Andrevv

Новости IT безопасности

Рекомендованные сообщения

Специалисты по сетевой безопасности из компании FaceTime сообщают о появлении нового интернет-червя, представляющего собой угрозу персональным компьютерам под управлением ОС семейства Windows.

 

Червь, распространяющийся по каналам Yahoo! Messenger, состоит из двух частей. Первая, называющаяся Safety Browser, устанавливается на компьютер пользователя и меняет домашнюю страницу браузера Internet Explorer (прикрываясь, кстати, его пиктограммой) на адрес своего собственного сайта, откуда загружается вторая часть.

 

После загрузки необходимой "половинки", названной Yhoo32-explr, червь рассылает всем пользователям из списка контактов сообщения с предложением посетить некий сайт. Все это время владелец зараженной машины вынужден слушать зацикленную мелодию, которую невозможно выключить.

 

По словам экспертов FaceTime, это первый зарегистрированный случай, когда злонамеренная программа способна без какого-либо участия пользователя установить на его компьютере собственный браузер.

 

http://soft.mail.ru/pressrl_page.php?id=15653

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

07 августа, 2006

Программа:

Microsoft Windows 2000

Microsoft Windows XP

Microsoft Windows 2003

 

Опасность: Низкая

 

Наличие эксплоита: Да

 

Описание:

Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании.

 

Уязвимость существует из-за ошибки при обработке WMF файлов в библиотеке gdi32.dll. Удаленный пользователь может с помощью специально сформированного изображения вызвать отказ в обслуживании приложения, использующего уязвимую библиотеку.

 

URL производителя: microsoft.com

 

Решение: Способов устранения уязвимости не существует в настоящее время.

0-day XP SP2 wmf exploit (some details)

0-day XP SP2 wmf exploit

 

Источник: securitylab.ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 декабря 2006 года Евгений Касперский награжден высшей общественной наградой РФ - орденом «Гордость России». Поздравляем. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Российские ИТ-компании не ждут вирусных атак на блоги и ICQ

 

По прогнозам российских ИТ-компаний, в наступающем году не будет вирусных атак на ICQ, блоги и сотовые телефоны. А вот эксперты компании Trend Micro, специализирующейся на интернет-безопасности, придерживаются противоположного мнения и ожидают, что в 2007 году хакеры сосредоточат свои усилия именно на взломе интернет-пейджеров и онлайновых дневников, которые сегодня пользуются у интернетчиков огромной популярностью.

 

С Trend Micro не согласны вирусный аналитик "Лаборатории Касперского" Александр Гостев и главный редактор "Яндекса" Елена Колмановская, сообщает РИА "Новости". В частности, по их словам, сотовым абонентам не стоит опасаться заражения своих телефонов, ведь мобильные вирусы распространяются, в основном, в смартфонах. А поскольку эти устройства еще не очень распространены, да и ценной информации в них значительно меньше, чем в персональных компьютерах, вирусописатели не испытывают к трубкам большого интереса. Гостев также предполагает, что глобальная мобильная эпидемия может возникнуть не ранее, чем через три года.

 

Руководитель Центра компетенции компании Trend Micro в России и странах СНГ Михаил Кондрашин говорит, что до сих пор мобильники от вирусов спасала разнородность моделей. Однако теперь, когда платформы сотовых телефонов унифицируются, опасность массовых атак на мобильники становится все реальнее.

 

Александр Гостев допускает, что в России могут произойти несколько вирусных эпидемий в ICQ. Основной причиной заражения персональных компьютеров через интернет-пейджеры или блоги, по мнению Гостева, является чрезмерное доверие пользователей к присылаемым ссылкам и файлам. Спасти свои ПК интернетчики смогут, если будут с должным недоверием относиться к подобным предложениям и в обязательном порядке установят защитное ПО. А Михаил Кондрашин призывает пользователей всегда помнить об изощренности фишеров, не заходить на подозрительные сайты и не вводить свои персональные данные. По мнению Кондрашина, осторожно следует относиться и к установке бесплатных программ, с помощью которых злоумышленники могут украсть личную информацию.

 

 

 

Apple iPod поставляются с вирусом в памяти

Компания Apple Computer сообщила, что около одного процента плееров iPod с поддержкой видео, поступивших в продажу после 12 сентября нынешнего года, несут в памяти вирус RavMonE.exe. Судя по всему, червь попал в плеер по вине одного из контрактных производителей, занимающихся выпуском плееров Apple. Проблема затрагивает только iPod с поддержкой видео, но не iPod Shuffle или Nano.

Вирус работоспособен только в среде ОС Windows и не представляет угрозы для данных. RavMonE лишь облегчает доступ злоумышленника к компьютеру жертвы, отправляя своему создателю IP-адрес пользователя и данные о незащищенных портах. Для компьютеров под управлением Mac OS X и самих плееров Apple червь угрозы не представляет. В Apple сообщают, что на данный момент поступило 25 жалоб со стороны пользователей. Компания принесла свои извинения и рекомендовала воспользоваться любым "свежим" антивирусом для удаления червя из системы и памяти плеера.

 

Примечательно, что с аналогичной ситуацией на днях столкнулось японское подразделение сети ресторанов быстрого питания McDonald's: червем WORM_QQPASS.ADH оказались заражены 10000 призовых MP3-плееров, разыгранных в ходе недавней рекламной кампании.

 

Новый троян устанавливает на компьютер антивирус

 

Компании, специализирующиеся на вопросах компьютерной безопасности, предупреждают о появлении новой вредоносной программы, получившей название SpamThru.

 

Троян SpamThru используется злоумышленниками с целью организации массовых рассылок по электронной почте. При этом вредоносная программа имеет несколько характерных особенностей. После проникновения на ПК и активации SpamThru загружает из интернета пиратскую копию антивируса Касперского, который затем используется для поиска в системе конкурирующих вирусов и троянов. Обнаруженные файлы затем уничтожаются.

 

Другая особенность SpamThru заключается в использовании специального протокола Р2Р для обмена информацией между инфицированными узлами и центральным сервером, сообщает eWeek. В случае если управляющий сервер по каким-либо причинам будет отключен от сети, злоумышленники могут быстро установить новый.

 

Вредоносная программа SpamThru способна поражать компьютеры, работающие под управлением операционных систем Windows. Ведущие антивирусные компании уже добавили процедуры защиты от этой программы в базы данных своих продуктов.

