и получить доступ к файлам, хранящимся на компьютере.

Специалисты компании Trend Micro обнаружили новые троянские программы, которые маскируются под протоколы обмена мгновенными сообщениями - Windows Live Messenger или Yahoo Messenger. Эти трояны способны получить удаленный доступ к системе и предоставляют злоумышленникам доступ к папкам на компьютере жертвы. Помимо этого, вредоносные программы способны делать скриншоты, а также управлять web-камерой и микрофоном.

Стоит отметить, что впервые о вредоносных программах подобного рода стало известно в 2009 года. Эти вирусы имитируют известные протоколы обмена мгновенными сообщениями и, для того, чтобы избежать обнаружения, маскируют свои данные трафика через HTTP или HTTPS.

Троян заражает потенциальных жертв посредством специально созданных Word или Excel-файлов, которые эксплуатируют уязвимости в Microsoft Office ( CVE 2009 3129 , CVE 2010 3333 , CVE 2012 0158 ). Отметим, что эти уязвимости уже были исправлены компанией Microsoft.

Источник: SecurityLab.ru.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79228
  • Пол: Женский

Новости из мира вирусов
« Ответ #10 : 24 Января 2013, 22:11 »
В Skype распространяется троян Shylock
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

В открытом доступе появилась обновленная версия банковского вредоносного ПО.
Согласно сообщению экспертов безопасности из датской компании CSIS Security Group, на прошлой неделе в открытом доступе начала распространяться обновленная версия банковского трояна Shylock. Одной из новых функций вируса стала возможность распространения через Skype.
Данное дополнение позволяет трояну рассылать сообщения и вредоносные файлы с помощью клиента популярного VoIP-сервиса, установленного на инфицированной системе. При этом Shylock способен обходить предупредительные сообщения Skype, а также стирать из его истории следы своей активности.
Напомним, что ранее в трояне уже был реализован функционал самораспространения через такие службы мгновенных сообщений, как MSN Messenger и Yahoo Messenger. Вирус рассылал вредоносные ссылки случайным контактам, имеющимся в данных приложениях.
«На сегодняшний день Shylock является одним из наиболее передовых банковских троянов, нацеленных на компрометацию систем дистанционного банковского обслуживания, - сообщают в CSIS Security Group. - Код постоянно обновляется и регулярно появляются новые функциональные возможности».
Ознакомиться с отчетом CSIS Security Group можно
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.


Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79228
  • Пол: Женский

Новости из мира вирусов
« Ответ #11 : 25 Января 2013, 21:44 »
Новый BackDoor.Butirat меняет имена управляющих центров злоумышленников
Компания
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
— российский разработчик средств информационной безопасности — предупреждает о широком распространении новой вредоносной программы семейства BackDoor.Butirat. Очередная модификация этой известной угрозы, получившая наименование BackDoor.Butirat.245, использует принципиально новый механизм, позволяющий троянцу генерировать имена управляющих серверов злоумышленников. Скорее всего, это делается для того, чтобы повысить «живучесть» вредоносной программы при отключении одного из управляющих центров.
Напомним, что троянцы-бэкдоры семейства BackDoor.Butirat способны загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов (FlashFXP, Total Commander, Filezilla, FAR, WinSCP, FtpCommander, SmartFTP и др.).
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Принцип, используемый данным троянцем для заражения компьютера жертвы, также не отличается оригинальностью: BackDoor.Butirat создает свою копию в одной из системных папок и вносит изменения в реестр, с тем чтобы при загрузке Windows осуществлялся его автоматический запуск.
Отличительной особенностью модификации BackDoor.Butirat.245 является принципиально новый механизм, позволяющий троянцу генерировать имена управляющих серверов, в то время как в предыдущих версиях адрес командного центра был жестко прописан в самой вредоносной программе. Как и в случае с недавно добавленными в базы новыми модификациями вредоносной программы BackDoor.BlackEnergy, при исследовании BackDoor.Butirat.245 специалистов «Доктор Веб» ждал сюрприз: троянец автоматически генерирует имена управляющих доменов третьего уровня. В то же время соответствующий домен второго уровня зарегистрирован хорошо известной компанией, традиционно игнорирующей любые сообщения и жалобы. Вероятно, вирусописатели полагали, что смогут таким способом повысить «живучесть» вредоносной программы в случае отключения одного из управляющих центров.
Сигнатура данной угрозы успешно добавлена в вирусные базы, и потому BackDoor.Butirat.245 не представляет опасности для пользователей антивирусного ПО Dr.Web.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79228
  • Пол: Женский

