Для тех ,кто решил зарегистрироваться на форуме «Беседка» !
Категорически запрещена регистрация  с одноразового и временного e-mail !Такие пользователи будут отправляться в бан без объяснения причин.
После регистрации необходимо активировать свою учетную запись .Если Вы в почте не обнаружили письмо с активацией рекомендуется проверить папку «Спам».
С уважением
 Администрация форума

* Недавно обновленные темы

Автор Тема: Новости из мира вирусов  (Прочитано 17794 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ALENA

  • *
  • Сообщений: 53414
  • Пол: Женский

Новости из мира вирусов
« Ответ #15 : 15 Февраль 2013, 20:29 »
«Лаборатория Касперского» обнаружила уязвимость нулевого дня в Adobe Flash Player

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Эксперты «Лаборатории Касперского» обнаружили в программе Adobe Flash Player критическую уязвимость нулевого дня (CVE-2013-0633), которая использовалась для совершения целевых атак, сообщает в пятницу «Лаборатория Касперского». Информацию об уязвимости специалисты «Лаборатории Касперского» передали компании Adobe, которая 7 февраля 2013 года выпустила соответствующее
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Обнаруженная уязвимость может быть использована для атаки на устройства под управлением операционных систем Windows, Mac OS X и Linux, а также для некоторых ранних версий Android.
«Лаборатория Касперского» рекомендует пользователям обновить программу Adobe Flash Player до последней версии, которая содержит патч, закрывающий обнаруженную уязвимость. Выяснить, какая именно версия программы установлена в настоящий момент на компьютере пользователя, можно на странице сайта Adobe About Flash Player. Подробная информация также содержится в информационном
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Adobe.
Уязвимость в Adobe Flash Player использовалась в серии целевых атак: злоумышленники распространяли письма с вложенным документом в формате Microsoft Word, содержащим вредоносный Flash (SWF) контент. Большинство атак, проанализированных специалистами «Лаборатории Касперского», были нацелены на активистов по защите прав человека и политических диссидентов из Африки и стран Ближнего Востока.
Более подробная информация о том, как эти эксплойты использовались в целевых атаках, доступна
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Оффлайн ALENA

  • *
  • Сообщений: 53414
  • Пол: Женский

Новости из мира вирусов
« Ответ #16 : 19 Февраль 2013, 17:50 »
В Сети зафиксирован массовый взлом серверов на базе Linux

Третий день в Сети
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
массовый взлом серверов на базе Linux. Имеется подозрение, что атака совершается через неисправленную 0-day уязвимость в одном из доступных по сети сервисов. Среди взломанных систем отмечаются серверы на базе CentOS и другие дистрибутивы на основе пакетной базы RHEL 5 и 6, на которых установлены все доступные обновления. На многих взломанных системах используются панели управления cPanel, DirectAdmin, ISP config и Plesk, но пока не ясно могут ли они быть источником проникновения.
В результате атаки в системе неизвестным образом появляется файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем /lib/libkeyutils.so.1.9). После взлома процесс sshd начинает устанавливать подозрительные соединения: при входе на взломанный сервер по ssh, по протоколу UDP осуществляется отправка данных о введённых логине и пароле на 53 порт внешнего хоста. Кроме того, на сервер размещается код для участие в ботнете, используемом для рассылки спама и возможно для совершения дальнейших атак.
Маловероятно, что вектор атаки связан с недавно обсуждаемой уязвимостю в ядре Linux (CVE-2013-0871), кроме всего прочего выявлены случаи взлома изолированного окружения, построенного на базе дистрибутива CloudLinux с включенным CageFS (при использовании CageFS маловероятна эксплуатация уязвимости в ядре для повышения привилегий). Среди атакованных систем также отмечаются серверы с системой обновления ядра ksplice и серверы с sshd на нестандартном порту. Связанная со взломом активность была почищена из логов, но одному из пользователей удалось при помощи snoopy проанализировать действия злоумышленника, установившего бэкдор и почистившего логи.
Для выявления факта взлома своей системы достаточно проверить наличие библиотеки /lib64/libkeyutils.so.1.9, не связанной ни с одним установленным пакетом (для 64-разрядных систем: ls -la /lib64/libkeyutils.so.1.9; rpm -qf /lib64/libkeyutils.so.1.9, для 32-разрядных: ls -la /lib/libkeyutils.so.1.9;rpm -qf /lib/libkeyutils.so.1.9).

