Software

[TOSHIK]

=Божественная Очаровашка=,
какой нибудь антивирус установлен на компьютере?

[Zork]

Компания IMLogic предупредила пользователей о распространении нового рождественского червя, который поразил IM-протоколы AOL, MSN и Yahoo. Пользователям предлагается посетить сайт Санта Клауса, при загрузке которого на компьютер скачивается файл gift.com. Если пользователь запускает его, он выключает антивирусное приложение и собирает личную информацию.

С инфицированного компьютера червь также распространяется всем пользователям, которых находит в контактах IM-клиента. Компания IMLogic рекомендует пользователям обращать внимание на ссылки, которые они получают, обновлять антивирусные базы и вовремя патчить IM-клиенты.

[Zork]

Обнаружен первый вирус для мобильных телефонов

Обнаружен первый вирус для мобильных телефонов, поддерживающих технологию Java, говорится в сообщении Лаборатории Касперского - российского разработчика антивирусных программ.

В компании уточнили, что заражению троянской программой, получившей по классификации вирусных аналитиков название Trojan-SMS.J2ME.RedBrowser.a, подвержены не только смартфоны, но и все мобильные телефоны, поддерживающие платформу Java.

Этот "троян" представляет собой Java-приложение: он может быть загружен на телефон как из Интернета (c WAP-сайта), так и другими способами - через Bluetooth-соединение или с персонального компьютера.

Вирус ориентирован на абонентов крупнейших российских мобильных операторов - МТС, Билайн, Мегафон, отмечается в сообщении.

"К счастью, эта троянская программа легко деинсталлируется самим пользователем при помощи стандартных утилит телефона", - говорится в пресс-релизе.

Вирус маскируется под программу, позволяющую посещать WAP-сайты без необходимости настройки WAP-подключения. По словам авторов программы, такая возможность достигается за счет отправки и приема бесплатных SMS-сообщений. "Троян" же рассылает SMS на некоторые платные мобильные сервисы. За каждое подобное сообщение со счета пользователя снимается $5-6.

Компания предупреждает, что, несмотря на то что пока обнаружен только один образец вируса, в сети наверняка существуют и другие ее версии. По мнению специалистов Лаборатории Касперского, появление RedBrowser является признаком того, что вирусописатели расширяют свой "мобильный охват" и выходят за пределы сферы дорогостоящих смартфонов.

Эксперты призывают пользователей мобильных телефонов к предельной бдительности и не советует доверять предложениям загрузить неизвестные приложения и программы из Интернета.

Технология J2ME (Java для мобильных устройств - ред.), разработанная компанией Sun Microsystems, была представлена в 1999 году. Ключевым элементом технологии является Java-виртуальная машина KVM (Kilobyte Virtual Machine), которая за счет своего небольшого размера (160 Кб) может функционировать на малых устройствах с ограниченными ресурсами.

[Zork]

В предоставленном недельном отчете от компании Panda Software будет рассмотрен любопытный троян - RedBrowser.A. Данный троян комбинирует две тенденции которые, похоже, будут превалировать в 2006году - вредоносное ПО для сотовых телефонов и malware-базированная бизнес-модель.

Сегодня мы наблюдаем новую тенденцию в развитии вредоносных кодов. Вместо традиционных действий (удаление файлов) хакеры теперь пытаются получить финансовую прибыль с помощью своих созданий. Учитывая это, создатель RedBrowser.A разработал приложение, симулирующее доступ к WAP-страницам через бесплатные SMS-сообщения. В реальности же, сообщение посылается через сервис SMS на номер 1615. Отправка сообщения на этот номер высоко тарифицируется в России, что приносит большую прибыль сервисному провайдеру.

Однако перед отправкой сообщения, пользователя спрашивают о подтверждении, тем самым вредоносный потенциал RedBrowser.A значительно снижается. Кроме того, пользователи легко могут заметить трояна, поскольку он приходит на телефон в файле с названием REDBROWSER.JAR и отображает изображение на экране.

