Danger! Вирус!

farg, 24.02.2004 - 22:49

Червь "Bizex" атакует пользователей ICQ
Зарегистрирована первая глобальная эпидемия ICQ-червя

"Лаборатория Касперского" предупреждает об обнаружении нового
сетевого червя "Bizex", который вызвал первую глобальную эпидемию среди
пользователей интернет-пейджера ICQ. На данный момент сообщения о
случаях заражения червем поступают практически из всех стран мира. По
предварительным оценкам количество зараженных компьютеров составляет
около 50 тысяч.

Заражение компьютера происходит при посещении хакерского веб-сайта,
приглашение на который доставляется по каналам ICQ.

Для маскировки при просмотре веб-сайта пользователю показывается
содержание интернет-представительства "Joe Cartoon" - автора популярных
американских мультсериалов. В это время вредоносная программа атакует
компьютер сразу по двум направлениям. Во-первых, используя брешь в
браузере Internet Explorer
(http://www.microsoft..../MS02-047.asp).
Во-вторых, через брешь в операционной системе Windows
(http://www.microsoft..../ms03-011.asp).
В результате на компьютер незаметно для пользователя загружается
специальный файл, который "дотаскивает" с удаленного веб-узла
непосредственно файл-носитель "Bizex" (APTGETUPD.EXE) и запускает его на
выполнение.

После этого "Bizex" начинает процедуру заражения компьютера. Для
этого он создает папку SYSMON в системном каталоге Windows, копирует
себя в нее под именем SYSMON.EXE и регистрирует этот файл в ключе
автозапуска системного реестра. Таким образом, червь обеспечивает свою
загрузку в память компьютера при каждом старте операционной системы.

По завершении этого процесса "Bizex" начинает процедуру дальнейшего
распространения по ICQ. Червь извлекает из себя несколько системных
библиотек для работы с этим интернет-пейджером и устанавливает их в
системный каталог Windows. С их помощью "Bizex" получает доступ к списку
контактов ICQ, отключает запущенный ICQ-клиент, осуществляет
самостоятельное подключение к серверу от имени владельца зараженной
машины и от его имени рассылает по всем найденным контактам ссылку на
указанный выше веб-сайт. Важно отметить, что червь атакует только
оригинальные ICQ клиенты (за исключением Web ICQ), в то время как
альтернативные пейджеры (Miranda, Trillian) обладают иммунитетом.

"Bizex" содержит ряд исключительно опасных побочных эффектов,
которые могут привести к утечке важных конфиденциальных данных. В
частности, червь сканирует зараженный компьютер, собирает сведения об
установленных платежных системах и незаметно отсылает их на удаленный
анонимный сервер. В число уязвимых систем попали: Wells Fargo American
Express UK Barclaycard Credit Lyonnais Bred.fr Lloyds E-gold

Помимо этого "Bizex" перехватывает информацию, передаваемую с
компьютера по протоколу HTTPS (защищенный протокол передачи данных,
который, в частности, используется для важных финансовых транзакций), а
также коды доступа к различным почтовым системам (например, Yahoo Mail).
Эти сведения также пересылаются на удаленный анонимный сервер.

PRYANIK, 24.02.2004 - 23:00

Ещё один аргумент, чтобы перейти с Аськи на Миранду или Трилл...

fao, 25.02.2004 - 3:09

PRYANIK/
для меня не аргумент...

farg, 2.03.2004 - 0:15

"Netsky. D": новый охотник на "Mydoom" бороздит пространство интернета
"Лаборатория Касперского" предупреждает об обнаружении
новой вирусной эпидемии, вызванной четвертой модификацией
сетевого червя "Netsky" - "Netsky.D" (также известен как
"Moodown.D"). На данный момент уже получено несколько
десятков сообщений о случаях заражения компьютеров.
"Netsky.D" распространяется через письма электронной
почты. Зараженные сообщения могут иметь самый разный внешний
вид: червь случайным образом выбирает заголовок из 25 вариантов, текст
письма (6 вариантов), имя вложенного файла (21 вариант).

Вложенный файл имеет фиктивное расширение .PIF, в
действительности представляя собой обычную EXE-программу (размер около 17Кб).
Если пользователь имел неосторожность запустить этот файл, то червь
устанавливает себя в систему и запускает процедуры
распространения.

При установке "Netsky.D" копирует себя с именем
WINLOGON.EXE в каталог Windows и регистрирует этот файл в ключе
авто-запуска системного реестра. Таким образом он обеспечивает
свою активизацию при каждой загрузке операционной системы.

Для дальнейшей рассылки червь сканирует файлы наиболее распространенных
интернет-приложений (например, WAB, EML, DOC,
HTML, MSG и др.), считывает из них адреса электронной почты и незаметно
для владельца компьютера отсылает на них свои копии. Важно
отметить, что рассылка писем осуществляется в обход установленного на
компьютере почтового клиента, но с использованием встроенной
SMTP-подпрограммы. С ее помощью "Netsky.D" распространяется через 23
прокси-сервера, расположенных в разных концах мира.

Червь имеет ряд побочных действий. В частности, он удаляет
из системного реестра ключи другого сетевого червя -
"Mydoom", а также пытается нарушить работу Антивируса
Касперского.

PRYANIK, 3.03.2004 - 17:26

Обнаружены семь новых вариантов червя Bagle
Специалисты компании McAfee предупреждают пользователей Всемирной сети о появлении сразу семи модификаций вредоносной программы Bagle.
Впервые о черве Bagle, напомним, стало известно 19 января нынешнего года, а примерно четыре недели спустя в интернет была выпущена вторая версия вируса. Вредоносная программа распространяется по электронной почте в виде вложений. Тема и название вложения при этом выбираются произвольным образом. После неосторожного запуска присланного файла вирус копирует себя в системный каталог Windows и регистрируется в реестре, обеспечивая себе, тем самым, автоматический запуск при каждой загрузке операционной системы. Далее червь рассылает свои копии по найденным на инфицированной машине адресам с применением встроенного SMTP-сервера, а также открывает злоумышленникам удаленный доступ в систему через один из портов.
Новые модификации вируса Bagle.C, D, E, F, G и H функционально очень похожи на предшественников. Однако, версии Bagle.F, Bagle.G и Bagle.H способны обмануть многие антивирусные пакеты за счет использования оригинальной схемы формирования зараженного сообщения. В частности, вредоносный код помещается в zip-файл, защищенный паролем. Антивирусные программы не способны распаковать такой архив и, как правило, пропускают сообщение. Вместе с тем, сам пароль включен в тело письма, так что пользователь может без особых проблем просмотреть содержимое архива. В коде всех обнаруженных модификаций прописана функция самоуничтожения, которая должна активироваться 25 марта 2004 года.
Кроме того, специалисты McAfee зафиксировали появление червя Bagle.I, однако его возможности на момент написания заметки были еще не изучены.

farg, 4.03.2004 - 0:19

В интернете разгорается война вирусописателей
Авторы Bagle, Mydoom и Netsky обмениваются любезностями

PRYANIK, 9.03.2004 - 14:05

Новый вирус маскируется под обновление от Microsoft
Сразу несколько антивирусных компаний сообщили о появлении во Всемирной сети новых модификаций вредоносных программ Sober и Netsky. Данные черви, напомним, распространяются по электронной почте в виде вложений и представляют угрозу исключительно для пользователей операционных систем Microsoft Windows.
Как сообщают сотрудники фирмы Symantec, новый вариант вируса Sober, получивший индекс "D", маскируется под обновление от Microsoft. Заголовок и имя вложения выбираются произвольным образом, в тексте послания говорится, что присланный файл якобы устраняет опасную дыру в Windows, через которую на ПК может проникнуть вирус MyDoom. После неосторожного запуска файла пользователем компьютера Sober.D проверяет наличие на машине своих ранних модификаций. В случае, если ПК еще не заражен, червь копирует себя в системный каталог и регистрируется в ключе автозапуска реестра ОС. Далее на экран выводится надпись: The patch has been successfully installed ("Заплатка успешно установлена"). Если компьютер уже инфицирован, вирус сообщает, что установка патча не требуется. По классификации Symantec, вредоносная программа имеет средний уровень опасности.
Кроме того, в Symantec зафиксировали начало распространения одиннадцатой модификации червя Netsky. Вариант Netsky.K практически ничем не отличается от своих предшественников и, как и прежде, пытается удалить с компьютера вирус MyDoom. Вредоносная программа Netsky.K получила рейтинг низкой опасности. Кстати, следует заметить, что авторы Sober, Netsky и MyDoom, объявили друг другу самую настоящую войну, то и дело обмениваясь угрожающими высказываниями и выпуская в Сеть все новые и новые версии вирусов.

PRYANIK, 17.03.2004 - 12:57

Обнаружены две модификации червя Bagle
Специалисты сразу нескольких антивирусных компаний сообщили об обнаружении новых модификаций вредоносной программы Bagle. Червь Bagle, напомним, досаждает пользователям Всемирной сети уже два месяца, распространяясь по электронной почте в виде вложенных в письмо файлов. При этом тема, текст послания и имя вложения меняются произвольным образом. После проникновения на компьютер червь регистрируется в системном реестре, обеспечивая, тем самым, свой автоматический запуск при загрузке Windows, и начинает рассылку копий по найденным на машине адресам электронной почты с применением встроенного SMTP-сервера.
Кроме того, в начале марта создатели Bagle выпустили в интернет несколько новых модификаций вируса, применяющих весьма оригинальную схему формирования зараженного сообщения. В частности, вредоносный код помещался в zip-файл, защищенный паролем (сам пароль указывался в тексте письма). Такая тактика вводила в заблуждение как многих пользователей, так и некоторые антивирусные пакеты, не способные вскрыть зашифрованный архив.
А в минувшие выходные было зафиксировано появление версий червя Bagle.n и Bagle.o, использующих еще более хитрые способы проникновения в систему. В частности, наряду с форматом zip, вредоносная программа теперь способна работать и с rar-архивами. Более того, пароль к зашифрованному файлу передается не в виде текста, а в виде графического изображения, что, естественно, усложняет идентификацию вируса. Наконец, Bagle.n и Bagle.o научились внедрять свой код в тело исполняемых файлов, найденных на инфицированной машине. Впрочем, ведущие антивирусные фирмы уже включили защиту от Bagle.n и Bagle.o в свои базы данных.