Оффлайн ALENA

  • *
  • Сообщений: 53414
  • Пол: Женский

Новости из мира вирусов
« Ответ #17 : 06 Март 2013, 14:54 »
Русскоязычный вирус-вымогатель использует новую технологию

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Специалисты антивирусной компании Sophos обнаружили и изучили интересный образец вируса-вымогателя, в котором используется Windows PowerShell (WPS) – язык сценариев, который позволяет системным администраторам автоматизировать выполнение различных операций в своей сети.
В изученном вирусе сценарии на языке WPS используются, чтобы шифровать файлы на компьютере жертвы и удерживать их «в заложниках» до уплаты выкупа. Примечательно, что вирус-вымогатель оснащен интерфейсом на русском языке, что явно указывает – вымогать деньги планируется именно у русскоязычных пользователей, либо у тех, кто из-за пропагандистского образа «русских хакеров» побоится обращаться к легальным специалистам.
Вирусы-вымогатели, также известные под названиями «вин-локеры», «баннеры» и так далее, стали одним из самых эффективных на сегодняшний день методов для получения нелегального дохода в киберпространстве. Тем не менее, разработчики этого опасного класса программ даже не думают почивать на лаврах, продолжая поиск новых видов тактики и оттачивание схем вымогательства. Одним из примеров непрерывного технического прогресса в сфере киберпреступности стало использование в вирусе языка сценариев WPS, ранее известного исключительно как инструмент сетевых администраторов.
Вредоносный компонент вируса-вымогателя распространяется по электронной почте в виде HTA-файла, присоединенного к спам-рассылке. Один из скриптов в этом HTA-файле проверяет, установлен ли компонент Windows PowerShell на заражаемой системе. Если нет, то установщик WPS специально загружается через сервис Dropbox и запускается. Следует заметить, что интерпретатор PowerShell устанавливается по умолчанию во всех редакциях Windows 7 и более поздних версиях Windows, однако, и в более ранних версиях его всегда можно установить вручную.
Второй компонент вируса-вымогателя из HTA-файла представляет собой сценарий на языке PowerShell, который выполняет шифрование файлов с помощью алгоритма «Rijndael» с симметричными ключами. Для захвата в заложники вирус ищет потенциально важные для пользователя файлы по 163 различным расширениям, включая документы, видеозаписи и картинки.
Когда файлы для захвата выбраны и зашифрованы, на жесткий диск зараженной машины сбрасывается текстовый файл под названием «READ_ME_NOW.txt». В этом файле содержится сообщение на русском языке с инструкцией по передаче выкупа для восстановления файлов. В частности, вымогатели предлагают жертве отправить данную копию файла «READ_ME_NOW.txt» на специальный веб-сайт, поскольку в файле содержится некий уникальный «код». После отправки файла через веб-форму пользователям предлагается уплатить 10 тысяч рублей за восстановление файлов.
В некоторых случаях при заражении такими вирусами почти невозможно восстановить файлы без уплаты выкупа, поскольку для шифрования используется очень стойкий алгоритм. В то же время, конкретно в данном случае необходимый ключ дешифровки можно получить теми же средствами языка PowerShell. Дело в том, что здесь используется два ключа: глобально уникальный идентификатор UUID (Universally Unique Identifier), сохраняемый в файле .FTCODE, а также случайно сгенерированный ключ в виде строки из 50 символов, сохраняемый в файле .BTCODE. Первый ключ можно восстановить командой «Get-wmiobject Win32_ComputerSystemProduct UUID», а второй – командой «Gwmi win32_computerSystem Model». Подробнее о расследовании компании Sophos можно прочитать в
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Оффлайн ALENA

  • *
  • Сообщений: 53414
  • Пол: Женский

Новости из мира вирусов
« Ответ #18 : 13 Март 2013, 09:34 »
Троянцы Trojan.Hosts заражают по 8 000 компьютеров в сутки

Компания «Доктор Веб» информирует пользователей об участившихся случаях взломов злоумышленниками веб-сайтов с целью загрузки на компьютеры пользователей вредоносных программ семейства Trojan.Hosts. Масштабы распространения этой угрозы в начале 2013 года приняли почти эпидемический характер. Пик распространения троянцев Trojan.Hosts пришелся на январь и середину февраля, когда ежесуточно на компьютерах пользователей фиксировалось порядка 9 500 случаев заражения. В марте Trojan.Hosts заражают около 8 000 компьютеров в сутки.
Для взлома веб-сайтов злоумышленники используют протокол FTP, подключаясь к ресурсам с использованием похищенных ранее логинов и паролей. Затем на взломанный сайт загружается специальный командный интерпретатор (шелл), с использованием которого изменяется файл .htacess, а на сайте размещается вредоносный скрипт.
В результате, при заходе на зараженный сайт скрипт выдает посетителю веб-страницу, содержащую ссылки на различные вредоносные приложения. В частности, таким образом в последнее время начали широко распространяться троянцы семейства Trojan.Hosts.
Троянцы этого семейства распространяются злоумышленниками отнюдь не только с помощью взломанных сайтов. Была организована и работа нескольких партнерских программ, через которые киберпреступникам выплачивается вознаграждение за получение прибыли с жертвы Trojan.Hosts. Таким образом, эти троянцы могут попадать на компьютеры потенциальных жертв и иными путями — например, с использованием бэкдоров и троянцев-загрузчиков.
Основное предназначение вредоносных программ семейства Trojan.Hosts — модификация файла hosts, расположенного в системной папке Windows и отвечающего за трансляцию сетевых адресов сайтов. В результате вредоносных действий при попытке перейти на один из популярных интернет-ресурсов пользователь зараженного компьютера перенаправляется на принадлежащую злоумышленникам веб-страницу.
Масштабы распространения этой угрозы в начале 2013 года приняли почти эпидемический характер. Так, пик распространения троянцев Trojan.Hosts пришелся на январь и середину февраля, когда ежесуточно на компьютерах пользователей фиксировалось порядка 9 500 случаев заражения вредоносными программами данного семейства. В начале марта число инфицированных рабочих станций стало немного сокращаться — например, за сутки 11 марта было выявлено всего 7 658 случаев заражения (количество подсчитывается по числу зафиксированных случаев изменения троянцем содержимого файла hosts на инфицированных компьютерах).