Другим четким примером вредоносной бизнес-модели являются трояны Nabload.BR и Banker.CDV. Nabload.BR - это троян, который в обход брандмауэра Windows XP выходит в Интернет для выполнения действий, среди которых скачивание Banker.CDV. Данный крадущий пароли троян наблюдает за доступом пользователей к определенным онлайновым сервисам, таким как банки и почтовые сервисы на английском и немецком языках. Таким образом он получает пароли, информацию о пользователе и прочие конфиденциальные данные. После этого, он отправляет собранную информацию на определенную веб-страницу.

[Zork]

Образец вируса поражает Windows и Linux

Вирмейкеры предложили еще один пример вредоносного ПО, способного заражать компьютеры как с операционной системой Windows, так и с Linux.

Образец нового вируса был доставлен в российскую антивирусную компанию «Лаборатория Касперского», которая назвала его Bi.a. В пятницу ЛК сообщила на своем веб-сайте, что этот вирус написан на языке ассемблера и ограничен тем, что заражает только файлы из текущего каталога. Зато он способен заражать файлы разных форматов, используемых Linux и Windows — соответственно ELF и PE.

Вирус представляет собой классический демонстрационный образец, предназначенный для доказательства возможности создания кроссплатформенного вируса. «Однако наш опыт показывает, что после того как появляется демонстрационный образец, вирмейкеры быстро создают код и адаптируют его для своих нужд», — пишет ЛК.

Это опасение разделяет Сва Францен, который наблюдает за инцидентами в SANS Internet Storm Center. «В данном случае сам демонстрационный образец практически безопасен, но его появление указывает на то, что кроссплатформенные аспекты становятся важными, — пишет Францен в блоге ISC. — Если разработчики вирусов продолжат изыскания в этом направлении, мы получим новое кроссплатформенное вредоносное ПО».

ЛК добавила средства обнаружения вредоносного кода в свои базы данных антивирусов.

[Zork]

Win32.Polipos продолжает заражать Р2Р


Служба вирусного мониторинга компании «Доктор Веб» информирует об опасном полиморфном вирусе Win32.Polipos, который уже в течение месяца распространяется по различным пиринговым сетям.

Началось распространение Win32.Polipos в марте этого года. Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержится и опасная функция «нейтрализации» целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети.

Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы «покрывая тело файла-жертвы собственными пятнами». При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов — при ее наличии — «вниз». При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.

При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют процессы со следующими именами: savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll, smss, csrss, spoolsv, ctfmon, temp. Таким образом, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся общедоступными для участников этой сети.

Резидентные копии Win32.Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, файлов инсталляции и т.п.) вирус пытается создать оригинальную копию файла во временном каталоге с именем ptf*.tmp, которую и запускает. Это делается для обхода контроля целостности, используемого некоторыми инсталляторами.

[Zork]

Новый троян завлекает планом игр чемпионата по футболу

Специалисты по вопросам компьютерной безопасности предупреждают о появлении очередной вредоносной программы, использующей методы так называемого социального инжиниринга. Новый троян эксплуатирует всеобщий интерес к предстоящему чемпионату мира по футболу, который начнётся в Германии.

Схема распространения вредоносной программы, как сообщает Infoworld, сводится к следующему:

Приходит электронное письмо с текстом "Fussball Weltmeisterschaft 2006 in Deutschland" ("Чемпионат мира по футболу в Германии"). В теле сообщения имеется ссылка на некий файл googlebook.exe, якобы содержащий план соревнования. Однако, если пользователь по неосторожности щёлкнет по ссылке, на его компьютер вместо ожидаемого графика игр проникает троян.

Троян, предположительно, распространяется с сервера, расположенного на территории Соединённых Штатов.