Изменено пользователем ErInsane

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Продукты Panda Software теперь совместимы с Windows Vista

 

Все пользователи линейки домашних решений Panda Software 2007 бесплатно смогут перейти на новые версии, совместимые с Windows Vista. Panda Software создала “Информационный центр Windows Vista” по адресу http://www.viruslab.ru/vista/, чтобы информировать своих клиентов о решениях под Windows Vista

 

Panda Software сообщает о совместимости своей продуктовой линейки с новой операционной системой Майкрософт Windows Vista. Компания создала “Информационный центр Windows Vista" по адресу http://www.viruslab.ru/vista/. По этой ссылке пользователи найдут информацию о совместимости продуктов Panda Software с новой операционной системой. Там же можно будет скачать бета версии и финальные версии продуктов Panda Software, поддерживающих Windows Vista. Пользователи линейки Panda Software 2007 для домашних ПК автоматически, бесплатно получат новые версии, совместимые с Windows Vista, как только станут доступны их финальные версии.

 

В настоящее время, пользователи могут скачать совместимые с Windows Vista бета-версии Panda Antivirus 2007, быстрого и легкого антивируса для домашних пользователей и Panda ClientShield - решения Panda Software для защиты корпоративных рабочих станций.

 

Panda Antivirus 2007 – это самый легковесный антивирус из потребительской линейки решений Panda Software. Это новое, простое в использовании решение обеспечивает завершенную защиту от известных и неизвестных Интернет-угроз с минимальным потреблением системных ресурсов. Новый Panda Antivirus 2007 ориентирован на домашних пользователей ПК, чьи привычки использования Интернет не требуют всех параметров комплексного решения безопасности. По этой причине, он был разработан исходя из принципа 'установил и забыл’, автоматически защищая систему с момента установки.

 

Panda ClientShield с технологией TruPreventTM – это глобальное решение защиты для рабочих станций в корпоративных окружениях. Установленное на компьютеры, это высокопроизводительное решение защищает от вирусов, червей, троянцев и других типов вредоносного ПО. Оно также способно отфильтровывать спам и блокировать шпионские программы, дозвонщики и другие хакерские утилиты. Администрирование простое и быстрое, благодаря интеграции с консолью AdminSecure, помогающей до максимума снизить время обновлений и, тем самым, риск заражения корпоративных рабочих станций. Решение также содержит технологию TruPreventTM для защиты рабочих станций от неизвестных вирусов и угроз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Symantec готовит к выпуску новое решение безопасности

 

Компания Symantec в ближайшее время планирует расширить функциональность ряда своих продуктов для обеспечения компьютерной безопасности. Как сообщает InformationWeek со ссылкой на заявления представителей Symantec, в некоторых клиентских решениях появится новая система защиты, получившая название Sonar (сокращенно от Symantec Online Network for Advanced Response).

Комплекс Sonar базируется на технологиях фирмы WholeSecurity, которую Symantec приобрела в 2005 году. Система призвана защитить компьютер от так называемых атак Zero-Day, то есть, от эксплойтов, использующих еще не пропатченные дыры, а также от вредоносных программ, информация о которых еще не занесена в антивирусные базы данных. Работа комплекса Sonar основана на анализе изменений, которые происходят в системе. При этом Sonar работает не в режиме реального времени, а осуществляет проверку с определенным интервалом, благодаря чему снижается нагрузка на процессор.

 

Комплекс Sonar, как ожидается, будет встроен в пакеты Norton AntiVirus и Norton Internet Security для операционной системы Microsoft Windows Vista. Кроме того, ориентировочно в начале февраля компания Symantec выпустит дополнения, реализующие функции Sonar, для Norton AntiVirus и Norton Internet Security 2006 и 2007.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Программа: Comodo Personal Firewall

cpf_logo.gifscreen1.jpg

 

Версия: 2.4

 

Comodo Personal Firewall - бесплатный брендмауэр, который предназначен для защиты компьютера от сетевых нападений и атак, таких как вирусы, трояны и другое вредоносное ПО. Программа обладает простым и удобным интерфейсом, осуществляет мониторинг трафика в реальном времени и т.д.

 

Лицензия: Free

 

Обновлено: 20 января, 2007

 

Скачать русскую версию Comodo Firewall Pro 2.4 (Размер: 8.46 MB)

 

English Version of Comodo Firewall Pro 2.4 (Size: 7.68 MB)

Download location #1

Download location #2

Download location #3

Download Russian language pack add-on (Size: 1.57 MB)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ведущие разработчики антивирусного ПО начинают поддерживать Vista

 

Корпорация Microsoft в официальном пресс-релизе сообщила, что на момент презентации версий Windows Vista для домашних пользователей продукты для обеспечения безопасности, совместимые с новой операционной системой, представят практически все ведущие разработчики антивирусного ПО.

Корпоративные варианты Windows Vista, напомним, поступили в продажу 30 ноября прошлого года. В самой Microsoft новую программную платформу называют самой безопасной за всю историю корпорации. Тем не менее, пользователям все же рекомендуется не пренебрегать установкой антивирусного программного обеспечения. Однако когда Windows Vista была выпущена для бизнес-пользователей, только одна компания, McAfee, предложила совместимое решение для обеспечения безопасности.

 

С выходом "домашних" версий ОС ситуация будет несколько иной. В Microsoft отмечают, что продукты, совместимые с Windows Vista, готовы предложить такие известные разработчики антивирусного программного обеспечения, как ContentWatch, IMSafer, McAfee, Symantec, Trend Micro, Panda Software и "Лаборатория Касперского". Кроме того, решения для обеспечения безопасности Windows Vista готовят десятки менее крупных

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В Agnitum Outpost обнаружена критическая уязвимость, позволяющая подменить драйвер фаервола и, тем самым, полностью его дезактивировать.

 

Advisory 2007-15-01.01

Outpost Bypassing Self-Protection using file links Vulnerability

Basic information:

 

Release date: January 15, 2007

Last update: January 19, 2007

Type: Incomplete design implementation bugs

Character: Complete system control

Status: Unpatched bugs

Risk: Critical bugs

Exploitability: Locally exploitable bugs

Discoverability: Hardly discoverable

Testing program: BTP00003P004AO.zip

 

Подробности здесь.

Изменено пользователем djet

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 2006 году появилось больше версий ботов, чем любого другого вида вредоносного ПО

 

По данным PandaLabs , в 2006 году появилось больше версий ботов, чем любого другого вида вредоносного ПО, не считая троянов. Большинство этих версий принадлежит лишь к 8 семействам. А конкретнее - более 74 процентов новых ботов всего из двух семейств: Gaobot (37.52%) и Sdbot (36.63%).