Оффлайн ALENA

  • *
  • Сообщений: 53414
  • Пол: Женский

Новости из мира вирусов
« Ответ #19 : 19 Март 2013, 18:37 »
Троянец Trojan.Yontoo.1 для Mac OS X проникает на компьютер жертвы различными способами
Среди них выделяется троянец Trojan.Yontoo.1, который, являясь загрузчиком, устанавливает на инфицированный компьютер дополнение для популярных браузеров, основное назначение которого — демонстрация рекламы в процессе просмотра веб-сайтов.
С начала 2013 года специалисты компании «Доктор Веб» отмечают рост количества рекламных приложений для различных платформ, в том числе для операционной системы Mac OS X. Таким образом злоумышленники зарабатывают на партнерских программах рекламных сетей, и с каждым днем растет их интерес к пользователям Apple-совместимых компьютеров. Ярким примером подобного ПО может служить обнаруженный недавно Trojan.Yontoo.1.
Эта троянская программа проникает на компьютер жертвы различными способами. Например, с целью распространения троянца злоумышленники создали специальные веб-страницы с анонсами фильмов, при открытии которых в верхней части окна демонстрируется стандартное предложение установки плагина для браузера. На самом деле данный диалог лишь имитирует традиционную панель, демонстрируемую пользователям в случае необходимости установки какого-либо дополнения или надстройки, и создан злоумышленниками специально, чтобы ввести потенциальную жертву в заблуждение. После нажатия на кнопку Install the plug-in происходит перенаправление пользователя на сайт для загрузки приложения, детектируемого антивирусным ПО «Доктор Веб» как Trojan.Yontoo.1.
Злоумышленники предусмотрели несколько альтернативных способов распространения этой угрозы. Например, жертва может загрузить троянца под видом медиаплеера, программы для улучшения качества просмотра видео, «ускорителя» загрузки файлов из Интернета и т. д.
После запуска Trojan.Yontoo.1 демонстрирует на экране диалоговое окно программы, предлагающей инсталлировать приложение под названием Free Twit Tube.
Однако вместо заявленной программы после нажатия на кнопку Continue троянец загружает из Интернета и устанавливает специальный плагин Yontoo для наиболее популярных среди пользователей Mac OS X браузеров: Safari, Chrome и Firefox. Этот плагин в процессе просмотра веб-страниц в фоновом режиме передает на удаленный сервер данные о том, какую веб-страницу открыл в своем браузере пользователь.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

В ответ данное дополнение получает от злоумышленников специальный файл, позволяющий встраивать в просматриваемые пользователем веб-страницы различные рекламные модули от сторонних партнерских программ.
Такие расширения для браузеров детектируются антивирусным ПО как Adware.Plugin. Следует отметить, что аналогичная схема распространения «рекламного троянца» существует и для пользователей ОС Windows

Оффлайн ALENA

  • *
  • Сообщений: 53414
  • Пол: Женский

Новости из мира вирусов
« Ответ #20 : 22 Март 2013, 10:30 »
Открыта шпионская сеть TeamSpy