PRYANIK, 22.03.2004 - 12:28

Новый червь использует дыру в брандмауэре BlackICE
Сотрудники компании F-Secure предупреждают о появлении новой вредоносной программы Witty. Данный червь был обнаружен в субботу, 20 марта, и на сегодняшний день известно уже, как минимум, о пятидесяти тысячах случаев заражения.
Вирус Witty распространяется исключительно через прямые интернет-соединения и представляет угрозу лишь для тех пользователей, на чьих компьютерах установлен персональный брандмауэр BlackICE производства компании Internet Security Systems. Используя ошибку в данном пакете, вредоносная программа обходит защиту, проникает на уязвимую машину и активирует процедуры дальнейшего распространения. Для этого червь отправляет копии своего кода по 20000 произвольных IP-адресов. Далее Witty пытается открыть один из доступных носителей и произвести с ним ряд операций. В частности, имеется информация, что вредоносная программа заполняет свободное пространство диска произвольными данными, однако до конца функциональные особенности червя пока не изучены.
По словам представителей F-Secure, код вируса занимает всего 909 байт. Это говорит о том, что написан червь на ассемблере. Кстати, в теле вредоносной программы имеется строчка: "(^.^) insert witty message here (^.^)". Атаке подвержены компьютеры с установленными пакетами BlackICE Server Protection версий 3.6 и ниже, BlackICE PC Protection версий 3.6 и ниже, BlackICE Agent for Server версий 3.6 и ниже. Загрузить обновления, ликвидирующие дыры в брандмауэре, можно с сайта (http://www.iss.net/download/) компании Internet Security Systems.

PRYANIK, 25.03.2004 - 14:21

Обнаружен новый почтовый червь Snapper

Антивирусная компания "Лаборатория Касперского" предупреждает о появлении новой вредоносной программы I-Worm.Snapper, распространяющейся через интернет в виде ссылки на инфицированный веб-сайт. Вирус представляет среднюю опасность и способен заражать только компьютеры, работающие под управлением операционной системы Windows.
При неосторожном нажатии на присланную ссылку в систему проникает троян, извлекающий из себя и устанавливающий основной компонент червя - файл IELOAD.DLL размером 8704 байта. Данный файл записывается в системный каталог Windows и затем запускается как системная библиотека. Далее вредоносная программа рассылает письма со ссылкой на хакерский сайт по всем найденным в книге контактов Outlook адресам электронной почты. Для отправки сообщений применяется указанный в системе SMTP-сервер. При этом все зараженные послания содержат код:



Важно заметить, что вирус в процессе распространения использует дыру в браузере Internet Explorer. Данная уязвимость, описанная в бюллетене безопасности MS03-040, связана с неправильным определением типа объекта, внедренного в веб-страницу с помощью тэга object. Таким образом, для защиты от червя Snapper достаточно просто загрузить с сайта Microsoft и установить соответствующую заплатку для браузера. "Лаборатория Касперского" также уже обновила собственные антивирусные базы данных.

PRYANIK, 29.03.2004 - 19:44

Новый вариант Bagle предлагает сыграть в "Червы"

Компания Panda Software предупреждает о появлении еще одной версии вредоносной программы Bagle, о которой впервые стало известно около двух с половиной месяцев назад. Следует заметить, что за это время авторы вируса выпустили уже около двух десятков вариантов червя, некоторые из которых для проникновения на компьютер используют весьма оригинальные схемы маскировки. Например, начиная с шестой версии, червь научился прятать собственный код внутри защищенных паролем ZIP-архивов, а модификации с индексами "N" и выше получили поддержку формата RAR (пароль к архиву при этом указывается в графическом виде).
Что касается, нового варианта вируса, Baglе.U, то он также имеет ряд отличительных особенностей. Во-первых, у писем, содержащих вредоносный файл, не заполнено поле "Тема", и полностью отсутствует какое-либо содержимое. Во-вторых, после неосторожного запуска вложения, которое всегда имеет расширение .ехе, Baglе.U автоматически загружает одну из игр, входящих в комплект стандартной поставки операционных систем Windows - "Червы". И в-третьих, вирус самоуничтожается в том случае, если системная дата установлена на 1 января 2005 года или более позднюю дату.
После проникновения на ПК червь открывает порт 4751 и пытается сообщить об этом своему автору, соединяясь с одним из интернет-сайтов. Далее Baglе.U начинает отправку собственных копий по найденным на компьютере адресам электронной почты (применяется встроенный SMTP-сервер). Размер зараженного файла составляет 8208 байт (в распакованном виде около 50 кб).

PRYANIK, 2.04.2004 - 1:04

Хит-парад мартовских вирусов

1 апреля "Лаборатория Касперского" по традиции выпустила рейтинг самых распространенных вирусов прошлого месяца. По данным компании, март оказался еще более "вирусоактивным" месяцем, чем февраль. В течение первого весеннего месяца сразу 11 новых вирусов стремительно ворвались в хит-парад. основная роль среди новых вирусов принадлежит червям семейства Bagle, в том числе тем, которые распространяются в виде запароленных архивов с паролем в теле письма или на приложенной картинке.

Впрочем, по распространенности черви Bagle пока не могут конкурировать с признаными лидерами: червями семейств MyDoom и NetSky. И хотя бурные эпидемии этих вирусов уже прошли, инциденты с их участием происходят весьма и весьма часто. Лидером марта стал червь NetSky.b с долей 52,78%, на втором месте с 12,45% заражений находится MyDoom.a, а третью строку рейтинга занимает новая модификация NetSky с индексом d, ответственная за 8,98% заражений. Далее идут вирусы Mydoom.e, NetSky.q и старожил рейтинга I-Worm.Swen. На седьмом месте находятся пять модификаций Bagle, распространяющихся в запароленных архивах и объединенных под индексом PSW-Worm. Помимо Swen в рейтинг попали такие "заслуженные" вирусы как Klez.h и несколько модификаций червя Mimail.

Целиком вирусная двадцатка марта выглядит так:

I-Worm.NetSky.b 52,78%
I-Worm.Mydoom.a 12,45%
I-Worm.NetSky.d 8,98%
I-Worm.Mydoom.e 5,45%
I-Worm.NetSky.q 2,90%
I-Worm.Swen 2,37%
PSW-Worm 2,31%
I-Worm.Mydoom.g 2,30%
I-Worm.NetSky.c 1,65%
I-Worm.Bagle.i 0,75%
I-Worm.Bagle.s 0,47%
I-Worm.Bagle.j 0,45%
I-Worm.Klez.h 0,40%
I-Worm.Bagle.e 0,35%
I-Worm.Bagle.g 0,35%
I-Worm.Mimail.q 0,33%
I-Worm.Lentin.v 0,32%
I-Worm.Mimail.a 0,31%
I-Worm.Mimail.c 0,27%
I-Worm.Bagle.c 0,25%

Volk, 2.04.2004 - 1:33

I-Worm.NetSky.b - что он вытворяет? Касперский определил, но вылечить не смог! Пришлось удалить и вроде всё нормально!

farg, 2.04.2004 - 12:59

to Volk:
NetSky.b он же: I-Worm.Moodown.b
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Червь представляет собой PE EXE-файл, размером около 21KB. Червь упакован UPX, размер распакованного файла около 40KB.
Инсталляция
После запуска червь выводит на экран ложное сообщение об ошибке "The file could not be opened!":

Копирует себя в каталог Windows, под именем "services.exe" и регистрирует данный файл в ключе автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"service" = "%windir%\services.exe -serv"
Также червь создает уникальный идентификатор своего присутствия в памяти "AdmSkynetJklS003".

Червь создает множество своих копий во всех подкаталогах, содержащих в своем названии слово "Share" или "Sharing" на всех доступных дисках от C до Z с именами выбираемыми из списка:

winxp_crack.exe
dolly_buster.jpg.pif
strippoker.exe
photoshop 9 crack.exe
matrix.scr
porno.scr
angels.pif
hardcore porn.jpg.exe
office_crack.exe
serial.txt.exe
cool screensaver.scr
eminem - lick my pussy.mp3.pif
nero.7.exe
virii.scr
e-book.archive.doc.exe
max payne 2.crack.exe
how to hack.doc.exe
programming basics.doc.exe
e.book.doc.exe
win longhorn.doc.exe
dictionary.doc.exe
rfc compilation.doc.exe
sex sex sex sex.doc.exe
doom2.doc.pif
а также копирует несколько своих копий в формате ZIP c именами из списка:

document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc
#n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!
Размножение
Червь ищет файлы с расширениями adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, и wab, ищет в них адреса электронной почты и рассылает свои копии по найденным адресам. Для отправки писем червь использует собственную SMTP-библиотеку.

Зараженные письма формируются из произвольных комбинаций:
Тема:
Hi
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown
Текст письма:
AnythingOk?
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool
Удаление червя Mydoom
Аналогично некоторым другим червям, данный червь содержит в себе функцию "удаления" с зараженной машины червя Mydoom. Для этого он ищет в системном реестре Windows ключи "Explorer" и "Taskmon" в следующих ветках:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
а также удаляет ключ:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
Прочее
Червь удаляет из системного реестра Windows ключи "KasperskyAv" и "system.".

PRYANIK, 8.04.2004 - 14:39

Лицемерие процветает: авторы вируса NetSky атакуют хакерские сайты и файлообменные сети

Как оказалось, новейшие модификация вируса NetSky (NetSky.Q и NetSky.T), оказывают весьма специфический деструктивный эффект, атакуя различные веб-сайты, распространяющие клиентов для файлообмена, а также хакерские утилиты. Наиболее известными целями DDoS-атак выступают, в частности, сайты Kazaa и eDonkey, которые, по оценкам специалистов, не смогут выстоять против широкого распространения вируса. Тем не менее, конкретной целью атаки являются официальные сайты указанных сетей, а не серверы файлообмена, так что последний нарушен не будет. Заодно NetSky пытается заменить собой червя Bagle, а также обновить свои старые версии, уже проникшие на компьютеры пользователей, на новые.

В теле вируса найдено сообщение авторов, о том, что они не имеют никаких "криминальных намерений", а пытаются "предотвратить хакерскую активность и обмен незаконным содержимым".

