|
|
|
|
31.03.2009 |
Dr.Web предупреждает о
переходе бот-сети Shadow на новую стадию работы
|
Компания
«Доктор Веб» - российский разработчик средств инфо рмационной
безопасности - предупреждает о новой модификации полиморфного
сетевого червя Win32.HLLW.Shadow.based (также известного под именами Kido/Conficker) обеспечивающего основной функционал этой бот-сети. С
1 апреля прогнозируется переход работы бот-сети на новый режим
работы. |
|
Работа бот-сети Shadow завтра, 1 апреля 2009 года, перейдет на новую
стадию. На компьютерах, зараженных ранее различными модификациями
полиморфного червя Win32.HLLW.Shadow.based, появившимися в феврале и
марте этого года, будет произведено обновление вредоносного ПО, в
результате чего будет запущен генератор адресов к заранее
подготовленным сайтам для получения с них инструкций по дальнейшей
работе. Каждые сутки будет генерироваться 50 000 адресов, среди
которых будет выбираться 500 адресов, через которые будут
происходить попытки обновления вредоносного ПО. При этом процесс
обновления будет тщательно регулироваться таким образом, чтобы не
создавать значительную нагрузку на хостинг-серверы, на которых
расположены данные вредоносные серверы. Такой работе бот-сети
воспрепятствовать будет значительно сложнее. Напомним, что Win32.HLLW.Shadow.based для своего распространения
использует сразу несколько каналов, среди которых выделяются съёмные
носители и сетевые диски. Червь также может распространяться с
использованием стандартного для Windows-сетей протокола SMB. При
этом для организации удалённого доступа к компьютеру
Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся
способы задания пароля, а также пароли из своего словаря. Наконец,
вирус распространяется по сети с использованием уязвимости, которая
устраняется с помощью критичного обновления, описанного в бюллетене
Microsoft MS08-067.
Антивирус Dr.Web для Windows
Источник: Доктор
Веб
|
26.03.2009
«Лаборатория
Касперского» комментирует появление первой вредоносной программы,
нацеленной на заражение банкоматов
 В
связи с большим количеством обращений «Лаборатория
Касперского» подготовила ответы эксперта компании на
наиболее часто задаваемые вопросы. Комментирует Александр
Гостев, руководитель центра глобальных исследований и
анализа угроз «Лаборатории Касперского».
- О какой вредоносной программе
идет речь? Каков ее функционал?
- Речь идет о
Backdoor.Win32.Skimer.a. По функционалу это троянская
программа, способная заражать банкоматы американского
производителя Diebold, одной из наиболее популярных марок
банкоматов, используемых в России. Зараженные машины
становятся уязвимыми для дальнейших действий злоумышленника,
а именно: имея специальную карточку доступа, вирусописатель
может снять всю наличность, имеющуюся в банкомате, а также
получить доступ к информации о всех проведенных через этот
банкомат транзакциях других пользователей и данных их
кредитных карт.
- Правда ли, что есть случаи
заражения банкоматов? Насколько масштабна проблема?
- Мы не располагаем информацией о
реальных случаях заражения – она не поступала в «Лабораторию
Касперского» ни от самих банков, ни от их клиентов. Мы
предполагаем, что их количество, если таковые вообще
существуют, минимально. Принимая во внимание некоторые
особенности вредоносной программы – она способна «работать»
с долларами, рублями и гривнами – можно предположить, что
цель автора вредоносной программы банкоматы в России и на
Украине.
- Как происходит заражение
банкомата?
- Принцип заражения, учитывая
отсутствие обращений от банков, пока не до конца очевиден.
Специалисты "Лаборатории Касперского" предполагают, что речь
может идти о двух возможных вариантах: прямой физический
доступ к системе банкомата или доступ через внутреннюю сеть
банка, к которой подключены банкоматы.
- Могут ли пользователи
самостоятельно определить зараженный банкомат?
- К сожалению, рядовой пользователь
не сможет самостоятельно определить заражение банкомата.
Однако это могут сделать его владельцы. Чтобы избежать
возможного заражения, эксперты "Лаборатории Касперского"
настоятельно рекомендуют всем банкам провести проверку
эксплуатируемых сетей банкоматов при помощи обычной
антивирусной программы, детектирующий данное зловредное ПО.
- Защищает ли Антивирус
Касперского от этой вредоносной программы?
- Да. Данная вредоносная программа
была обнаружена и добавлена в антивирусные базы "Лаборатории
Касперского" 19 марта 2009 года.
