• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

В сети появилась интересная зараза.Осторожно


Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
Атака badBIOS: если и не было, то стоит придумать!

С какой стороны ни подойди, мир компьютерных вирусов стал скучным. Основную часть новостного шума производят ничем не выделяющиеся трояны, яркие эпидемии редки и в них вложен нереальный труд (вспомните семейство Stuxnet), вирусы же, эксплуатирующие принципиально новые идеи, вообще, кажется, перевелись. И вот на этом фоне в октябре и ноябре вырастает совершенно потрясающая история: badBIOS, обнаруженный канадцем Драгосом Рю, не только использует новые трюки для репликации и коммуникации, но ещё и прячется настолько хорошо, что многие из авторитетных сторонних наблюдателей сомневаются в самой возможности его существования!
— фигура заметная. Спец по компьютерной безопасности со стажем, соучредитель security-конференции CanSecWest и проводимого там же хакерского конкурса , он не тот человек, от которого стоит ждать глупого розыгрыша. И всё-таки с ходу поверить в его рассказ трудно. А рассказал он — через свои аккаунты в и Google+ — историю борьбы с необычной заразой, паразитирующей на его компьютерах.
В один прекрасный день Рю обнаружил странности в поведении своего MacBook Air: ноутбук сам обновлял BIOS, отказывался загружаться с компакт-диска, самовольно правил настройки операционной системы. Позднее аналогичные аномалии были замечены на других машинах — под управлением MS Windows, Linux, OpenBSD. Переустановка операционных систем проблему не устраняла. Вялотекущее расследование шло три года, но, похоже, только нынче осенью Рю и его коллеги занялись им вплотную. И вскрыли удивительные факты.Не претендуя на исчерпывающее изложение весьма длинной и запутанной истории (нити можно вытянуть по хештегу #badBIOS в соцсетях), суть её можно свести к следующему. Вирус, названный Драгосом badBIOS, распространяется на USB-флешках. Однако — и это его первая уникальная особенность — проникает на машину он не через уязвимости в операционных системах, а, скорее всего, через некую фундаментальную низкоуровневую брешь в программно-аппаратных компонентах, ответственных за подключение USB-устройств к компьютеру. Аналогичным образом (перепрограммируя контроллер флеш-памяти на самом накопителе) инфицируются USB-флешки, подключаемые к заражённому компьютеру. Механизм всё ещё не изучен, но в действии он выглядит так: достаточно воткнуть инфицированную badBIOS флешку в USB-разъём, чтобы (ещё до опознания и монтирования операционной системой) вирус получил управление и заразил компьютер.
Здесь выявляется особенность номер два: badBIOS ОС-независим. Рю считает, что, получив управление, вирус первым делом сохраняет себя в свободное место в микросхеме BIOS, а заодно и подчиняет себе программу инициализации и загрузки компьютера, которой BIOS по сути является. Отсюда странности с отказом от загрузки с CD и других внешних носителей. Позже badBIOS получает через интернет дополнительные модули, которые складирует уже на жёстком диске — возможно, в виде системных файлов, специфичных для конкретного типа управляющей компьютером операционки: так, на инфицированном badBIOS компьютере с Windows 8 Рю обнаружил странные файлы якобы шрифтов. Не исключено также, что операционную систему badBIOS загружает в виртуальной машине, сам исполняя роль гипервизора (вспомните, как функционирует VMware). Во время работы вирус агрессивно мешает своему обнаружению и модификации — восстанавливая повреждённые файлы и подменяя данные, отправляемые на внешние накопители, на лету.

https://ru-sfera.pw/data/MetaMirrorCache/www.computerra.ru_wp_content_uploads_2013_11_badBIOS_1_720x274.jpg
Так звучит инфицированный badBIOS компьютер.