Какое ужасное лицемерие - достигать свои "благие" цели за счет незаконного проникновения на компьютеры невинных пользователей, незаконного препятствия функционированию электронных систем, засорения каналов и увеличения потока спама! И я ни за что не поверю, что авторы вируса борются с указанными сайтами из альтруистических и выосокоморальных побуждений, скорее я бы отнес это на происки конкурентов, шантажистов, личную месть или на прочие действия недоброжелателей. Когда же наконец мы дождемся адекватного законодательства и структур по борьбе с электронными преступлениями, чтобы преступники заняли свои законные места в тюрьмах и психбольницах?..

Teshka, 11.04.2004 - 9:58

Появление нового трояна

Justin Polazzo из Технологического института шата Джоржия сообщает о появившемся вчера новом распространяющемся трояне. Как показал анализ, червь приходит по почте в виде присоединённого файла под названием ndemon.exe (.99 К). При запуске прописывает своё тело в директории c:\winnt и c:\winnt\system32 и добавляет ключи в реестр HKLM\Software\Microsoft\CurrentVersion\Run, HKLM\Software\Microsoft\CurrentVersion\RunServices. После этого пытается распространить себя в локальной сети через порты 135 и 139, используя известные уязвимости и предопределённый список паролей. Также слушает запросы от других инфицированных машин на порту 1025, а также сканировать сервера с запущенным IIS (порт 80) на наличие известных уязвимостей этого сервера. Инфициррованные машины были запущены под управлением win2k SP4 (все патчи) с установленным антивирусом Symantec AV v8.6. (www.securityfocus.com)

Teshka, 13.04.2004 - 22:03

Новый интернет-червь перезаписывает файлы на винчестере

Компания Symantec предупреждает о появлении нового интернет-червя VBS.Gaggle.D (другие названия I-Worm.Gedza, VBS/Gedza.A). Вредоносная программа рассылает собственные копии по электронной почте посредством встроенного SMTP-сервера, кроме того, вирус способен распространяться через mIRC, ICQ и некоторые файлообменные сети.

После неосторожного запуска вложенного в письмо файла с именем Filezip.zip червь создает свою копию в системной папке Windows, а также записывает туда ряд вспомогательных файлов. Далее вирус открывает окно браузера Internet Explorer и отображает в нем фотографию известной поп-исполнительницы Эврил Лавинь. Таким образом, заметить присутствие вредоносной программы на компьютере несложно. После этого VBS.Gaggle.D регистрируется в системном реестре, обеспечивая себе при этом автоматический запуск при загрузке ОС.

Кроме того, червь способен перезаписывать файлы с расширениями vbs, .vbe, .js, .jse, .hta, .htm, .html, .php, .shtm, .shtml, .phtm, .phtml, .mht, .mhtml, .plg, и .htx собственными копиями, а также уничтожать vbs-файлы на флоппи-дискетах. В процессе генерации инфицированных сообщений поле "От кого" фальсифицируется, а тема письма и его содержание варьируются произвольным образом. Наконец, вирус отправляет письма с украденной информацией (например, найденными адресами почты) своему автору. Впоследствии эти адреса могут использоваться для составления списков массовых рассылок. Червь VBS.Gaggle.D представляет угрозу для пользователей компьютеров с ОС Windows 2000, 95, 98, Me и XP.

PRYANIK, 20.04.2004 - 14:04

Новый интернет-червь защищает права венгров

Антивирусная компания Panda Software предупреждает о появлении очередной вредоносной программы. Червь Zafi.A распространяется по электронной почте в виде файлов-вложений с очень длинным именем с расширением .СОМ.

После неосторожного запуска присланного файла пользователем компьютера, червь закрывает процессы, принадлежащие известным ему антивирусным пакетам, и создает две свои копии с расширениями .ЕХЕ и .DLL в директории Windows. Кроме того, вирус записывает собранные ранее адреса электронной почты в пять файлов с произвольными именами и расширениями DLL. Кстати, в процессе рассылки применяется встроенный SMTP-сервер, а в качестве обратного адреса указывается либо аккаунт, установленный в инфицированной системе по умолчанию, либо учетная запись [email protected]. Для обеспечения автоматического запуска при каждой загрузке операционной системы червь Zafi.A вносит ряд изменений в реестр.

Родиной вируса, по всей видимости, является Венгрия. Об этом говорят несколько обстоятельств. Во-первых, тема письма и содержимое написаны на венгерском языке. А во-вторых, если системная дата установлена на 1 мая 2004 года или более позднюю дату, вредоносная программа выводит на экран компьютера сообщение в поддержку венгерских трудящихся (см. рисунок). Размер червя составляет 11776 байт в сжатом виде и примерно 23 кб в распакованном. В коде Zafi.A также имеются процедуры, благодаря которым после 1 мая 2004 года вирус теряет способность к дальнейшему распространению.

compulenta.ru

PRYANIK, 20.04.2004 - 14:06

Обнаружена двадцать третья модификация червя Netsky

Антивирусная компания Panda Software обнаружила двадцать третью по счету модификацию вредоносной программы Netsky. Червь Netsky.W, в отличие от предыдущего варианта, загружавшего свой основной компонент на компьютер посредством соединения с удаленным FTP-сервером, полагается полностью на электронную почту. Файл-вложение имеет размер 24064 байта и расширение EXE, PIF, SCR или ZIP. Червь написан на языке программирования Visual C++ v6.0 и упакован UPX 1.24.

После проникновения на компьютер вирус создает в директории Windows несколько файлов со своими копиями (в том числе, VISUALGUARD.EXE) и изменяет системный реестр таким образом, чтобы обеспечить себе автоматическую загрузку при каждом последующем включении ПК. В процессе рассылки применяется встроенный SMTP-сервер. При этом тема и содержимое писем генерируются случайным образом из заложенных автором текстовых строчек, а обратный адрес сообщений фальсифицируется. Сформированные червем письма содержат упоминание того, что они якобы были проверены антивирусом Norton OnlineScan на предмет наличия вредоносных программ.

Кроме того, модификация Netsky.W пытается найти на инфицированном компьютере и деактивировать ряд других вирусов, в частности, Mydoom.A, Mydoom.B, Mimail.T и некоторые варианты Bagle. Для этого Netsky.W удаляет из реестра операционной системы внесенные вышеназванными червями записи. Netsky.W представляет угрозу для пользователей, на чьих компьютерах установлены ОС Windows 95 и выше.

Volk, 20.04.2004 - 19:20

Спасибо за инфу! Только что убрал эту заразу! Спасибо Ксперскому!

Teshka, 22.04.2004 - 6:43

В интернете началась новая эпидемия червя Phatbot
Во Всемирной сети зафиксирована повторная эпидемия вредоносной программы Phatbot, атакующей компьютеры с установленными на них операционными системами Microsoft Windows.

Червь Phatbot, напомним, впервые появился в середине марта. Этот вирус обладает чрезвычайно развитой функциональностью и инфицирует компьютеры жертв самостоятельно, используя известные ему дыры в ОС. После проникновения на машину червь модифицирует собственный код, вводя, тем самым, в заблуждение некоторые антивирусные пакеты, затем отключает антивирусы и блокирует доступ к сайтам их производителей. Естественно, троян вносит изменения в системный реестр, обеспечивая себе автоматический запуск при загрузке операционной системы. Более того, вредоносная программа развертывает собственную децентрализованную пиринговую сеть, а компьютеры, подключенные к этой сети, могут выполнять практически любые команды, отдаваемые авторами вируса.

Как сообщает CNET News со ссылкой на институт SANS, в понедельник уже, было, утихшая эпидемия Phatbot разгорелась с новой силой. Троян сканирует порты 2745, 1025, 3127, 6129, 5000, 80 и 1433, используя протокол TCP, и распространяется посредством NetBIOS от Microsoft. Червь постоянно видоизменяется и модифицируется и, по словам специалистов, по своим возможностям уже существенно отличается от оригинальной версии. Уничтожить программу очень и очень сложно, поскольку не существует единого командного центра (если не считать авторов вируса) в организованной Phatbot пиринговой сети.

Представители Microsoft, между тем, заявили, что никакой информации о новой версии Phatbot они пока не получали.
(www.compulenta.ru)

PRYANIK, 22.04.2004 - 18:18

Netsky продолжает совершенствоваться

Спустя буквально три дня после обнаружения двадцать третьей по счету модификации вредоносной программы Netsky, антивирусные компании зафиксировали во Всемирной сети появление еще двух версий червя - Netsky.Х и Netsky.Y.

По своим функциональным возможностям, новые варианты вируса очень близки к предшественникам. В частности, Netsky.Х и Netsky.Y распространяются по электронной почте, рассылая письма с вложениями посредством встроенного SMTP-сервера. При поиске адресов производится сканирование всех накопителей инфицированной машины, за исключением оптических дисков. В период с 28 по 30 апреля 2004 года вредоносные программы постараются организовать DoS-атаки на сайты www.nibis.de, www.medinfo.ufl.edu и www.educa.ch. Черви представляют угрозу для пользователей операционных систем Windows 95, 98, Me, 2000, NT, Server 2003 и XP. Компьютеры с Mac OS и Linux вирусы заражать не способны.

Основным же отличием Netsky.Х и Netsky.Y от более ранних модификаций является возможность генерации сообщений на девяти различных языках. В частности, вирусы знают английский, шведский, финский, польский, норвежский, португальский, итальянский, французский и немецкий. Причем фразы в сформированных вредоносных письмах зачастую построены неправильно, кроме того, присутствуют орфографические и грамматические ошибки. Отсюда можно сделать вывод, что для составления списков возможных текстовых строк авторы Netsky пользовались автопереводчиками.

compulenta.ru

PRYANIK, 26.04.2004 - 15:51

Новая версия Netsky продолжает атаковать "неугодные" сайты

Сразу несколько антивирусных компаний сообщили о появлении в интернете новой модификации червя Netsky. Эта вредоносная программа плодится с такой скоростью, что для классификации ее вариантов уже не хватает букв латинского алфавита. В частности, обнаруженная на днях версия вируса получила индекс "Z".

Червь Netsky.Z, как и большая часть его предшественников, распространяется по электронной почте. Вредоносная программа проникает на компьютер только в том случае, если пользователь открыл файл-вложение, всегда имеющее расширение .ZIP и размер 22016 байт. После запуска вложения червь регистрирует себя в системном реестре и начинает рассылку собственных копий посредством встроенного SMTP-сервера по найденным на машине адресам. Отправитель письма фальсифицируется, а тема, содержание сообщения и имя ZIP-файла выбираются произвольным образом из заложенного в коде червя списка.

