Тема: Вирусы множаться

[Kires]

  Тут ты немного ошибаешся.Вот почитай статеику.
                    Кто занимается написанием вирусов

 Стереотипное представление о вирусописателе как о закомплексованном юноше с нездоровым цветом лица, которого не любят девушки и который сутки напролет стучит по клавишам компьютера под музыку в стиле «транс», не соответствует истине, утверждает исследователь из Центра Томаса Уотсона корпорации IBM Сара Гордон, изучающая этот человеческий тип с 1992 года. Гордон заинтересовалась вирусами после того, как много лет назад обнаружила один из них в купленном ею коробочном программном продукте. «Большинство из них — вполне уравновешенные люди с нормальными отношениями в семье, вовсе не испытывающие желания нанести кому-либо вред», — говорит Гордон.


 «У большинства моих знакомых есть подружки или жены, — подтверждает Doctor Owl, 20-летний автор вирусов. — Не думаю, что мы чем-то отличаемся от обычных людей».

 За те десять лет, что Гордон посещает вирусные сайты и конференции, она проинтервьюировала свыше 100 их завсегдатаев. Один из них даже посвятил ей свой вирус.

 Представление о вирусописателе как о злобной антисоциальной личности, «зацикленной» на разрушении, неверно, считает Гордон. Большинство, особенно подростки, программируют просто потому, что это их захватывает.

 «Они не верят, что их код может кому-то навредить, — говорит Гордон. — В сущности, это нормально при уровне развития личности, характерном для их возрастной группы. Большинство подростков, как правило, не думают о том, какие последствия их деятельность может иметь для других людей».

 В их кругу действительно есть некоторый процент асоциальных элементов, но в целом он представлен людьми, имеющими различные мотивации и намерения, и относящихся к самым разным возрастным и социальным группам. Здесь и подростки, и студенты, и люди среднего возраста, уже получившие профессию. Есть женщины.

 За те десять лет, что Гордон ведет свои исследования, усредненный образ автора вирусов изменился. Сейчас им может быть как подросток, «балующийся» программированием, так и студент. Десять лет назад средний возраст вирусописателя составлял 14-17 лет, сейчас — 25-28 лет. Дэвиду Смиту, осужденному за создание и распространение вируса Melissa, в 1999 году, в момент ареста, было 30 лет.

 Приведенные данные не означают, что люди, повзрослев, продолжают занятие, начатое в юности. Раньше большинство теряло интерес к вирусам к 22 годам, переключившись на профессиональную деятельность. Сейчас некоторые продолжает свое «творчество» параллельно с основной работой, а есть и такие, кто после 25 только начинает.

 Вирусописатели среднего возраста обычно работают инженерами или системными администраторами в компьютерных компаниях.

 Гордон знакома и с женщинами, пишущими вирусы, например с 16-летней девушкой, скрывающейся под псевдонимом Gigabyte. Обычно девушки-подростки пишут вирусы, чтобы произвести впечатление на друзей или коллег мужского пола. Однако Гордон знает и вирусописательницу 50 с небольшим лет. Другая, ей за 40, работает в госучреждении.
              Пропуск в андерграунд

 Вирусописатели — это самое дно особой иерархии компьютерного андеграунда, вершину которой занимают хакеры. Большинство хакеров, даже писавшие вирусы ранее, свысока смотрят на тех, кто этим занимается, особенно на новичков, которые пользуются чужими заготовками или пишут простенькие макросы.

 Многих вирусописателей можно сравнить с детьми; их несовершенные, аляповатые программы, обретя свободу, становятся неконтролируемыми. Хакерство требует иных, более «взрослых» навыков. Как правило, цель хакера — это конкретная система; он точно рассчитывает место «приземления» своей программы. «Хакерство подразумевает контроль, — говорит Гордон, — тогда как вирусописательство — неконтролируемое разрушение».

 Как и все подростки, вирусописатели растут и меняются. Большинство оставляет свое занятие, осознав последствия.

 Evul — один из тех, кто перестал распространять вирусы после того, как понял, какой опасности подвергает людей. Сейчас ему 30, шесть лет назад после перерыва он вновь начал программировать и распространил несколько вирусов, оставив в их коде свой электронный адрес. Evul почувствовал угрызения совести тогда, когда получил несколько писем от жертв, которые жаловались ему, сколько их труда оказалось загублено. Он по-прежнему пишет вирусы, заражающие файлы и загрузочные сектора, но распространяет только исходные тексты, которые, по его словам, слишком сложны для того, чтобы начинающий вирусописатель мог собрать из них рабочую программу. Evul очень плохо относится к тем, кто специально пишет и распространяет вирусы, способные разрушить чью-то работу.
                  В чем смысл написания вирусов?

