И снова об ошибках антивирусов
Периодически в прессе всплывает информация о ложных срабатываниях тех или иных антивирусов, причём результатами таких действий порой становится удаление важных программных файлов (после чего требуется повторная инсталляция).
На сей раз "отличилась" антивирусная программа Microsoft Windows Live OneCare. Ряд пользователей популярной VoIP-программы Skype сообщил о том, что их приложение было опознано указанным выше антивирусным продуктом от Microsoft как "троян" Win32/Vundo.gen!D. После разбирательства, софтверный гигант переписал базу данных сигнатур и проблема была решена. Комментарии специалистов-разработчиков Windows Live OneCare таковы: в попытке заблокировать многокомпонентное семейство программ, досаждающих пользователю всплывающей рекламой, под общую гребёнку попалась и программа Skype. Так что будьте осторожны и помните - антивирусы сделаны человеческими руками, и потому не лишены ошибок (в частности, ложных срабатываний).
-
Zork
- СуперМодератор
- Сообщения: 5261
- Зарегистрирован: Сб сен 17, 2005 20:53
- Откуда: г. Шахты
- Контактная информация:
Вирус “Вконтакте.ру” форматирует жёсткие диски пользователей
Пользователям рассылалась ссылка на картинку, но вместо нее загружался исполняемый файл. После запуска червь честно показывал картинку и при этом воровал пароли аккаунтов "В Контакте" и рассылал себя далее. 25 числа каждого месяца в 10 утра зараза будет выводить следующий текст:
"Павел Дуров Работая с "ВКонтакте.РУ" Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен! Если обратитесь в милицию, то сильно пожалеете об этом!"
и начнет удаление файлов на диске с:
Это вам не тихая установка троянов или банальный фишинг.
Червь, определяемый Dr.Web как Win32.HLLW.AntiDurov, рассылает с инфицированных машин другим пользователям сети “Вконтакте.ру” ссылку на картинку в формате jpeg, ведущую на ресурс злоумышленника в сети интернет (http://******.misecure.com/deti.jpg). На самом деле сервер передает по этой ссылке исполняемый файл deti.scr, который и является непосредственно сетевым вирусом.
После запуска на компьютере жертвы, червь сохраняет на диске саму картинку, которая и вызвала любопытство неосторожного пользователя, и запускает штатное приложение, используемое в системе для просмотра файлов jpeg. Скопировав себя в папку на жестком диске компьютера жертвы под именем svc.exe, “червь” устанавливается в системе в качестве сервиса Durov VKontakte Service и ищет пароль к доступу к Вконтакте.ру. После нахождения пароля, “червь” рассылает по всему списку контактов пострадавшего пользователя все ту же ссылку.
“Лучшее действие при появлении такого сообщения - немедленное выключение питания компьютера, что позволит, по крайней мере, сохранить если не все данные, то хотя бы их часть”, - советуют специалисты компании Dr.Web.
Пользователям рассылалась ссылка на картинку, но вместо нее загружался исполняемый файл. После запуска червь честно показывал картинку и при этом воровал пароли аккаунтов "В Контакте" и рассылал себя далее. 25 числа каждого месяца в 10 утра зараза будет выводить следующий текст:
"Павел Дуров Работая с "ВКонтакте.РУ" Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен! Если обратитесь в милицию, то сильно пожалеете об этом!"
и начнет удаление файлов на диске с:
Это вам не тихая установка троянов или банальный фишинг.
Червь, определяемый Dr.Web как Win32.HLLW.AntiDurov, рассылает с инфицированных машин другим пользователям сети “Вконтакте.ру” ссылку на картинку в формате jpeg, ведущую на ресурс злоумышленника в сети интернет (http://******.misecure.com/deti.jpg). На самом деле сервер передает по этой ссылке исполняемый файл deti.scr, который и является непосредственно сетевым вирусом.