Венгерская компания CrySyS Lab обнародовала результаты своего расследования, в котором раскрыла долговременную шпионскую операцию, в которой использовался популярный инструмент удаленного доступа к рабочим столам TeamViewer и уникальный вирус.
Целью атаки TeamSpy стали многие крупные фигуры из мира политики и бизнеса в Восточной Европе.
Авторы исследования присвоили группе операторов вируса кодовое наименование «TeamSpy». Вирус собирал ключи шифрования и документы с грифом «Секретно» на компьютерах многих высокопоставленных лиц. Среди целей вируса оказалось посольство России в одной из стран, принадлежащих НАТО и Евросоюзу (конкретное государство не указывается). Кроме того, в числе жертв есть крупное производственное предприятие в России, несколько научных и образовательных учреждений из Франции и Бельгии, а также компания по производству электроники из Ирана. Компания CrySyS узнала об атаках, когда Управление национальной безопасности Венгрии рассказало о том, что жертвой вируса TeamSpy стал некий неназванный «высокопоставленный государственный чиновник».
Технологии атак, которые используются шпионской сетью TeamSpy, по мнению авторов, с большой вероятностью свидетельствуют, что эта операция длится уже много лет. Кроме того, есть признаки того, что жертвами вируса могли оказаться и другие крупные фигуры во множестве стран мира. Дополнительную интригу расследованию придает тот факт, что приемы, использованные в этих атаках, сильно напоминают технологии мошенничества с банковскими счетами через вирус, известный под названием «Sheldon». Более того, независимый анализ специалистов из «Лаборатории Касперского» обнаружил сходство со шпионской сетью «Red October», раскрытой в прошлом году.
По словам экспертов из CrySyS, за атаками этого класса, которые возникают уже не менее 10 лет, с большой вероятностью стоят одни и те же люди, поскольку прослеживается четкая связь между примерами используемого кода в разные годы в разных шпионских сетях. Кроме того, во второй половине 2012 г. интенсивность этих атак вновь резко увеличилась.
Исследователи особо подчеркивают, что киберпреступники нацеливаются именно на крупных лиц в бизнесе и политике. Основанием для такого заключения служат сразу несколько фактов, включая IP-адреса жертв, известные действия преступников на некоторых взломанных машинах, трассировка атак, имена файлов, которые использовались в операциях по краже информации, странный полувоенный язык в некоторых структурах кода (буквально «Obshie manevri. Ispolzovat’ tolko s razreshenija S-a», что является транслитной записью фразы «Общие маневры. Использовать только с разрешения С-а.») и другие.
Атака TeamSpy сочетает в себе сразу несколько методов, включая использование пакета TeamViewer с действительной электронной подписью, правда в продукт были внесены некоторые модификации с помощью приема, известного как «DLL hijacking» («кража DLL») — именно эти модификации позволяют преступникам следить за своими жертвами в реальном масштабе времени. Установка этой взломанной программы также открывает «черный ход» в компьютере жертвы для установки обновлений к вирусу и дополнительных вредоносных программ. Сочетание модулей TeamViewer и серверов управления практически повторяет конструкцию ранее вскрытой мошеннической системы Sheldon. Кроме того, в системе TeamSpy используются и более традиционные вирусные инструменты, написанные специально для шпионажа и манипуляций с банковскими счетами.
По данным «Лаборатории Касперского», операторы вирусной системы TeamSpy заражали компьютеры пострадавших с помощью серии атак по принципу «водопой в засуху», когда вирусы размещаются на веб-сайтах, часто посещаемых будущими жертвами. Как только жертва посетит такой «заминированный» сайт, происходит заражение. Кроме того, преступники внедряли вирус в рекламные сети для охвата целых регионов. Во многих случаях основная часть вирусного кода, которая использовалась для заражения, была заимствована из известного набора эксплойтов Eleonore. Серверы управления и контроля, на которые передавались похищенные данные, размещались в таких доменах, как politnews.org, bannetwork.org, planetanews.org, bulbanews.org и r2bnetwork.org.
Открытие шпионской сети TeamSpy стало самым новым проявлением международной шпионской операции, в которой вирусы используются для похищения данных у высокопоставленных лиц. Самой известной шпионской сетью из этой серии стала сеть Flame. Также немалую известность получили вирусные сети Gauss и Duqu. Многие специалисты убеждены, что все три упомянутых вируса поддерживает некое государство с огромными ресурсами. Кстати, открытая в прошлом году шпионская сеть Mahdi тоже относится к этому классу атак.

Оффлайн ALENA

  • *
  • Сообщений: 53414
  • Пол: Женский

Новости из мира вирусов
« Ответ #21 : 22 Март 2013, 20:22 »
Symantec: злоумышленники эксплуатируют уязвимость нулевого дня в Java
Корпорация Symantec опубликовала результаты анализа атак с целью промышленного шпионажа, эксплуатирующих очередную уязвимость нулевого дня в Java.
Для их осуществления злоумышленники использовали скомпрометированный сертификат компании Bit9. Данная преступная группа ранее использовала и другие уязвимости нулевого дня.
Специалисты компании Symantec установили, что в рамках атаки с использованием уязвимости нулевого дня в Oracle Java Runtime Environment (CVE-2013-1493) на заражённый компьютер загружается вредоносная программа в виде DLL-библиотеки, подписанной скомпрометированным сертификатом компании Bit9, которая устанавливает связь со своим сервером управления по адресу 110.173.55.187. Антивирусные продукты компании Symantec определяют её как Trojan.Naid.
Авторы Trojan.Naid имеют высокий уровень подготовки и демонстрируют поразительную настойчивость в осуществлении атак с целью промышленного шпионажа сразу в нескольких отраслях. В их арсенале не одна уязвимость – в 2012 году специалисты компании Symantec сообщили об осуществлении создателями Trojan.Naid атаки типа "watering hole" с применением уязвимости нулевого дня в Microsoft Internet Explorer (CVE-2012-1875).
Атака начинается с того, что жертва переходит на веб-страницу со встроенным вредоносным JAR-файлом, который идентифицируется Symantec как Trojan.Maljava.B. Используя эксплойт к уязвимости CVE-2013-1493, он загружает файл с названием svchost.jpg, являющийся на самом деле исполняемым файлом, определяемым Symantec как Trojan.Dropper. Далее этот загрузчик в свою очередь скачивает файл appmgmt.dll, определяемый как Trojan.Naid. Symantec сразу же выпустила обновление для системы предотвращения вторжений (IPS), благодаря которому вредоносный JAR-файл будет определяться как Web Attack: Malicious Java Download 4.