 Мотивация может быть самой разной. Кто-то делает это с умыслом, кто-то — с целью совершенствования навыков использования «дыр» в программах. Большинство даже не распространяет свои творения, для них это хобби или эксперимент. Зачастую вирусы столь плохо написаны, что просто не способны к распространению.

 Кому-то хочется добиться признания в андерграундном братстве. Кого-то прельщает идея вывести из строя систему электронной почты какой-нибудь организации. Многим нравится то, что их вирусы заносят в антивирусные базы.

 Evul относится к категории последних. Он говорит, что никогда не распространяет свои программы, но часто рассылает их производителям антивирусов типа «Лаборатории Касперского» и McAfee, чтобы они вводили возможность их распознавания в свои программы.
Программирование как способ борьбы с системой

 Мотивация некоторых авторов имеет политическую подоплеку. Болгарин, называющий себя Dark Avenger, говорит, что активно писал вирусы в конце 80-х, протестуя против классового неравенства, которое царило тогда в его стране. Написание вирусов давало ему ощущение политической власти и свободы, которых он был лишен в реальной жизни. «Я находил удовлетворение в создании программ, способных перемещаться туда, куда их автор никогда бы не смог попасть», — говорит он.

 Есть такие, кто считает вирусописательство средством борьбы с социальной несправедливостью. Подозреваемый в создании LoveLetter де Гузман прослыл среди своих однокашников по колледжу героем, поскольку написанный им вирус должен был красть пароли доступа к Internet. Доступ к Internet на Филиппинах стоит около 90 долл. в месяц, и студенты из бедных слоев не могут тратить такие деньги. Товарищи уважают де Гузмана за то, что тот пытался отнять доступ к Internet у богатых и дать его бедным.

 Устремления Doctor Owl не столь альтруистичны. Он считает, что большинство современных вирусов ничего не стоят, потому что их легко обнаружить и уничтожить. Doctor Owl хочет создать вирус-долгожитель, который незаметно от всех будет распространяться в течение нескольких месяцев. Затем он собирается продать код, перестать писать вирусы и почить на лаврах, ощущая себя создателем «великой программы».
             Учимся отвечать за свои дела

 Гордон делит вирусописателей на тех, кто не видит ничего плохого в распространении вирусов, даже деструктивных, и тех, кто считает это злодеянием.

 И Evul, и Doctor Owl считают недопустимым нанесение целенаправленного ущерба, но при этом они не чувствуют ответственности за распространение написанных ими вирусов другими. В свою защиту они приводят аргумент Национальной стрелковой ассоциации — «убивает не оружие, а человек».

 «Я не могу контролировать всех, кто манипулирует моим кодом, — говорит Evul. — Если его используют в незаконных целях, это не значит, что я должен отказаться от любимого хобби. Если я узнаю, что кто-то распространяет мои вирусы, я позабочусь о том, чтобы он их больше не получал».
                                     

[Kires]

                         Обнаружены активные атаки на Linux системы

 US-CERT сообщила об обнаружении активных атак с использованием похищенных SSH ключей, которые направлены на Linux системы. Существует новый руткит под названием Phalanx2, который совместно с обычными задачами, также ворует все SSH ключи на системе. Затем, судя по всему, атакующие используют эти ключи (по крайней мере, те, для которых не был создан пароль) для доступа к другим системам. После получения доступа к системе, злоумышленники используют локальные эксплоиты для повышения привилегий.

 Наличие Phalanx2 на системе можно определить по следующим признакам:
Команда "ls" не отображает каталог "/etc/khubd.p2/", но в него можно зайти с помощью команды "cd /etc/khubd.p2"
"/dev/shm/" может содержать файлы, которые использовались во время атаки
Любая директория "khubd.p2" скрыта от команды "ls", но в нее можно зайти с помощью команды "cd"
Изменения в конфигурации руткита могут изменить вышеописанные индикаторы атаки. Другие методы обнаружения могут включать поиск скрытых процессов на системе и сравнение количества ссылок в "/etc" по сравнению с количеством каталогов, отображаемых командой "ls".