После запуска на компьютере жертвы, червь сохраняет на диске саму картинку, которая и вызвала любопытство неосторожного пользователя, и запускает штатное приложение, используемое в системе для просмотра файлов jpeg. Скопировав себя в папку на жестком диске компьютера жертвы под именем svc.exe, “червь” устанавливается в системе в качестве сервиса Durov VKontakte Service и ищет пароль к доступу к Вконтакте.ру. После нахождения пароля, “червь” рассылает по всему списку контактов пострадавшего пользователя все ту же ссылку.
“Лучшее действие при появлении такого сообщения - немедленное выключение питания компьютера, что позволит, по крайней мере, сохранить если не все данные, то хотя бы их часть”, - советуют специалисты компании Dr.Web.
-
Zork
- СуперМодератор
- Сообщения: 5261
- Зарегистрирован: Сб сен 17, 2005 20:53
- Откуда: г. Шахты
- Контактная информация:
Пользователям «Одноклассников.ру» разослали трояны
Служба вирусного мониторинга компании «Доктор Веб» зафиксировала массовую рассылку писем, адресованных пользователям социальной сети «Одноклассники.ру», - сообщается на сайте компании «Доктор Веб».
В письмах содержится ссылка на сайт, посетив который пользователь может заразить компьютер.
Рассылка писем производится от разных пользователей, в том числе от имени некой "Глории Чернявской, Россия, Москва Возраст: 22 года".
При нажатии на ссылку «Отдать свой голос» предлагается скачать файл fire-codec5107.exe (по классификации Dr.Web Trojan.MulDrop.16008). Будучи скачанным, троянец помещает на жесткий диск компьютера жертвы файлы notepad2.exe (BackDoor.Mbot), reebsd2.exe (Trojan.DnsChange) и сalc2.exe (Trojan.DnsChange). Инфицирование компьютера производится с целью использования его для последующих спам-рассылок.
Служба вирусного мониторинга компании «Доктор Веб» зафиксировала массовую рассылку писем, адресованных пользователям социальной сети «Одноклассники.ру», - сообщается на сайте компании «Доктор Веб».
В письмах содержится ссылка на сайт, посетив который пользователь может заразить компьютер.
Рассылка писем производится от разных пользователей, в том числе от имени некой "Глории Чернявской, Россия, Москва Возраст: 22 года".
По указанной ссылке (адрес сайта изменен) открывается окно с фотографиями претендентки и отзывами людей, якобы уже проголосовавших за нее.Привет, Роман(Антон, Виталий)
Увидела твою анкету в списке "Друзей моих друзей" и решила попросить тебя о небольшом одолжении.
Дело в том, что я участвую в конкурсе красоты "Мисс Рунет" и мне очень нужна поддержка. Если тебя не затруднит, зайди пожалуйста на сайт конкурса и проголосуй за меня.
http://miss-runet.net/?a=125****
голосование абсолютно бесплатно, достаточно нажать на ссылку "Отдать свой голос".
Победа в данном конкурсе для меня очень много значит, иначе бы я не стала обращаться с подобной просьбой. Заранее благодарю за помощь.
При нажатии на ссылку «Отдать свой голос» предлагается скачать файл fire-codec5107.exe (по классификации Dr.Web Trojan.MulDrop.16008). Будучи скачанным, троянец помещает на жесткий диск компьютера жертвы файлы notepad2.exe (BackDoor.Mbot), reebsd2.exe (Trojan.DnsChange) и сalc2.exe (Trojan.DnsChange). Инфицирование компьютера производится с целью использования его для последующих спам-рассылок.
Последний раз редактировалось Zork Сб май 24, 2008 14:28, всего редактировалось 1 раз.
Привет, Илья
Увидела твою анкету в списке "Друзей моих друзей" и решила попросить тебя о небольшом одолжении.
Дело в том, что я участвую в конкурсе красоты "Мисс Рунет" и мне очень нужна поддержка. Если тебя не затруднит, зайди пожалуйста на сайт конкурса и проголосуй за меня.
http://miss-runet.net/?a=125550
Голосование абсолютно бесплатно, просто достаточно нажать на ссылку "Отдать свой голос".
Победа в данном конкурсе для меня ОЧЕНЬ много значит, иначе бы я не стала обращаться с подобной просьбой.
Заранее благодарю за помощь!