 

“Ботсети – это прибыльный бизнес. “Пастух" (создатель бот-сети) может сдавать сеть в аренду заплатившему крупную сумму. «Снявший сеть» в аренду мошенник может использовать ее для множества криминальных действий, включая загрузку на зараженные компьютеры вредоносного ПО, распространения спама и фишинга и атак отказа в обслуживании. «Пастух» также может использовать ботсеть для собственных целей, хотя это меньше распространено”, объясняет Луис Корронс, технический директор PandaLabs.

 

Четким примером новой бизнес-модели можно считать инцидент июня 2006, когда Panda Software раскрыла преступную аферу, использующую ботсети для обворовывания систем 'плата-за-клик. Кибер-мошенники открыли несколько веб-страниц и подписались на программы “плата за клик". Затем они воспользовались ботсетями, состоящими более чем из 50 тысяч компьютеров-зомби, зараженных Clickbot.A для того, чтобы открывать сайты и «кликать» на рекламные объявления. При каждом «клике» мошенники получали деньги, тогда как на самом деле на эти сайты никаких визитов не совершалось.

 

Другие семейства, составившие более одного процента новых версий, обнаруженных в 2006 году, это: IRCbot (7.60%), Rxbot (4.09%), Oscarbot (3.58%), Spybot (2.75%), Poebot (2.39%) и Mybot (1.04%).

 

Выполнение произвольного кода в Microsoft Word

 

Программа: Microsoft Office 2000

Опасность: Критическая

 

Наличие эксплоита: Нет

 

Описание:

Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

 

Уязвимость существует из-за ошибки при обработке строк. Удаленный пользователь может с помощью специально сформированного документа Word вызвать повреждение памяти и выполнить произвольный код на целевой системе.

 

Примечание: уязвимость активно эксплуатируется в настоящее время.

 

URL производителя: www.microsoft.com

 

Решение: Способов устранения уязвимости не существует в настоящее время.

Изменено пользователем Abras

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вышла новая версия Comodo Personal Firewall 2.4.17.183

 

cpf_logo.gifscreen1.jpg

 

 

What's New?

-----------------------------

 

* Fixed the vulnerabilities addressed in http://www.matousec.com/info/advisories/Co...T-functions.php

* Fixed the incompatibility problem with ArovaxShield

* Fixed some bugs reported by users

 

Можно обновиться через встроенный обновляльщик, либо скачать с сайта:

 

Скачать русскую версию Comodo Firewall Pro 2.4 (Размер: 8.46 MB)

 

English Version of Comodo Firewall Pro 2.4 (Size: 7.68 MB)

Download location #3

Download Russian language pack add-on (Size: 1.57 MB)

 

Ссылки, как ни странно, те же: то ли они ещё не успели обновить сайты, то ли оставили с расчётом на то, чтобы все ссылки вели на последнюю версию.

Изменено пользователем djet

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На этой неделе в отчете PandaLabs мы рассмотрим трояна Burglar.A, а также червей USBToy.A и Naiba.A.

 

 

 

 

Троян Burglar.A может нанести пользователям значительный вред. Он распространяется в электронных сообщениях, в которых сообщается, например, что австралийский премьер-министр перенес сердечный приступ или другую болезнь. Заголовки подобных сообщений могут быть примерно следующими: "Премьер-министр пережил сердечный приступ" или "Жизнь премьер-министра – в смертельной опасности".

 

Burglar.A распространяется двумя способами. Первый состоит в рассылке пользователям спам-почты с предложением кликнуть на вложенной ссылке. Если пользователь переходит по ссылке – он попадает на веб-сайт, где находится троян. При втором способе, троян прячется в исполняемом вложенном файле. Когда пользователь открывает такой файл, Burglar.A устанавливается на компьютер.

 

После заражения системы, троян начинает отправлять своему создателю информацию (IP-адрес, название страны, в которой он находится, широту и долготу и др.). Для наглядности информации, троян использует приложение Google Maps. Когда кибер-преступник открывает карту мира при помощи данного приложения, он видит расположение всех инфицированных компьютеров.

 

Также этот троян загружает на компьютер различные вредоносные программы. Одной из таких программ является троян Keylog.LN. Данный вредоносный код предназначен для записи нажатий клавиш для получения логинов пользователей. Burglar.A также загружает трояна Banker.CLJ, который блокирует загрузку банковских веб-страниц и заменяет их своей поддельной страницей, на которой запрашивает конфиденциальные данные пользователей.

 

Список на этом не заканчивается. Burglar.A скачивает из сети третьего трояна под названием FileStealer.A. Этот троян устанавливает на зараженном компьютере веб-сервер. Кибер-преступники затем могут удаленно управлять компьютерами с помощью доступа к такому серверу с веб-страницы.

 

Sters.P – это последний из троянов, загружаемых Burglar.A в систему. Он блокирует для пользователей и антивирусных решений доступ к определенным веб-сайтам разработчиков антивредоносных решений с обновлениями.

 

“Наступление ведется по всем фронтам с одной единственной целью: заполучить деньги. Для этого преступники всеми способами стараются завладеть конфиденциальными данными, которые пользователь применяет, например, при обращении к банковским услугам. Кроме того, преступники делают всё возможное для того, чтобы помешать решениям безопасности защитить пользователей, - например, блокируют доступ к сайтам с обновлениями. Зараженный компьютер используется в качестве инструмента распространения вредоносных кодов”, рассказывает Луис Корронс, технический директор PandaLabs.

 

Червь USBToy.A использует для распространения и заражения компьютеров USB-устройства. Если к компьютеру подключают одно из устройств (карту памяти, MP3-плеер и др.), зараженных USBToy.A, червь копирует себя в скрытый файл. Позднее, когда устройство подключают к другому компьютеру, червь заражает и его.

 

USBToy.A запускается при загрузке компьютера и сопровождается сообщением на китайском языке. Он использует приложение Windows “SetFileAttributesA” для того, чтобы скрыть свое присутствие и затруднить обнаружение решениями безопасности.

 

Червь Naiba.A также распространяется с помощью USB-устройств. Он копируется в файл autorun.exe. на всех физических и съемных носителях компьютера. Таким образом, при каждом запуске диска происходит заражение.

 

Naiba.A блокирует процессы некоторых решений безопасности и изменяет записи реестра Windows. Одна из таких модификаций используется для маскировки червя. Другая - для блокировки работы сервиса Cryptsvc , который может предупредить пользователя о происходящих изменениях.

