Тема: Вирусы множаться

[Kires]

                                         Доктор Веб: Вирусные новости августа 2010 года

 Последний летний месяц оказался насыщен новостями на вирусную тематику: сбылись прогнозы о появлении руткита, заражающего 64-битные системы Windows, появились новые модификации вредоносных программ для Android, в который раз активизировались «социальные инженеры», действующие через интернет-сайты и сервисы мгновенных сообщений. Новые долгожданные плоды принесла борьба с блокировщиками Windows — впервые в России было заведено уголовное дело против мошенников, промышляющих блокировкой. Об этом говорится в последнем отчете антивирусной компании «Доктор Веб», опубликованном сегодня.

 В отчетном периоде на вирусную сцену вышел первый руткит для 64-битных систем. Новая версия BackDoor.Tdss поставила перед производителями защитного ПО новые задачи по совершенствованию продуктов.

 64-битные системы семейства Windows обладают защитными механизмами, которые позволяют препятствовать установке в систему драйверов вредоносных программ. Во-первых, все драйверы проверяются на наличие цифровой подписи. Во-вторых, технология PatchGuard не позволяет вредоносным программам модифицировать ядро операционной системы. Однако новый BackDoor.Tdss успешно обходит оба этих препятствия, так как содержит в своем составе буткит. При установке в систему данный бэкдор модифицирует главную загрузочную область диска (MBR) и берет под контроль процесс очередной загрузки операционной системы. Это позволяет драйверу руткита установиться в систему до активизации защитных механизмов, встроенных в 64-битные системы.

 В августе было зафиксировано значительное количество вредоносных сайтов, которые внешне ничем не отличаются от сетевых хранилищ популярных фильмов, музыкальных записей, электронных книг.

 На самом деле с каждого из этих сайтов скачиваются исполняемые файлы размером от 8 до 16 МБ, которые определяются антивирусом Dr.Web как различные модификации Trojan.SMSSend. Внешне такие файлы выглядят как самораспаковывающиеся архивы, и пользователь, запустив один из них, наблюдает на мониторе процесс, похожий на распаковку. Но в определенный момент «распаковка» останавливается, и появляется сообщение о том, что для окончания распаковки архива необходимо отправить с мобильного телефона платное СМС-сообщение. В результате пользователя обманывают дважды — за отправку СМС со счета снимается несколько сотен рублей, а «архивы» не содержат в себе никакой полезной информации.

 Мошенники, применяющие такую схему, создают сайты с использованием узнаваемых элементов дизайна известных интернет-сервисов (Google, «Яндекс», файлообменная служба QIP), а также популярного программного обеспечения (WinRAR), что нарушает права владельцев соответствующих брендов.

 В течение августа злоумышленники дважды продемонстрировали, насколько просто можно войти в доверие к обычному пользователю, как легко вынудить его запустить вредоносную программу. В обоих случаях пользователи получали сообщения от имени знакомых, которые, в свою очередь, сами оказывались жертвами злонамеренных схем.

 16 августа по ICQ распространялась вредоносная программа Win32.HLLW.Natchs. В ее функционал входит завершение работы популярных ICQ-клиентов, определение пароля к аккаунту ICQ-пользователя, самостоятельное подключение к этому аккаунту через собственную реализацию ICQ-клиента и саморассылка по списку контактов пользователя-жертвы. При этом Win32.HLLW.Natchs способен вести элементарный «диалог» с потенциальной жертвой, а также передавать файлы средствами самого ICQ-протокола, а не в виде ссылки на файл, выложенный на вредоносном сайте. Все эти факторы повышали доверие пользователей к данному сообщению.

 30 августа появилась информация о распространении спам-сообщений среди пользователей социальной сети Facebook. В них содержалась ссылка на специально созданное приложение, размещенное на сайте этой соцсети. Используя уязвимость сайта Facebook, данное приложение рассылало такие же сообщения по списку друзей пользователя, прошедшего по ссылке. Таким образом, злоумышленники показали большие потенциальные возможности встраиваемых в социальные сети приложений для организации вредоносных схем.

 В августе правоохранительные органы г. Москвы впервые в истории возбудили дело против группы вымогателей, использовавших блокировщики Windows (по классификации Dr.Web — Trojan.Winlock). Эта группа действовала на протяжении последнего года. Представители правоохранительных органов выражают надежду на то, что следствию будет оказана поддержка всего телеком-сообщества.

 В августе активность Trojan.Winlock в очередной раз снизилась ровно вдвое — до 140 000 детектов за месяц. Тем не менее по проблемам вредоносных программ, связанных с различными схемами интернет-мошенничества, в бесплатную техподдержку компании «Доктор Веб» продолжают обращаться около 100 человек ежедневно.

 «Топ» наиболее распространенных блокировщиков в августе возглавляли 2 модификации, ни одна из которых не требовала отправки денег при помощи платного СМС-сообщения. Вместо этого предлагалось положить деньги на счет мобильного телефона или перевести их при помощи электронной платежной системы. В обоих случаях предлагалось воспользоваться терминалом оплаты услуг.

  Источник: Извините, но гости не могут просматривать ссылки. Регистрация или Логин

[Kires]

                                          Появился опасный фальшивый антивирус

 Компания Microsoft распространила предупреждения о новой вирусной эпидемии, распространяемой через браузеры. Программа-вредитель под кодовым названием Rogue:MSIL/Zeven автоматически определяет тип браузера, а затем очень похоже имитирует соответствующие диалоги браузера с предупреждением о вирусной угрозе. Фальшивые диалоги предупреждений почти неотличимы от настоящих – далеко не каждый пользователь сможет с первого взгляда определить подделку. Эта уловка представляет собой разновидность социальной инженерии, но в данном случае авторы вируса полагаются на то, что пользователи доверяют своим браузерам – подобная тактика обнаружена впервые.

 Кроме фальшивых окон с предупреждениям, вирус позволяет якобы просканировать ваши файлы. Кроме того, вирус предупреждает пользователей о неустановленных вовремя обновлениях, а еще предлагает вам изменить ваши настройки приватности и безопасности. Во время сканирования фальшивый антивирус находит зараженные файлы, однако не удаляет их, предлагая купить полную версию за деньги. Когда пользователь пытается купить продукт, открывается новое окно браузера в так называемом «безопасном режиме» с шифрованием передаваемых данных, правда в данном конкретном случае не приносит жертве никакой пользы. Наконец, веб-страница фальшивого антивируса крайне похожа на страницу известного бесплатного антивируса Microsoft Security Essentials. Скопированы даже награды, полученные пакетом MSE, и ссылка на центр антивирусной защиты Microsoft Malware Protection Center.

 Хотя новый вирус очень хорош (как вирус, конечно), но у него тоже есть недостатки. Его цель – заставить пользователя загрузить и установить некую программу, а также забрать у пользователя некоторую сумму, чего точно никогда не рекомендуют разработчики трех браузеров, в работу которых вмешивается новый вирус. Кроме всего прочего, страница предупреждения Firefox содержит явную опечатку ("Get me ouR of here"). Подозрительно и то, что веб-страница сообщает о гарантии на покупку. Часто оказывается, что якобы зараженные файлы, которые обнаружил фальшивый антивирус, вообще отсутствуют на компьютере. Все эти признаки должны немедленно насторожить пользователя – как бы то ни было, новая программа-вредитель отличается невиданным доселе уровнем имитации настоящих антивирусов и детализации.

 Несмотря на огромный прогресс в создании вирусов, пользователи могут эффективно защищаться от таких угроз, используя старое, но до сих пор актуальное правило – никогда не загружать и не устанавливать какие-либо файлы только потому, что какая-то веб-страница просит вас сделать это.

  По материалам обзора на сайте   Извините, но гости не могут просматривать ссылки. Регистрация или Логин.

[Kires]

                                                  Повреждение памяти в Adobe Reader

Программа: Adobe Reader 9.4.0 и более ранние версии.

Опасность: Высокая

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за неизвестной ошибки при обработке PDF файлов. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

URL производителя: Извините, но гости не могут просматривать ссылки. Регистрация или Логин

Решение: Способов устранения уязвимости не существует в настоящее время.

                                     

[Kires]

                                        Выполнение произвольного кода в VLC Media Player

Программа: VLC Media Player версии до 1.1.5

Опасность: Высокая

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за некорректного использования функции Windows API WNetAddConnection2A(). Удаленный пользователь может с помощью специально сформированного smb:// URL вызвать повреждение стека и выполнить произвольный код на целевой системе. Уязвимость распространяется только на Windows платформы.

URL производителя: Извините, но гости не могут просматривать ссылки. Регистрация или Логин

Решение: Установите последнюю версию 1.1.5 с сайта производителя.

[Kires]

                                                        Гибрид ZeuS и SpyEye

 Исследователи в области безопасности компании McAfee предупреждают о появлении на черном рынке нового инструментария для мошенников - "SpyEye / ZS Builder", созданного на базе двух опасных ботнетов ZeuS и SpyEye. Сборка появилась лишь несколько дней назад, однако ее выход может стать серьезной угрозой.

 Напомним, что несколько месяцев назад создатель популярного среди киберпреступников ботнета ZeuS, объявил об уходе, передав все права на свое детище другому разработчику и создателю ботнета SpyEye, известного под ником «harderman». Последний же сообщил, что планирует создать новый, более мощный инструмент, взяв «лучшее» от упомянутых ботнетов.

 Согласно экспертам, сборка обладает интерфейсом SpyEye, однако  ее функционал дополнен некоторыми возможностями ZeuS. Кроме того, создатель улучшил функцию извлечения паролей; добавил уведомление по Jabber; включил модуль VNC, а также функции автоматического распространения и обновления; разработал «уникальную» программную заглушку и усовершенствовал систему создания скриншотов. При этом новый ботнет предлагается по цене существенно ниже, чем ее предшественники, что может послужить росту его популярности в мире киберпреступников.

[Kires]

                                                    Хакеры замаскировали троянскую программу под «Камасутру»

 Под видом пособия о сексе под названием «Настоящая Камасутра» по Сети распространяется троянская программа Bckdr-RFM.

 Специалисты по компьютерной безопасности обнаружили в Интернете вредоносную программу, которая маскируется под пособие о сексе.

 Файл с троянцем выдает себя за презентацию для Microsoft PowerPoint, но при этом имеет расширение не .PPS, а .EXE. После открытия файла “Real kamasutra.pps.exe” на экране запускается слайд-шоу из 13 слайдов, в которых рассказывается о сексуальных позициях. В это же время происходит заражение компьютера.

 На компьютере вредоносная программа прописывается под названием AdobeUpdater.exe, поэтому многие пользователи принимают ее за полезную утилиту и не удаляют. Зараженный компьютер может использоваться для DDoS-атак, рассылки спама и других целей.

 В классификации антивирусной компании Sophos этот троянец носит название Troj/Bckdr-RFM.

  Ранее хакеры выдавали вредоносное ПО за обновление для браузера Firefox, игры «Змейка» и Angry Birds и даже за приглашение на церемонию вручения Нобелевской премии. 
  Извините, но гости не могут просматривать ссылки. Регистрация или Логин

[Kires]

                                           Еще один эксплойт для уязвимостей в Adobe Reader

 Вчера специалистами в области информационной безопасности лаборатории AV-Test был зарегистрирован новый эксплойт, который стал 50-миллионным образцом, попавшим в базу данных вирусного программного обеспечения.

 Согласно источнику, эксплойт обнаружен в PDF файле, который пытался проникнуть в систему, эксплуатируя уязвимость в Adobe Reader.  Вредонос пока не идентифицирован и не имеет названия, однако антивирусные продукты компаний Authentium, Eset, F-Prot, Kaspersky и McAfee обнаружили подозрительный объект, провозгласив об этом: "HEUR:Exploit.sсriрt.Generic". Что касается остальных антивирусов, то тут остается надеяться, что они отреагируют на характерное поведение зловреда при открытии файла.

 Новый образец лишь подтверждает то, что злоумышленники не пытаются использовать уязвимости в операционных системах или обозревателях для проникновения в систему; вместо этого вирусописатели сосредоточились на использовании ошибок в коде приложений. Помимо Adobe Reader они используют уязвимости в плагинах Flash и Java. В случае если на компьютере установлена устаревшая версия приложения с известными уязвимостями, то проникновение в систему становистя минутным делом. В связи с этим эксперты настоятельно советуют пользователям обновлять их программное обеспечение до актуального состояния. 

[Kires]

                                               Oбнаружена новая уязвимость в Windows

 Специалисты в области безопасности компании Microsoft настоятельно рекомендуют пользователям установить временные исправления для новой ошибки, обнаруженной в системе безопасности всех версий Windows; случаев ее эксплуатации зарегистрировано не было, однако код эксплойта уже появился в сети.

 Согласно источнику, уязвимость заключается в неправильной обработке веб-страниц, содержащих MIME контент. Ее эксплуатация возможна при переходе по специально сформированной ссылке, что приведет к исполнению вредоносного кода. В результате злоумышленники смогут получить доступ к конфиденциальным данным пользователей, перехватывать трафик доверенных сайтов или осуществлять другие действия от имени пользователя. Единственным вектором атаки для этой уязвимости является Internet Explorer, поскольку там предусмотрена поддержка MHTML протокола.

 Исследователи компании в настоящий момент изучают данную проблему. Помимо этого, для устранения ошибок со стороны сервера, специалисты сотрудничают с компаниями, предоставляющими он-лайн услуги. Предполагается, что возможным решением будет установка фильтра на символы перевода строки в запросах и ответах, добавление символов перевода строки в начале HTTP ответа и изменения кода состояния HTTP ответах. Более подробное описание проблемы и предполагаемых способов ее решения представлено на блоге отдела инфомационной безопасности.

 Однако для обеспечения безопасности пользователей на время, пока вопрос не решен, был подготовлен временный патч, в котором предусмотрено отключение исполнения некоторых легитимных скриптов и элементов ActiveX, содержащихся в MHT документах.     

[Kires]

                                              Новый ZeuS использует поддельный сертификат Avira

 Очередной представитель семейства вредоносного ПО ZeuS внес оживление и разнообразие в монотонную работу вирусных аналитиков немецкой компании, неожиданно предъявив им цифровое удостоверение, выписанное на имя самой же Avira.

 Специалисты оценили творчество злоумышленников и посвятили данному случаю целую запись в корпоративном блоге.

 В прежние времена разработчики нежелательных и опасных программ почти не прибегали к подписыванию кода, ибо цель попросту не оправдывала средства - получить сертификат на вирус всегда было, мягко говоря, трудно. Однако встроенные системы контроля доступа, имеющиеся в Windows Vista и 7, равно как и новые контуры защиты ядра в 64-битных версиях этих ОС, относятся к подписанным программным продуктам принципиально иначе, нежели к неподписанным, и теперь киберпреступникам волей-неволей приходится предпринимать попытки обмануть эти средства обеспечения безопасности.

 Например, компоненты широко известного ныне червя Stuxnet были сертифицированы при помощи секретного цифрового ключа, украденного у легитимного производителя ПО. Для успешного выполнения своих задач упомянутому червю нужно было внедрить в ядро пораженных операционных систем руткит-компоненты, так что без настоящей подписи вирусописателям было не обойтись.

 Создатели ZeuS, впрочем, не стали искать 'славы' авторов Stuxnet и обошлись поддельным сертификатом - обработав его, Windows выводит пользователю информацию о том, что цифровое удостоверение не выдержало проверку подлинности. Эксперты Avira подчеркивают: такие сообщения недвусмысленно свидетельствуют против его связи с компанией, оно явно не принадлежит немецкому производителю систем защиты и в силу этого никак не могло быть у него похищено.

 Подробные сведения об ошибке позволяют узнать, что сертификат был создан 10 февраля и якобы выписан VeriSign. Тем не менее, он не соответствует корневому эталону, встроенному в ОС Windows - а, следовательно, на самом деле не имеет к VeriSign никакого отношения.

 Что же касается самого образца вредоносной программы, то в коллекциях поставщиков антивирусных решений он, несомненно, займет почетное место рядом со своим родственником, который в августе прошлого года точно так же пытался всех обмануть цифровым удостоверением на имя "Лаборатории Касперского". 
 
   Извините, но гости не могут просматривать ссылки. Регистрация или Логин

[Kires]

 Исследователи в области безопасности датской компании CSIS Security Group  обнаружили новый лот, выставленный на продажу на черном рынке - инструментарий для создания вредоносных программ, специально разработанный для операционной системы Mac OS X.

 Как сообщают специалисты,  в случае проникновения Weyland-Yutani Bot или DIY (Do-It-Yourself) на компьютер, все конфиденциальные данные жертвы, включая номера социального страхования и пароли, будут отправлены владельцу вредоноса.

 Функционально троян мало чем отличается от известных ботов ZeuS и Spyeye. Он также незаметно для жертвы внедряет вредоносный код в поля форм на легитимных ресурсах и пересылает введенную информацию злоумышленнику (video).

 На специализированных форумах стоимость DIY составляет  $1000. Авторы трояна утверждают, что этот образец пока совместим с обозревателем Firefox, однако готовятся и другие версии с поддержкой браузеров Chrome и Safari. Но это еще не все. В скором времени ожидается выход образцов для операционных системам iPad и Linux.