Кроме того, вирус открывает порт 665, что позволяет автору присылать на компьютер жертвы исполняемые файлы, которые автоматически запускаются после загрузки. Наконец, если системная дата находится в промежутке между 2 и 5 мая 2004 года, Netsky.Z пытается провести DoS-атаки на веб-сайты www.nibis.de, www.medinfo.ufl.edu и www.educa.ch. Вредоносная программа способна заражать компьютеры с операционными системами Windows 95, 98, Me, 2000, NT, Server 2003 и XP. Для пользователей ОС Linux и Mac OS червь Netsky.Z никакой угрозы не представляет.

Teshka, 26.04.2004 - 19:54

Новый тип вирусов не за горами

Скотт Чейзин, технический директор компании MX Logic и создатель дискуссионной группы по вопросам безопасности Bugtraq, предупреждает о возможном появлении нового типа вирусов — «суперчервей», которые будут использовать технологию соединения равноправных узлов.

P2P могут использоваться не только для размножения в Сети, но и для общения с системами, уже зараженными другими вирусами. Результатом такого взаимодействия станет появление «суперчервя» со способностью видоизменяться. Хорошим примером может служить известный Phatbot, который имеет новейшую архитектуру и использует P2P технологию, исходный код которой стал доступен для публики прошлым летом.

Г-п Чейзин говорит, что пока еще не знает примера взаимодействия такого рода червей друг с другом, но появление нового вектора угрозы — реально. Для мутации вируса будет достаточно проникновения в одну уже зараженную машину, что приведет к «рождению» нового кода для распространения и атаки других компьютеров.

Иными словами, новый принцип распространения червя может положить конец так называемым «волнам» — когда червь появляется, достигает своего пика и затем исчезает. Вместо этого, атаки новых эксплойтов будут носить продолжительный характер. Новый вид червей может быть также использован как для рассылки спама, так и для DoS-атак.

P2P черви обычно распространяются посредством почтовых сообщений, но большую опасность могут представлять и незащищенные точки беспроводного доступа, что вызывает у г-на Чейзина наибольшую обеспокоенность.

(www.securitylab.ru)

Teshka, 28.04.2004 - 21:10

Новые версии червя Bagle читают стихи и показывают картинки

Антивирусные компании предупреждают о появлении во Всемирной сети двух новых модификаций вредоносной программы Bagle. Черви Bagle.Z и Bagle.АА распространяются по электронной почте в виде вложений, представляющих собой либо исполняемые файлы с расширениями .COM, .CPL, .EXE, .HTA, .SCR и пр., либо защищенные паролем ZIP-архивы (секретный шифр в этом случае указывается внутри послания). В процессе рассылки используется встроенный SMTP-сервер, обратный адрес при этом фальсифицируется, а тема и содержимое письма выбираются произвольным образом из доступного списка. Кроме того, вирусы пытаются разместить свои копии в папках, которые содержат символы "shar" и, возможно, являются общедоступными директориями в пиринговых сетях.
При проникновении на компьютер жертвы черви закрывают известные им антивирусные процессы и регистрируются в системном реесте, обеспечивая себе автоматический запуск при загрузке Windows. Далее на дисплее выводится сообщение об ошибке (см. рисунок).

Кроме того, у Bagle.Z и Bagle.АА имеются оригинальные "визитные карточки". В частности, в коде Bagle.Z заложено поэтическое послание на английском языке следующего содержания:

"Unique people make unique things That things stay beyond the normal life and common understanding The problem is that people don't understand such wild things, Like a man did never understand the wild life".

("Уникальные люди делают уникальные вещи. Эти вещи выходят за рамки нормальной жизни и общих понятий. А вся проблема в том, что люди не понимают таких диких вещей, как человек так никогда и не постиг дикую природу".)

Что касается варианта Bagle.АА, то он, помимо файла с вредоносным кодом, может иметь в письме фотографии девушек в формате JPEG. Оба вируса представляют угрозу для пользователей, на чьих компьютерах установлены операционные системы Windows XP, 2000, NT, Mе, 98, 95 или Server 2003.
(www.compulenta.ru)

Teshka, 4.05.2004 - 17:07

Сетевая эпидемия очередной версии червя NetSky

"Лаборатория Касперского" предупреждает о начале эпидемии очередной версии вредоносной программы NetSky, получившей индекс АС. Впервые червь NetSky появился в феврале нынешнего года, и с тех пор авторы выпустили уже порядка тридцати модификаций вируса с различными возможностями. В частности, одни варианты NetSky пытаются организовать DoS-атаки на неугодные сайты, другие удаляют конкурирующие вредоносные программы, а третьи даже демонстрируют недюжинные познания в иностранных языках.

Что касается червя NetSky.АС, то он не обладает какими-то незаурядными способностями, а для его активации пользователю необходимо собственноручно запустить присланный по электронной почте файл. Тем не менее, на сегодняшний день "Лаборатория Касперского" зарегистрировала уже сотни случаев заражения данной вредоносной программой, которой, кстати, был присвоен средний уровень опасности.

Вирус является приложением Windows (PE EXE-файл) и запакован PE_Patch. Размер вложения составляет 17920 байт, в распакованном виде червь "разрастается" до полутора мегабайт. Тема и текст сообщений, а также имя вложения выбираются произвольным образом, а вот расширение файла всегда одинаково - PIF. При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу. После проникновения на компьютер вредоносная программа изменяет системный реестр, обеспечивая себе автоматический запуск при загрузке Windows, и пытается удалить с компьютера вирус Bagle.Y, если, конечно, таковой имеется. Соответствующие обновления антивирусных баз для защиты от NetSky.АС уже выпущены.

(www.compulenta.ru)

Teshka, 5.05.2004 - 19:32

Варианты червя Sasser опаснее оригинала
Как и оригинальный червь, три новые программы — Sasser.B, Sasser.C и Sasser.D — используют брешь в защите непропатченных версий Windows XP и Windows 2000. Заражая уязвимые системы, червь организет дистанционное соединение с целевым компьютером, устанавливает сервер File Transfer Protocol (FTP), а затем загружает в новый хост собственную копию, сообщает Zdnet.

Оригинальная версия червя Sasser распространялась медленно, но в субботу онлайновые вандалы выпустили Sasser.B, заражающий компьютеры гораздо быстрее. К понедельнику появились еще два варианта червя, и число зараженных систем стали измерять сотнями тысяч. «Червь значительно усовершенствован, — говорит старший директор центра секьюрити-реагирования Symantec Альфред Хьюгер. В понедельник утром Symantec насчитала не менее 10 тыс. подтвержденных случаев заражения и выразила предположение, что заражены сотни тысяч компьютеров.

Для Массачусетского университета в Амхерсте Sasser оказался суровым испытанием. По словам менеджера по эксплуатации университетских сетей Скотта Конти, от Sasser здесь пострадало 1100 компьютеров. Если многие другие университеты потратили на борьбу с червем весь уикенд, то Массачусетский университет держался, пока кто-то не подключил к сети зараженный компьютер.

Каждый семестр Конти и его коллегам приходится иметь дело примерно с 5000 случаев заражений червями, вирусами и бот-программами. «Как это ни досадно, но борьба с атаками теперь становится неотъемлемой частью нашего бизнес-плана», — сетует он.
(www.securitylab.ru)

Teshka, 12.05.2004 - 20:01

I-Worm.Wallon.a - коллекционер адресов электронной почты
Компания F-secure сообщила об обнаружении нового червя, рассылающего по электронной почте сообщения в формате HTML - Wallon. Эти сообщения содержат ссылки, использующие сервис переадресации Yahoo и открывающие в браузере пользователя сайт, на котором расположен скрипт, загружающий и запускающий другие компоненты червя.

В отличие от большинства червей, рассылаемых по электронной почте, Wallon не присоединяет себя к сообщению в виде приложенного файла. Вместо этого он присылает ссылку в составе сообщения в формате HTML, имеющую вид ссылки на одну из страниц Yahoo. При её открытии вирус использует службу переадресации Yahoo и открывает другую страницу, на которой загружается файл terra.html. Данный файл содержит зашифрованную ссылку на еще одну страницу, где расположен файл count.html. Эот файл использует уязвимость данных объекта для загрузки и запуска файла sys.chm. Последний, в свою очередь, используя XMLHTTP/ADODB, загружает двоичный файл под названием sys.exe, который переписывается в файл wmplayer.exe из папки Windows Media Player. Загруженный файл будет выполняться при каждом открытии Windows Media Player, как непосредственном, так и через веб-страницу. Файл SYS.EXE является загрузчиком. Он загружает файл NOT.EXE и помещает его под имением ALPHA.EXE в корневой каталог на диске C. После этого файл активируется.

Кроме того, загрузчик изменяет начальные поисковые страницы браузера Internet Explorer, в результате чего при его запуске открывается страница www.google.com.super-fast-search.apsua.com. ALPHA.EXE, главный файл червя, имеет объем 150 Кб и упакован с помощью компрессора ASPack. При запуске червь проверяет значение в одной из записей реестра ОС. При положительном значении червь ждет пять часов, а затем 10 раз открывает сайт pixpox.com с перерывами по 10 минут. После этого он читает пользовательские настройки SMTP из реестра, находит и открывает файл WAB (Windows Address Book) и рассылает электронные сообщения по всем обнаруженным адресам. Сообщения представляют собою ссылки, содержащие доменное имя получателя. При этом червь не посылает сообщения по адресам, содержащим следующие слова microsoft, support, software, webmaster, postmaster, admin. Червь отправляет также пустое письмо на адрес [email protected]. Вероятно, это делается для того, чтобы собирать электронные адреса пользователей,компьютеры которых заражены червем, сообщают специалисты F-secure.
(www.securitylab.ru)

farg, 13.05.2004 - 23:47

Остерегайтесь BMP-файлов!
Обнаружена массовая рассылка троянской программы "Agent", заражающей компьютеры с помощью BMP-файлов.

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении массовой рассылки троянской программы "Agent", заражающей компьютеры при просмотре графических файлов формата BMP.