Оффлайн ALENA

  • *
  • Сообщений: 53414
  • Пол: Женский

Новости из мира вирусов
« Ответ #22 : 23 Март 2013, 09:28 »
Eset: ситуация на Кипре используется для распространения вредоносного ПО

20 марта специалисты из антивирусной лаборатории Eset обнаружили замаскированные под новостную рассылку спам-письма, в которых рассказывалось о ситуации с налогом на депозиты в банках Кипра.
Известно, что эта тема буквально взорвала медийное пространство и дала обильную почву для различных спекуляций. Тем более, что на тот момент парламент Кипра еще не проголосовал за введение данного налога (позднее стало известно, что этот законопроект был отклонен).
"В это же время мы зафиксировали активность со стороны киберпреступников, которые также решили воспользоваться ситуацией на Кипре и шумихой вокруг нее в своих целях. Злоумышленники рассылали письма от имени телекомпании BBC с новостными заголовками, призванными запугать пользователя и убедить его в том, что введение налога было одобрено в парламенте", - рассказывает Артем Баранов, вирусный аналитик Eset.
В письме содержалась ссылка, при клике на которой пользователь перенаправлялся на страницу с набором эксплойтов BlackHole Exploits Kit, с последующей установкой троянской программы Cridex (Win32/Cridex.AA). Эта программа обычно используется для кражи различных паролей и другой конфиденциальной информации пользователя.
После заражения пользователь перенаправлялся на главную страницу новостей BBC, на которой мог увидеть, что ситуация не так драматична, как хотели показать киберпреступники.
Стоит отметить, что решения ESET успешно детектируют троянскую программу Cridex, а также блокируют упомянутый сайт как фишинговый".

Оффлайн ALENA

  • *
  • Сообщений: 53414
  • Пол: Женский

Новости из мира вирусов
« Ответ #23 : 26 Март 2013, 11:21 »
Торговые POS-терминалы – жертвы вируса vSkimmer

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Новый вирус похож на ранее известный вредоносный код Dexter, однако превосходит своего предшественника по функциональности.
Компания McAfee обнаружила на одном из подпольных российских форумах информацию о продаже троянской программы для похищения данных кредитных карточек пользователей POS-терминалов.
Вредоносная программа получила название vSkimmer, и способна работать совместно с подключенными к POS-терминалам ридерами банковских карт, считывая с них дополнительные данные. Вирус также заражает операционную систему Windows, на которой работают другие устройства, подключенные к ридерам. Все похищенные vSkimmer данные отправляются на удаленный сервер.
Предположительно, новый вирус похож на ранее известный вредоносный код Dexter, однако превосходит своего предшественника по функциональности.
В McAfee отмечают, что ботнет vSkimmer «особенно интересен тем, что его целью становятся POS-терминалы под управлением Windows».
Изначально вредоносная деятельность vSkimmer была обнаружена еще 18 января текущего года. Однако функциональность вируса была проанализирована лишь сейчас. Экспертам удалось выяснить, что вредоносная программа похищает из зараженных машин и отправляет на удаленный сервер следующую информацию: версию ОС, GUID-идентификатор, установленный по умолчанию язык, а также данные об активных пользователях и хостах. Украденные данные передаются на удаленный сервер по http в зашифрованном виде.
Помимо всего прочего, вредоносная программа также способна похищать данные Track 2, которые хранятся на магнитной ленте банковской карты жертвы (всю информацию о карте, включая ее номер).
vSkimmer использует стандартный механизм установки, копируя себя под видом svchost.exe в папку %APPDATA%, модифицирует ключ реестра для того, чтобы добавиться в список доверенных приложений. Для запуска вредоносного процесса вирус запускает ShellExecute.
Еще одной особенностью vSkimmer является то, что вирус может работать без подключения к интернету. vSkimmer может сбрасывать похищенные данные на USB-устройства, именуя том USB-носителя, как KARTOXA007.

Оффлайн ALENA

  • *
  • Сообщений: 53414
  • Пол: Женский

Новости из мира вирусов
« Ответ #24 : 27 Март 2013, 10:09 »
Банковский троян Carberp использует новые методы для хищения денежных средств