Наконец, особенность номер три таится в оригинальной системе связи между инфицированными компьютерами. На высоком уровне badBIOS-узлы общаются друг с другом посредством IPv6, но, даже отключив и удалив из изучаемой персоналки все стандартные средства коммуникаций (Wi-Fi, Bluetooth), Рю обнаружил, что обмен данными не прекратился — до тех пор пока с компьютера не были сняты динамик и микрофон! Фонограмма, сделанная на расстоянии 30 сантиметров от системного блока, выявила активность на частотах выше 20 кГц: судя по всему, близкорасположенные badBIOS-узлы «переговариваются» с помощью ультразвука — и способны таким образом преодолевать пресловутый airgap (то есть общаться даже с компьютерами, отрезанными от обычных коммуникаций).
Такова в общих чертах нарисованная Драгосом Рю картина. Повторю: деталей много, и если я упустил что-то важное, буду признателен за поправки и дополнения. И, понятное дело, такая история, рассказанная авторитетным специалистом, не могла остаться незамеченной. В несколько недель она обросла множеством мнений, причём мнений полярных.
Многие не верят Рю. Идея стелс-вируса, прячущегося в BIOS, уже сама по себе сомнительна: на таком уровне (то есть без помощи операционных систем) разработчикам пришлось бы учесть огромное число нюансов (начиная от параметров конкретного CPU и заканчивая вариациями управляющей программы в BIOS), часть из которых держится производителями компьютеров в тайне. Спрятать что-либо значительное в нескольких мегабайтах (столько отдаётся флеш-памяти под BIOS) и не обнаружить себя ещё более проблематично. При этом дамп «заражённого» BIOS, обнародованный Рю и проанализированный несколькими независимыми исследователями, ничего подозрительного вроде бы не содержит. Равно как и логи процесс-монитора, и дамп секторов жёсткого диска, также отданные Рю на растерзание коллегам или знакомым, а то и просто интернет-общественности.

https://ru-sfera.pw/data/MetaMirrorCache/www.computerra.ru_wp_content_uploads_2013_11_badBIOS_2_720x638.jpg
Забегая вперёд: кто-то находит в предоставленных Рю дампах памяти подозрительные несоответствия, кто-то не видит ничего.

Сейчас Драгос планирует отдать экспертам несколько инфицированных компьютеров целиком. Однако, опираясь на отрицательный результат уже проведённых проверок, многие задаются справедливым вопросом: а почему именно Рю был выбран в качестве цели? Он ведь не атомный завод в Натанзе, а всего лишь наёмный консультант по безопасности! Чего ради авторы badBIOS (буде он действительно существует) стали бы рисковать своей драгоценной разработкой (а в том, что, при заявленной функциональности, в неё вложена уйма сил, времени и денег, нет никаких сомнений) ради рядового в общем-то канадца?
Но вместе с тем нашлись и авторитетные ИТ-спецы, которые Рю верят. Обобщая, их мнение можно свести к простому: в том, что делает badBIOS, нет ничего принципиально невозможного. Всё это осуществимо на нынешнем уровне развития цифровой техники. Кроме того, не стоит (да Драгос и не настаивает!) воспринимать догадки, высказанные Рю, как истину в последней инстанции. Например, он может заблуждаться насчёт ультразвукового канала связи — который возможен (ставились опыты), но вряд ли эффективен. Зато то же самое и, предположительно, с более высокой скоростью информационного обмена, легко реализовать посредством, например, управления и измерения электрического напряжения в некоторых элементах персоналки (вот, к примеру, , использующее провод к светодиоду на системнике в качестве антенны для радиообмена).
То же справедливо и для других догадок. Так прятаться badBIOS может не в ограниченном и насквозь контролируемом пространстве BIOS, а в более экзотических местах, наделённых микроконтроллерами, — а нынче это почти каждый компонент PC, от клавиатуры и трекпада до аккумулятора, центрального микропроцессора (!), графической и сетевой карт.
Ну а пока Рю подключает сторонних экспертов, грех не задаться вопросом, кто и для чего сконструировал badBIOS? И почему в качестве цели избран обычный человек? Может быть, так проявляет себя очередной сноуден — давая возможность миру узнать нечто, о чём без его помощи мы не узнали бы ещё очень долго?
Источник:computerra.ru
 
0

0eck

Гость
Новый троян с валидной цифровой подписью LLC Mail.Ru маскируется под обновления популярных программ

 
0

0eck

Гость
Хакеры нашли способ обойти Secure Boot и установить буткит

 
0

0eck

Гость
Злоумышленники распространяли троян под видом обновлений браузера

https://ru-sfera.pw/data/MetaMirrorCache/www.securitylab.ru_upload_iblock_166_1668a337957165eca489bd1b7f2463c3.jpgПреступники использовали социальную инженерию, чтобы заставить жертв загрузить вредоносное ПО.
Как компания занимающаяся вопросами безопасности, на прошлой неделе пользователи Великобритании столкнулись с масштабной кампанией по загрузке вредоносного ПО. Для того чтобы заставить их загрузить вирус, определяемый как Trojan.Shylock, злоумышленники использовали социальную инженерию.
Для начала они заманивали жертв на где якобы можно бесплатно смотреть фильмы. Далее появлялось поддельное уведомление о необходимости установить вручную «критическое обновление» направляющее пользователя на поддельную Chrome, Firefox или Internet Explorer (в зависимости от браузера жертвы). При помощи JavaScript злоумышленники заставляли жертв оставаться на сайте, поскольку, чтобы закрыть браузер, им приходилось сто раз кликнуть на опцию «Yes/No».
Отметим, что хостинг сайта является украинским. Ресурс использует двойную гибридную установку web-сервера Apache и Nginx, По словам экспертов из Symantec, поддельная web-страница Internet Explorer больше не функционирует.