"Agent" использует брешь браузере Internet Explorer версий 5.0 и 5.5, которая позволяет запускать на компьютере вредоносный код при просмотре специально сконструированных BMP-файлов. Брешь была обнаружена 16 февраля 2004 г. (_www.kaspersky.ru/news.html?id=145752935), что стало следствием утечки исходных кодов Windows (_www.kaspersky.ru/news.html?id=145667021).

"Agent" был разослан по электронной почте при помощи спам-технологий. Зараженное письмо не содержит никаких отличительных признаков, кроме вложенного BMP-файла со случайным именем. Важно отметить, что данный файл создан специально для атаки русской версии Windows 2000 - на других версиях операционной системы вредоносный код работать не будет. Этот факт косвенно указывает на Россию и страны СНГ как наиболее вероятные места создания "Agent".

Если пользователь имел неосторожность запустить вложенный BMP-файл, "троянец" связывается с удаленным сервером, расположенным в доменной зоне Ливии, загружает с него другую троянскую программу - "Throd", и устанавливает ее на компьютере-жертве.

"Throd" представляет собой классическую программу-шпиона. При установке "троянец" регистрируется в ключе автозапуска системного реестра Windows и переходит в режим ожидания команд. В частности, с его помощью злоумышленники могут выполнять удаленные инструкции (копирование данных, считывание адресов из адресной книги Outlook и их пересылка на удаленный адрес), а также использовать зараженный компьютер как прокси-сервер для проведения анонимных сетевых преступлений.

"Несомненно, что "Throd" сделан специально для нужд спаммеров - пополнения базы данных адресов рассылки. Это еще раз подтверждает тенденцию сращивания вирусных и спам отраслей компьютерного андерграунда", - сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

Серьезное беспокойство внушает факт, что на данный момент отсутствует специальное обновление Internet Explorer для защиты от атак через указанную брешь. Таким образом, сейчас единственным эффективным средством противодействия атаке является антивирусная программа. "Кроме того, не исключено появление вредоносных программ и для других версий Windows. По этой причине мы рекомендуем всем пользователям, независимо от установленной версии операционной системы предпринять соответствующие меры", - добавил Евгений Касперский.

Антивирус Касперского® анализирует содержимое BMP-файлов и автоматически выявляет опасные объекты при попытке их проникновения через интернет или электронную почту. Таким образом, программа нейтрализует "Agent" без дополнительных обновлений базы данных. Защита от "Throd" уже добавлена в очередное обновление Антивируса Касперского.
kaspersky.ru

Teshka, 18.05.2004 - 20:27

Новый червь угрожает всем без исключения ОС Windows

Компания Symantec обнаружила новую вредоносную программу Kibuv, способную проникать на компьютеры, работающие под управлением операционных систем Windows 95, 98, Ме, NT, Server 2003, 2000 и XP.

Червь распространяется, сканируя случайные IP-адреса в поисках уязвимых систем. При этом первая модификация вируса, обнаруженная 14 мая, использует дыры в службе DCOM RPC (удаленный вызов процедур) и сервисе LSASS (локальная подсистема аутентификации пользователей). А вторая версия червя с индексом "В" способна эксплуатировать еще и уязвимость в компоненте Messenger ОС Windows, ошибку в коде вируса Sasser, "черные ходы", открытые Weird и Beagle и пр.

После проникновения на машину червь Kibuv изменяет реестр, обеспечивая себе автоматический запуск при каждой загрузке операционной системы, и открывает FTP-сервер на порте 9604 (или 7955 для версии Kibuv. для дальнейшего размножения. Через этот порт на компьютер-жертву производится загрузка основного вредоносного файла. Кроме того, более поздняя модификация червя Kibuv.B прослушивает порт 420, ожидая команд от своих авторов.

Следует заметить, что в последние несколько дней резко возросло количество новых вирусов, использующих уязвимость в службе LSASS. В частности, после появления вредоносной программы Sasser компании, специализирующиеся на вопросах компьютерной безопасности, зафиксировали появление червей Cycle, Dabber и некоторых других.
www.compulenta.ru

farg, 27.05.2004 - 22:06

Worm.Win32.Padobot.a,b



viruslist.com

Teshka, 3.06.2004 - 10:18

Вирус массовой рассылки Netsup

Компания Symantec зафиксировала появление нового червя массовой рассылки, получившего название Netsup. Вредоносная программа распространяется по электронной почте в виде файлов-вложений размером в 22016 байт. Обратный адрес при этом либо генерируется по заложенной в коде схеме, либо берется из книги контактов Microsoft Outlook на инфицированном компьютере. Тема сообщения выбирается произвольным образом из созданного автором вируса списка, а вот содержимое письма никогда не меняется. В теле послания, в частности, указано, что из-за ошибки оно не может быть доставлено, в связи с чем получателю предлагается запустить прикрепленный файл с оригинальным текстом.
В случае, если пользователь выполняет предложенные действия, червь копирует себя в системный каталог Windows под видом файла msnmsgs.exe и изменяет реестр, добавляя записи для автоматического самозапуска. В процессе рассылки инфицированных писем применяется встроенный SMTP-сервер. Кроме того, червь Netsup пытается проникнуть в файлообменные сети, для чего помещает собственные копии в общедоступные папки под видом крэков и интерфейсных тем, например, The Sims Britney Spears Skin.exe или Winzip_password_cracker.Nero_4_Ultra_Keygen_deviance.exe.

Вирус Netsup способен заражать компьютеры, работающие под управлением операционных систем Windows 95, 98, Me, NT, 2000, Server 2003 и XP. Специалисты Symantec оценивают опасность вредоносной программы как среднюю, необходимые обновления антивирусных баз данных для защиты от червя уже выпущены.

Компьюлента

Teshka, 5.06.2004 - 21:38

Червь Plexus использует наработки автора Mydoom
4 июня 2004 года, 15:14
Текст: Владимир Парамонов

Компания "Лаборатория Касперского" обнаружила новую вредоносную программу Plexus, способную распространяться по электронной почте в виде файлов-вложений, а также через уязвимости в службах LSASS (локальная подсистема аутентификации пользователей) и RPC DCOM (удаленный вызов процедур) Microsoft Windows.

Червь написан на языке Visual C++ с использованием исходного кода вируса Mydoom. Размер в запакованном виде составляет 16208 байт, в распакованном - 57856 байт. После запуска вредоносная программа записывает себя в системный каталог Windows под именем upu.exe, регистрируется в ключе автозагрузки реестра и пытается воспрепятствовать обновлению баз данных антивируса Касперского.

Для дальнейшего размножения червь Plexus копирует собственный код на общедоступные сетевые ресурсы, пытается проникнуть в файлообменные сети под видом полезных утилит и осуществляет массовые рассылки писем по электронной почте, предварительно собрав адреса из файлов с расширениями .htm, .html, .php, .tbb и .txt. Кроме того, как уже упоминалось, Plexus способен задействовать дыры в подсистемах LSASS и RPC DCOM. Наконец, вирус открывает на прослушивание порт 1250, предоставляя возможность осуществлять загрузку файлов на машину-жертву с их последующим запуском.

"Лаборатория Касперсокого" уже выпустила обновления антивирусных баз данных, правда, в том случае, если компьютер заражен червем, пользователю для загрузки апдейта предварительно придется удалить файл hosts из папки Windows\System32\drivers\etc\hosts.

Следует также добавить, что одновременно с обнаружением вируса Plexus компания Panda Software зафиксировала появление очередной версии вредоносной программы Padobot (другое название Korgo). Вариант с индексом "D" функционально практически не отличается от своих предшественников, хотя с целью маскировки больше не выводит на дисплей сообщений об ошибке. Напомним, что вирус Padobot также использует дыру в службе LSASS.

farg, 15.06.2004 - 14:04

"Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама, сообщает об обнаружении
первого сетевого червя "Cabir", имеющего функции распространения по
сотовым сетям и заражения мобильных телефонов под управлением
операционной системы Symbian OS. К счастью, на данный момент не
зарегистрировано инцидентов, вызванных "Cabir".

Предположительно червь был создан неизвестным под псевдонимом
"Vallez", принадлежащим к международной группировке вирусописателей
"29A", которая специализируется на создании концептуальных вредоносных
программ. Ранее, эта группа "прославилась" авторством таких печально
известных вирусов как "Cap" (первый макро-вирус, вызвавший глобальную
эпидемию), "Stream" (первый вирус для дополнительных потоков NTFS),
"Donut" (первый вирус для платформы .NET), "Rugrat" (первый вирус для
платформы Win64).

В ходе предварительного анализа кода вредоносной программы
выяснилось, что "Cabir" доставляется на телефон в виде файла формата SIS
(дистрибутив операционной системы Symbian), маскируясь под утилиту для
защиты телефона Caribe Security Manager. При запуске зараженного файла
червь выводит на экран надпись "Caribe", внедряется в систему и
активизируется при каждой загрузке телефона. После этого "Cabir"
сканирует доступные устройства, использующие технологию передачи данных
Bluetooth, выбирает первый из них и пересылает ему свою копию.

На данный момент каких-либо деструктивных функций в "Cabir" не
обнаружено.

Червь был создан специально для работы в Symbian OS для мобильных
телефонов Nokia (например, серии 92x0). Однако, не исключено, что
"Cabir" также работоспособен и в телефонах и мобильных устройствах
других производителей.
kaspersky.ru

farg, 6.08.2004 - 9:55

Первый "троянец" для КПК родом из России
Опасаться вирусных эпидемий следует теперь и владельцам карманных компьютеров. Вслед за обнаружением в июле пока еще безвредного вируса, поражающего КПК, специалисты в области инфобезопасности сообщили сегодня о появлении первого «троянца», позволяющего злоумышленнику «перехватить» управление чужим карманным компьютером, сообщает CNews.

По информации «Лаборатории Касперского», появилась первая backdoor-программа, получившая по классификации компании название Backdoor.WinCE.Brador.a, — утилита удаленного администрирования, позволяющая злоумышленнику перехватить управление пораженным компьютером. Программа размером 5632 байт поражает КПК на базе Windows CE. После запуска она создает файл с именем svchost.exe в каталоге запуска Windows, получая, таким образом, полное управление системой при каждом включении КПК. Вирус определяет IP-адрес зараженной системы и отправляет его по электронной почте автору, информируя его о том, что КПК находится в сети, и программа-backdoor активна. После этого вирус открывает порт 44299 для приема различных команд.