  В случае обнаружения компрометации системы необходимо выполнить следующие действия:
Везде, где возможно, запретить SSH аутентификацию, основанную на ключах.
Произвести аудит всех SSH ключей на системах.
Уведомить владельцев ключей о возможности потенциальной компрометации их ключа.

 В качестве проактивных мер рекомендуется:
Выявить все системы, где SSH ключи используются как часть автоматического процесса. Как правило, такие ключи создаются без пароля и представляют повышенный интерес у злоумышленников.
Заставить пользователей использовать пароли при создании ключей для уменьшения риска возможной компрометации.
Проверить наличие последних исправлений безопасности на системах, подключенных к Интернет.

 Также потенциально опасную брешь представляют ключи, сгенерированные на Debian-подобных системах до установленного исправления, которое вышло несколько месяцев назад. Если вы не установили исправление или не сгенерировали новые ключи, сейчас это необходимо сделать в кратчайшие сроки.
     Извините, но гости не могут просматривать ссылки. Регистрация или Логин             

[Kires]

                        «Доктор Веб» отчитался о вирусной активности в сентябре

 Компания «Доктор Веб» опубликовала новый обзор вирусной активности в сентябре 2008 г.

 Первый осенний месяц принёс с собой множество новых проблем, с которыми столкнулись пользователи. Среди них были и почтовые рассылки со ссылками на вредоносные программы, и трояны, которые шифруют документы, и лже-антивирусы.

 В начале месяца появились сразу 2 новые модификации трояна-вымогателя, шифрующего на компьютерах документы и требующего за расшифровку выкуп. Ранее компания «Доктор Веб» сообщала про эти модификации в своих новостях - Trojan.Encoder.20 и Trojan.Encoder.21.

 Следует отметить, что рассылка последних модификаций данной вредоносной программы в последнее время происходит более интенсивно, чем прежде. После того, как все документы на компьютере зашифрованы, вирус выводит на Рабочий стол представленную ниже картинку, предлагающую прочитать текстовый файл, в котором описана процедура отправки денег авторам трояна.

 Продолжая тему программ-вымогателей, можно отметить рост количества обращений пользователей с проблемой появления в браузере Internet Explorer плагинов, которые, занимая значительную часть экрана, требует отправки SMS-сообщения с мобильного телефона для того, чтобы получить инструкции по деинсталляции. Специалисты вирусной лаборатории компании «Доктор Веб» своевременно добавляли в вирусную базу всё новые модификации данного плагина, который получил название Trojan.Blackmailer. Также была создана специальная запись Trojan.Blackmailer.origin, позволяющая удалять из системы множество модификаций плагинов-вымогателей.

 Актуальной в сентябре стала и тема лже-антивирусов. Данные программы устанавливаются на систему и проявляют свою активность в виде демонстрации на рабочем столе сообщения о якобы найденном вирусе, для удаления которого из системы предлагают пользователю совершить определённые действия - скачать полную версию данной «антивирусной» программы и т.д. Данный вирус, как правило, отличается способностью отключать некоторые вкладки стандартного окна Windows, отвечающего за смену изображения на Рабочем столе - сообщение о «заражении» выводятся с помощью изменения данного изображения. По классификации Dr.Web данный вирус получил название Trojan.Fakealert.
  источник  Извините, но гости не могут просматривать ссылки. Регистрация или Логин     

[Kires]

Троян в поддельном уведомлении от Microsoft

 Корпорация Microsoft предупреждает, что распространенное во вторник от лица службы безопасности компании уведомление, на самом деле содержит троянскую программу. Злоумышленники отправили клиентам Microsoft письма с вирусом Trojan.Backdoor.Haxdoor, посредством которого хакеры могут запускать файлы на компьютере пользователя и воровать информацию.

 В отправленных письмах сообщалось о якобы последнем обновлении безопасности в виде исполняемого файла, в котором и находился вирус.

 Пикантность ситуации заключается в том, что к электронным письмам были прикреплены легитимные PGP-подписи реальных сотрудников Microsoft.
                             