Кстати, методы социального инжиниринга применяются вирусописателями достаточно часто. Например, ураган Катрина повлёк за собой спам-рассылку сообщений с предложением узнать подробности о стихийном бедствии. Однако любопытным вместо обещанной информации высылался вредоносный код.

[Zork]

В Microsoft Word найдена критическая брешь

В текстовом редакторе Microsoft Word обнаружена опасная уязвимость, которая теоретически может использоваться злоумышленниками для выполнения на удалённом компьютере произвольных вредоносных операций.

Как сообщает датская компания Secunia, для организации атаки нападающему необходимо вынудить жертву открыть в приложении Word сформированный особым образом документ. Такой документ, например, может быть размещён в интернете или прислан по электронной почте. После открытия файла на ПК происходит ошибка, в результате которой атакующий может получить неограниченный доступ к системе. По классификации Secunia брешь получила рейтинг наивысшей опасности.

Уязвимость, патча для которой в настоящее время не существует, присутствует в офисных пакетах Microsoft Office XP и Office 2003. Корпорация Microsoft уже поставлена в известность о существовании проблемы и занимается разработкой патча. Не исключено, что соответствующая заплатка будет выпущена вместе с ежемесячной серией обновлений 13 июня.

Между тем, антивирусные компании предупреждают о появлении вредоносной программы, эксплуатирующей дыру в Microsoft Word. Троян Ginwui.A проникает на компьютер при просмотре пользователем вложения, присланного по электронной почте.

После активации Ginwui.A вносит изменения в реестр Windows и размещает на машине модуль, открывающий "черный ход" в систему. Используя вредоносную программу, киберпреступники могут выполнять на компьютере жертвы произвольные действия, в том числе удалять файлы, перезагружать компьютер, делать скриншоты и просматривать конфиденциальную информацию. Специалисты компании F-Secure настоятельно рекомендуют пользователям не открывать документы Word, присланные из неизвестных источников.

[Zork]

Первый вирус для StarOffice

Лаборатория Касперского сообщила о появлении первого вируса для офисного пакета StarOffice. Обнаруженная вредоносная программа еще не использовалась для инфицирования компьютеров, что, по мнению специалистов Лаборатории, может говорить о том, что вирус был написан каким-нибудь подростком.

Вредоносная программа, которую специалисты нарекли Stardust использует для атаки макрос. "Это странно само по себе", – говорят исследователи, "Хакеры уже давно не используют макросы для распространения вирусов, поскольку простое отключение опции работы с макросами в офисном приложении становится причиной того, что вредоносная программа не запустится на компьютере пользователя".

Обычно подобные вирусы заражают шаблоны, к которым обращается программа во время открытия нового документа. В результате эти документы тоже оказываются зараженными. Stardust работает по такому же принципу – он заражает и документы с расширением .sxw, и шаблоны с расширением .stw. Когда файл заражен, при его открытии запускается картинка "для взрослых", размещенная на сервере tripod.com.

Специалисты говорят, что если немного изменить вирус, то он сможет быть использован для атак на офисный пакет с открытым кодом OpenOffice 2.0.

[Zork]

Вирус-вымогатель атаковал россиян

На территории России распространяется новая версия вируса GPCode, который шифрует на зараженном компьютере важные файлы, а затем предлагает пользователям заплатить за расшифровку. Эксперты призывают не выполнять условия злоумышленников. Тем более что уже создано приложение, расшифровывающее файлы.

