Новости сетевой безопасности

По данным PandaLabs, все популярнее среди сетевых мошенников становится схема распространения вредоносного ПО, рекламирующего антивирусные продукты. Все подобные программы работают примерно одинаково: владельцу инфицированного компьютера постоянно демонстрируются всплывающие окна, скринсейверы, рекламные баннеры и предупреждения о том, что машина заражена. Цель этих действий заключается в том, чтобы напугать пользователя и вынудить его купить фальшивый антивирус.

Компания PandaLabs подчеркивает, что жертвами распространителей фальшивого антивирусного ПО стали более 30 миллионов пользователей Интернета. Причем около трех процентов покупателей таких продуктов оставили мошенникам свои персональные данные. Стоимость фальшивого антивируса, как правило, составляет приблизительно 50 евро. Таким образом, отмечает PandaLabs, за счет распространения подобных программ киберпреступники ежемесячно получают более 10 миллионов евро.

В PandaLabs говорят, что сетевые мошенники работают как организованная мафия, ежедневно наводняя Интернет тысячами новых вариантов вредоносных кодов. Так, на данный момент специалисты PandaLabs обнаружили около семи тысяч модификаций фальшивых антивирусных программ.

По словам Макнотона, механизмы взлома Windows ХР уже достаточно хорошо отработаны, поэтому пираты предпочитают иметь дело именно с этой программной платформой. То же самое касается и набора офисных программ Office 2003, предшественника 2007 Office System. Макнотон подчеркивает, что новые версии ключевых продуктов Microsoft защищены гораздо лучше программ предыдущего поколения, поэтому киберпреступникам, как правило, требуется от года до двух лет на то, чтобы обойти все механизмы защиты.

Вместе с тем Microsoft готовит масштабную антипиратскую кампанию. Корпорация планирует подать судебные иски против распространителей нелегальных копий продуктов почти в 50 странах –– от Аргентины до Соединенных Штатов. Microsoft уже инициировала два десятка судебных разбирательств с американскими реселлерами, которые обвиняются в продаже пиратских программ и их установке на компьютеры.

Кроме того, Microsoft планирует провести специальную акцию, в рамках которой пользователи будут информироваться о скором прекращении поставок Windows ХР. Напомним, что небольшие сборщики систем после 31 января не смогут устанавливать Windows ХР на новые компьютеры. Фирмы — изготовители комплектного оборудования будут предлагать клиентам возможность даунгрейда с Windows Vista Business или Vista Ultimate до Windows XP Professional вплоть до конца июля следующего года.

"Черный экран смерти" при загрузке компьютера с установленной пиратской версией Windows XP Professional демонстрирует абсолютно черный экран, который впоследствии можно убрать и вернуться к обычной работе. Однако проработать нормально удастся лишь 60 минут, поскольку появление черного экрана будет происходить ежечасно. Плюс к этому, во время авторизации в пиратской ОС пользователь увидит в правом углу экрана надпись, гласящую "Возможно, вы стали жертвой пиратского ПО".

Средства массовой информации цитируют слова представителей Microsoft China о том, что на этот раз пользователям пиратского ПО волноваться не о чем, поскольку Microsoft не будет собирать данные об установке пиратских копий своих программ через службы Microsoft Windows Genuine Advantage (WGA) или Office Genuine Advantage (OGA), и не будет организовывать никакого судебного преследования.

Многие пользователи китайского сектора Интернет выразили свою поддержку действиям местных хакеров, назвав их гениальными, а некоторые даже пригрозили Microsoft тем, что в случае если компания будет продолжать настаивать на установке этого патча, они откажутся от использования ее продуктов.

По данным Tencent Computer System Company, около 83,6% китайских интернет-пользователей враждебно настроены по отношению к WGA и OGA. Более того, 60,71% (57 028 опрошенных) заявили, что будут продолжать пользоваться незаконными копиями Window XP даже если выяснится, что они – пиратские. 33,48% проигнорируют предупреждение, а на покупку и установку легальных версий этих программных продуктов пойдут лишь 5,82% из общего числа опрошенных.