 

Также этот червь выполняет различные действия, раздражающие пользователя. Например, он не дает открываться блокноту и не позволяет просматривать скрытые файлы через проводник Windows.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

«Лаборатория Касперского», российский разработчик систем защиты от вирусов, хакерских атак и спама, представляет новый продукт, предназначенный для антивирусной защиты корпоративной сети, — «Антивирус Касперского 5.5 для Microsoft ISA Server 2004 Standard Edition».

«Антивирус Касперского для Microsoft ISA Server 2004 Standard Edition» представляет собой систему антивирусного контроля над объектами, поступающими по протоколам HTTP и FTP через Microsoft Internet Security and Acceleration Server. Программа выполняет функцию фильтра, который перехватывает данные, передаваемые по протоколам HTTP и FTP, с целью выделения контролируемых объектов и их последующего анализа на присутствие вредоносного кода. В случае обнаружения вредоносного содержимого система попытается вылечить объект, а в случае невозможности — блокирует его дальнейшую передачу.

 

«Антивирус Касперского для Microsoft ISA Server 2004 Standard Edition» обладает набором функциональных возможностей. Среди наиболее важных из них необходимо отметить возможность гибкой настройки параметров антивирусной проверки, а также возможность мониторинга статистических данных о работе системы с настраиваемым уровнем детализации, посредством стандартных механизмов операционной системы Windows. Для снижения нагрузки на сервер администратору доступны функции ведения списка доверительных серверов и формирования списка типов объектов по сформированным группам клиентов, обмен информацией с которыми не подвергается антивирусной проверке.

 

С целью увеличения производительности антивирусной системы реализован настраиваемый механизм распараллеливания очереди объектов на проверку. «Антивирус Касперского для Microsoft ISA Server 2004 Standard Edition» администрируется с помощью интерфейса Microsoft Management Console.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Symantec Anti-Virus определил Windows как вредоносное ПО.

 

В Китае тысячи пользователей столкнулись с внезапной неработоспособностью локализированной версией Windows XP SP2. Причиной этому стал Symantec Anti-Virus и свежая база обновлений, датируемая средой. Программа определила два очень важных dll-файла, идущих в поставке с Windows, как троян «Backdoor.Haxdoor» и удалил их. В результате произошел сбой в работе Windows.

 

Теперь становится ясно, зачем Symantec с выходом новой Windows в судебном порядке требует от Microsoft предоставить ей код операционной системы — чтобы потом вот так шутить над несчастными пользователям Windows.

 

Источник: NGOHQ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Троян Briz.X уже украл конфиденциальные данные 14,000 пользователей, и количество его жертв увеличивается на 500 человек ежедневно.

 

Briz.X способен красть все виды информации: конфиденциальные банковские данные, пароли к онлайновым сервисам, персональную информацию и др. По сравнению с другими троянами семейства Briz, данный экземпляр содержит модуль, позволяющий преступнику выполнять более быстрый поиск украденных данных.

 

 

Предупреждающая технология TruPreventTM от Panda Software обнаружила и заблокировала этого трояна без необходимости предварительной идентификации.

 

Екатеринбург, 24 мая 2007г.

 

PandaLabs (www.viruslab.ru) обнаружила новый экземпляр трояна семейства Briz, под названием Briz.X, который на данный момент уже поразил почти 14,000 пользователей, у которых он крадет разные виды информации: банковские и персональные данные, все виды паролей и даже переписку по системам мгновенных сообщений и т.д. PandaLabs сообщает о том, что этот троян ежедневно заражает в среднем 500 новых компьютеров.

 

Украденную информацию Briz.X пересылает на интернет-сервер, доступ к которому удалось получить PandaLabs. Этот сервер хранит все конфиденциальные данные, украденные с помощью вредоносного кода. Вся информация разделена на текстовые файлы, каждый объемом около 3 гигабайт.

 

Принимая во внимание огромные объемы краденной информации, автор данного трояна включил в него модуль синтаксического анализатора (программа, извлекающая из документов информацию и подготавливающая её для последующей индексации и поиска). “Такой модуль позволяет хакеру выполнять поиск по домену или определенному слову для того, чтобы легко найти среди краденного информацию, которая его интересует больше всего,” объясняет Луис Корронс, технический директор PandaLabs.

 

Более того, данный модуль содержит опцию, позволяющую создавать шаблоны для фильтрации информации. Сервер, местонахождение которого удалось отследить PandaLabs, уже содержал фильтры, такие как paypal.com, ebay.de, или yahoo.com. “Это значит, что хакер может быстро найти украденную информацию, относящуюся именно к этим страницам, а следовательно, получить доступ к именам пользователей, паролям и банковским данным,” добавляет Луис Корронс.

 

Троян Briz.X также позволяет кибер-преступникам получать удаленный доступ к зараженным компьютерам. Таким образом, эти компьютеры могут использоваться в качестве прокси-сервера для выполнения незаконных действий, таких как передача украденной информации или перевод на другие счета украденных денег. Следовательно, преступники могут быть уверены в том, что их IP-адрес не появится нигде, а выследить их будет практически невозможно.

 

Первый вариант семейства троянов Briz, обнаруженный PandaLabs, (Briz.A), был связан с созданием и продажей троянов по индивидуальным заказам.

 

Предупреждающая технология TruPreventTM от Panda Software обнаружила и заблокировала трояна Briz.X без необходимости предварительной идентификации.

 

Все пользователи, желающие узнать, не были ли их компьютеры заражены этими или другими вредоносными программами, могут воспользоваться бесплатными онлайновыми решениями TotalScan или NanoScan beta, которые можно найти по адресу www.infectedornot.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ведущие антивирусы провалили последние испытания Virus Bulletin 100.

 

Известные антивирусы трех производителей, традиционно получавших высокие баллы в популярном вирусном тесте Virus Bulletin 100 (VB100), в последнем июньском тесте показали неожиданно плохие результаты, не обнаружив 100% вредоносного ПО в чистом виде, которое им было предложено в тестовых лабораториях.

 

Продукты компаний Лаборатория Касперского, Grisoft и F-Secure и еще 7 производителей не смогли получить сертификацию VB100. Всего в июньском тесте приняли участи 37 производителей ПО, 10 из которых показали неудовлетворительные результаты.

 

В частности в VB100 принимал участие Антивирус Касперского 6.0.2.261, который не смог обнаружить присутствие сетевого червя allaple. Вместе с тем, по словам старшего консультанта компании по технологиям Дэвида Эмма, сигнатура этого червя была добавлена в базы антивируса еще в феврале текущего года. Однако во время тестов компания как раз оптимизровала сигнатуры данного червя и поэтому его не было в базе антивируса.