Увидела твою анкету в списке "Друзей моих друзей" и решила попросить тебя о небольшом одолжении.
Дело в том, что я участвую в конкурсе красоты "Мисс Рунет" и мне очень нужна поддержка. Если тебя не затруднит, зайди пожалуйста на сайт конкурса и проголосуй за меня.
http://miss-runet.net/?a=125550
Голосование абсолютно бесплатно, просто достаточно нажать на ссылку "Отдать свой голос".
Победа в данном конкурсе для меня ОЧЕНЬ много значит, иначе бы я не стала обращаться с подобной просьбой.
Заранее благодарю за помощь!
-
Zork
- СуперМодератор
- Сообщения: 5261
- Зарегистрирован: Сб сен 17, 2005 20:53
- Откуда: г. Шахты
- Контактная информация:
Сайт победителя Евровидения Димы Билана bilandima.ru заражён вредоносной программой Trojan-Clicker.HTML.IFrame.lq.
Расположенный на титульной странице сайта скрипт Trojan-Clicker.HTML.Iframe.lq без ведома пользователей производит обращение к китайскому сайту http://xanjan.cn.
На китайском сайте происходит выполнение другого скрипта, Trojan-Downloader.JS.ActiveX.bc, использующего уязвимость в Internet Explorer, в результате чего в систему пользователя (если его версия браузера уязвима) устанавливается и запускается троянская программа Backdoor.Win32.NoNeed.a, сочетающая в себе шпионский функционал с возможностью несанкционированного удаленного управления зараженным компьютером.
Расположенный на титульной странице сайта скрипт Trojan-Clicker.HTML.Iframe.lq без ведома пользователей производит обращение к китайскому сайту http://xanjan.cn.
На китайском сайте происходит выполнение другого скрипта, Trojan-Downloader.JS.ActiveX.bc, использующего уязвимость в Internet Explorer, в результате чего в систему пользователя (если его версия браузера уязвима) устанавливается и запускается троянская программа Backdoor.Win32.NoNeed.a, сочетающая в себе шпионский функционал с возможностью несанкционированного удаленного управления зараженным компьютером.
-
Zork
- СуперМодератор
- Сообщения: 5261
- Зарегистрирован: Сб сен 17, 2005 20:53
- Откуда: г. Шахты
- Контактная информация:
Некоторое время назад в Рунете появилось вредоносное программное обеспечение нового типа, имеющее прямое отношение к поиску.
Назвать это вирус можно вирусом подмены страниц. Суть его деятельности заключается в изменении содержимого страниц в браузере пользователя.
Вирус проявлет себя двумя основными способами:
Заменяет ссылку на сайт, например, найденный поисковой системой, ссылкой на какой-то другой сайт, который не имеет или почти не имеет отношения к заданному запросу. При перезагрузке страницы или повторном запросе ссылка на подставной сайт может исчезнуть.
При переходе пользователя по ссылке вирус переадресовывает его на другой сайт. В этом случае пользователь оказывается совсем не там, где ожидал.
Распространенная сейчас модификация вируса подменяет результаты всех популярных в Рунете поисковиков - Яндекса, Google, Рамблера, MSN (Live).
Заразить свой компьютер вирусом подмены можно разными способами – например, установив ускоритель закачки файлов BitAccelerator от файлообменника Letitbit.net. Вместе с этой программой распространяется скрытая библиотека. Даже если вы удалите сам BitAccelerator, эта библиотека останется с вами.
Более подробно принцип действия вируса описан в блоге Яндекс.Вебмастер.
Назвать это вирус можно вирусом подмены страниц. Суть его деятельности заключается в изменении содержимого страниц в браузере пользователя.
Вирус проявлет себя двумя основными способами:
Заменяет ссылку на сайт, например, найденный поисковой системой, ссылкой на какой-то другой сайт, который не имеет или почти не имеет отношения к заданному запросу. При перезагрузке страницы или повторном запросе ссылка на подставной сайт может исчезнуть.
При переходе пользователя по ссылке вирус переадресовывает его на другой сайт. В этом случае пользователь оказывается совсем не там, где ожидал.