Напомним, что в четверг Microsoft выпустила внеочередное критическое обновление Windows 2000, Windows XP и Windows Server 2003, заметив, что несколько атак злоумышленников используют ошибку в системе. До этого момента уязвимость не была известна широким массам, но теперь информации Microsoft хватит, чтобы хакеры и специалисты безопасности смогли написать программу атаки.

Хотя представители Microsoft предупредили, что эта уязвимость может быть использована для написания компьютерного червя, исследователь Immunity Security Бас Альбертс не считает, что подобный червь способен к распространению через Интернет, потому что большинство сетей защищены от атак извне сетевым экраном. Внутри локальной сети тем не менее такая атака может представлять серьезную угрозу.

Как сообщается, несмотря на то, что некоторые из ворованных аккаунтов уже неактивны, большинство представленных в списке логинов все же являются действующими. Такого числа ворованных счетов должно быть более чем достаточно, чтобы пользователи этого сервиса озаботились сохранностью своих логинов. Вероятно, составление этого списка стало возможным в результате успешного проведения фишинговых атак на сервисы eBay, в ходе которых пользователи, возможно, получали электронные письма якобы от eBay, при помощи которых у них обманным путем выведывалась личная информация.

По сведениям источников, вышеуказанный список преимущественно содержит данные недавно зарегистрированных пользователей eBay, или тех его клиентов, которые редко заходят на свой аккаунт. Это, скорее всего, вызвано тем, что их намного легче обмануть.

В Netcraft сообщают, что перехват возможен из-за наличия XSS-уязвимости на сайте Yahoo HotJobs (hotjobs.yahoo.com). На данном сайте атакующий может внедрить злонамеренный JavaScript, который и похитит искомые сведения. Код на JavaScript позволяет перехватывать как cookie с сайта HotHobs, так и с общего портала Yahoo. Затем скрипт передает полученные данные по указанному адресу.

"Когда сайт использует cookie для открытия сессий аутентификации, чрезвычайно важно защищать значения файлов-cookie и убедиться, что они недоступны третьей стороне. Зачастую при помощи XSS-уязвимостей доступ к этим данным имеют хакеры, которые и получают контроль над закрытой часть сайтов или пользовательскими данными", - говорят в Netcraft.

Специалисты компании говорят, что в случае с Yahoo для предотвращения перехвата в настройках передачи cookie достаточно указывать параметр HttpOnly, его понимают все современные браузеры.

Ранее в этом же году схожая уязвимость была блокирована на еще одном сайте Yahoo - ychat.help.yahoo.com, где помимо cookie можно было для большей верности получить и подлинный SSL-сертификат. Тогда некие испанские злоумышленники уже успели воспользоваться неосмотрительностью администраторов портала.

В обоих случаях, говорят в Netcraft, cookie Yahoo позволяли хакерам подделывать пользовательские сессии, позволяющие получить доступ к содержимому почты Yahoo Mail и других персональных сервисов.

Архив, приложенный к письму, содержит установщик вредоносной программы на компьютер пользователя - anjelina_video.exe размером 44 032 байта. В свою очередь он содержит файл, определяемый Dr.Web как Trojan.MulDrop.17829. Вредоносная программа проверяет, не установлены ли уже в системе некоторые из известных видов лже-антивирусов (различные модификации Trojan.FakeAlert). В случае наличия их в системе, Trojan.MulDrop.17829 завершает работу и удаляет себя. Если же никаких признаков лже-антивирусов не обнаруживается, троянец принимается за активные действия.