Основная функция Brador.a — открытие портов на зараженных машинах с целью получения злоумышленниками доступа к КПК и полного контроля над мобильным устройством. Программа обладает функцией автозагрузки и удаленного управления, кроме того, она может добавлять или удалять файлы на жестком диске, а также пересылать их злоумышленнику. Обнаруженный вирус не имеет функции самораспространения и может попасть на КПК пользователя под видом другой безобидной программы, по классическим для троянских программ схемам: зараженные вложения в электронных письмах и загрузка через Сеть, а также при передаче данных с настольного компьютера.

По данным аналитиков «Лаборатории Касперского», автором WinCE.Brador.a предположительно может являться наш соотечественник — такой вывод сделан в связи с тем, что информация о появлении первой «официальной» backdoor-программы для PocketPC поступила с российского адреса электронной почты, текст сообщения составлен на русском языке. Особые опасения внушает тот факт, что данная разработка является коммерческой (предлагается приобретать клиентскую часть за деньги), а это означает, что распространение вируса может оказаться стремительным.

Напомним, что первый вирус, поражающий карманные компьютеры с процессорами ARM под управлением операционной системы Windows CE, был обнаружен 17 июля румынской компанией Softwin S. R. L. (г. Бухарест) — он получил обозначение Duts. За месяц до того стало известно о первом сетевом черве под названием Cabir, заражающем мобильные телефоны под управлением операционной системы Symbian OS, на базе которой работает большая часть представленных сегодня на рынке смартфонов. Оба вируса являлись концептуальными и никаких вредных действий не производили. Их авторство приписывается вирусописателю, известному под псевдонимом Vallez, который принадлежит к международной группировке 29A, специализирующейся на создании вредоносных программ-"первопроходцев".

"Обнаружение первой троянской программы для карманных компьютеров подтверждает наши опасения, высказанные недавно в связи с появлением концептуальных вирусов для мобильных телефонов и для операционной системы Windows Mobile, — говорит Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского». — WinCE.Brador.a — полноценная вредоносная программа, здесь речь уже не идет о демонстрации вирусописателями своих возможностей, мы можем наблюдать набор деструктивных функций, характерный для большинства бэкдоров".

Подобные опасения высказывались и на конференции по компьютерной безопасности Black Hat Briefings, прошедшей в Лас-Вегасе в конце июля. Эксперты заявили о том, что вирусы для мобильных устройств могут оказаться куда опасней их сородичей, поражающих обычные компьютеры. На конференции был представлен ряд программ, демонстрирующих уязвимость мобильных платформ. Особую тревогу у экспертов вызвал тот факт, что для превращения известного на тот момент вируса Duts в полноценную вредоносную программу, необходимо модифицировать всего несколько строк кода.

«Пользователи мобильных устройств находятся в реальной опасности, и мы можем только предположить, что компьютерный андеграунд в ближайшее время еще больше активизируется в создании вредоносных программ для мобильных телефонов и карманных компьютеров. Ситуация с мобильными устройствами развивается так же, как в свое время с настольными компьютерами, и вполне возможно, что нас ожидают крупные вирусные эпидемии для КПК», — добавил Евгений Касперский.
securitylab.ru

Teshka, 25.08.2004 - 20:45

Антивирусная компания Symantec обнаружила в интернете новую модификацию печально известного червя Sasser.
Как и предшествующие варианты, Sasser.G при распространении использует уязвимость в локальной подсистеме аутентификации пользователей операционных систем Windows 2000 и ХР. Червь записывает себя в директорию Windows под именем avserve3.exe или wserver.exe и регистрируется в ключе автозапуска реестра. Далее вредоносная программа открывает FTP-сервер на порте 5554 и осуществляет сканирование произвольных IP-адресов в поиске уязвимых машин. Подробное описание червя Sasser.G ищите здесь.

Источник: Компьюлента

Volk, 26.08.2004 - 0:49

Эксперты предупреждают о мощной интернет-атаке террористов, которая может состояться 26 августа

"У них (террористов) есть достаточно знаний и опыта для парализации работы интернета. Интернет может прекратить свою работу на несколько часов", - сказал на пресс-конференции в РИА "Новости" один из ведущих российских антивирусных экспертов Александр Гостев.
По его словам, информация о готовящейся атаке была опубликована на специализированных сайтах. "Ее достоверность оценить сложно, - сказал Гостев. - Мы оцениваем те возможности и те средства, которыми обладают террористы, и они вызывают наши опасения".
По его словам, в первую очередь от атаки пострадают США и Западная Европа, в меньшей степени - Япония.
В свою очередь, Евгений Касперский, руководитель антивирусной лаборатории Касперского, отметил, выступая на пресс-конференции, что военным объектам России такая опасность не грозит, потому что они "находятся на значительном удалении от интернета".
"Меньше всего пострадают страны, которые меньше других зависят от интернета, например Афганистан", - сказал Касперский. По его мнению, если интернет окажется на несколько часов "выключенным", работа многих компаний будет парализована.
Он отметил, что угроза атаки для частных пользователей не так велика, как для крупного бизнеса и государственных структур. По словам Касперского, в результате подобных атак в прошлом прекратила работу железная дорога Австралии, посольство США перестало выдавать визы, Южная Корея была на несколько часов отключена от интернета.
"Я боюсь, что если террористические организации возьмутся за дело, остановить их будет невозможно", - заключил Касперский.

Источник: @Astera

Paladin, 26.08.2004 - 15:57

Ждать ли 26 августа атаки "террористических вирусов"?

Эксперты по борьбе с компьютерными вирусами сомневаются в достоверности утверждений, сделанных Евгением Касперским на пресс-конференции РИА "Новости". Напомним, что основатель "Лаборатории Касперского" объявил, что "определенными исламскими группировками 26 августа объявлено Днем электронного джихада". Он предупредил о вероятности вирусных атак, в результате которых интернет может быть парализован на несколько часов.

Ещё вчера в интервью "Лента.ру" исполнительный директор компании Dr. Web сказал: "Я не верю в массированные интернет-атаки, поскольку на основных узловых серверах стоит защита, а конец света, в принципе, "Лаборатория Касперского" предрекает уже давно". Другие специалисты по компьютерной безопасности, с которыми сегодня связалась "Компьюлента", подтверждают, что также не располагают сведениями о грядущем апокалипсисе.

Константин Архипов, руководитель российского представительства Panda Software: "Никакой информацией о вероятной интернет-атаке террористов, назначенной на 26 августа, мы не располагаем. Более того, сложно оценить, на чем основано заявление Евгения Каперского по поводу "электронного джихада". С завидной периодичностью представители этой антивирусной компании делают мрачные прогнозы, предрекая очередной конец света. И хотелось бы наконец разобраться, чего хочет добиться Касперский, раз за разом делая подобные утверждения. Здесь есть два варианта. Либо он просто распространяет заведомо ложную информацию, не подкрепленную никакими фактами, чем сеет панику среди пользователей и побуждает их к неадекватным действиям. Такое поведение можно сравнить с механизмом тех же компьютерных мистификаций, которые внедряются на компьютер пользователя, создавая ложное впечатление о заражении машины вирусом и, тем самым, мешая нормальной работе, что оборачивается потерями времени, а зачастую, и финансов. И работа антивирусных производителей заключается как раз в борьбе с подобными программами. Ну, а если же Касперский действительно обладает подобными сведениями высокой, можно даже сказать, государственной важности, то напрашивается вопрос, во-первых, кто является его источником такой информации, а во-вторых, почему же он, являясь единственным посвященным лицом, не делится этими сведениями ни с органами государственной власти, ни с коллегами по информационной безопасности. Ведь если свершится то, что он предсказывает (а угроза терроризма сейчас как нельзя более актуальна), то потери будут значительными, и необходимо попытаться предотвратить ситуацию, объединив усилия. Касперский же предпочитает остаться единственным обладателем таких секретных сведений, что наводит на мысль, что эти заявления - всего лишь очередная попытка заработать себе имя и дешевую популярность".

Андрей Каримов, руководитель отдела антивирусных исследований Proantivirus Lab: "Вероятность проведения атаки - 50/50. Вполне возможно, что-то состоится. "Мощная интернет-атака" - это, конечно, сильно сказано, но попытки скоординировать DDoS-атаки, вирусные эпидемии и т.д. уже были. На манер модного нынче флэш-моба. Но, возможно, ничего и не случится, ибо все эти попытки, как правило, проваливались".

Дмитрий Леонов, создатель сайта BugTraq.Ru: "В принципе, в подобной атаке нет ничего невозможного. Но к заявлениям, не подкрепленным ссылками на заслуживающий внимания источник, лично у меня нет никакого доверия. Завтра, конечно, все узнаем окончательно".

Как пояснил "Компьюленте" Алексей Зернов, менеджер по корпоративным коммуникациям и PR в "Лаборатории Касперского", информация об атаках была впервые опубликована 23 августа на ряде российских и арабских сайтов, в частности, по адресам http://www.securitylab.ru/47339.html, http://www.sedmoykana....php3?id=68548 и http://www.nfc.co.il/.

compulenta.ru

Volk, 8.10.2004 - 22:58

Обнаружена новая модификация червя Mydoom

Компания Symantec предупреждает о появлении новой модификации червя Mydoom. Вариант Mydoom.AD распространяется по электронной почте в виде вложений с различными именами, через популярные файлообменные сети, а также через каналы IRC.

После проникновения на компьютер-жертву вредоносная программа регистрируется в ключе автозапуска системного реестра, завершает ряд процессов, связанных со службами безопасности, и пытается запретить доступ к сайтам антивирусных компаний. Далее червь осуществляет сканирование жестких дисков в поисках адресов электронной почты, по которым затем отправляются копии вредоносного кода. При организации массовых рассылок Mydoom.AD применяет встроенный SMTP-сервер.

Источник: Информационный портал - "Компьюлента"


В чат-румах распространяется червь Noomy.A.

Специалисты в области ИТ-безопасности предупреждают о появлении нового компьютерного червя Noomy.A. По мнению экспертов компании PandaLabs, этот сложный и опасный код, пока еще не распространившийся в Сети широко, имеет ряд особенностей, которые делают его очень серьезной потенциальной угрозой для пользователей чата Internet Relay Chat (IRC).