Множественные запросы от пользователей, файлы на жестких дисках которых оказались зашифрованы, стали поступать в "Лабораторию Касперского" 1 июня. В компании предполагают, что большое количество обращений вызвано распространением вредоносной программы путем спам-рассылки. Вирус, попадая в компьютер пользователя, шифрует файлы с расширениями .doc, .xls, .txt, .zip и другие, в которых может содержаться нужная информация. Во всех папках с зашифрованными файлами вирус-шантажист оставляет текстовый файл Readme.txt, в котором содержится предложение написать на электронный адрес злоумышленника и в дальнейшем заплатить некоторую сумму денег с тем, чтобы получить алгоритм расшифровки.
Some files are coded by RSA method. To buy decoder mail: [email protected] with subject: REPLY

"Лаборатория Касперского" призывает всех пострадавших в результате работы новой версии GPGode ни в коем случае не выполнять требования преступников и не поощрять их на создание новых версий вредоносной программы. Пользователям также рекомендуется быть бдительными и не открывать письма от неизвестных адресатов с подозрительными вложениями. Эксперты "Лаборатории Касперского" уверяют, что в ближайшее время пострадавшие смогут восстановить свои документы: в компании уже работают над алгоритмами расшифровки и в ближайшее время выпустят обновление для антивирусных баз.

Однако лекарство от вируса уже выпустила другая компания - "Доктор Веб". "Сейчас мы готовим наши антивирусные базы, чтобы с помощью них можно было расшифровывать файлы. Однако те, кто уже столкнулся с вредоносной программой, могут скачать специальную утилиту для расшифровки, - отметил в интервью CNews генеральный директор компании "Доктор Веб" Борис Шаров. - Мы подозреваем, что сейчас рассылкой этого вируса занимается одна и та же преступная группировка, которую можно было бы нейтрализовать, если бы за дело взялись спецслужбы".

Семейство GPCode получило широкую известность благодаря вредоносному действию, направленному на получение денег от владельцев зараженных машин путем шантажа. Вирус распространяется по электронной почте и заражение происходит, когда пользователь открывает вредоносное вложение.

[Zork]

Очередной троян требует выкуп с пользователей

Эксперты лаборатории SophosLabs предупредили пользователей о троянской программе, зашифровывающей данные на компьютере жертвы и затем пытающимся заставить пользователей сделать покупку на фармацевтическом сайте.

Троян Troj/Arhiveus-A (также известный под названием MayAlert) собирает все файлы из папки "Мои документы" ничего не подозревающего пользователя и создает зашифрованный файл EncryptedFiles.als.

Когда пользователи пытаются открыть свои файлы, они перенаправляются к файлу, содержащему инструкции по восстановлению данных.
INSTRUCTIONS HOW TO GET YOUR FILES BACK
READ CAREFULLY. IF YOU DO NOT UNDERSTAND - READ AGAIN.

Это автоматически генерирующееся сообщение архиватора.

Ваш компьютер заражен с помощью нашей программы, которая попала к Вам во время просмотра Вами запрещенных веб-страниц с порно-содержанием, все ваши документы, текстовые файлы, базы данных в папке "Мои документы" были заархивированы и закрыты длинным паролем.

Вам не удастся разгадать пароль - его длина составляет 30 символов, что делает невозможным его вскрытие путем подбора всех возможных вариантов.

Не пытайтесь найти программу, зашифровавшую Вашу информацию - программы уже просто нет на Вашем жестком диске. Если Вы обратитесь в полицию, это не поможет, они не знают пароля. Если Вы сообщите куда-либо о нашем электронном адресе, это так же не поможет Вам восстановить файлы. Более того, Вы и наши посредники просто потеряете с нами контакт, и, следовательно, всю зашифрованную информацию.


Чтобы вернуть файлы (а это могут быть личные фотографии, письма, записи о домашних расходах или что-то еще), пользователи должны ввести пароль из 30 знаков, который, как им сообщается, станет активным только после того, как они совершат покупку на фармацевтическом сайте.
К файлам доступ закрыт до тех пор, пока не будет введен правильный пароль.
Эксперты лаборатории Sophos, проанализировав эту троянскую программу, смогли подобрать пароль, с помощью которого зашифровывались пользовательские данные:
mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw

Представители Sophos сообщают также, что это не единичный случай хакерского ПО, целью которого является получение выкупа. В марте 2006 года троян под названием Zippo предлагал пользователям заплатить $300, чтобы вернуть зашифрованные данные. В апреле троянская программа Ransom-A грозилась удалять по одному файлу, пока не будет заплачен выкуп.