Источник:
«Лаборатория Касперского» |
|
18.03.2009
«Лаборатория
Касперского», ведущий производитель систем защиты от вредоносного и
нежелательного ПО, хакерских атак и спама, представляет аналитическую статью
своего ведущего вирусного аналитика Роэля Шауэнберга под названием
«Подводные камни динамического тестирования». Статья посвящена возможным
негативным последствиям использования вирусописателями данных динамического
тестирования антивирусных продуктов.
Новые эффективные методы защиты от вредоносных
программ существенно затрудняют деятельность вирусописателей, движимых
желанием незаконной наживы. При появлении любого такого метода
киберпреступники направляют все силы на то, чтобы получить детальную
информацию о нём и разработать технологии его обхода. Именно поэтому
компьютерному сообществу следует придерживаться безопасных процедур
динамического тестирования антивирусов, считает автор статьи.
В статье Роэля Шауэнберга описываются различные
методы испытания антивирусных продуктов – статическое, ретроспективное,
динамическое тестирование, а также тестирование скорости реакции. Ведущий
аналитик «Лаборатории Касперского» отмечает, что данные о динамическом
тестировании более ценны для вирусописателей по сравнению с другими видами
тестов, поскольку касаются весьма характерных, релевантных образцов и
средств защиты.
Автор статьи подчеркивает важность ограничения
распространения информации о динамическом тестировании антивирусного ПО, а
также данных о работе «мультисканеров» – онлайновых сервисов проверки
потенциально вредоносных файлов продуктами разных производителей.
Просветительская и маркетинговая деятельность не должна увеличивать риски
создания новых опасных программ, считает ведущий вирусный аналитик
«Лаборатории Касперского».
Роэль Шауэнберг является членом Организации по
стандартизации тестирования средств защиты от вредоносных программ (Anti-Malware
Testing Standards Organization, AMTSO), объединяющей ведущих антивирусных
вендоров, тестировщиков и аналитиков. По мнению эксперта, данная организация
должна сыграть большую роль в разработке стандартов безопасного
динамического тестирования.
C полной версией статьи можно ознакомиться на
информационно-аналитическом ресурсе Viruslist.com.
«Лаборатория Касперского» не возражает против
перепечатки материала с полным указанием авторства (автора, названия
компании и первоисточника). Публикация переработанного текста статьи требует
дополнительного согласования с информационной службой «Лаборатории
Касперского».
Источник:
«Лаборатория Касперского»
19.03.2009
 Panda
Security выпустила новую бесплатную утилиту Panda USB Vaccine для блокировки
вредоносных программ, распространяющихся через USB-устройства.
Компания Panda Security, ведущий провайдер в сфере
IT-безопасности, предлагает пользователям новый продукт Panda USB Vaccine –
бесплатная утилита безопасности, созданная для блокировки вредоносных
программ, распространяющихся через зараженные съемные носители: «флэшки», CD/DVD,
MP3-плееры и пр.
Количество вредоносных программ постоянно растет. В
большинстве случаев они, как, например, опасный червь Conficker,
распространяются через переносные устройства и драйверы: карты памяти «флэшки»,
MP3-плееры, цифровые камеры и пр. При этом чаще всего используется следующая
технология:oперационная система Windows использует файл автоматического
запуска Autorun.inf на этих устройствах для получения информации о тех
действиях, которые необходимо применить при соединении этих устройств с
компьютером. Данный файл, который находится в корневой папке устройства,
определяет программу, которая позволяет автоматически запустить часть
хранящейся на устройстве информации. Эта функция успешно используется
кибер-преступниками для распространения вредоносных программ: модифицируя
файл Autorun.inf соответствующими командами, вредоносные программы, которые
хранятся на данном устройстве, могут, например, автоматически запускаться
при соединении данного устройства с компьютером. В результате этого
происходит мгновенное заражение компьютера.
Чтобы предотвратить подобные механизмы
распространения угроз, департамент исследований компании Panda Security
разработал бесплатный продукт Panda USB Vaccine, который предлагает двойную
превентивную защиту: позволяет пользователям отключать функцию
автоматического запуска на компьютерах, так же как на драйверах USB и прочих
устройствах.
Получить более подробную информацию, а также
скачать бесплатный инструмент можно при помощи
следующей ссылки:
Антивирус Panda Antivirus Pro
2009
Антивирус Panda Global
Protection 2009
Panda Internet Security
2009
Источник:
Panda
Security
13.03.2009
"Лаборатория
Касперского", ведущий производитель систем защиты от вредоносного и
нежелательного ПО, хакерских атак и спама, представляет очередной отчет по
спам-активности за февраль 2009 года.