 

Несмотря на это, в ЛК уверяют, что пользователи продукции компании не пострадали, так как набор Security Suite, предлагаемый компанией, включает межсетевой экран, а также антивирусные механизмы для поведенческого и эвристического анализа. Во время тестирования же проводились опыты на обнаружение вирусов на уровне ядро антивируса - антивирусные базы. "Несмотря на это, мы расстроены результатами тестирования, но по крайней мере, мы знаем, что клиенты не пострадали" - отмечает Девид Энн.

 

В свою очередь антивирус AVG 7.5 Professional Edition производства компании Grisoft не смог обнаружить один из вариантов трояна W32 agobot Trojan, интересно заметить, что а антивирусных базах сигнатуры трояна присутствовали. Однако антишпионская система, встроенная в продукт, смогла засечь данный троян.

 

"Программа имеет функцию сканирования кодов на входе в систему, однако в случае с данным трояном он проникал в компьютер и обнаруживался как только злонамеренный код начинал работать (т е пытаться связаться с удаленными узлами)" - поясняет Лерри Брайдвелл, эксперт по безопасности в Grisoft.

 

Вместе с тем, Брайдвелл заметил, что в систему техподдержки не обратился ни один клиент компании, однако "Grisoft разочарована результатами тестирования".

 

"Мы очень расстроены, однако хорошо, что продукт прошел такой авторитетный и профессиональный тест. В реальности не следует определять качество продукта, основываясь на одном единственном тесте" - говорит Брайдвелл.

 

Наконец, третьим антивирусом, не получившим сертификат VB100, стал F-Secure, который как и Антивирус Касперского не смог обнаружить сетевого червя allaple. В продукте F-Secure Protection Service for Customers 7.00 (build 387), предоставленном на тестирование, просто отсутствовали последние описания этого червя.

 

"В версии, использованной в тестировании, не содержались последние антивирусные базы, которые были к тому моменту только что выпущены. Продукт был протестирован в офлайне и у антивируса не было возможности скачать свежие данные, в обычных условиях пользователи уже обновили бы данные" - уверены в F-Secure.

 

Примечательно, что новые разработки Microsoft, продукты OneCare и его "бизнес-собрат" ForeFront получили последний сертификат VB100, несмотря на то, что все предыдущие тесты они постоянно "заваливали", чем вызывали насмешки многих журналистов отраслевых изданий.

 

Все тестирования велись в среде ОС Windows XP, пояснили в Virus Bulletin.

 

По словам Джона Хоуса, технического консультанта Virus Bulletin, всегда плохо, когда антивирусный продукт не может обнаружить вирус, пусть даже и на протяжении небольшого периода времени.

 

"Любое окно уязвимости, вне зависимости от того, насколько оно мало, является достаточным для того, чтобы заразить компьютер пользователя. Антивирусные вендоры добровольно отправляют продукты для сертификации и тестирования и я очень удивлен, особенно во время когда антивирусы обновляются ежечасно, столь большим количеством продуктов, не прошедших сертификацию. Все современные продукты должны быть в состоянии успешно проходить тесты и обеспечивать должный уровень защиты" - резюмирует Хоус.

 

Cybersecurity.ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Китайский червь спровоцировал крупную эпидемию

 

Шанхайский центр по информационным технологиям предупреждает о появлении опасной вредоносной программы, получившей название Worm.Whboy.

 

Как сообщает Shanghai Daily, червь Whboy инфицирует лишь те персональные компьютеры, на которых установлена китайская версия операционной системы Microsoft Windows. Тем не менее, на текущий момент, по предварительным оценкам, инфицированы уже несколько миллионов ПК по всему миру, в том числе в Соединенных Штатах и Европе.

 

После проникновения на компьютер вредоносная программа вносит ряд изменений в систему, предотвращая дальнейший запуск исполняемых файлов с расширением .EXE и возможность использования антивирусов. Кроме того, Whboy заменяет иконки программ изображениями панды. Специалисты Шанхайского центра по информационным технологиям присвоили червю максимальный уровень опасности, поскольку вредоносная программа может нанести серьезный ущерб правительственным организациям и корпоративным пользователям.

 

В настоящее время от червя пострадали в основном те компании и предприятия, которые имеют представительства в разных странах. Число корпоративных сетей, в которых обнаружен червь, уже исчисляется сотнями и продолжает расти. Специалисты по вопросам компьютерной безопасности рекомендуют установить последние версии антивирусных баз данных и воздержаться от посещения сомнительных сайтов, с которых может распространяться червь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Говорящий троян удаляет все файлы с жесткого диска.

 

Компания Panda Software предупреждает о появлении новой вредоносной программы, которая может доставить много неприятностей неосторожным пользователям компьютеров.

 

Обнаруженный троян получил название BotVoice. При проникновении на машину под управлением Windows вредоносная программа вносит ряд изменений в системные файлы операционной системы, делая невозможным вызов диспетчера задач и утилиты редактирования реестра. Кроме того, троян запрещает запуск файлов с разрешениями BAT, COM, EXE, MP3 и пытается удалить всю информацию с диска С. Таким образом, владелец инфицированного ПК может лишиться всех своих документов и накопленной информации.

 

Примечательно, что вредоносная программа BotVoice не просто уничтожает пользовательские данные, но еще и насмехается над жертвой. Троян непрерывно воспроизводит фразу следующего содержания: "You have been infected I repeat You have been infected and your system files has been deleted. Sorry. Have a Nice Day and bye bye" (Вы были инфицированы. Повторяю, Вы были инфицированы и Ваши системные файлы удалены. Прошу прощения. Приятного дня, пока-пока).

 

Роджер Томпсон, технический директор Exploit Prevention Labs, подчеркивает, что подобных вредоносных программ, уничтожающих пользовательскую информацию безо всякого смысла не появлялось уже несколько лет. К счастью, BotVoice пока не получил особого распространения, поскольку не способен размножаться самостоятельно. Заражение компьютера происходит только в том случае, если пользователь сам загрузит и запустит вредоносную программу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

«Лаборатория Касперского», ведущий разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о выходе седьмой версии продуктов для защиты домашних пользователей от информационных угроз — Антивируса Касперского 7.0 и Kaspersky Internet Security 7.0.

 

Персональные продукты версии 7.0 являются продолжением и усовершенствованием линейки продуктов предыдущего, шестого поколения. Антивирус Касперского 6.0 и Kaspersky Internet Security 6.0, вышедшие в 2006 году, стали настоящим прорывом в области защиты домашних пользователей, уверенно завоевав лидирующие мировые позиции благодаря своей высочайшей эффективности, надежности и удобству использования.