Подробнее:
 
0

0eck

Гость
Троян Sefnit – угроза для пользователей даже после удаления

После удаления вируса на системе остается установленный им Tor версии 0.2.3.25.
Как выяснили эксперты в сфере информационной безопасности из троян Sefnit, модификация которого стала причиной в сетях анонимизатора Tor в октябре прошлого года, до сих пор представляет угрозу для пользователей.
Напомним, что получивший название Mevade ботнет (создан на базе Sefnit) использовал сервис для передачи с инфицированных систем на C&C-серверы злоумышленников. При этом количество зараженных пользователей достигало четырех миллионов человек.
В настоящий момент Microsoft предпринимает активные усилия для того, чтобы данный ботнет. Среди прочего эксперты компании добавили сигнатуры угрозы в свои решения для
Вместе с тем, в компании подчеркивают, что несмотря на удаление вируса на зараженной системе все еще остается установленным Tor версии 0.2.3.25, в котором отключена функция автоматического обновления. Таким образом, в случае обнаружения опасных брешей в данной программе ее пользователи могут вновь пострадать.
В настоящий момент, по данным Microsoft, в Tor 0.2.3.25 не обнаружено каких-либо уязвимостей, позволяющих удаленное выполнение кода. Ознакомиться с пошаговой инструкцией по удалению анонимизатора можно .

Подробнее:
 
0

0eck

Гость
Троян распространяется через Facebook под видом обновления для Flash Player

Компания «Доктор Веб» сообщает об активном распространении, в частности через социальную сеть Facebook, троянской программы Trojan.Zipvideom.1, устанавливающей на компьютер пользователя вредоносные расширения (плагины) к браузерам Mozilla Firefox и Google Chrome. Эти плагины препятствуют свободному просмотру веб-страниц, демонстрируя навязчивую рекламу.
Вредоносная программа Trojan.Zipvideom.1 попадает на компьютеры жертв под видом обновления для браузерного плагина Adobe Flash Player. Также, согласно поступившей от пользователей информации, в начале 2014 года образцы данного троянца распространялись с использованием массовых рассылок сообщений в социальной сети Facebook. Имеются основания полагать, что автор троянца говорит на турецком языке.
Если пользователь соглашается с рекомендацией обновить Adobe Flash Player, на его компьютер скачивается первый компонент троянца — программа FlashGuncelle.exe, при этом пользователю демонстрируется ход установки якобы обновления к Adobe Flash Player.
Далее FlashGuncelle.exe связывается с сервером злоумышленников и скачивает на компьютер жертвы следующий компонент троянца — дроппер, который устанавливает и запускает еще несколько компонентов вредоносной программы. Среди них файл Flash_Plugin.exe, который модифицирует ветвь системного реестра, отвечающую за автозагрузку приложений, а затем скачивает и устанавливает плагины к браузерам Mozilla Firefox и Google Chrome.
Опасность этого троянца заключается в том, что загружаемые им плагины мешают свободному просмотру сайтов, демонстрируя рекламу, а также имеют возможность скачивать на компьютер жертвы другое нежелательное программное обеспечение. Установлено, что при посещении сайтов популярных социальных сетей (Twitter, Facebook, Google+, YouTube, «ВКонтакте») эти плагины загружают Java-скрипты сомнительного назначения.
Чтобы избежать заражения Trojan.Zipvideom, пользователям рекомендуется скачивать обновления программ и другой софт только из официальных источников, а также использовать антивирус, который блокирует установку вредоносных файлов.
 