Компания Eset сообщила о появлении новой модификации троянской программы Carberp, способной использовать легальное ПО для хищения денежных средств, а также обходить механизм двухфакторной аутентификации с применением одноразовых паролей.
По итогам анализа новой версии Carberp, эксперты вирусной лаборатории Eset установили, что вредоносный код начал использовать специальную Java-библиотеку с открытым исходным кодом (так называемый Javassist). С ее помощью Carberp может модифицировать банковское ПО, основанное на языке программирования Java, рассказали CNews в Eset.
«Мы наблюдаем за Carberp достаточно давно и можем разделить время его активности на два больших периода: уверенный рост до лета 2012 года и уверенный спад после. Такое падение активности этого вредоносного кода связано, прежде всего, с арестами членов этой киберпреступной группы, которые занимались его дистрибуцией и распространением. В то же время, мы отмечаем, что код бота продолжал свое развитие несмотря ни на что. Это является дополнительным свидетельством того, что написание и распространение вредоносного кода могут осуществляться разными лицами или группами лиц», — указал старший вирусный аналитик Eset Артем Баранов.
Основной целью новой версии Carberp является модификация программного комплекса iBank 2 компании «Бифит», который широко применяется для дистанционного банковского обслуживания пользователей в России и на Украине. Для достижения этой цели Carberp использует вредоносный java-модуль, который детектируется Eset как Java/Spy.Banker.AB. Функционал данного модуля позволяет обходить системы двухфакторной аутентификации с использованием одноразовых паролей, отметили в компании. Еще одной особенностью вредоносного модуля Java/Spy.Banker является применение легитимной библиотеки для модификации кода банковского ПО. Такая методика позволяет Carberp лучше скрываться в системе и усложняет распознавание угрозы антивирусными продуктами.
«Киберпреступная группа Carberp одной из первых стала целенаправленно атаковать популярные ДБО системы на территории России и Украины. Ущерб, нанесенный этими киберпреступниками, исчисляется миллиардами рублей; их методы атак постоянно эволюционируют. Нам удалось зафиксировать использование нового вредоносного компонента, целенаправленно атакующего системы дистанционного банковского обслуживания iBank2, построенные на базе программного обеспечения компании “Бифит”, — рассказал руководитель центра вирусных исследований и аналитики Eset Александр Матросов. — На момент проведения нашего исследования вредоносный компонент Java/Spy.Banker.AB имел крайне низкий уровень обнаружения со стороны других поставщиков антивирусного ПО ввиду своих технологических особенностей и использования легальной библиотеки для модификации Java байт-кода в процессе активности iBank2-клиента».
После успешного заражения ПК и внедрения в клиент системы дистанционного банковского обслуживания, злоумышленники получают возможность контролировать все платежи, которые пользователь осуществляет при помощи этого банковского ПО. Комплекс iBank2 не проверяет целостность своего кода и может осуществлять денежные транзакции даже после модификации, пояснили в компании.
Решения Eset успешно детектируют как вредоносный код Carberp, так и его компоненты.

Оффлайн Nik

  • *
  • Сообщений: 8091
  • Пол: Мужской

Новости из мира вирусов
« Ответ #25 : 27 Март 2013, 20:29 »
Троянцы Trojan.Hosts заражают по 8 000 компьютеров в сутки

Описание и принцип работы троянских приложений семейства Trojan.Hosts.

Антивирусные компании предупреждают общественность об увеличении количества взломанных сайтов, которые злоумышленники используют для распространения троянских приложений семейства Trojan.Hosts.

В начале текущего года масштабы распространения данной угрозы приняли характер эпидемии.




Пик активности вируса был зафиксирован в январе и середине февраля – тогда ежесуточно фиксировалось порядка 9500 новых заражений. В марте троянская программа инфицирует порядка 8000 ПК в день.
Для взлома сайта используется протокол FTP, при помощи которого злоумышленники подключаются к интернет-ресурсу при помощи украденных ранее паролей и логинов.

Далее на взломанный ресурс загружается командный интерпретатор (шелл), который редактирует файл .htacess. На страницы сайта встраивается вредоносный скрипт.
При открытии зараженной страницы посетителю демонстрируются ссылки на различные вредоносные утилиты.
Стоит отметить, что Trojan.Hosts распространяется не только при помощи взломанных сайтов.

Злоумышленники даже организовали полноценную партнерскую программу, предлагая хакерам получить вознаграждение за распространение вируса. Таким образом, данный вид вредоносного приложения может попасть на компьютер различными путями – при помощи троянцев-загрузчиков и бэкдоров.

Основное назначение данного вируса – редактирование системного файла hosts, который отвечает за трансляцию интернет-адресов. После редактирования файла hosts, пользователь вместо популярных сайтов (социальные сети, поисковые системы и т.д.) перенаправляется на сайты злоумышленников.

Большая часть модификаций троянского приложения известна антивирусным программам. К тому же, большинство популярных антивирусов способны отслеживать изменения в файле hosts, выдавая соответствующее оповещение.

При необходимости можно вручную отредактировать данный файл, расположенный в каталоге Windows\System32\Drivers\etc\, удалив из него лишние строки.

Оффлайн ALENA

  • *
  • Сообщений: 53414
  • Пол: Женский

Новости из мира вирусов
« Ответ #26 : 01 Апрель 2013, 18:59 »
Троян ransomlock научился обходить песочницы автоматизированных систем анализа угроз
Securitylab
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
что согласно сообщению экспертов по информационной безопасности из антивирусной компании Symantec, им удалось обнаружить новую модификацию трояна ransomlock. Среди обновленного функционала вредоносного приложения появилась возможность обхода песочниц, содержащихся в автоматизированных системах анализа угроз.
Symantec проводил проверку образца вредоносного файла на восьми web-сайтах, которые занимаются хостингом автоматизированных систем анализа угроз и получил следующие результаты:
ThreatExpert зарегистрировал создание файла, изменения в реестре, а также подозрительную сетевую активность.
Еще три портала зафиксировали появление нового процесса, однако не смогли предоставить дополнительной информации.
Четыре оставшихся ресурса вовсе не смогли что-либо зафиксировать.
«Symantec продолжит вести мониторинг вредоносного кода и анализировать его функционал. Мы рекомендуем пользователям воздержаться от запуска подозрительных программ и регулярно обновлять свое антивирусное ПО до актуальных версий», - заявили эксперты.
Ознакомиться с отчетом Symantec можно
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Оффлайн ALENA