Червь написан на Visual Basic; на зараженном компьютере он создает HTTP-сервер и генерирует файлы, содержащие свои копии. Файлы могут иметь названия 2004serials.pif, Ageofempires2crack.exe, AgeOfMythologyISO.exe, AnaKurnikovaVirualGirl2004.scr и др.


Затем Noomy.A соединяется с IRC-каналами как пользователь и начинает отправку сообщений в чат-румы. Для того, чтобы сделать контент сообщений привлекательным и убедить пользователя загрузить хакерский файл, используется технологии социальной инженерии. Сообщения могут содержать следующие тексты: "Если Вас интересуют новейшие крэки - добро пожаловать на мой сайт", "Загрузите заставку с изображением Бритни Спирс пока я в онлайне" и т.д. Сообщения содержат ссылки на серверы, созданные на зараженных компьютерах.


Noomy.A может останавливать работу защитных средств, в том числе антивирусов, что приводит к заражению и другими вредоносными программами.


Также данный червь распространяется через электронную почту. При этом он может содержаться в письмах с разнообразными названиями и содержанием тела письма. Письма могут иметь расширения .dbx, .htm, .html и .php. На зараженном компьютере Noomy.A рассылает себя по всем найденным адресам.

Источник: CNews

Teshka, 9.10.2004 - 22:12

В распространенной форумной системе Invision Power Board найдена уязвимость.
По сообщению датской компании Secunia, специализирующейся на вопросах сетевой безопасности, дыра обеспечивает возможность проведения XSS-атак (Cross-Site Scripting) на удаленные компьютеры. Проблема связана с ошибкой в модуле "index.php", уязвимость содержится в пакете Invision Power Board версии 2.0 и, вероятно, более ранних модификациях программы. Способов устранения дыры на сегодняшний день не существует.

Компания Symantec обнаружила новую вредоносную программу, получившую название Fili.
Этот червь способен распространяться через каналы IRC, популярные файлообменные сети, такие как KaZaA, Morpheus, eDonkey и Grokster, а также по электронной почте в виде вложений с расширениями bat, cmd, com, exe, pif или scr. После активации вирус записывает в системную директорию Windows свою копию под именем pilif.exe и добавляет ссылку на данный файл в ключ автозапуска реестра. Далее червь пытается закрыть ряд процессов, связанных со службами безопасности, и запретить доступ к диспетчеру задач. При организации массовых рассылок вредоносного кода Fili использует адреса, найденные в книге контактов Outlook.

Компания Symantec зафиксировала появление нового макровируса Prece, поражающего документы Microsoft Word.
После активации эта вредоносная программа инфицирует шаблон Normal.dot и вносит ряд изменений в настройки вышеназванного текстового редактора. В частности, Prece отключает антивирусную защиту, а также запрещает отображение списка ранее открытых файлов. Кроме того, вредоносная программа удаляет все файлы с расширением SCP в директории C:\Program Files\Accessories в том случае, если системная дата установлена на 21 апреля или любой последующий день.

Источник:www.compulenta.ru

PRYANIK, 12.11.2004 - 1:09

Обнаружен новый троян Alcani

Компания Symantec предупреждает о появлении новой вредоносной программы Alcani. Этот троян, пока не получивший широкого распространения, заражает компьютеры, работающие под управлением операционных систем Microsoft Windows. После проникновения на машину Alcani создает на жестком диске две свои копии и обеспечивает собственный автозапуск при каждом старте ОС. Далее троян посредством интернет-пейджера ICQ отправляет автору уведомления, содержащие IP-адрес инфицированного ПК. Кроме того, вредоносная программа открывает "черный ход" в систему, соединяясь с IRC-серверами irc.dal.net и mesra.dal.net.

Файвер, 16.11.2004 - 1:04

Novagr/Mydoom: Зловещая угроза

Новый почтовый червь, известный как Novarg, распространяется с огромной скоростью по всей сети Интернет и уже привел к сбоям в работе почтовых серверов и более чем 50% росту объема трафика, что отразилось на нормальном функционировании компаний, предоставляющих Интернет услуги по всему миру.


Многие сервера электронной почты были попросту выключены до тех пор, пока эпидемия вируса не пойдет на спад. По данным агентств безопасности, каждое пятое письмо, отправленное в сейчас по Интернет, заражено этим вирусом. Novarg’у присвоен наивысший рейтинг опасности и пользователям следует проявлять особое внимание при работе с электронной почтой.

Пути Распространения Вируса
Novarg, также известный как MyDoom, распространяется в виде почтового вложения с расширением.bat, .cmd, .exe, .pif, .scr, или .zip.

При открытии зараженного вложения червь запускает троянскую программу, открывающую ТСР порты с 3127 по 3198, что делает возможным удаленное управление зараженной системой. Затем червь отыскивает почтовые адреса в адресной книге, HTML документах и базах Outlook Express и рассылает себя на эти адреса с помощью собственного SMTP клиента.

Outpost Противостоит Угрозе
Так как червь прибывает в виде почтовых вложений, то Outpost переименует его и в случае если вы попытаетесь его открыть, выдаст вам предупреждение о том, что следует еще раз внимательно проверить безопасность открываемого вложения. Таким образом, вы застрахованы от случайного заражения вирусом.


Для предотвращения заражения также рекомендуется соблюдать следующие меры предосторожности:

Переключите Outpost в режим Обучения или в Режим блокировки для полного контроля за всей сетевой активностью в системе.
Включите Контроль Компонентов чтобы предотвратить запуск вируса от имени доверенного приложения.
Внимательно следите за всеми приложениями, запрашивающими доступ к ТСР портам с 3127 по 3198.
Запретите всем неизвестным процессам доступ к ТСР порту 25.
Убедитесь в том, что модуль фильтрации почтовых вложений включен.
Для повышения безопасности добавьте zip в список переименовываемых типов вложений.
Обновите используемый антивирус..

Кроме всего прочего, следует помнить о необходимости тщательно проверять все приходящие письма с вложениями и не открывать их в случае если отправитель Вам неизвестен или Вы не ожидали получения письма.

Если худшее все таки случилось
В случае заражения системы Outpost предотвратит его возможные вредоносные действия: дальнейшее распространение, проведение DoS атак а также создание в системе лазеек для проникновения хакеров.

Хотя Outpost полностью изолирует вирус в Вашей системе и не дает ему ни распространяться ни приносить какой либо ущерб, настоятельно рекомендуется воспользоваться антивирусом для его полного удаления.

Teshka, 23.11.2004 - 19:02

Новый червь угрожает пользователям Интернета

«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении нового опасного интернет-червя «Sober.i».

Вредоносная программа распространяется через интернет в виде вложений в зараженные электронные письма. Помимо функций, стандартных для данного типа вредоносных программ, деструктивный эффект действия «Sober.i» заключается в содержащемся в теле червя механизме удаленного запуска любых файлов по желанию злоумышленника.

В настоящее время антивирусные эксперты «Лаборатории Касперского» получают большое число сообщений об обнаружении червя от пользователей западноевропейского региона.

«Sober.i» использует обычную для сетевых червей процедуру запуска: активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: «WinZip Self-Extractor.

WinZip_Data_Module is missing ~Error». Затем он создает в системном каталоге Windows два файла с произвольными именами, формируемым из встроенного в тело червя списка. Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий по электронной почте.

Затем «Sober.i» копирует себя в системный каталог Windows и регистрирует себя в ключе автозапуска системного реестра. Помимо этого, он создает несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге Windows.

Для своего размножения «Sober.i» сканирует файловую систему пораженного компьютера в поисках адресов электронной почты и рассылает себя по обнаруженному списку адресатов. Для отправки почты червь использует собственный SMTP-сервер.

Зараженные «Sober.i» письма имеют произвольные темы и тексты на немецком или английском языке (несколько десятков различных ариантов), которые случайным образом составляются из нескольких частей. Имя вложения также может быть с различными расширениями: «pif», «zip», «bat».

Процедуры защиты от «Sober.i» уже добавлены в базу данных Антивируса Касперского. Более подробная информация о данной вредоносной программе доступна (http://www.viruslist....?id=146259034) в Вирусной Энциклопедии Касперского.

«NewsProm.Ru»

PRYANIK, 18.12.2004 - 12:46

Обнаружен почтовый вирус, предлагающий посмотреть порнографическую фотографию, но на самом деле содержащий модуль распределенной атаки отказа в обслуживании DoS против сайта чеченских сепаратистов.
Почтовый червь Maslan-C имеет в строке темы "123" и вложенный файл Playgirls2.exe. Способен распространяться через общие сетевые папки. Атака запланирована на первый день каждого месяца. Судя по примитивности исполнения, не ожидается никакой эпидемии.

PRYANIK, 28.12.2004 - 0:02

Компания Sophos предупреждает о появлении нового трояна, инфицирующего компьютеры с операционными системами Microsoft Windows. Вредоносная программа получила название Spyre. После проникновения на машину Spyre вносит ряд изменений в реестр, обеспечивая собственный автозапуск при старте ОС, и затем создает в директории "C:\Windows\Web\" HTML-файл, содержащий информацию рекламного характера. Впоследствии этот файл устанавливается в качестве фона рабочего стола. Каких-либо деструктивных функций в коде трояна пока не обнаружено.

Volk, 2.01.2005 - 2:02

Вирусная десятка за 2004 год от Panda

По данным компании Panda Software, в 2004 году наибольший ущерб компьютерам пользователей был нанесен троянцем Downloader.GK Trojan. Эти данные были получены на базе статистики использования онлайнового антивирусного сервиса Panda ActiveScan. Downloader.GK принадлежит 14% от общего количества атак. Этот троян не распространяется самостоятельно, а скачивается на компьютер, когда ничего не подозревающие пользователи посещают определенные веб-страницы и соглашаются на установку определенного элемента ActiveX. Downloader.GK устанавливает и запускает две рекламных программы-шпиона на зараженном компьютере.
Второе место в десятке занимает вирус Netsky.P (6,92%), за ним следуют Sasser.ftp (4,97%), Gaobot.gen (4.31%), Mhtredir.gen (4.22%), Netsky.D (3.98%), Downloader.L (3.56%), и три последних места принадлежат Qhost.gen (3.48%), Netsky.B (3.45%) и StartPage.FH (3.34%).