Распространенная сейчас модификация вируса подменяет результаты всех популярных в Рунете поисковиков - Яндекса, Google, Рамблера, MSN (Live).
Заразить свой компьютер вирусом подмены можно разными способами – например, установив ускоритель закачки файлов BitAccelerator от файлообменника Letitbit.net. Вместе с этой программой распространяется скрытая библиотека. Даже если вы удалите сам BitAccelerator, эта библиотека останется с вами.
Более подробно принцип действия вируса описан в блоге Яндекс.Вебмастер.
-
Zork
- СуперМодератор
- Сообщения: 5261
- Зарегистрирован: Сб сен 17, 2005 20:53
- Откуда: г. Шахты
- Контактная информация:
Одноклассники.ru снова используются для атаки на пользователей
Лаборатория Касперского предупреждает о массовой рассылке писем, имитирующих сообщения сайта Одноклассники.ru. Письма содержат ссылку на подложный сайт www.odnoklassniks.info, с которого на компьютер пользователя может загрузиться троянская программа Trojan.Win32.Agent.qxk.
Поддельное письмо содержит ссылку на сайт www.odnoklassniks.info (домен зарегистрирован в феврале текущего года через регистратора "Регтайм"; в качестве администратора домена указано "OOO Odnoklassniki RU"). При переходе по ссылке запускается код на языке Java Script, использующий уязвимость в браузере Internet Explorer и загружающий на компьютер пользователя троянскую программу-загрузчик Trojan.Win32.Agent.qxk, после чего происходит автоматическое перенаправление пользователя на оригинальный сайт Одноклассники.ru.
Лаборатория Касперского предупреждает о массовой рассылке писем, имитирующих сообщения сайта Одноклассники.ru. Письма содержат ссылку на подложный сайт www.odnoklassniks.info, с которого на компьютер пользователя может загрузиться троянская программа Trojan.Win32.Agent.qxk.
Поддельное письмо содержит ссылку на сайт www.odnoklassniks.info (домен зарегистрирован в феврале текущего года через регистратора "Регтайм"; в качестве администратора домена указано "OOO Odnoklassniki RU"). При переходе по ссылке запускается код на языке Java Script, использующий уязвимость в браузере Internet Explorer и загружающий на компьютер пользователя троянскую программу-загрузчик Trojan.Win32.Agent.qxk, после чего происходит автоматическое перенаправление пользователя на оригинальный сайт Одноклассники.ru.
-
Zork
- СуперМодератор
- Сообщения: 5261
- Зарегистрирован: Сб сен 17, 2005 20:53
- Откуда: г. Шахты
- Контактная информация:
Лаборатория Касперского предупреждает о появлении новой версии опасного вируса-шантажиста, известного как Gpcode.
Новая версия вируса получила название Virus.Win32.Gpcode.ak. Вирус шифрует пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит.
До настоящего времени максимальная длина ключа RSA, который удалось «взломать» специалистам Лаборатория Касперского, составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.
После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.
На данный момент расшифровать пострадавшие файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит. Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса.
Новая версия вируса получила название Virus.Win32.Gpcode.ak. Вирус шифрует пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит.
До настоящего времени максимальная длина ключа RSA, который удалось «взломать» специалистам Лаборатория Касперского, составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.
После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.
На данный момент расшифровать пострадавшие файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит. Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса.
-
Zork
- СуперМодератор
- Сообщения: 5261
- Зарегистрирован: Сб сен 17, 2005 20:53
- Откуда: г. Шахты
- Контактная информация:
Майская версия зловредов
самый жадный зловред по отношению к банкам - Trojan-Spy.Win32.Banker.mrj. Интересуется пользователями 103 банков;
самый жадный зловред по отношению к системам электронных денег - Trojan-PSW.Win32.Steam.dj – направлен на пользователей трех систем электронного платежа
самый жадный зловред по отношению к пластиковым картам - одна из новых модификаций Trojan-Spy.Win32.Banker.tq. Атакует пользователей пяти систем пластиковых карт;
самый упакованный зловред - Backdoor.Win32.Hupigon.bxbu. Упакован девятью программами упаковки;
самый маленький зловред - Trojan.BAT.KillWin.dg, 15 байт. Уничтожает операционную систему Windows на диске;
самый большой зловред - Trojan-Spy.Win32.Banker.fgw, 30 MB.
