В сети появилась интересная зараза.Осторожно


0

0eck

Гость
29 апреля 2014 года


Для достижения своих целей предприимчивые киберпреступники уже не раз эксплуатировали образ той или иной известной компании или торговой марки, при помощи которого можно вызвать интерес и доверие определенного круга пользователей. Чаще всего интернет-мошенники применяют такую тактику с целью похищения конфиденциальной информации, фишинга, продвижения сомнительных сервисов, а также для распространения вредоносных приложений. Именно последний сценарий использовался в недавно зафиксированной специалистами компании «Доктор Веб» атаке: злоумышленники, используя имя и популярность сервиса бесплатных объявлений Avito.ru, организовали рассыку СМС-спама, при помощи которого распространялся Android-троянец.


В полученном пользователями СМС, якобы отправленном популярной службой бесплатных объявлений Avito.ru, сообщалось о появившемся отклике на размещенное ранее объявление, а также находилась ссылка, по которой требовалось перейти для ознакомления с ним. Таким образом, целевой аудиторией данной атаки в большей степени являлись настоящие клиенты сервиса, в действительности ожидавшие ответа на свое объявление. Однако после перехода по указанному адресу вместо предполагаемой веб-страницы пользователи попадали на мошеннический сайт, с которого происходила загрузка троянца Android.SmsSpy.88.origin, представляющего собой СМС-бота.
https://ru-sfera.pw/data/MetaMirrorCache/st.drweb.com_static_new_www_news_2014_april_Android.SmsSpy3.png

После установки и запуска Android.SmsSpy.88.origin запрашивает у пользователя доступ к функциям администратора мобильного устройства (весьма популярный в настоящее время метод самозащиты вредоносных Android-программ), после чего удаляет значок с главного экрана операционной системы. Далее при помощи СМС-сообщения троянец передает злоумышленникам ряд общих данных о зараженном мобильном устройстве: его название и производителя, IMEI-идентификатор, сведения об операторе, а также об используемой версии операционной системы. Затем вредоносная программа соединяется с удаленным сервером и ждет от него поступления команд, среди которых могут быть указания на запуск или остановку сервиса по перехвату входящих СМС, отправку коротких сообщений с заданным текстом на указанный номер, осуществление вызовов, а также рассылку СМС по всем имеющимся в телефонной книге контактам.


Кроме того, злоумышленники могут управлять троянцем и при помощи СМС-сообщений. В таком виде Android.SmsSpy.88.origin способен принимать команды на отправку СМС с заданными параметрами, а также на включение или отключение безусловной переадресации для всех входящих телефонных звонков.
https://ru-sfera.pw/data/MetaMirrorCache/st.drweb.com_static_new_www_news_2014_april_Android.SmsSpy1.pnghttps://ru-sfera.pw/data/MetaMirrorCache/st.drweb.com_static_new_www_news_2014_april_Android.SmsSpy2.png
Таким образом, обладая весьма типичным функционалом по рассылке СМС-сообщений, данный троянец выделяется способностью выполнить переадресацию вызовов на заданный злоумышленниками номер, что фактически позволяет им установить контроль над всеми поступающими звонками. На практике это дает киберпреступникам возможность не только получить доступ к различной конфиденциальной информации, но также в некоторых случаях осуществить целый ряд мошеннических действий.


Помимо указанной версии троянца, специалистами компании «Доктор Веб» также были выявлены и другие его модификации (например, Android.SmsSpy.15 и Android.SmsSpy.17 и Android.SmsSpy.21), в которых была использована обфускация кода, призванная осложнить анализ вредоносных программ, а также снизить вероятность их обнаружения антивирусными средствами. С момента внесения данных угроз в вирусную базу компании антивирусные продукты Dr.Web для Android обнаружили их более чем у 2 300 пользователей. Таким образом, почти за месяц эти троянцы успели получить весьма широкое распространение.


Стоит отметить, что в случае предоставления некоторым из этих модификаций привилегий администратора устройства неопытные пользователи могут столкнуться с затруднениями при попытке их удаления, т. к. соответствующая опция в системном меню в дальнейшем становится недоступной. Чтобы успешно деинсталлировать этих троянцев, потребуется либо ручной отзыв соответствующих прав, либо использование антивирусного приложения, способного бороться с подобными угрозами.
https://ru-sfera.pw/data/MetaMirrorCache/st.drweb.com_static_new_www_news_2014_april_Android.SmsSpy4.png

Компания «Доктор Веб» рекомендует пользователям внимательно относиться к поступающим СМС-сообщениям сомнительного происхождения и призывает не поддаваться на уловки злоумышленников.
 

keb

Уважаемый пользователь
Форумчанин
Регистрация
17.02.2014
Сообщения
418
Репутация
74
Зафиксирован обновленный вирус Sefnit
9a499d18df64e0c87fa1c.jpg


Специалисты по безопасности в сети зафиксировали возобновление деятельности вируса Sefnit. В первый раз его активность была обнаружена еще осенью 2013 года. Но теперь эксперты столкнулись с несколько измененным вредоносным ПО. Ранее вирус распространялся через клиент Tor, теперь же мостиком для него выступает соединение Plink. Первыми новую угрозу заметили сотрудники Facebook.

Они смогли выяснить, что Sefnit попадает на компьютер под видом системного файла, выдавая себя за образ темы оформления Windows. Он попадает в систему двумя файлами с автовыполнением. Далее через соединение Plink вирус связывается с удаленными серверами по типу C&C и получает команду на выполнение процессов.

После того, как эксперты распознали новый алгоритм заражения и активности Sefnit, они намерены передать всю собранную ими информацию в антивирусные компании. И особенно важно то, какие данные специалисты Facebook получили относительно самого соединения Plink. Уже используя такие наработки, в антивирусных компаниях должен быть создан механизм защиты от этого вредоносного ПО.

Сейчас предполагается, что новая версия Sefnit была создана в марте. И к настоящему моменту не менее чем 30 доменов так или иначе уличены в распространении вируса. Интересно то, что ранее в Microsoft заявляли о большой опасности Sefnit. И причем, от нее невозможно полностью избавиться даже посте того, как вирус удален.

Причиной для таких выводов было то, что Sefnit распространялся на тот момент через клиент Tor старых версий. А поскольку подобные программы не имеют функции автоматического обновления, они всегда подвержены новым атакам. Статистики заражения этим вредоносным ПО крайне неутешительна, поскольку согласной ей, жертвами Sefnit стало не менее 2 млн компьютеров во многих странах.
 
0

0eck

Гость
Эксперты Symantec нашли вирус, заставляющий банкоматы «выплевывать» деньги
Как сообщают исследователи Symantec, им удалось обнаружить вредоносную программу, позволяющую предприимчивым злоумышленникам заставить банкоматы определенного типа «выплевывать» купюры. Речь идет об очередной модификации вируса «Ploutus», впервые обнаруженного в Мексике. Вредоносная программа контролируется злоумышленниками с помощью SMS.

По словам экспертов, вирус пригоден для осуществления атак лишь на один тип банкоматов, однако какой именно, в Symantec не уточняют. В целях проведения более тщательного исследования, антивирусная компания вынуждена была арендовать один из таких ATM.

Стоит отметить, что для успешного нападения злоумышленникам необходимо иметь локальный доступ к банкомату. В связи с этим, уверены исследователи, злоумышленники выбирали исключительно автономные ATM, установленные вдалеке от посторонних глаз.

В качестве контроллера, который хакеры подключают к USB-разъему внутри устройства, выступает мобильный телефон. Это позволяет им не только инфицировать банкомат новой версией «Ploutus», но и управлять его действиями удаленно при помощи SMS.

«Получая соответствующее сообщение, телефон отправляет через USB специально сформированный сетевой пакет», - поясняет эксперт Symantec Даниэль Регаладо (Daniel Regalado).
 

DikiySan

Уважаемый пользователь
Форумчанин
Регистрация
22.02.2014
Сообщения
672
Репутация
2 093
Что-то Саймантек в последнее время активизировалсясмех-смех!!!
Продуктом своим пусть лучше займутся
 
0

0eck

Гость
Спамеры собирают деньги якобы для Юго-Востока Украины

13 мая 2014 года
Сетевые жулики, распространяющие в Интернете мошеннические электронные письма, внимательно следят за происходящими в мире событиями и активно используют их с целью обмана пользователей.Так, в последнее время участились случаи массовой рассылки писем от имени «ополченцев одного из городов Юго-Востока Украины». Мошенники просят у получателей перечислить им любую сумму в электронной валюте Bitcoin якобы с целью приобретения бронежилетов, медикаментов и оружия.
Традиционные «нигерийские письма» о внезапно полученном заграничном наследстве, а также акции по сбору средств на лечение или дорогостоящие операции несуществующим людям, по всей видимости, не приносят злоумышленникам достойного дохода, поэтому они решили использовать в своих целях актуальные политические события последних месяцев. Начиная с 10 мая в российском сегменте Интернета было зафиксировано несколько массовых почтовых рассылок, организаторы которых называют себя представителями «ополченцев одного из городов Юго-Востока Украины». В тексте сообщения авторы говорят о том, что «ополченцам» безымянного украинского города срочно требуются средства на приобретение медикаментов, раций и оружия. Деньги сетевые мошенники предлагают перечислять на анонимный bitcoin-кошелек, якобы потому, что иные транзакции, осуществленные с использованием альтернативных платежных средств, могут быть «восприняты США и Европой как финансирование терроризма». Специалистам компании «Доктор Веб» стало известно, что текст письма был практически полностью позаимствован жуликами со страницы одного из блогов «Живого Журнала», в котором активисты действительно собирали деньги для оказания помощи жителям юго-восточных регионов Украины, правда, используя для перечисления средств реальные банковские реквизиты.
https://ru-sfera.pw/data/MetaMirrorCache/st.drweb.com_static_new_www_news_2014_may_bitcoin_spam_ru.png
В лучших традициях социальной инженерии жулики просят получателей письма распространять его текст всеми возможными способами, а также сообщить реквизиты bitcoin-кошелька друзьям и знакомым, надеясь таким образом значительно увеличить охват потенциальной аудитории.
Специалисты компании «Доктор Веб» предостерегают пользователей от необдуманных действий и советуют скептически относиться к любой информации, распространяемой через почтовые рассылки. В особенности это касается призывов к оказанию финансовой помощи с использованием электронных платежных систем от лица сомнительных отправителей.
 
0

0eck

Гость
Обнаружен вирус под Android и Windows, который блокировал устройства любителей бесплатного порно
Специалисты Kaspersky Lab обнаружили широкую сеть распространения ряда вредоносных программ, получивших название Koler, которые были нацелены как на Android-устройства, так и компьютеры пользователей.

Жертвы вируса переходили по ссылкам, обещавшим бесплатное порно, однако в большинстве случаев подвергались риску заражения программой-блокером. На экране заблокированного устройства отображалось якобы официальное требование полиции заплатить «штраф» от 100 до 300 долларов за просмотр порнографических материалов.

Несмотря на то что программа-блокер представляла собой довольно типичный образец, функции которого сводились лишь к блокированию экрана, специалисты отметили, что злоумышленники использовали разный текст и символику местных правоохранительных органов для 30 стран Европы, Северной и Латинской Америки, а также Австралии. Дальнейшее расследование привело к обнаружению хорошо продуманной и развитой сети, которая обеспечивала дистрибуцию вредоносных программ.
https://ru-sfera.pw/data/MetaMirrorCache/i67.fastpic.ru_big_2014_0729_4d_723f51c5c9d549e1988645cd414daa4d.png

Символика правоохранительных органов, использованная злоумышленниками для экрана блокировки

Пользователи завлекались в сеть с помощью 48 порносайтов. От них запросы направлялись в центр системы перераспределения трафика, после чего жертва попадала на один из множества серверов, распространяющих программы-блокеры. Следует отметить, что эти зловреды были нацелены как на Android-устройства, так и персональные компьютеры – для каждой цели существовала отдельная подсеть, с помощью которой производилась дистрибуция схожих по функциям и внешнему виду блокеров. Только в одну только подсеть с мобильными зловредами попало более 170 тысяч пользователей. Их рост на данный момент приостановился – 23 июля злоумышленники стали сворачивать подсеть, рассылая посредством командного сервера команды деинсталляции на зараженные компьютеры.

«Отметим, что примененный способ распространения – довольно хитрый, но сама вредоносная программа – рядовая, с которой без всяких сомнений справится защитное средство класса Internet Security», – отметил Висенте Диаз, антивирусный эксперт Kaspersky Lab.
 

keb

Уважаемый пользователь
Форумчанин
Регистрация
17.02.2014
Сообщения
418
Репутация
74
6447e38051eb075d5b8c4.jpg
Symantec: Количество вредоносов, запускающихся на виртуальных машинах, увеличилось
Вредоносы стали обходить виртуальные системы для автоматического анализа угроз и распознавать тип системы.
Специалисты в области кибербезопасности уже много лет используют виртуальные машины. Это позволяет им комфортно анализировать вредоносное ПО, уменьшая при этом риск заражения и избавляя от необходимости переустановки систем после каждого запуска. В последнее время виртуальными машинами (ВМ) стали пользоваться все больше людей.

К примеру, службы поддержки пользователей чаще начали использовать ВМ для большей защиты персональных данных клиентов.

Исследователи из Symantec проверили защищенность виртуальных машин, попытавшись заразить их различными видами вредоносов. Ранее при обнаружении виртуальной машины вредоносное ПО автоматически завершало работу, но в последнее время случаи заражения ВМ лишь участились.

При написании вредоносного ПО преступники добавляют в код собственных вредоносов способы проверки, реальная ли используется система или виртуальная. Чаще всего для этого выполняются следующие проверки:

Проверка MAC-адреса адаптера виртуальной сети для определения изготовителя
Проверка ряда ключей системного реестра, присутствующих лишь в виртуальных машинах
Проверка наличия специального ПО для виртуальных машин (наподобие VMWare Tools)
Проверка некоторых процессов и имен служб
Проверка поведения портов связи
Выполнение специфического ассемблерного кода и сравнение результатов
Проверка местонахождения системных структур (к примеру, таблиц дескриптора)

Обычно вредоносы проверяются на специализированных автоматических виртуальных машинах. Для успешного прохождения такой проверки требуется, чтобы программа не проявляла вредоносной активности в течение определенного времени (несколько минут). В связи с этим авторы вредоносного ПО добавили функцию условной активации – вредонос активируется лишь после нескольких перезагрузок виртуальной машины или после совершения определенного количества щелчков мышью. Добавление таких методов обхода автоматической проверки значительно усложнило жизнь антивирусным специалистам.

В некоторых случаях запущенное на ВМ вредоносное ПО определяло, что оно запущено на виртуальной машине, и начинало проверять системный реестр на несуществующие в нем записи. В других случаях использовался специальный паковщик, проверяющий тип системы при запуске.

В качестве доказательства исследователи Symantec проанализировали 200000 подозрительных файлов, присланных их клиентами для анализа в течение последних 2 лет. Каждый из них был запущен как на реальном ПК, так и на виртуальной системе. В результате было определено, что количество вредоносов, определяющих тип системы при запуске, составляет в среднем 18%.
 

keb

Уважаемый пользователь
Форумчанин
Регистрация
17.02.2014
Сообщения
418
Репутация
74
Уязвимость в Windows продолжает создавать опасность для пользователей

Согласно документу, опубликованному Лабораторией Касперского, злоумышленники продолжают эксплуатировать уязвимость CVE-2010-2568 , несмотря на “возраст” бреши. Недавно Лаборатория Касперского обнаружила десятки миллионов эксплоитов, направленных на устранение ошибки, которые не устранили ее. Жертвами кибератаки стали 19 миллионов пользователей по всему миру.

Уязвимость вызвана ошибкой в механизме обработки ярлыков в ОС Windows, что позволяет загружать произвольную библиотеку без ведома пользователей и затрагивает Windows XP, Windows Vista, Windows 7 и Windows Server 2003 и 2008. Несмотря на то, что Microsoft выпустила обновление безопасности, устраняющее эту брешь, еще осенью 2010 года, системы детектирования Лаборатиории Касперского до сих пор регистрируют ее активную работу.

Наибольшее количество эксплоитов было обнаружено во Вьетнаме, Индии, Индонезии и Бразилии, говорится в докладе. Эксперты Лаборатории Касперского предполагают, что существование уязвимости может быть связано с тем, что многие сетевые администраторы не уделяют достаточно пристального внимания подконтрольным публичным серверам. В результате, вредоносные программы, такие как Sality, продолжают распространяться.

Наиболее часто (64%) уязвимость CVE-2010-2568 эксплуатировали на ОС Windows XP. Самая популярная среди пользователей Windows 7 оказалась на втором месте - всего 28%. На серверные версии Windows Server 2008 и 2003 пришлось по 4% и 2% срабатываний соответственно.
 

keb

Уважаемый пользователь
Форумчанин
Регистрация
17.02.2014
Сообщения
418
Репутация
74
352f89139df32271e2d4a.jpg
Новый лже-антивирус Defru

Специалисты обнаружили новый, сравнительно простой лже-антивирус под названием Defru. Фальшивый антивирус атакует пользователей Windows и блокирует доступ к популярным web-сайтам.

Вредоносная программа, обнаруженная под названием Rogue: Win32/Defru, маскируется под настоящий антивирус и инициирует поддельное сканирование устройств, на которых установлена ОС Windows.

По словам эксперта Microsoft Дэниэла Кипиристеану (Daniel Chipiristeanu), в прошлом, используя файл hosts, фальшивые антивирусы блокировали доступ к легальным web-сайтам разработчиков анти-вирусного программного обеспечения, и тем самым не давали пользователям возможности устранить угрозу.

Defru использует более простой подход. Программа блокирует доступ пользователя к интернету фальшивым предупреждением об угрозе при посещении различных сайтов. Используя файл hosts в компьютере пользователя, Defru перенаправляет ссылки на фальшивый pcdefender web-сайт. После установки мошенническая программа предлагает пользователю удалить якобы зараженные файлы, предварительно купив лицензию. Удалить лже-антивирус можно с помощью легального антивирусного программного обеспечения.

По словам специалиста, больше всего от фальшивого антивируса пострадали жители России, США и Казахстана.
 

Denis27

Уважаемый пользователь
Форумчанин
Регистрация
04.03.2014
Сообщения
702
Репутация
1 168
Новый Trojan.Mayachok показывает рекламу и обманывает пользователей
Еще в первой половине прошлого года вредоносные программы семейства Trojan.Mayachok являлись одной из самых распространенных угроз на компьютерах пользователей, а число их модификаций составляло более полутора тысяч. Эти троянцы блокировали на инфицированном ПК доступ к Интернету и требовали у жертвы выкуп за восстановление подключения. В последнее время данный тип вредоносных программ стал понемногу утрачивать популярность в среде злоумышленников, уступив первенство другим угрозам. Однако в августе 2014 года специалисты компании «Доктор Веб» обнаружили и исследовали нового представителя данного семейства, получившего наименование .
распространяется преимущественно с использованием массовых почтовых рассылок. После запуска на инфицированной машине троянец проверяет наличие своей работающей копии, при обнаружении которой прекращает действовать в системе, а также предпринимает попытку выявить запущенные процессы популярных антивирусных программ и виртуальных машин — эта информация впоследствии отправляется на принадлежащий злоумышленникам удаленный сервер. Затем получает из системного реестра сведения о домашней папке текущего пользователя Windows, пытается прочитать из нее ранее созданный им конфигурационный файл, и, если это не удается, использует для своей работы параметры, хранящиеся в теле троянца. Помимо этого генерирует второй конфигурационный файл, в котором содержится собранная на зараженном компьютере информация, — его троянец отправляет на сервер злоумышленников. Помимо выполнения основных вредоносных функций способен загружать из Интернета другие троянские программы — например, в исследованном специалистами компании «Доктор Веб» образце в качестве таковой выступает .
Данная вредоносная программа способна работать как в 32-разрядных, так и в 64-разрядных версиях Windows, правда, в зависимости от разрядности ОС алгоритм ее действия имеет несколько функциональных различий. Однако в обоих случаях преследует одну и ту же цель: он встраивает в просматриваемые пользователем веб-страницы постороннее содержимое, при этом опасности подвергаются пользователи браузеров Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Opera, и Яндекс.Браузер. Так, при посещении пользователем некоторых интернет-ресурсов поверх просматриваемой веб-страницы троянец демонстрирует окна с навязчивой рекламой:
mayachok_01.png
 
Верх Низ