Прежде всего, Trojan.MulDrop.17829 расшифровывает находящийся внутри него файл и сохраняет его в системном каталоге с именем brastk.exe. Сохраненный файл тоже определяется как Trojan.Packed.1198, т.к. в нем используется упаковщик, схожий с тем, что используется в исходном файле. Также в системе сохраняется файл figaro.sys. При загрузке драйвера троян временно заменяет им драйвер beep.sys, что позволяет маскировать запуск своих драйверов от многих антируткит-утилит. В завершение троян уничтожает исходный файл и перезагружает систему.

Активность трояна состоит в изменении настроек зон безопасности Windows, отключении предупреждения Windows об отсутствии антивируса, выключенном встроенном файерволле, а также обновлений. При этом встроенный файерволл также отключается. Затем троян удаляет из реестра данные расширений Internet Explorer и устанавливает в качестве поискового движка Google, также меняя стартовую страницу на google.com. В конце концов, троян выводит сообщение о том, что компьютер инфицирован и предлагает скачать средство борьбы. Интересная особенность заключается в том, что он скачивает вредоносные файлы ещё до вывода сообщения о заражении системы пользователя.

Пик спам-рассылок с Trojan.Packed.1198 пришелся на 20-22 октября. С 25 октября в практически идентичных письмах началась рассылка вредоносных программ, определяемых Dr.Web как Trojan.PWS.Panda.31.

Компания "Доктор Веб" объявила о выходе бесплатного универсального LiveCD диска, предназначенного проверки дисков антивирусным пакетом Dr.Web и для восстановления операционной системы, после краха в результате вирусной атаки. При этом диск не только проводит очистку ПК от вирусов, но и лечит зараженные объекты. Dr.Web LiveCD позволяет оперативно получать обновления с серверов "Доктор Веб", а также отсылать инфицированные файлы в вирусную лабораторию.

Диск может работать в режиме графического интерфейса пользователя и в режиме отладки (Safe Mode) с интерфейсом командной строки. Из приложений на диске присутствуют web-браузер Firefox, файловый менеджер Midnight Commander, почтовый клиент Sylpheed, текстовый редактор Leafpad. Размер ISO образа - 63 Мб. Для установки дистрибутива на USB Flash в комплекте имеется скрипт create_usb, в качестве аргумента к которому необходимо задать имя устройства с которым ассоциирован USB-диск (например, sdb1. определить имя можно набрав dmesg после вставки Flash-накопителя).

Правоохранительные органы, по мнению 57% опрошенных, не уделяют должного внимания высокотехнологичным преступлениям. Только 4% респондентов признались, что сообщают в полицию обо всех случаях злоупотребления современными технологиями.

Между тем статистика указывает на небывалый всплеск активности киберпреступников в Соединенном Королевстве; 69% участников опроса утверждают, что убедились в справедливости этого утверждения на собственном опыте. Компании отмечают рост числа вирусных и DOS атак, серьезность и разнообразие которых заставляет многих предпринимателей поверить в профессионализм злоумышленников.

Авторы исследования констатируют, что киберпреступность стала слишком простым и нерискованным занятием. Изменить ситуацию, по мнению 48% участников конференции Corporate IT Forum, может, пожалуй, только введение системы строгих наказаний и соответствующее международное законодательство.

Главный организатор Corporate IT Forum Девид Робертс заявил, что британские предприниматели не верят в способность правительства трезво оценить всю серьезность угрозы. Правительство просто не имеет понятия, во сколько компаниям обходятся действия киберпреступников. Опрос показал, что даже создание специального подразделения в структуре правоохранительных органов не способно изменить мнение предпринимателей. Многие руководители компаний считают, что защитникам правопорядка просто не хватит ресурсов для эффективной борьбы со злоумышленниками.

По словам Дэвида Робертса, вера предпринимателей в поддержку правительства в борьбе с высокотехнологичной преступностью в данный момент почти отсутствует.

Подготовлено по материалам BBC News.

Открывает десятку вирус Tixcet.A. Маскируясь под файл Microsoft Word, этот червь пытается удалить файлы с определенными расширениями, такими как .DOC, .MP3, .MOV, .ZIP, .JPG и др. Так что под праздники можно запросто остаться без коллекции песен и фотографий.