Доля спама в почтовом трафике по сравнению с
январем увеличилась на 0,5% и составила в среднем 87,2%. Самый низкий
показатель отмечен 20 февраля – 81,4%, больше всего спама зафиксировано 22
числа – 93%. Доля спама с графическими вложениями снизилась на 4% и
составила 13%.
Доля писем с фишинговыми ссылками в феврале
составила 0,84%, что на 0,11% меньше, чем в январе. Чаще всего атакам
подвергались платежная система PayPal (39,64%) и интернет-аукцион eBay
(20,58%).
Вредоносные файлы содержались в 0,20% электронных
сообщений, что на 0,84% меньше, чем в прошлом месяце. Злоумышленники
по-прежнему под разными предлогами пытаются спровоцировать пользователей
открыть вредоносное вложение: так, в феврале было зафиксировано несколько
рассылок поздравительных открыток со ссылками на файлы в формате .exe.
На протяжении всего месяца рассылались спамовые
письма, в которых пользователям предлагалась программа для чтения чужих
SMS-сообщений. Подобные предложения встречались и в прошлом году, но в
феврале текущего года подобные рассылки приняли массовый характер.
В период экономического кризиса прежние лидеры
рейтинга спам-тематик теряют вес, при этом в лидирующей пятерке оказываются
те тематики, которые никогда не занимали первых мест в рейтинге. От спамеров
уходят клиенты, которые в течение долгого времени обеспечивали их заказами,
и они вынуждены активно искать новых заказчиков рассылок.
На фоне нестабильной экономической ситуации
конкуренция между различными спамерскими компаниями обостряется. Таким
образом, пятерка лидирующих спам-тематик февраля выглядит так: «Реклама
спамерских услуг» - 15,8% , Спам «для взрослых» - 14,1%, «Образование» -
12,7%, «Недвижимость» - 4,7%.
Доля рубрики «Медикаменты: товары и услуги для
здоровья», два месяца занимавшей первое место в рейтинге спам-тематик,
уменьшилась с 25,3% в январе до 14,9% в феврале (по итогам месяца), а к
концу месяца такой спам составлял уже всего 10% от всего спам-трафика. Также
важно отметить существенный рост (почти в два раза по сравнению с январским
показателем) объемов спам-корреспонденции в рубрике «Недвижимость», где
основными были предложения об аренде помещений. Эта рубрика впервые попала в
пятерку лидеров. Такой всплеск можно объяснить кризисной ситуацией в
экономике, которая влечет за собой отказ части арендаторов от съема офисных
помещений и необходимость в дополнительной (и дешевой) рекламе сдаваемых
площадей.
В феврале спамеры активно использовали уже
опробованные и, с их точки зрения, эффективные методы. В ход были пущены
старые приемы, искажающие тексты рассылаемых писем, а также зашумление
картинок, ссылки на домены третьего уровня и т.д. Однако при всем
разнообразии используемых методов, ничего принципиально нового спамеры
придумать не смогли.
В целом, текущий период можно охарактеризовать как
период повышенной активности спамеров. Пользователям нужно учесть, что спам
становится все более агрессивным, и предпринимать необходимые меры
предосторожности. С полной версией отчета можно ознакомиться на сайте
Спамтест.
Источник:
«Лаборатория Касперского»
16.03.2009
Кибер-прес тупники умело используют поисковики для распространения
вредоносного ПО, в частности, поддельных антивирусных продуктов: для
инфицирования пользователей преступникам необходимо привлечь их внимание
к вредоносным сайтам.
Раньше пользователей завлекали на вредоносные сайты
при помощи массово рассылаемого спама. В этом случае потенциальная жертва
читает электронное письмо, заходит по представленным в письме ссылкам, после
чего перенаправляется на вредоносные веб-страницы. В настоящие дни
пользователи стали более осторожными при чтении спама или писем, полученных
от незнакомых отправителей, а потому эффективность традиционного способа
стала снижаться.
В результате этого преступники стали использовать
новые, более эффективные способы. Они используют инструмент Google Trends,
который, между прочим, содержит список самых популярных поисковых запросов в
течение дня (все, что угодно: от вступления Обамы на должность Президента
США до победителей в различных номинациях Оскар).
После того, как преступники узнают самые популярные
поисковые запросы, они создают блог, содержание которого наполнено словами и
словосочетаниями из популярных поисковых запросов (например, Обама, Пенелопа
Круз и т.д.), а также видеоматериалами, относящимся к этим тематикам. В
результате этого, используя технологии оптимизации сайта под поисковые
запросы, преступники значительно увеличивают шансы блога оказаться в числе
первых в результатах поиска по данным популярным запросам.