 

Антивирус Касперского 7.0 и Kaspersky Internet Security 7.0 вобрали в себя все лучшие идеи и технологии, заложенные в шестой версии, дополнив их возросшей за счет новейших разработок эффективностью, производительностью и еще более удобным пользовательским интерфейсом.

 

Персональные продукты седьмой версии созданы в соответствии с разработанной «Лабораторией Касперского» концепцией тройной защиты, предполагающей использование трех основных методов обнаружения угроз: сигнатурного, проактивного и эвристического. Такой многоуровневый защитный комплекс не имеет аналогов в мире и обладает непревзойденной эффективностью. В версии 7.0 впервые реализован эвристический анализатор нового поколения, который позволяет обнаруживать и обезвреживать еще не известные образцы вредоносных программ, основываясь на особенностях их поведения.

 

Кроме того, в комплексное решение для защиты от всех видов информационных угроз, Kaspersky Internet Security 7.0, включен ряд усовершенствований, значительно повышающих его функциональность и уровень защиты. Так, новый модуль Parental Control, обладающий лингвистическим анализатором и черными списками запрещенных адресов, позволяет родителям контролировать деятельность детей в Интернете (к примеру, можно запретить доступ к веб-ресурсам, содержащим насилие, порнографию, пропаганду наркотиков)......

 

полный текст http://www.kaspersky.ru/news?id=207732540

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вредоносный скрипт мутирует, прячась от антивирусов.

 

Как сообщается на сайте SANS, в Интернете появились вредоносные Javascript нового типа, позволяющие оставаться незамеченными для антивирусов.

 

Новизна используемой техники заключается в том, что Javascript генерируется сервером динамически: при каждом новом обращении посетителя к странице все переменные и функции скрипта изменяются, принимая случайные значения. Подобная техника делает невозможным детектирование скрипта сканерами, алгоритмы поиска вирусов которых основаны на сопоставлении сигнатур.

 

Сообщается, что в проведенных экспериментах ни одна из протестированных антивирусных программ не смогла выявить вредоносный код. Сам код представляет собой набор эксплойтов, использующих известные уязвимости в различных приложениях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Медиа-плееры «открыты» для атак: произвольный код

Уязвимость (описание тут http://www.cnews.ru/cgi-bin/redirect.cgi?h...07/09/13/104074 ) к выполнению произвольного кода, встроенного во вредоносные видеофайлы AVI, при их открытии, обнаружена сразу в нескольких медиа-плеерах.

Выполнение кода происходит вследствие переполнения буфера в динамически выделяемой памяти (куче). Плеер считывает из заголовка файла размеры различных полей, а затем – сами поля согласно указанному размеру. В корректно написанных приложениях происходит проверка граничного значения перед тем, как скопировать указанное число байт, однако в уязвимых плеерах проверка отсутствует.

Уязвимости были найдены в Guliverkli Media Player Classic 6.x, плеерах mympc и StormPlayer, созданных на его базе, а также в MPlayer и KMPlayer. KMPlayer не позволяет выполнить произвольный код, и попытка эксплуатации уязвимости вызывает поглощение всех процессорных ресурсов, приводит к замедлению работы системы и аварийному завершению работы плеера.

Специалисты Code Audit Labs, обнаружившие уязвимость, опубликовали подробное техническое описание. Secunia присвоила уязвимости уровень «высокой критичности».

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Компания Comodo, предоставляющая услуги выдачи цифровых сертификатов, представила бесплатную утилиту BO Tester для поиска уязвимостей к переполнению буфера в приложениях для настольных компьютеров.

Диагностические тесты, в первую очередь, направлены на проверку надежности антивирусов, брандмауэров и других приложений ИТ-безопасности. Утилита проводит проверку на три типа уязвимостей к переполнению буфера – переполнение стекового буфера, переполнение буфера динамически выделяемой памяти (кучи) и тип переполнения, при котором адрес возврата из процедуры в стеке замещается адресом другой функции программы и часть стека перезаписывается, пишет The Register.

По заявлению Comodo, бесплатная диагностическая программа поможет пользователям «понять, насколько хорошо они защищены от этих видов атак». Каждый диагностический тест – это небольшая программа, которая пытается провести атаки на предполагаемые переполнения буфера. Для загрузки теста необходима бесплатная регистрация на форуме Comodo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Microsoft выпустила обновление для Internet Explorer 7, работающего под Windows XP, которое отключает проверку подлинности системы - так называемую программу «Преимущества подлинной Windows» (Windows Genuine Advantage, WGA). Таким образом, все без исключения пользователи браузера под XP смогут получать обновления, а Microsoft сможет быстрее перевести всех под IE 7.

По заявлению Microsoft, существует несколько важных причин для перехода с IE 6 на IE 7. Во-первых, новый браузер содержит встроенный фильтр фишерских сайтов, который срабатывает порядка 900 тыс. раз в неделю. Во-вторых, в браузер включена поддержка оптимизированных сертификатов для работы с сайтами через https, EV SSL. И, наконец, новый IE уже не требует подтверждения подлинности Windows, сообщает Betanews.com.

 

От себя хочу добавить - Всё это касается только английской версии, а

в русской и китайской всё по старому и фраза "все без исключения пользователи браузера под XP смогут..." является явным рекламным трюком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"Лаборатория Касперского" сообщила сегодня об обнаружении первой спамовой рассылки, использующей аудиофайлы в формате mp3. Зарегистрированный mp3-спам относится к категории так называемого stock-спама - сообщений, цель которых - реклама и повышение курса акций компаний. Эта категория спама, как отмечают специалисты, впервые появилась в августе прошлого года и с тех пор уверенно занимает первое место по числу "инновационных методов" доставки, применяемых для обхода спам-фильтров: распространители stock-спама первыми провели рассылку сообщений в "зашумленных" графических файлах и файлах pdf, которые тогда не распознавались антиспамовыми фильтрами, и рассылка аудиозаписей в формате mp3 стала следующим шагом.

Письма, зарегистрированные в европейском почтовом трафике, не содержат никакого текста, однако несут вложенный mp3-файл продолжительностью от 25 до 33 секунд. Открыв его, пользователь услышит искаженный звуковым фильтром женский голос, предлагающий купить акции некой компании под названием Exit Only Inc. По мнению экспертов, спамеры, завладевшие акциями этой компании, пытаются таким образом поднять ее капитализацию с тем, чтобы впоследствии выгодно продать эти акции по возросшей цене. "Вероятно, данная рассылка является для спамеров своего рода пробным камнем, и ее нельзя назвать удачной в силу некоторых технических ограничений", - предполагают в "Лаборатории Касперского".