 источник  Извините, но гости не могут просматривать ссылки. Регистрация или Логин

[Kires]

                       Уязвимость в службе Server в Microsoft Windows

  Программа:
 Microsoft Windows 2000
 Microsoft Windows XP
 Microsoft Windows 2003
 Microsoft Windows Vista
 Microsoft Windows 2008

  Опасность: Критическая

 Наличие эксплоита: Нет

  Описание:
 Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
 Уязвимость существует из-за ошибки в службе Server при обработке RPC запросов. Удаленный пользователь может с помощью специально сформированного RPC запроса выполнить произвольный код на целевой системе. Для удачной эксплуатации уязвимости на Windows Vista и Windows Server 2008 атакующий должен успешно аутентифицироваться на системе.

 Примечание: уязвимость активно эксплуатируется на настоящее время.

 URL производителя: Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Решение: Установите исправление с сайта производителя.
 Windows 2000 SP4:
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows XP SP2:
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows XP SP3:
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows XP Professional x64 Edition:
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows XP Professional x64 Edition SP2:
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows Server 2003 SP1:
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows Server 2003 SP2:
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows Server 2003 x64 Edition:
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows Server 2003 x64 Edition SP2:
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows Server 2003 with SP1 for Itanium-based Systems:
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows Server 2003 with SP2 for Itanium-based Systems:
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows Vista (optionally with SP1):
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows Vista x64 Edition (optionally with SP1):
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows Server 2008 for 32-bit Systems:
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows Server 2008 for x64-based Systems:
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

 Windows Server 2008 for Itanium-based Systems:
Извините, но гости не могут просматривать ссылки. Регистрация или Логин

   Извините, но гости не могут просматривать ссылки. Регистрация или Логин             

[Kires]

                Троян Sinowal украл более полумиллиона паролей электронных кошельков

 Исследовательское бюро RSA FraudAction Research Lab сообщило ужасающий факт. На протяжении трех лет по всему миру распространялся троян, главная задача которого - воровать пароли электронных кошельков.

 Непонятно, как столь длительное время данная вредоносная программа оставалась незамеченной. Мало того, за эти три года Трояну удалось украсть более полумиллиона эккаунтов! Это один из самых крупных фактов электронного воровства за всю историю человечества.

 Троян получил название «Sinowal Trojan». Так же он известен под именами Torpig и Mebroot. Пока точно не известно, жители какой страны разработали данного трояна, но есть подозрения, что он родом из России. К такому выводу работники RSA пришли, учитывая тот факт, что программа была найдена во многих странах Европы, Северной Америки и Азии, но в России, почему-то, не была обнаружена ни единого раза.
    Иcточник: Извините, но гости не могут просматривать ссылки. Регистрация или Логин   

[Kires]

                                                Microsoft сообщает

 В корпорации Microsoft сообщили о масштабах распространения поддельных антивирусов и что после того, как был выпущен декабрьский набор патчей и новая версия системного средства Malicious Software Removal Tool (MSRT), удаляющего злонамеренный софт, поддельные и шпионские программы, мошенническое программное обеспечение Antivirus 2009 было удалено почти с 400 000 персональных компьютеров по всему миру.

 В корпорации говорят, что спустя 9 дней после выпуска набора патчей и новой MSRT, на 394 000 был обнаружен "антивирус", который оказался всего лишь очередной хакерской поделкой.

 Однако история с Antivirus 2009 - это всего лишь единичный пример. Есть и другие. В прошлом месяце Microsoft удалила поддельные антивирусы "Advanced Antivirus", "Ultimate Antivirus 2008", "XPert Antivirus"и другие с почти 1 миллиона компьютеров пользователей. Отдельно здесь стоит и семейство "Antivirus XP", "AntivirusXP 2008" и "Antivirus 2009", за которое хакеры вначале брали с пользователей деньги, а после установки этой разработки еще и "награждали" их компьютеры трояном "W32/FakeXPA".

 "Пользователи Windows все чаще сталкиваются с проблемой поддельных антивирусов. Здесь происходит слияние интересов интернет-мошенников и хакеров, первые хотят заработать на продаже "пустышек", а вторые инфицировать как можно больше компьютеров, чтобы потом использовать их в своих целях", - говорят в корпорации.

 Еще одним бичом пользовательской безопасности в декабре Microsoft называет трояна W32/Yektel, который также частенько встраивался злоумышленниками в те или иные программы и сайты, в том числе и те, что были ориентированы на использование последней уязвимости в браузере Internet explorer.
 источник Извините, но гости не могут просматривать ссылки. Регистрация или Логин   

[oleho]

Новый интернет-червь заразил 3,5 миллиона компьютеров

Новый интернет-червь Downadup, известный также как Conficker, передал под контроль неизвестных хакеров 3,5 миллиона зараженных компьютеров, говорится на сайте компании F-Secure, занимающейся IT-безопасностью и разработкой антивирусов.

Оценка в 3,5 миллиона компьютеров является, по словам аналитиков F-Secure, консервативной. С 13 по 14 января число зараженных компьютеров выросло более чем на миллион. Для сравнения, именно миллион машин было в знаменитом ботнете Storm во время его расцвета. Россия занимает третье место по числу "зараженных" IP после Китая и Бразилии. За каждым IP может скрываться множество компьютеров.

Для проникновения на компьютер пользователя червю нужно быть загруженным с сайта злоумышленника. Обычно в качестве площадки используется определенный сайт, который борцам с вредоносными программами удается закрыть.

Отличие Downadup в том, что он ежедневно создает множество вариантов новых доменов. На следующий день регистрируется только один из вариантов. F-Secure пытается опередить злоумышленников, регистрируя возможные домены заранее.

Как отмечает в своем блоге русскоязычный сотрудник F-Secure, Downadup использует уязвимость в реализации протокола RPC Microsoft. Проверить, заражен ли компьютер, можно, попытавшись зайти на сайт Извините, но гости не могут просматривать ссылки. Регистрация или Логин или Извините, но гости не могут просматривать ссылки. Регистрация или Логин. Червь их блокирует, и на зараженных компьютерах они не открываются. Убрать червя с компьютера можно, скачав специальную программу.

[Kires]

                                   Российский троян-долгожитель

 Компьютерный вирус под названием Pinch представляет собой вредоносное приложение, на базе которого киберпреступники могут собирать собственных «троянов», предназначенных для кражи электронной корреспонденции, IM-сообщений и другой конфиденциальной информации. Этот вирус был создан российскими хакерами Ермишкиным и Фархутдиновым. Вирусописатели были задержаны правоохранительными органами еще в 2007 году, но уголовное дело в их отношении так и не было заведено.
 Эксперты в области информационной безопасности из компании Prevx сообщают, что в сети появляются все новые и новые разновидности вируса. При этом, большинство современных антивирусов от ведущих производителей (включая Symantiec, Mcafee, Kaspersky и AVG) по прежнему не способны справиться с этим «крепким орешком».
 По информации Prevx, около 4'000 обитателей Интернета ежедневно становятся жертвами одного из «детей» знаменитого троянского приложения.
Столь потрясающая живучесть приложения вполне объяснима, ведь внести необходимые изменения в базовый код может любой начинающий хакер, обладающий базовыми навыками программирования. Впрочем, сам факт существования вируса-долгожителя ставит под угрозу репутацию производителей средств защиты, для которых полное и окончательное уничтожение Pinch должно стать вопросом престижа.
 Источник Извините, но гости не могут просматривать ссылки. Регистрация или Логин         

[Kires]

                            Хакеры взломали американский сайт "Лаборатории Касперского"

 Неизвестные хакеры 7 февраля воспользовались уязвимостью на американском сайте "Лаборатории Касперского" и опубликовали список таблиц баз данных ресурса, якобы содержащих информацию о пользователях, кодах активации, найденных в продуктах ошибках, а также интернет-магазине.

 Для получения доступа к базам данных злоумышленники, по их словам, использовали технику SQL-инъекции, передав команды серверу баз данных через адресную строку.

 В пресс-службе "Лаборатории Касперского" подтвердили факт обнаружения уязвимости во время субботней хакерской атаки. Сотрудники компании заявили, что уязвимость была устранена в течение 30 минут с момента обнаружения. Они добавили, что, по данным экспертов "Лаборатории Касперского", уязвимость не носила критический характер и угрозы несанкционированного доступа к данным не было.

 Зарубежные ресурсы "Лаборатории Касперского" не впервые взламывают при помощи SQL-инъекции. В июле 2008 года таким образом был взломан сайт компании в Малайзии. Вместе с главной страницей сайта был взломан интернет-магазин.

 "Лаборатория Касперского" является одним из крупнейших игроков на рынке антивирусных продуктов и IT-безопасности.

     Источник  Извините, но гости не могут просматривать ссылки. Регистрация или Логин