Новости из мира вирусов
« Ответ #12 : 04 Февраля 2013, 22:26 »
Приложение для Android заразило компьютеры

Скриншот страницы в магазине Google Play
Изображение: сайт Securelist

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Специалисты из антивирусной компании «Лаборатория Касперского» обнаружили в Google Play — магазине приложений для Android — вредоносные программы, способные поражать компьютеры, сообщается на сайте Securelist.
Программ две; они носят названия Superclean и DroidCleaner. Обе они бесплатны и созданы одним и тем же разработчиком — Smart.Apps. В описании в Google Play сообщается, что задача программ — очистка памяти и повышение быстродействия смартфона.
Обе программы действуют по одному и тому же принципу. После установки в память смартфона они выводят список активных процессов и предлагают «закрыть» их. В то же время втайне от пользователя приложения закачивают из Сети в корневой каталог SD-карты три вредоносных файла, включая исполняемый svchosts.exe и файл автозапуска autorun.inf.
Заражение компьютера происходит, когда пользователь подключает к нему через USB смартфон с опасными файлами. Вирус проявляет себя тем, что записывает звук с микрофона и отсылает записи своим «хозяевам».
В «Лаборатории Касперского» отмечают, что Superclean и DroidCleaner могут совершать вредоносные операции и на смартфоне. Программы запрашивают у пользователя разрешения на такие действия, как включение Wi-Fi, отправка и удаление SMS, загрузка информации с SD-карты и так далее.
По состоянию на момент публикации заметки Superclean и DroidCleaner отсутствовали в Google Play. Вероятно, приложения из магазина удалила компания Google после поступления жалобы.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79228
  • Пол: Женский

Новости из мира вирусов
« Ответ #13 : 07 Февраля 2013, 09:52 »
Встроенное приложение Facebook ставит под угрозу безопасность пользователей

Компания
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
— российский разработчик средств информационной безопасности — предупреждает о новой волне распространения вредоносных программ среди пользователей популярной социальной сети Facebook. На этот раз для своих целей злоумышленники задействуют встроенное приложение, позволяющее размещать на страницах Facebook произвольный HTML-код. Для распространения троянцев используются фейковые тематические группы, в которых размещаются замаскированные под видеоролик ссылки на вредоносное приложение.
С целью распространения вредоносного ПО киберпреступники создали в социальной сети Facebook множество тематических групп с названием Videos Mega или Mega Videos: на 5 февраля 2013 года их общая численность достигала нескольких сотен. В каждой из подобных групп злоумышленники разместили замаскированную под видеоролик ссылку на встроенное приложение социальной сети, позволяющее встраивать в веб-страницу произвольный HTML-код. Посетитель группы, желая просмотреть провокационное видео, щелкал мышью на миниатюре видеоролика, активируя тем самым заранее созданный киберпреступниками сценарий. В результате этого действия на экране отображалось диалоговое окно с предложением обновить встроенный в браузер видеопроигрыватель, причем оформление данного окна копирует дизайн страниц социальной сети Facebook.
Если пользователь соглашается установить обновление, на его компьютер загружается самораспаковывающийся архив, содержащий вредоносную программу Trojan.DownLoader8.5385. При этом троянец (как и другие загружаемые им компоненты) имеет легитимную цифровую подпись, выданную на имя фирмы Updates LTD компанией Comodo, поэтому в процессе своей установки вредоносные приложения не вызывают подозрений у операционной системы.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Trojan.DownLoader8.5385 — это традиционный троянец-загрузчик, основная задача которого заключается в скачивании на инфицированный компьютер и запуске другого вредоносного ПО. В данном случае троянец загружает плагины для браузеров Google Chrome и Mozilla Firefox, предназначенные для массовой рассылки приглашений в различные группы Facebook, а также для автоматической установки пометок Like в данной социальной сети. Среди прочего эти вредоносные надстройки имеют следующие функциональные возможности:
     получать данные о пользователях Facebook, занесенных в список друзей жертвы,
    устанавливать пометку Like на странице социальной сети или на внешней ссылке,
    открывать доступ к фотоальбому на заданной странице,
    вступать в группы,
    рассылать пользователям из списка друзей приглашения о вступлении в группу,
    публиковать ссылки на «стене» пользователей,
    изменять статус,
    открывать окна чата,
    присоединяться к страницам мероприятий,
    рассылать пользователям приглашения на мероприятия,
    публиковать комментарии к постам,
    получать и отправлять предложения.