Пользователи начали получать "письма-призраки"

В последние несколько дней специалисты по антивирусной безопасности зафиксировала по всему миру случаи, когда пользователи получали электронные письма с собственным адресом в полях отправителя и получателя. Заголовок и текст сообщений – в формате HTML – состоит из произвольных чисел.

В действительности эти письма, конечно же, не отправлены с адреса пользователя, а используют методы фальсификации адреса для маскировки источника сообщения.

По крайней мере, пользователи могут быть спокойны – эти сообщения не содержат вредоносного ПО. Однако получение пользователем таких сообщений вероятно подразумевает то, что его/ее электронный адрес является частью базы данных, используемых для вредоносных целей кибер-преступниками. Такие действия могут варьироваться от рассылки спама до фишинговых атак или распространения известного и неизвестного вредоносного ПО.

По словам Луиса Корронса, директора PandaLabs, "Наиболее вероятно, что группа хакеров, проверяет действительность баз данных электронных адресов. Отправляя такие сообщения, они могут определить, активен ли адрес, и удалить те, которые не используются. С другой стороны, пользователей больше всего удивляет то, что сообщение приходит с их собственного адреса. Само по себе это не является удивительным, поскольку ответственные за рассылку, очевидно, пытаются обойти системы фильтрования почты - ведь никто не фильтрует собственный электронный адрес”.

[Zork]

Сегодня произойдет активизация компьютерного вируса Nyxem, запрограммированного на стирание документов в зараженной машине 3-го числа каждого месяца.

Почтовый червь Nyxem (также известный как Blackworm, Email-Worm.Win32.VB.bi, Win32/Mywife.e, Kama Sutra, W32.Blackmal.E@mm и т.д.) был впервые обнаружен в начале этого года. Вирус является почтовым и в меньшей степени сетевым червем, попадает на компьютер при открытии вложения к письму, где размещены ссылки на сайты порнографической направленности, либо через «расшаренные» диски. Червь запускается после загрузки компьютера в третий день любого месяца, разрушая файлы форматов DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD и DMP.

[Zork]

Новый троян изменяющий IP адрес

В интернете обнаружена новая троянская программа, которая перенаправляет пользователей на фальшивые сайты даже в случаях, когда они набирают адрес ресурса в строке браузера. Новый троянец получил название DNSChanger.eg.
Когда пользователь набирает адрес в строке браузера, троянская программа направляет его на IP-адрес, не соответствующий набранному доменному имени. Преступники могут сделать фальшивый сайт очень похожим на тот, к которому обращаются пользователи и таким образом получить от них важную информацию, например, банковские учетные данные.
Используя DNSChanger.eg, преступники могут повредить и сам DNS-сервер. Программа способна менять DNS-кеш, а значит, запросы к сайту могут перенаправляться на другие IP-адреса.

В Сети появился новый вирус, работающий в Linux и Windows одновременно

В интернете обнаружен второй вирус, способный функционировать одновременно в операционных системах Linux и Windows. В энциклопедии Лаборатории Касперского вирус получил название Virus.Linux.Bi.a/Virus.Win32.Bi.a.

Принцип действия вируса довольно необычный - в ОС Linux вирус заражает файлы формата ELF, а в Windows его жертвами становятся файлы формата PE.

Сам вирус не имеет стандартного исполняемого файла, а представляет из себя просто код. По мнению вирусологов, реальной опасности Virus.Linux.Bi.a/Virus.Win32.Bi.a не приносит, а служит скорее всего доказательством концептуального подхода к созданию кроссплатформенных вирусов.