Далее следует вредоносная программа Antivirus2008pro, выдающая себя за бесплатный антивирус. Многие пользователи покупаются на обман, однако вскоре Antivirus2008pro начинает выдавать сообщения о ложных заражениях, пытаясь вынудить владельца ПК заплатить за «лекарство».

Вирус Goldun.TB маскируется под почтовое приложение, сообщающее, что интернет-обслуживание жертвы будет приостановлено. Попав на компьютер, он крадет пароли и информацию об онлайновых платежах.

Далее идут несколько троянов. Первый из них, Baker.LGC, пытается проникнуть на компьютер, прикрываясь лживой историей о несчастном случае с участием Фернандо Алонсо, испанского гонщика Формулы 1. Второй троян, Turkojan.I, владеет одной из самых привлекательных маскировок: он выдает себя за новый эпизод «Симпсонов». А вот троянская программа Banbra.FXT генерирует почтовое сообщение от имени бразильского федерального министерства, а затем очищает банковские счета поверивших в розыгрыш пользователей.

Червь AutoKitty.A, также попавший в список, вносит в системный реестр Windows многочисленные модификации, мешающие компьютеру корректно выполнять свою работу. Троян PHilto.A под маской видео о Пэрис Хилтон устанавливает на компьютер модули, демонстрирующие рекламу, а вредоносная программа MeteorBot.A под видом супермена крадет информацию о компьютере. Наконец, в десятку вошел троян PGPCoder.E, пытающийся зашифровать все пользовательские данные.

При этом, количество раскрытых уязвимостей, создание эксплоита для которых не требовало больших усилий, увеличилось на 56%. Объемы уязвимостей в операционных системах также продолжали идти на спад. На долю ОС пришлось всего 6% от общего объема уязвимостей, более 90% багов пришлось на прикладное программное обеспечение. Не без удовольствия в Microsoft отметили, что и в их софте объемы уязвимостей продолжали снижаться - по сравнению с 1 полугодием 2007 года примерно на треть. В то же время для примерно 30% обнаруженных уязвимостей на момент их устранения уже существовали хакерские эксплоиты.

Всего за первые полгода 2008 года Microsoft выпустила 77 патчей, для 25 из них существовали эксплоиты.

Общее количество злонамеренного и различного "нежелательного" программного обеспечения, которое было удалено антивирусами и антишпионскими модулями, выросло на 43%, их этого количества примерно 30% пришлось на классические трояны.

Судя по данным сервиса, обслуживающего систему Microsoft Malicious Software Removal Tool (это программное обеспечение устанавливается вместе с системой обновлений лицензионной Windows), примерно 10 из каждых 1000 компьютеров за последние полгода были по крайней мере однажды успешно инфицированы. Самый низкий уровень инфицирования наблюдался в Японии - 1,8 на 1000 компьютеров, самый высокий в Афганистане - 76 на 1000 компьютеров.

Из всего злонамеренного софта двумя самыми распространенными категориями стали так называемые даунлоадеры и бэкдоры - около 96% компьютеров, на которых обнаруживались трояны, были инфицированы представителями первой или второй категории.

"Защита против вирусов и шпионских модулей работает довольно неплохо, однако количество троянов все равно растет", - отмечает Джон Прескатор, аналитик компании Gartner.

Составители отчета говорят, что сейчас можно наблюдать изменение структуры уязвимостей - атакующие все чаще использую методы социальной инженерии, рекламные трояны и трояны-шантажисты.

В корпорации отмечают также и необычно высокий уровень браузерных троянов в Китае, здесь 47% троянов были предназначены для работы с браузером. В Microsoft говорят, что здесь сказывается специфика местного рынка - пользователи предпочитают местный софт, а местные разработчики зачастую думают о безопасности своих продуктов в последнюю очередь.