  • *
  • Сообщений: 53414
  • Пол: Женский

Новости из мира вирусов
« Ответ #27 : 01 Апрель 2013, 22:13 »

«Лаборатория Касперского» обнаружила инопланетного червя

 Об этом сообщается в
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
компании, где говорится следующее:
«Лаборатория Касперского», ведущий российский производитель систем компьютерной безопасности, сообщает об обнаружении нового сетевого червя. По мнению специалистов компании, по своей сложности он значительно превосходит не только существующие ныне вредоносные программы, включая профессиональные шпионские кибератаки и кибероружие, но и любое другое известное программное обеспечение.
Дизассемблированием и анализом нового компьютерного червя занимаются лучшие эксперты «Лаборатории», однако они столкнулись с чрезвычайно сложными компьютерными алгоритмами и изощрёнными способами кодирования.
«Никогда ранее нам не приходилось сталкиваться не просто с таким уровнем сложности и переплетённости машинного кода, но и с подобной логикой программ, — утверждает Евгений Касперский. — Для анализа даже самых сложнейших компьютерных червей и троянских программ нашим экспертам требуется от нескольких недель до пары месяцев, но в этом случае сложность работы оценке не поддаётся. Мне неизвестна ни одна софтверная компания, способная на подобную разработку, даже теоретически невозможно предположить, что этот код написан человеком. Большинство вредоносных программ разработано разномастными компьютерными преступниками в корыстных целях, некоторые кибератаки — просто сетевое хулиганство, а за наиболее сложными атаками предположительно стоят спец-службы разных стран. В данном же случае это ни первое, ни второе, ни третье. Этот код нечеловечески сложен, боюсь, что червь имеет внеземное происхождение».
Другие специалисты «Лаборатории Касперского», занимающиеся изучением супер-вируса, также склоняются к неземной теории происхождения нового компьютерного зловреда. Что интересно, первые образцы нового компьютерного вируса специалисты компании получили в конце февраля из Челябинской области, а также из научных организаций, занимавшихся изучением обломков знаменитого Челябинского метеорита, что также является косвенным доказательством космического происхождения нового компьютерного червя. По этой же причине червь получил «рабочее» название «Челябинск».
Эксперты обнаружили заражённые компьютеры также у сотрудников РАН, вернувшихся из Челябинска. Как выяснилось, предположение о внеземном происхождении нового компьютерного вируса не вызвало у них никакого удивления, более того компьютерный гость из космоса подтверждает некоторые смелые научные предположения.
Существует гипотеза о космическом происхождении жизни на Земле, согласно которой первые протобактерии были занесены на еще бесплодную Землю космическими объектами, метеоритами и астероидами. Российские учёные считают, что инцидент с Челябинским компьютерным вирусом только подтверждает её. Налицо пример спонтанного космического транс-планетного перемещения не только примитивных форм биологической жизни, но также и компьютерных червей.
Их коллеги-биологи комментируют это событие так: «Все известные компьютерные вирусы и черви были созданы человеком. Здесь же мы имеем дело с новой формой цифровой сущности. Метеоритное проникновение чужеродной компьютерной жизни в уже заселённое сетевое пространство Земли — это показательное, фундаментальное событие. Оно, несомненно, подтверждает теорию дуальности биологической Земной жизни, часть которой возникла самостоятельно, а часть — была занесена извне, через космическое пространство. Таким образом, мы можем предполагать, что на сегодняшний день на Земле одновременно существуют три параллельные формы био-жизни: земная, инопланетная и гибридная».
«Современная антивирусная индустрия традиционно готова к отражению исключительно наземных компьютерных атак, а в данном случае мы принимаем вызов из космоса. Я практически уверен, что рано или поздно специалистам нашей компании удастся расколоть инопланетный код, во всяком случае, первые пробные «вакцины» будут выпущены и предоставлены на тестирование членам фан-клуба «Лаборатории» уже в ближайшее время, — пообещал Евгений Касперский. — Однако не стоит забывать и о других возможных источниках угроз, исходящих из пространств, практически неизведанных человеком — подводных и подземных. Именно по этой причине компания организовала экспедицию на Камчатку к вулкану Толбачик, где сейчас проходит очередное мощное вулканическое извержение. Я намерен лично заняться проектом поиска компьютерных вирусов или их следов в свежих вулканических выбросах».
Дополнительная информация о челябинском вирусе в посте Евгения Касперского на
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Оффлайн ALENA

  • *
  • Сообщений: 53414
  • Пол: Женский

Новости из мира вирусов
« Ответ #28 : 02 Апрель 2013, 18:14 »
Вымогатели начали использовать историю браузеров жертв для большей убедительности