[Zork]

Отчет по кибер-атакам за последние шесть месяцев


Отчет Sophos про управление угрозами безопасности, который можно загрузить по адресу http://www.sophos.com/security/whitepap ... jun06-srus, составлен экспертами SophosLabs демонстрирует, что, хотя наблюдается значительный спад появления новых вирусов и червей, это с излишком компенсировалось увеличением других видов вредоносных кодов, что говорит о смещении интересов кибер-преступников на кражу информации и денег.

Что самое интересное, число новых троянских программ на данный момент численностью превышает число вирусов и червей в соотношении 4:1, в то время как в первой половине 2005 года это соотношение было 2:1. Более того, неизменное преобладание вредоносного ПО на базе Windows побудило Sophos предположить, что некоторые пользователи домашних компьютеров могут рассмотреть переход на Apple Mac, чтобы защититься от электронных нападений.

Исследования показывают, что самой распространенной угрозой в период с января по сегодняшний день является червь Sober-Z, который на пике своей активности, содержался в каждом тринадцатом электронном сообщении. Преобладание этого червя наглядно демонстрирует тенденцию ухода от вирусных атак по электронной почте, поскольку Sober-Z сохраняет свою монополию, несмотря на то, что он уже не рассылался с января 2006 года. Дополнительным свидетельством является то, что в этом году пока только одно из 91 сообщения было поражено вирусом, а за тот же период 2005 года было заражено 1 из каждых 35 сообщений.

В отличие от числа новых червей и вирусов, общий уровень вредоносных программ продолжает расти, демонстрируя тем самым, что шпионское ПО, трояны и фишинг становятся все более привлекательными средствами нападения для кибер-преступников. В июне 2005 года, число различных вредоносных программ, защиту от которых обеспечивала компания Sophos составляло 140,118. Через год в июне 2006 года Sophos идентифицирует и обеспечивает защиту уже от 180,292 различных вирусов, шпионских программ, червей, троянов и другого вредоносного кода, а также от рекламных программ и других "потенциально нежелательных приложений" (ПНП; potentially unwanted applications, PUAs). Подавляющая доля вредоносного кода по-прежнему пишется для Windows, и хотя в феврале 2006 года была зарегистрирована первая программа подобного рода для Mac OS X, она не получила широкого распространения и не ознаменовала собой начала лавины атак на платформу Mac.

В 2006 году впервые появился новый тип атак с помощью троянов, в результате которых пользователи зараженных компьютеров обнаруживали, что принадлежащие им важные данные захвачены и удерживаются хакерами ради выкупа. Ставшие жертвами таких "инфонепинговых" атак люди обычно подвергаются шантажу, и им приходится или выплатить определенную сумму денег, чтобы вернуть информацию, или лишиться ее вовсе. В качестве свежих примеров можно назвать Ransom-A, Zippo-A и Arhiveus-A, каждый из которых вызвал панику среди пользователей, у которых компьютеры были плохо защищены.
Почти каждый день на протяжении 2006 года здесь и там по всей планете можно услышать об арестах, судах и приговорах в связи с интернет-преступлениями.

[Zork]

Служба вирусного мониторинга компании "Доктор Веб" сообщает о распространении по сети мгновенных сообщений ICQ новой модификации троянской программы, получившей название Trojan.PWS.LDPinch.1061. Вредоносный код распространяется в файле oPreved.exe

Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe) действительно имеет значок флэш-ролика, но на самом деле — это троянец, перехватывающий пароли.

После запуска oPreved.exe создаются файлы: %System%\Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot), %windir%\temp\xer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot) и временный файл C:\a.bat. Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run «Shel»=Expllorer.exe; HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices «Shel»=Expllorer.exe.

Передача паролей происходит через скрипт на сайте hxxp://220web.ru. Передаются все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д. Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны — как встроенный в операционную систему, так и некоторых сторонних разработчиков.

Компания "Доктор Веб" призывает пользователей быть внимательными и не открывать ссылки, пришедшие в сообщениях ICQ от неизвестных адресатов.