 

Из-за необходимости сделать письма компактными спамеры были вынуждены использовать аудиозапись очень низкого качества, поэтому слушателям очень трудно разобрать текст послания даже на самой высокой громкости. Кроме того, чтобы обойти антиспамовые фильтры, отправители несколько изменяют запись в каждом письме, от чего ее восприятие ухудшается еще больше.

 

Эксперты отмечают, что что большинство пользователей не будут даже пытаться разобрать спамовую mp3-запись плохого качества, эффективность и целесообразность такой рассылки представляется сомнительной. Так что хотя давно звучавшие предсказания о скором появлении mp3-спама и сбылись, однако, особого развития эта технология не получит.

 

По словам Андрея Никишина, директора направления аутсорсинга IT-безопасности "Лаборатории Касперского", "пользователи довольно часто пересылают друг другу короткие звуковые файлы с шутками и привыкли к тому, что такие файлы стоит прослушать". "Похоже, именно на это и рассчитывают спамеры: увидев mp3-файл, получатели будут его слушать, предполагая, что это что-то интересное. Но спамеры сильно ограничены в размерах звукового сообщения, и, следовательно, качество звука в спамовой записи очень плохое. Думаю, что рассылки mp3-спама будут иногда повторяться, но особого влияния на спам-статистику эти рассылки не окажут", - заключил он.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Эксперты по сетевой безопасности из компании Agnitum сообщают о победе Agnitum Outpost Firewall Pro 2008 в тестировании персональных сетевых экранов по результатам тестирования более 40 персональных брандмаэуров для Windows, проходившего в рамках исследования проекта Matousec Transparent Security, посвященного анализу средств ИТ-безопасности.

 

В выпущенном по этому поводу пресс-релизе компании Agnitum сообщается, в частности, следующее:

 

2 ноября 2007 года международный проект Matousec Transparent Security (www.matousec.com), специализирующийся на анализе и тестировании средств сетевой безопасности, опубликовал результаты масштабного исследования персональных сетевых экранов, согласно которому первое место с результатом «Отлично! 100%» занял брандмауэр Outpost Firewall Pro версии 2008, получивший стопроцентный результат в тестах на защиту от утечки данных (так называемые Leak-tests).

 

Outpost Firewall Pro 2008, флагманское решение компании Agnitum, сочетает в себе:

 

Передовой брандмауэр для обеспечения безопасного соединения с сетью

Антишпион для круговой защиты от шпионского ПО

Модуль «Локальная безопасность» для блокировки неизвестных угроз

Веб-контроль для защиты компьютера от широкого спектра Интернет-угроз

 

О методике исследования: в проекте группы Matousec Transparent Security «Анализ персональных сетевых экранов для Windows» принимает участие более 40 продуктов, позиционирующихся как персональные брандмауэры (или включающие таковые в качестве модулей). Продукты подвергаются 77 тестам на утечку данных. Принцип оценки прохождения тестов таков: если брандмаэур проходит тест при настройках по умолчанию, он получает 125 баллов; если тест пройден только при самых высоких настройках безопасности, оценка — 100 баллов. Результаты теста опубликованы по адресу http://matousec.com/projects/windows-perso...sts-results.php

 

Итоговый балл Outpost Firewall Pro версии 2008 – 9625 баллов, что составляет 100% от возможной суммы. Прогресс по сравнению с Outpost Firewall 4.0, тестировавшимся ранее, составил 925 очков.

 

"Победа в тестах Matousec стала возможной в первую очередь благодаря тому, что мы с нуля переписали программный код Outpost 2008 (внедрив в него все удачные разработки предыдущих версий) и улучшили работу механизма Anti-Leak. Кроме того, в новой архитектуре значительный акцент сделан на простоте использования – система серьезно защищена от утечки данных даже при стандартных настройках" – говорит Алексей Белкин, руководитель отдела аналитики и постановки задач Agnitum.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Около 1800 портативных жестких дисков, изготовленных американской Seagate и распространяемых под брендом Maxtor на Тайване, как выяснилось, продавались с предустановленным вирусом, который без ведома пользователя передавал данные, записываемые на винчестер, на сайты www.nice8.org и www.we168.org, сообщает The Taipei Times.

 

На сайте Seagate была опубликована информация о том, что внешние жесткие диски Maxtor Basics Personal Storage 3200, поступившие в продажу с августа этого года, могут быть заражены. Соответствующее предупреждение поступило и от "Лаборатории Касперского". Кроме того, проблема затрагивает и винчестеры Maxtor Basics 500G.

 

Инфицированные винчестеры в количестве 1300 штук временно изъяты из продажи. Около 300 винчестеров уже было продано покупателям. Владельцам указанных дисков рекомендуется срочно установить антивирус. Всем клиентам Seagate предложена полнофункциональная 60-дневная версия Kaspersky Lab Anti-Virus 7.0. На каком этапе производства вредоносное ПО попало на диск, неизвестно.

http://zoom.cnews.ru/ru/publication/?newsi...;linename80=top

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12.12.2007

Вышла новая версия антивирусной утилиты AVZ - 4.29. Архив с утилитой содержит базу вирусов от 12.12.2007 138934 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 371 микропрограмма эвристики, 9 микропрограмм ИПУ, 66966 подписей безопасных файлов. Новая версия содержит ряд радикальных доработок и усовершенствований.

 

Основные модификации:

[+++] Интерфейс на нескольких языках. Локализация интерфейса и протоколов выполняется на основе обновляемых баз, на текущий момент поддерживается русский и английский язык, выбор языка производится автоматически или вручную при помощи параметра командной строки Lang или профиля локализации

[+++] Новая подсистема - мастер поиска и устранения проблем. Осуществляет автоматический поиск проблем и их автоматическое устранение с функцией резервного копирования и возможностью отмены большинства изменений. Поиск системных проблем и ошибок включен в основную процедуру проверки, результаты выводятся в протокол, раздел номер 9. Одна из функций мастера - чистка приватных данных (протоколы, кукизы, разнообразная история и статистика). Мастер использует обновляемую базу.