Вирус проверяет историю на наличие ресурсов с запрещенным контентом и добавляет обнаруженные сайты в сообщение мошенников.
Мошенники, рассылающие поддельные уведомления от имени властей или правоохранительных органов о том, что на компьютере пользователя замечена подозрительная активность, начали использовать новую технику. Для большей убедительности своих угроз, злоумышленники начали использовать историю браузеров жертв.
Напомним, что вымогатели чаще всего отправляют потенциальным жертвам уведомления о том, что последние либо посещали запрещенные ресурсы, либо занимаются распространением незаконного контента, и за это система подверглась блокировке. Для разблокировки компьютера пользователю предлагается заплатить штраф.
Злоумышленники делают ставку на то, что испуганные владельцы заблокированных компьютеров не будут разбираться в происходящем и молча заплатят «штраф».
Как отмечает в своем блоге независимый исследователь под ником Kafeine, в последнее время мошенники начали использовать специальное ПО, которое анализирует историю посещений браузера потенциальной жертвы, и применяют полученную информацию для большей эффективности своих атак.
Хакеры используют вирус под названием Kovter, который отображает поддельное уведомление от имени Министерства юстиции США, агентства внутренней безопасности или ФБР, обвиняющее владельца компьютера в загрузке и распространении незаконного контента. Уведомление содержит IP-адрес и хостинговое имя компьютера, а также список сайтов, из которых, якобы, была произведена загрузка.
Вредоносная программа проверяет наличие ресурсов, содержащих незаконную информацию, в истории браузера жертвы, и, если находит, добавляет обнаруженные адреса в сообщение. В случае если таких адресов в истории нет, программа вписывает в уведомление случайные web-сайты, распространяющие порнографию, или другой запрещенный контент

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Оффлайн ALENA

  • *
  • Сообщений: 53414
  • Пол: Женский

Новости из мира вирусов
« Ответ #29 : 10 Апрель 2013, 09:01 »
Не стань заложником  Skype
Эксперты
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
обнаружили две набирающие обороты вредоносные кампании в Skype: в обоих случаях злоумышленники заманивают пользователей перейти по вредоносной ссылке методами социальной инженерии, обещая интересный фото- или видео-контент. Для распространения вредоносных ссылок используются похищенные или специально созданные Skype-аккаунты, а конечной целью одной из кампаний предположительно является мошенническая генерация виртуальной валюты Bitcoin.
Первая из обнаруженных атак стартовала еще 1 марта, однако рекордных масштабов достигла только в начале апреля: количество переходов по вредоносной ссылке составляло в среднем 2,7 раза в секунду. Чаще всего по ссылке переходили пользователи из России, Украины, Болгарии, Китая, Тайваня и Италии. В ходе анализа кода программы, которая загружалась на ПК пользователя в случае перехода по ссылке, эксперты обнаружили, что в одной из строк содержалось упоминание Bitcoin wallet – кошелька в системе виртуальной валюты Bitcoin.
В четверг 4 апреля стало известно об еще одной похожей атаке. Пользователи получали сообщение с призывом перейти по ссылке, однако, как выяснили специалисты «Лаборатории Касперского», на этот раз вместе с вредоносной программой на компьютер пользователя устанавливалась специальная программа для генерации виртуальной валюты Bitcoin. Эта валюта позволяет зарабатывать деньги за счет предоставления вычислительных ресурсов компьютера, на котором установлено специализированное приложение. Участник системы предоставляет свой компьютер для проведения вычислений, а взамен получает монеты Bitcoin, которые впоследствии можно конвертировать в другую валюту или использовать для оплаты товаров и услуг в некоторых интернет-магазинах. Только в течение первых суток с момента старта кампании по вредоносной ссылке ежечасно переходили около 2 тысяч пользователей, подсчитал Дмитрий Бестужев, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского».
Судя по географии распространения, пользователи, которые могут стать жертвами второй кампании, находятся в Италии, России, Польше, Коста-Рике, Испании, Германии и Украине.
Также занимательным может показаться тот факт, что вредоносная кампания стартовала, когда курс Bitcoin достиг исторического максимума. По состоянию на 8 апреля курс валюты возрос до 173 долларов США за монету, при том, что еще в 2011 году за нее не давали более 2 долларов США. Таким образом, Bitcoin становится настоящим «лакомым куском» для киберпреступников.
«Тот факт, что злоумышленники обратили свое внимание на Bitcoin, вполне закономерен. Данная платежная система основана на принципах анонимности, благодаря чему и снискала большую популярность у киберпреступников. Валюта Bitcoin идеально подходит для теневой экономики – оружие, наркотики, уязвимости нулевого дня, трояны и вирусы беспрепятственно могут покупаться и продаваться за цифровые деньги, – комментирует Сергей Ложкин, эксперт «Лаборатории Касперского». – В силу анонимности и неконтролируемости такие сделки очень трудно отследить, поэтому преступники чувствуют себя весьма комфортно. Архитектура Bitcoin построена таким образом, что с увеличением количества сделок растет и потребность в аппаратных ресурсах, необходимых для генерации валюты. Именно поэтому злоумышленники разрабатывают вредоносные программы, которые будучи установленными на компьютер жертвы, используют его ресурсы для генерации монет, создавая таким образом целые ботнеты, приносящие неплохой доход их владельцам».
«Лаборатория Касперского» рекомендует пользователям внимательнее относиться к сообщениям, которые приходят не только через Skype, но и через любую другую программу мгновенного обмена сообщениями. Даже если ссылка получена от известного вам человека, существует вероятность, что его компьютер был заражен и перешел под контроль злоумышленников.