Конфигурационный файл со всеми необходимыми для работы плагинов данными загружается на зараженный ПК с принадлежащего злоумышленникам сервера. Указанные плагины детектируются антивирусным ПО Dr.Web как Trojan.Facebook.310.
Помимо этого Trojan.DownLoader8.5385 устанавливает на инфицированный компьютер вредоносную программу BackDoor.IRC.Bot.2344, способную объединять зараженные рабочие станции в ботнеты. Этот троянец реализует функции бэкдора и способен выполнять различные команды, передаваемые ему с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat), для чего бот подключается к специально созданному злоумышленниками чат-каналу. Среди директив, которые способен выполнять BackDoor.IRC.Bot.2344, можно отметить следующие:
    выполнение команд командного интерпретатора CMD,
    возможность загружать файл с заданного URL и помещать его в указанную локальную папку,
    проверять, запущен ли указанный в команде процесс,
    передавать на удаленный сервер список запущенных процессов, полученный с использованием стандартной утилиты tasklist.exe,
    останавливать указанный процесс,
    запускать произвольное приложение,
    загружать с указанного URL и устанавливать плагин для браузера Google Chrome.
Таким образом можно сделать вывод, что текущая политика безопасности встроенных приложений Facebook способствует распространению троянских программ. Все указанные вредоносные программы добавлены в вирусные базы и потому не представляют опасности для пользователей антивирусной продукции Dr.Web. Компания «Доктор Веб» призывает проявлять осмотрительность при посещении групп в социальной сети Facebook и устанавливать на свой компьютер только обновления, загруженные из доверенных источников.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79228
  • Пол: Женский

Новости из мира вирусов
« Ответ #14 : 09 Февраля 2013, 12:24 »
Вредоносные расширения для Chrome

Пользователи Google Chrome оказались под волной атак с использованием вредоносных расширений браузера, размещённых в официальном онлайн-магазине Chrome Web Store.пишет эксперт «Лаборатории Касперского» Фабио Ассолини в статье
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
.
Цитата
По всей видимости, атака исходит из Турции и использует Facebook для распространения ссылок. По нашим наблюдением, пользователи из разных стран оказались заражёнными вредоносными расширениями, которые киберпреступники регулярно посылают в официальный онлайн-магазин.
Как уже сообщалось в марте 2012 г., бразильские киберпреступники смогли разместить вредоносное расширение в Chrome Web Store. В июне 2012 Google изменил правила, по которым пользователи могут устанавливать сторонние расширения браузера, заблокировав возможность установки приложений, не размещённых в официальном онлайн-магазине. Позже Google убрал возможность автоматических установок, которой массово злоупотребляли третьи стороны.
Возможно, по этой причине киберпреступники переключились на загрузку вредоносных расширений в официальный магазин. Теперь, похоже, пришёл черёд турецких киберпреступников: они за последние несколько дней смогли загрузить туда несколько вредоносных расширений.
В ходе одной из атак, за развитием которых мы следили, с некоторых зараженных аккаунтов на Facebook начало рассылаться сообщение следующего вида, содержащее имена некоторых контактов жертвы и ссылки:
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь


Профили, с которых рассылалась ссылка на веб-страницу в домене .tk

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.


Ссылка ведёт на страницу на турецком, на которой, по всей видимости, предлагается обновление для Google Chrome:
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь


«Вам следует обновить Google Chrome»

На странице также предлагается установить расширение…
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь


… которое называется «Chrome Guncellemesi» (обновление Chrome). В других атаках использовалось название «Flash Player 12.1» . Во всех случаях вредоносное расширение размещалось в официальном онлайн-магазине Web Store:

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь


Заглянув в настройки расширения, увидим, что оно запрашивает разрешение на доступ ко всем личным данным на всех вебсайтах, а также разрешение на изменение настроек, cookie-файлов, плагинов и т.д.:
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь


«Мне нужно ваше разрешение делать в браузере всё, что захочу»

Не следует думать, что в Firefox вы защищены от этой напасти. Подобное «обновление» существует и для данного браузера:

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь


«Установить расширение и плагин Firefox»

После установки на компьютер пользователя, расширение делает много пакостей: нажимает кнопку «мне нравится» на профилях нескольких пользователей и компаний — вероятно, это часть схемы по продаже «лайков». Оно также может полностью контролировать ваш профиль в Facebook, крадёт куки-файлы и т.д.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь


Мы сообщили в Google об обнаруженных вредоносных расширениях; Google их удаляет, но киберпреступники всё время добавляют новые.

Продукты «Лаборатории Касперского» распознают вредоносные расширения браузеров под названием Trojan.JS.Agent.bzv и блокируют все вредоносные URL-ссылки. Если вы используете Google Chrome — будьте начеку; не устанавливайте неизвестные расширения, даже если они распространяются в официальном онлайн-магазине Web Store.