Ложные антивирусы позиционируют себя как настоящие
продукты и пытаются убедить пользователей в том, что их компьютеры заражены
вредоносным ПО. Впоследствии жертвам предлагается купить ложный антивирус,
который будет способен уничтожить ложные инфекции. Кибер-преступники в
основном получают выгоду с этого типа мошенничества.
Технологии оптимизации сайтов для поисковых
систем (SEO)
Описываемый тип вредоносных атак основывается на
усовершенствованных технологиях оптимизации сайтов для поисковых систем (SEO,
Search Engine Optimization). Данные законные технологии веб-программирования
предназначены для того, чтобы сделать позиции веб-сайта более
привлекательными в результатах поиска в поисковых системах, что позволяет
увеличить объем и качество трафика. Описываемый случай как раз и
рассказывает о том, как преступники, используя технологии оптимизации,
добиваются высоких позиций веб-сайта в результатах поиска и, как следствие,
огромного количества переходов.
Кроме технологий SEO преступники используют также
технологии, известные как "Black Hat SEO", которые можно отнести к
нелегальным техникам позиционирования поисковых систем, использующие
«обходные» политики поисковых систем, представляющие альтернативный контент
или влияющие на историю работы пользователя в Сети. Правда, иногда бывает
трудно определить, какие из технологий законные, а какие нет, так как это
может зависеть от конкретного поискового движка.
Запутывание пользователей
Злоумышленники стараются сделать так, чтобы
обнаружение вредоносного сайта было как можно более сложным для
разработчиков решений безопасности. Для этого они начали использовать
усовершенствованные способы запуска атак. Некоторые из создаваемых
преступниками вредоносных страниц ведут себя по-разному и отображают разное
содержание в зависимости от происхождения пользователя, который их посещает.
Для скрытия атаки на веб-странице вставляется
сценарий, который определяет происхождение пользователя. Если пользователь
набирает URL-адрес в адресной строке браузера, то отображается настоящий
контент. Но в том случае, если пользователь воспользовался поисковиком, ему
вместо настоящего сайта открывается вредоносная веб-страница.
Другой пример: MS Antispyware 3000
Недавно была обнаружена веб-страница, которая
использует совершенно другую модель. Как правило, страницы, предлагающие
приобрести ложный антивирус, либо не содержат специальные теги, либо
содержат те, которые предназначены для улучшения индексирования страницы в
поисковых системах. Однако страница с предложением приобрести MSAntispyware
3000 была построена совершенно иначе: все теги и процессы были разработаны
таким образом, чтобы предотвратить индексирование страницы в поисковых
движках.
Это делается для того, чтобы доступ к этому
веб-сайту нельзя было блокировать при помощи таких технологий, как
блокировка URL-адресов через запросы поисковиков с помощью специальных
параметров.
Антивирус Panda Antivirus
Pro 2009
Антивирус Panda Global
Protection 2009
Panda Internet Security
2009
Источник:
Panda
Security
18.03.2009
На сайте компании «Доктор Веб» - российского разработчика средств
информационной безопасности - стартует конкурс «На вилы заразу вирусную!»,
приуроченный к грядущему Дню смеха. Для участия в конкурсе все желающие
могут до 27 марта прислать небольшую историю на тему борьбы с вирусными
угрозами, рассказанную с присущим каждому чувством юмора.
Противодействуя вредоносным программам, мы часто
сталкиваемся с забавными и смешными ситуациями. Порой они бывают вызваны
особенностью поведения пользователей, порой, ошибками вирусописателей,
однако, так или иначе, здесь есть о чем рассказать.
Для участия в конкурсе необходимо зайти на
специальную страницу.
Принятые к участию в конкурсе тексты и рисунки будут размещены в
соответствующем разделе,
а лучшие из них будут опубликованы в майском номере журнала PC Magazine/RE.
Работы принимаются до 27 марта 2009 года и по
объему они не должны превышать 4 000 знаков с пробелами. «Доктор Веб», в
свою очередь, оставляет за собой право подвергать присланные тексты
минимальной редактуре, а также отказывать в публикации тем участникам,
материалы которых содержат нецензурные выражения или откровенную клевету.
Итоги конкурса будут подведены на нашем сайте 1
апреля 2009 года. Победители конкурса, в выборе которых примут участие и
форумчане, будут награждены множеством приятных призов, а также лицензиями
на Dr.Web Security Space.
Антивирус Dr.Web для
Windows
Источник:
Доктор Веб
|
|