самый враждебный зловред - одна из модификаций Backdoor.Win32.Agobot.pgj. Удаляет многие программы защиты на персональных компьютерах;
самый распространенный зловред в почтовом трафике - Email-Worm.Win32.Netsky.q. Доля в почтовом вредоносном трафике – 23.12%
самое многочисленное семейство среди троянских программ - Backdoor.Win32.Hupigon - 3301 новая, ранее не встречавшаяся модификация;
самое многочисленное семейство среди вирусов и червей - Net-Worm.Win32.Kolabc, 276 модификаций.
Все вышеперечисленные угрозы содержатся в сигнатурах как минимум Лаборатории Касперского, поэтому рекомендуется не забывать о своевременном обновлении антивируса.
самый жадный зловред по отношению к банкам - Trojan-Spy.Win32.Banker.mrj. Интересуется пользователями 103 банков;
самый жадный зловред по отношению к системам электронных денег - Trojan-PSW.Win32.Steam.dj – направлен на пользователей трех систем электронного платежа
самый жадный зловред по отношению к пластиковым картам - одна из новых модификаций Trojan-Spy.Win32.Banker.tq. Атакует пользователей пяти систем пластиковых карт;
самый упакованный зловред - Backdoor.Win32.Hupigon.bxbu. Упакован девятью программами упаковки;
самый маленький зловред - Trojan.BAT.KillWin.dg, 15 байт. Уничтожает операционную систему Windows на диске;
самый большой зловред - Trojan-Spy.Win32.Banker.fgw, 30 MB.
самый враждебный зловред - одна из модификаций Backdoor.Win32.Agobot.pgj. Удаляет многие программы защиты на персональных компьютерах;
самый распространенный зловред в почтовом трафике - Email-Worm.Win32.Netsky.q. Доля в почтовом вредоносном трафике – 23.12%
самое многочисленное семейство среди троянских программ - Backdoor.Win32.Hupigon - 3301 новая, ранее не встречавшаяся модификация;
самое многочисленное семейство среди вирусов и червей - Net-Worm.Win32.Kolabc, 276 модификаций.
Все вышеперечисленные угрозы содержатся в сигнатурах как минимум Лаборатории Касперского, поэтому рекомендуется не забывать о своевременном обновлении антивируса.
-
Zork
- СуперМодератор
- Сообщения: 5261
- Зарегистрирован: Сб сен 17, 2005 20:53
- Откуда: г. Шахты
- Контактная информация:
Лаборатория Касперского сообщает об обнаружении вредоносной программы, заражающей аудиофайлы формата WMA.
Червь, получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную веб-страницу. Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь соглашается на установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным компьютером.
Ранее формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом. Особенностью же данного червя является заражение чистых аудиофайлов, что является первым случаем подобного рода.
Червь, получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную веб-страницу. Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь соглашается на установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным компьютером.
Ранее формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом. Особенностью же данного червя является заражение чистых аудиофайлов, что является первым случаем подобного рода.
-
Zork
- СуперМодератор
- Сообщения: 5261
- Зарегистрирован: Сб сен 17, 2005 20:53
- Откуда: г. Шахты
- Контактная информация:
Локальная база NOD32 3326 от 04.08.08
Можно использовать для обновления на компьютере который не подключен к интернету.
Достаточно распаковать архив в любую папку (c:nod32) и в настройках обновления nod32 добавить сервер (указать путь к папке куда был распакован архив c:nod32) и установить его используемым по умолчанию.
Можно использовать для обновления на компьютере который не подключен к интернету.
Достаточно распаковать архив в любую папку (c:nod32) и в настройках обновления nod32 добавить сервер (указать путь к папке куда был распакован архив c:nod32) и установить его используемым по умолчанию.