[++] Расширен HTML протокол исследования, в частности добавлена таблица заподозренных файлов без повторов, добавлены интерактивные элементы для генерации команд - удаление процесса, удаление BHO, управление службами и драйверами

[++] Скриптовой язык - введены новые команды (в частности, DeleteFileMask для удаления файлов, API для анализа XML базы с результатами исследования системы, вызов исследования системы с детальной настройкой параметров)

[++] Расширен набор информации, выводимой в XML протокол

[+] Открытие ключей реестра из скриптов производится в режиме "Только чтение"

[-] Исправления в XML файле (было дублирование имени тегов для двух разных менеджеров)

 

http://www.z-oleg.com/secur/news/news1337.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вышла новая версия антивирусной утилиты AVZ - 4.29.

 

Необходимая ремарка: при установке этой версии первым делом необходимо почистить реестр Винды от старых ключей AVZ. Это можно сделать последним (6-м по счёту) из стандартных скриптов, запускаемых из меню "Файл -> Стандартные скрипты". После удаления ключей перезагрузить комп и выставить требуемые настройки (например, снова включить AVZPM).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

29.12.2007

 

PandaLabs представила предновогодний список самых любопытных экземпляров вредоносного ПО, появившегося во второй половине 2007 года.

 

Троян Aifone. A, несомненно, стал самым высокотехнологичным вредоносным кодом, обнаруженным за последние месяцы. Сразу после выпуска iPhone от Apple этот вредоносный код занялся продвижением данного продукта. Хотя это оказалось всего лишь приманкой, которую он использовал для распространения своих копий среди пользователей.

 

Sinowal .FY – это троян, предназначенный для шифрования обнаруженных в зараженном компьютере файлов и вынуждающий пользователя купить специальную утилиту для их дешифровки. Он – самый настоящий похититель, а файлы пользователя выступают в качестве заложников.

 

Вредоносные коды

 

 

RogueMario. A – это червь, который после заражения стремится развеселить пользователя. Он предназначен для установки на зараженном компьютере одной из версий известной игры Mario Bros. Какая доброта!

 

Таких червей, как MSNFunny. B, Mimbot. A или MsnSend .A , были бы рады видеть в любом агентстве по международным коммуникациям, поскольку они могут рассылать сообщения на дюжине различных языков. Фразы могут быть не совсем точно построены, но не всё же сразу.

 

Червь Voter. A исполняет свой гражданский долг и приглашает граждан Кении принять участие в выборах и отдать свой голос за одного из кандидатов. К сожалению, технология немного раздражает, поскольку каждые 9 секунд на дисплее появляется фотография кандидата. Очень сомнительно, что такая "поддержка" чем-либо поможет этому кандидату.

 

Sohanat .DB блокирует для пользователей некоторые поисковики взамен загружая имитацию, хотя и достаточно жалкую, страницы Google . Если пользователь заходит на какие-либо из якобы найденных этим поисковиком страниц, он попадает на порнографический веб-сайт или сайт, зараженный вредоносными кодами. Если бы создатели уделили деталям чуть больше внимания, возможно, результат был бы более успешным.

 

AttachMsngr. G – это Троян, который просто жаждет знаний, знаний обо всем, что пользователь делает на своем компьютере: он записывает нажатые клавиши, перемещения мыши и даже может сохранять для себя разговоры в MSN Messenger .

 

CivilArmy .B – это червь, который умеет рассказывать сказки. Прежде чем сообщить пользователю, что его компьютер заражен, он рассказывает романтичную сказку о двух влюбленных.

 

Троян LiveDeath .A после заражении компьютера открывает командную консоль и принуждает пользователя ответить на множество вопросов, наподобие "Ваш любимый цвет?" Но, вне зависимости от ответа, компьютер выключается после завершения теста.

 

 

3dnews

Изменено пользователем DevilMayCry

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

PandaLabs обнаружила несколько троянов, использующих новую революционную форму атаки на основе руткитов.

 

Новизна данной атаки заключается в том, что руткиты теперь скрываются при помощи замены основной загрузочной записи (MBR) – первый или нулевой сектор жесткого диска – одной из собственных записей, которая начинает выполнять её функции

 

 

 

 

Екатеринбург, 11 января 2008г.

 

PandaLabs, лаборатория компании Panda Security (www.viruslab.ru), которая занимается анализом и выявлением вредоносного ПО, обнаружила несколько троянов с включенными в них руткитами (MBRtool.A, MBRtool.B, MBRtool.C и др.), предназначенными для замещения основной загрузочной записи (MBR) - первого или нулевого сектора жесткого диска, одной из своих собственных записей. Это настоящая революция в использовании руткитов, поскольку такое их использование значительно затрудняет обнаружение ассоциированного вредоносного кода.

 

Подобная система атаки делает практически невозможным обнаружение руткитов и вредоносных кодов, в составе которых они скрываются после установки на компьютере”, говорит Луис Корронс, технический директор PandaLabs. “Единственная реальная защита – это выявление руткитов до их проникновения в компьютер. В преддверии появления подобных вредоносных кодов необходимо использовать проактивные технологии, способные обнаруживать угрозы без необходимости предварительной идентификации”.

 

Использование руткитов кибер-преступниками направлено на сокрытие действий вредоносных кодов, что затрудняет их обнаружение. Ранее руткиты устанавливались в системных процессах, но последние варианты, обнаруженные PandaLabs, устанавливаются в той части жесткого диска, которая запускается еще до старта операционной системы.

 

Когда один из руткитов запускается, он создает копию существующей MBR, изменяя оригинал по инструкциям злоумышленников. Это означает, что при попытке доступа к MBR, руткит перенаправит запрос к подлинной записи, чтобы пользователь или приложение ничего не заподозрили.

 

В результате внесенных изменений, когда пользователь запускает компьютер, регулирующая MBR загрузится перед операционной системой. В этот момент запустится весь код, скрывая ассоциирированный вредоносный код.

 

Ранее руткиты использовались для того, чтобы скрывать расширения или процессы, а новые экземпляры могут напрямую обманывать системы. Их месторасположение означает, что пользователи не заметят никаких аномалий в системных процессах, поскольку загруженный в память руткит будет отслеживать доступ к диску и скрывать ассоциированное вредоносное ПО от системы.

 

Пользователям необходимо предпринять меры для защиты от нового вида угрозы. В частности, никогда не запускайте файлы, полученные из неизвестных источников.

 

Для того чтобы удалить вредоносный код, зараженному пользователю необходимо перезагрузить компьютер при помощи загрузочного CD-диска, чтобы исключить использование MBR. Затем нужно будет восстановить MBR при помощи улититы наподобие fixmbr в консоли Windows recovery (если используется именно эта операционная система).

 

Эти руткиты также способны работать с другими платформами, такими как Linux, поскольку их действия не зависят от установленной на компьютере операционной системы”, добавляет Корронс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас