Тема: Вирусы множаться

[Kires]

  Согласно данным специалистов из Лаборатории Касперского, количество вариантов вредоносного программного обеспечения, которое появилось в 2007 году, возросло в 4 раза по сравнению с предыдущим годом, пишет Cybersecurity.ru.

Уже в прошлом году число вредоносных интернет-программ, сетевых червей, вирусов и троянов достигло 2.2 млн, в 2006 же году их было «всего» чуть больше 500 тыс. Общее количество подобного рода программного обеспечения уже достигло 345 гигабайт. Дэвид Эмм (David Emm), старший технический консультант Лаборатории Касперского, считает, что в текущем году создатели вредоносных программ сменят тактику. Уже сейчас, по его словам, «увеличивается количество софта, качественно изменяется его состав и функциональность. Новые и более сложные образцы известного сетевого червя Storm появлялись на протяжении 2007 года и продолжают появляться до сих пор, что говорит о разнообразии методов дистрибуции этого кода и множестве разработчиков, трудящихся над ним».

Эксперты компании сообщили, что по их предположениям в этом году антивирусные базы пополнятся сигнатурами приблизительно 1 млн кодом. Эмм также добавил, что «При помощи новых технологий стало возможно в 4 раза увеличить размер баз и бороться, при этом, с 10-кратно возросшими объемами вирусов. Новые технологии позволяют всего одной сигнатурой нейтрализовать около десятка кодов».

«Вокруг света» уже не раз писал о новых вирусах, обнаруженных Лабораторией Касперского. Например, о вирусе-шантажисте Virus.Win32.Gpcode.ai, который при попадании на компьютер жертвы использует сложный криптографический алгоритм для шифрования личных документов и архивов пользователя, в результате чего они перестают открываться. Также в компьютере появляются txt-файлы, сообщающие, что данные зашифрованы и отосланы создателям вируса, на расшифровку уйдет несколько лет, но в случае выплаты $300 данные будут возвращены. На самом деле, файлы никуда не отсылались, а антивирусная компания быстро научилась расшифровывать файлы.
   http://vokrugsveta.ru

[Kires]

                     Вирусописатели защищают вирусы пользовательским соглашением
  Вирусописатели решили защитить свою интеллектуальную собственность – вирусы. С этой целью они начали использовать пользовательские соглашения (End User License Agreement, EULA).

Пользовательские соглашения заключаются с целью защиты авторских прав создателей ПО и могут использоваться для привлечения к ответственности пользователей пиратский копий программ. Однако, в случае с вредоносным ПО, использование таких соглашений, по меньшей мере, странно – ведь вирусописатели сами нарушают закон.

ИБ-специалисты из Symantec обнаружили текст EULA в файле последней версии вируса Zeus. В нем сообщается, что клиент не может распространять программу в коммерческих или некоммерческих целях, не в интересах продавца программы. Клиент не имеет права изучать код бота, управлять другими ботнетами при помощи программы и отсылать версии вируса в антивирусные компании. Помимо этого, владельцы вируса требуют от своих клиентов дополнительную плату за обновления, которые не связаны с устранением ошибок в работе вредоносного ПО.

За невыполнение условий соглашения вирусописатели грозят оставить покупателей без техподдержки и отправить версию вируса разработчикам антивирусов.

[Kires]

    Хакеры сосредоточили свои усилия на браузерах Firefox и Safari.
 В последнее время наметилась тенденция, когда пользователи все чаще стали переходить от Internet Explorer к альтернативным версиям веб браузеров, например Firefox или Safari. При этом пользователи чувствуют себя более безопасно при веб-серфинге, но не тут-то было… Изменения открыли новые двери для плохих парней. Интересный момент: на данный момент нет известных проблем с безопасностью Internet Explorer, но Firefox и Safari не могут этим похвастаться. Значит, простая смена веб браузера не даст вам дополнительной защиты. Может быть на некоторое время, но, чтобы быть постоянно защищенным, вам нужно будет поддерживать текущее программное обеспечение постоянно обновленным.


Наблюдая за тем, как Firefox становиться все более популярным, хакеры сосредоточили на нем свои усилия, пытаясь использовать только обнаруженные уязвимости. Совсем недавно, сообществом Mozilla было выпущено 2 обновления для браузера Firefox, устраняющие в общей сложности пять критических уязвимостей безопасности.

[Kires]

                  На руткит Rustock нашлась управа
  Компания "Доктор Веб" выпустила новую версию сканера Dr.Web, способную, по утверждениям разработчика, не только обнаруживать руткит Win32.Ntldrbot (он же - Rustock.C), но и лечить зараженные им системные файлы.

Руткит Rustock имеет три вариации - Rustock.A, Rustock.B и Rustock.C, последний из которых отличается повышенной зловредностью в том смысле, что своё присутствие в системе скрывает весьма умело и эффективно.

Главное, чем данный бэкдор неприятен, так это тем, что заражённый компьютер Rustock/Ntldrbot превращает в спамбот, причём пользователь машины может об этом даже не подозревать. По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область "специализации" этой сети - ценные бумаги и фармацевтика.

Найти Rustock.C не удавалось весьма продолжительное время, многие начали подозревать, что Rustock.C просто не существует. Однако в начале 2008 года аналитики "Доктор Веб" его всё-таки выявили, и на данный момент им удалось обнаружить около 600 экземпляров руткита.

"Доктор Веб" приводит основные технические характеристики данного Rustock.C: во-первых, у него имеется мощный полиморфный протектор, затрудняющий анализ и распаковку руткита; во-вторых, руткит реализован в виде драйвера уровня ядра, работает на самом низком уровне и своего отдельного, даже скрытого, процесса не имеет.

У вируса имеется функция самозащиты, позволяющая противодействовать модификации времени исполнения. Какой-либо отладке вирус противодействует: например, он контролирует установку DR-регистров, нарушает работу отладчиков уровня ядра, таких как Syser, SoftIce, а отладчик WinDbg при активном рутките не работает вообще.

Работает как файловый вирус, заражая системные драйверы. Конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет. Имеет функцию перезаражения, срабатывающую по времени. Старый зараженный файл лечит. Таким образом, руткит "путешествует" по системным драйверам, оставляя зараженным какой-нибудь один.

Фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного. От антируткитов защищается весьма и весьма успешно, чем его "невидимость" и объясняется.

Имеет в составе библиотеку, внедряемую в один из системных процессов. Данная библиотека и занимается рассылкой спама.

Все подробности о рутките доступны по этой ссылке. Извините, но гости не могут просматривать ссылки. Регистрация или Логин

На сайте "Доктор Веб" выложена новая версия лечащей утилиты Dr.Web CureIt, которая позволяет выявить присутствие руткита Rustock.C в системе и истребить его. Утилита распространяется бесплатно.

[Kires]

              Новый вирус парализует работу компьютеров
  В Интернете появился новый опасный вирус, который обеспечивает непрерывное поступление рекламы на компьютер. Как сообщает ИТАР-ТАСС, эта программа меньше чем за неделю вывела из строя более полумиллиона компьютеров во многих странах мира. Программа-вирус предлагает бесплатно скачать популярный фильм или концерт рок-группы. Затем программа парализует нормальную работу компьютера, выбрасывая на экран лишь рекламу и объявления. Эксперты отмечают, что это самая агрессивная программа-вирус за последние три года.
  источник: Извините, но гости не могут просматривать ссылки. Регистрация или Логин

[Kires]

             Mozilla несколько месяцев распространяла вредоносный код.
  Как выяснилось на этой неделе, инфицированным оказался вьетнамский языковой пакет. При его установке на компьютер пользователя попадала троянская программа Xorer, начинавшая отображать рекламные объявления.  По словам руководителя отдела безопасности Mozilla Уиндоу Снайдера  Mozilla постоянно проводит антивирусное сканирование программ, однако троян Xorer изначально обнаружить не удалось причине того, что информация о нем была занесена в антивирусные базы данных только 28 февраля. Пока не совсем ясно, как инфицированный пакет попал в раздел загрузок. Высказываются предположения, что зараженным был компьютер одного из разработчиков вьетнамской локализации.

Все те, кто загрузил вьетнамскую локализацию в период с 18 февраля по начало мая, получили зараженную версию пакета. Для заражения использовался вирус Xorer, в сигнатурах антивирусных компаний он появился значительно позже атаки на Firefox. Точное число пострадавших приверженцев Firefox  неизвестно, как сообщается назойливой рекламой оказались заражены только вьетнамские версии браузера.

Так или иначе, но распространение вьетнамского языкового пакета временно приостановлено. Пользователям, загрузившим дополнение, рекомендуется отключить его через меню настроек Firefox. В ближайшее время разработчики намерены выпустить исправленную версию пакета.
     источник: Извините, но гости не могут просматривать ссылки. Регистрация или Логин   

[Kires]

                    Хакеры нашли новый метод скрытия rootkits
   Группа исследователей разработала новый тип вредоносного программного обеспечения rootkits. Новый тип rootkits позволяет взламывать память процессора, которую не возможно проверить антивирусом. Его название SSM rootkits. Он работает в охраняемой части компьютера, которая может быть заблокирована, и тем самым делается невидимым для операционной системы. SSM rootkits распространяется с программным обеспечением и через интернет. Он может быть использован для кражи конфиденциальной информации и слежкой за всем происходящим на компьютере. Это стало доступным благодаря способности этого rootkits прописываться в памяти и считывать её. 
   Источник: Извините, но гости не могут просматривать ссылки. Регистрация или Логин

[Kires]

            Вирусы научились подстраиваться под антивирусное ПО
  Джефф Свини (Geoff Sweeney), CTO Tier-3, специалист ИТ-безопасности, комментирует замечания, высказанные главой шведской операции «Киберкриминал» (Swiss cybercrime operation). В интервью СМИ в конце прошлой недели Марк Хенауэр (Marc Henauer), глава операции по борьбе с киберпреступностью Департамента юстиции и полиции Швеции, сказал, что вирусы и другие вредоносные программы уже имеют возможность менять свои сигнатуры каждые несколько часов.
Это, по его словам, означает, что атакующие нередко находятся на шаг впереди перед защитным ПО.
Хенауэр рекомендовал компаниям пересмотреть и изменить свои подходы к защите данных.
«Динамическое изменение кода позволяет вирусу автоматически приспосабливаться к антиспамовым и антивирусным движкам, с которым он сталкивается. К сожалению, методы, используемые для создания этих видоизменяющихся угроз, в настоящее время легко доступны и порождают волну видоизменяющегося вредоносного ПО, созданного на основе методов социальной инженерии. Такое ПО может использоваться для кражи личных данных через электронные письма и рассылки видоизменяющихся троянов во вложениях. Каждая инфекция увеличивает эффективность следующей волны вредоносных писем, рассылаемых автоматизированными системами», - говорит Свини.
«Дни, когда для защиты ИТ-ситсемы было достаточно одного приложения безопасности, давно прошли. Защита от этого натиска должна быть основана на мониторинге, который охватывает все точки доступа к ПК - SMTP, DNS, HTTP(s), IM и т.д., так как они могут использоваться видоизменяющимися вирусами», - заключил Свини.
  источник: Извините, но гости не могут просматривать ссылки. Регистрация или Логин   

[Kires]

             Уязвимость в Safari позволяет заpазить ПК вредоносным ПО
  Исследование эксперта ИБ показало, что злоумышленники могут легко использовать браузер компании Apple Safari для заражения ПК вредоносными файлами.
  По словам исследователя Нитеша Даньяни (Nitesh Dhanjani), Safari не спрашивает разрешения пользователя перед загрузкой ресурсов с веб-сайтов. Когда на сайте встречаются вредоносные элементы iframe и другие сценарии, браузер послушно выполняет то, что «диктует» веб-сайт, в том числе скачивает столько файлов, сколько есть соответствующих html-скриптов.
  Когда появилась информация об этой уязвимости, названной «ковровой бомбардировкой» (как окрестил ее исследователь Билли Риос (Billy (BK) Rios)), Apple решила, что, возможно, было бы хорошо, чтобы Safari перед загрузкой файлов проверял их на безопасность.
  Это достойно сожаления, пишет The Register, потому что уязвимость позволяет злоумышленникам завалить пользовательский ПК сотнями вредоносных файлов. Нейт МакФетерс (Nate McFeters) в Zero Day Blog отметил, что с помощью такой уязвимости нетрудно загрузить на рабочий стол файлы-ловушки, которые, к примеру, могут выглядеть как иконка Windows «Мой компьютер» - ничего не подозревающий пользователь может кликнуть по нему и запустить выполнение вредоносного кода.
  источник: Извините, но гости не могут просматривать ссылки. Регистрация или Логин

[Kires]

            Уведомления об обновлении Windows распространяют троян
   Преступники вновь распространяют сообщения о фальшивых обновлениях безопасности с целью распространения своих троянов.
   Электронные письма уведомляют получателей о критическом обновлении безопасности для Microsoft Windows (Critical Security Update for Microsoft Windows, KB946026) и включают ссылку якобы на патч. Стиль писем очень похож на тот, который используется Microsoft для описания загрузки обновления, в том числе правдоподобны данные об объеме скачиваемой информации и времени загрузки, хотя адрес отправителя - Microsoft Corporation - должен предупредить пользователей об опасности.
   Microsoft никогда не рассылает сообщения со ссылками на свои обновления безопасности, и получатели таких сообщений должны быть начеку, предупреждает Heise Security.
   Вместо обновления безопасности пользователь, перешедший по ссылке, устанавливает на свой ПК троян Virut.AI IRCBot. В данный момент все популярные антивирусные сканеры обнаруживают данную вредоносную программу.
 источник: Извините, но гости не могут просматривать ссылки. Регистрация или Логин