0

0eck

Гость
Осторожно! Поддельные антивирусы

На одном из русских сайтов распространяются поддельные антивирусы под видом программ для x64 бит Windows или портативных версий

На русском сайте x64bit в поисках защиты для вашего компьютера вы можете наткнуться на поддельные антивирусы.
Под видом антивирусных программ для Windows 64-bit или портативных версий на ресурсе предлагают популярные антивирусные решения: "Kaspersky Antivirus x64 – антивирус", "Касперский Антивирус portable", "Dr. Web Антивирус portable", "Антивирусная программа Аvast Antivirus для 64 бит Windows", "Антивирус Avira Antivirus x64 бит", "Антивирус ESET NOD32 Portable версия" и т.д. - поисковые запросы, по которым вы можете попасть на этот сайт.
https://ru-sfera.pw/data/MetaMirrorCache/cdn.comss.net_images0002_2014_01_20_121438.png

Все скачиваемые антивирусы упакованы в zip-архив. В процессе установки сложно отличить программу от настоящей, пока вам не будет предложена активация в виде отправки бесплатного SMS-сообщений, указав номер мобильного телефона. Пример для Антивируса Касперского показан на скриншоте ниже:
https://ru-sfera.pw/data/MetaMirrorCache/cdn.comss.net_images0002_2014_01_20_115154.png

Дополнительно вы получите на компьютер набор рекламных программ.
В момент публикации по сайт классифицировали как вредоносный только два вендора - Bitdefender и Fortinet.
https://ru-sfera.pw/data/MetaMirrorCache/cdn.comss.net_images0002_2014_01_20_120119.png
 

nikpetko

Старый Погранец
Форумчанин
Регистрация
25.11.2013
Сообщения
117
Репутация
86
Ну что бы еще и такое скачивать?Это вообще...Как об стену !!!
 
0

0eck

Гость
Новый вариант Zeus крадет пароли и шифруется

// CyberSecurity.ru // - Вредоносный код Gameover, представляющий собой вариант червя Zeus, ориентированный на кражу паролей, теперь использует шифрование для затруднения работы межсетевых экранов и систем обнаружения вторжения. Антивирусные специалисты говорят, что прежде вредоносные коды редко полностью шифровали собственные коммуникации и появление шифрованных вредоносов может значительно затруднить работу обнаруживающих средств.

Ранее вредоносный код Gameover был замечен в атаках против пользователей Bitcoin в Китае, а также против CryptoLocker. ИТ-аналитик компании Malcovery Security Гэри Уорнер говорит, что все варианты Zeus сейчас уже детектируются антивредоносными продуктами, поэтому создатели данного вредоноса решили шифровать свою разработку, превратив ее из исполняемого EXE-файла в неисполняемый enc-файл.

По его словам, именно такое расширение и неисполняемая природа кода должны ввести в заблуждение жертв, а для дальнейшей деятельности вредоноса, код просит у пользователей через фишинговый email скачать некое обновление, которое, собственно, и дешифрует вредоносный код из его контейнера. При этом, сам код даже после дешифровки продолжит шифровать свои коммуникации, а программа-распаковщик закидывает вредоносный код в неожиданную для пользователя папку.

Венгерская компания CrySys Lab в своем блоге более подробно рассматривает работу кода -
(10:29) 04.02.2014
 
0

0eck

Гость
Хакерские атаки в январе: В 2014 году злоумышленники нападают с новой силой

Перечень наиболее громких инцидентов безопасности в первом месяце текущего года.

Очевидно, что силы киберпреступников в новом году пошли на подъем. В связи с этим, редакция SecurityLab составила перечень инцидентов безопасности, произошедших в течение первого месяца 2014 года, включающий наиболее громкие случаи.

Вместе с тем, представленный ниже список содержит лишь незначительную часть от всех хакерских атак, которые были зафиксированы различными антивирусными компаниями:

Хищение персональных данных:

В результате взлома Target пострадали 70 млн пользователей
20 миллионов пользователей Южной Кореи стали жертвами утечки данных
В Германии хакеры скомпрометировали 16 млн учетных данных
В результате взлома Neiman Marcus скомпрометированными оказались данные 1,1 млн пользователей
Хищение платежных данных, информации о банковских картах:

Украинские правоохранители задержали хакера, похитившего свыше $9 млн с банковских счетов
Хакеры обокрали клиентов российских банков на 70 млн руб.
Кребс: Ритейлер Michaels Stores заявил о взломе базы данных клиентов
Прочее:

Microsoft второй раз в этом году стала жертвой Сирийской электронной армии
Microsoft подтвердила взлом корпоративной почты
Представители EFF стали жертвами хакеров
Взломаны более 2 тысяч индийских web-сайтов

Стоит отметить, что наибольшей популярностью среди хакеров пользуются атаки, направленные на компрометацию крупных компаний, хранящих объемные базы данных с персональными и банковскими данными миллионов клиентов. Именно такой вид нападений наиболее выгоден для большинства злоумышленников, поскольку дает возможность получить наибольшую финансовую выгоду.

Подробнее:
 
Верх Низ