Появившийся в июне 2004 года Downloader.GK отобрал у червей звание основной угрозы и, заняв первое место в десятке, сигнализирует о начале опасного увеличения деятельности троянов. Всего в годовой рейтинг попали четыре троянца, в то время как в 2003 году их было два, а в 2002 году всего один. Три из вирусной десятки - черви семейства Netsky (варианты P,B и D). Они все имеют ряд общих черт, и, как и большинство червей, распространяются в электронных письмах с изменяющимися характеристиками. Четыре вредоносных программы из десятки используют бреши в стандартном ПО, установленном на компьютере.

Источник http://www.r-i-p.info...=detail&id=633

Volk, 31.03.2005 - 23:30

Mytob: быстро плодящийся e-mail-червь.


В интернете быстро распространяется червь массовой почтовой рассылки Mytob, восемь новых вариантов которого появилось только за последние выходные, а с начала марта их зафиксировано больше дюжины.

В понедельник Symantec сообщила о двух новых версиях вируса W32.Mytob.R и W32.Mytob.S. Как и предыдущие варианты Mytob, оба червя получили от Symantec низкую или среднюю оценку степени опасности, но компания все же рекомендует немедленно обновить свое антивирусное ПО для защиты от новой угрозы.

Как и другие версии Mytob, две последние распространяются через кампании массовой почтовой рассылки. Они атакуют компьютеры с операционной системой Windows и содержат так называемую лазейку (backdoor). Червь использует свой собственный механизм протокола SMTP (Simple Mail Transfer Protocol) для саморассылки по адресам e-mail, которые он находит в зараженных компьютерах. Кроме того, вирус распространяется, используя ошибку переполнения буфера Local Security Authority Service Remote Buffer Overflow в Windows, которую Microsoft уже исправила в своих периодических секьюрити-апдейтах.

Последние версии Mytob пытаются заблокировать зараженным компьютерам доступ для установки секьюрити-апдейтов к веб-сайтам таких компаний, как Symantec, McAfee и Microsoft, добавляя соответствующий текст в файл Hosts пораженного ПК.

Symantec отловила многочисленные варианты двух новых червей Mytob, каждый из которых распространяется из источников с разными адресами отправителя и содержит в строке subject и теле сообщения разные тексты. И Mytob.R, и Mytob.S могут содержаться в сообщениях, в поле subject которых есть фразы good day или mail transaction failed.

Большая часть из 13 версий вируса, обнаруженных с начала этого года, почти идентичны, но одна версия, W32.Mytob.Q, о которой Symantec сообщила в воскресенье, включает второй малоопасный вирус, W32.Pinfi.

Источник: Mytob e-mail worm proliferating quickly

Volk, 11.06.2005 - 23:47

Антивирусная лаборатория Panda Software сообщает о появлении Smitfraud, новой шпионской программы, заражающей файлы системы, что влияет на ее работу.

Это вредоносное приложение скачивается на компьютер через другую шпионскую программу CWS.YEXE, которая размещена на большом количестве нелегальных веб-страниц. Кроме установки прочего вредоносного ПО, такого как Smitfraud, на компьютер, оно также устанавливает другие вредоносные приложения.

При проникновении на компьютер Smitfraud устанавливает антишпионское приложение PSGuard. Он также создает несколько файлов. Один из этих файлов называется oleadm32.dll и является копией системного файла wininet.dll. Этот файл заражен вирусом W32/Smitfraud.A и пытается заменить собой оригинальный файл после перезапуска компьютера. Другой из файлов, создаваемых шпионской программой на компьютере, - wp.bmp. Он является изображением, имитирующим “голубой экран", выводимый при ошибке операционной системы Windows. Это изображение содержит текст, информирующий пользователя о том, что его компьютер заражен шпионской программой Smitfraud.c и рекомендующий просканировать компьютер программой, способной исправить проблему.

Если пользователь запускает PSGuard, тот обнаруживает вредоносную программу (Smitfraud.c). Однако для того, чтобы удалить ее с компьютера, пользователь должен купить и зарегистрировать PSGuard.

По словам Луиса Корронса, директора лаборатории PandaLabs, “эта шпионская программа необычна своим методом работы. Вообще, это вторая известная программа такого типа, способная заражать файлы. Тем не менее, ее главной целью является обман пользователей с целью получения финансовой прибыли. Сегодня создатели вредоносных программ стремятся к финансовому результату, и без промедления используют любую тактику для достижения своей цели. По этой причине пользователи должны всегда быть настороже”.

Источник Служба по связям с общественностью компании "Panda Software Russia"

Volk, 4.07.2005 - 0:10

http://images.km.ru/p...aden.jpg" WIDTH=110 align="left">

Антивирусная компания Sophos предупреждает пользователей о появлении нового почтового червя под кодовым названием Kedebe-F, который распространяется под видом приложения к письму. Прикрепленный документ содержит якобы секретные и правдивые данные либо о поимке террориста Усамы бен Ладена, либо об аресте автора червя Mydoom, либо о загадочной гибели певца Майкла Джексона.
В тексте письма говорится, что информация о данных событиях была похищена из правительственных архивов, а для ознакомления с материалами надо «просто посмотреть вложенный файл». Вирус способен отключать антивирусное программное обеспечение и сетевые экраны. К счастью, широкого распространения вирус пока не получил. Будьте бдительны.

Источник
_http://www.km.ru

Volk, 11.07.2005 - 2:09

Компания MessageLabs предупреждает об активном распространении двух версий троянских программ Downloader. С вечера среды было перехвачено более 54 тысяч копий.
Характерно, что авторы этой программы используют старый, обкатанный приём: сообщение, во вложении которого располагается архив с трояном, имитирует предупреждение от администраторов почтовых сервисов.

Письмо содержит такой текст:

Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
If you choose to ignore our request, you leave us no choice but to cancel your membership.
Virtually yours, Network Administrator Team
Текст приводится полностью на случай получения подобных предупреждений на зарубежных почтовых сервисах.

Перевод: "В течение последней недели ваша учётная запись была использована для массивной рассылки спама. Будьте добры, потратьте 5-10 минут своего времени в онлайне и откройте документ во вложении, чтобы избежать появления аналогичных проблем в будущем. Если вы проигнорируете нашу просьбу, вы не оставите нам иного выбора, кроме как аннулировать вашу учётную запись.

Виртуально ваши, Сетевые администраторы".

Как уже сказано, на самом деле во вложении располагается троян класса Backdoor, который открывает хакерам возможность получить контроль над заражённым компьютером.


Источник

_http://dk.compulenta.ru

Volk, 20.07.2005 - 23:14

Компания Trend Micro обнаружила новую «троянскую» программу – TROJ_DONBOMB.A – которая использует недавние террористические акты в Лондоне как основу для своего распространения. Эта программа поступает пользователю по электронной почте, когда он нажимает на гиперссылку, которая как будто бы ведет на сайт CNN. В тексте сообщения содержится модифицированная HTML-копия Web-страницы CNN, посвященной Лондонской трагедии, с дополнением, которое предлагает просмотреть любительское видео об этом событии.
Троянская программа TROJ_DONBOMB.A стала последним случаем все более популярной «социотехники», когда злоумышленники имитируют реальные новостные агентства с целью ускорить распространение вредоносных программ. Хотя использование недавних популярных событий в таких целях старо, как сами эти вредоносные программы, имитация новостных агентств стала относительно новой практикой, которая может приобрести еще большее распространение в будущем.

Источник
_http://www.izcity.com/

kontra, 22.07.2005 - 6:22

Trend Micro опубликовала предупреждение о появлении нового червя, который распространяется через ПО для обмена мгновенными сообщениями, а именно через AOL Instant Messenger, которым в России, к счастью, пользуются немногие. Названный W32/Opanki червяк представляется как файл под названием «iTunes.exe», таким образом, ссылаясь на знаменитый медиа-плеер/музыкальный сервис Apple.

Разработанный для Windows 95, 98, Me, NT, 2000, XP и Server 2003 вирус предлагает следующий текст для привлечения пользователей: «this picture never gets old» (это изображение никогда не становится старым). Текст сопровождается файлом iTunes.exe. Как и другие червяки, W32/Opanki открывает порты на зараженных машинах, которые затем могут использоваться злоумышленниками для своих нужд (рассылка спама, Dos-атаки и т.п.).



CNET

Volk, 23.07.2005 - 2:25

Вирусы и троянские программы, выпущенные после червя Sasser, и использующие его функционал, продолжают распространяться, однако этот процесс протекает медленно и по масштабам далеко отстает от "родительского", утверждают специалисты F-Secure.

Эксперты финской компании изучили три варианта червей, подобных Sasser. Новый, Lebreat, распространяет себя посредством массовой почтовой рассылки. Попав на компьютер либо самостоятельно, используя уязвимость сервиса Windows LSASS (сервис местной подсистемы авторизации безопасности), закрытую в прошлом году, либо при помощи пользователя - щелчком мыши по вложению, червь загружает программу массовой почтовой рассылки для отправки своих копий по электронным адресам в адресной книге и пытается совершить DoS-атаку против сайта компании Symantec. Для внедрения на компьютеры самостоятельно, Lebreat сканирует диапазоны IP-адресов и порт, на котором работает сервис LSASS. Червь также известен под именами Breatle или Reatle, которые ему дали в других антивирусных компаниях.

Письма от Lebreat содержат вложение Breatle AntiVirus v1.0. Для того, чтобы заинтриговать пользователя, выбирается одна из нескольких тем наподобие "С Вашей кредитной карты снят платеж $500. Для дополнительной информации смотрите вложение".

Специалисты F-Secure обнаружили еще два подобных червя. Сам Lebreat был классифицирован как представляющий опасность 2-го уровня - "вызывающий массовые заражения". В MessageLabs обнаружили 5636 копий электронных писем с Lebreat, по данным на конец пятницы. В Symantec также обнаружили этого червя, и, по словам директора по менеджменту продуктов Symantec Security Response Дэйва Коула (Dave Cole), он не распространился широко. Коул подтвердил содержание в теле червя кода атаки на сайт компании, но сказал, что в Symantec не волнуются по этому поводу из-за малой распространенности вредоносного кода.

Как обычно, компании советуют покупать последние версии своих продуктов для защиты от новых вирусов, не открывать незнакомые вложения и вовремя устанавливать последние "заплатки" на Windows.

Источник
CNews.ru

Volk, 6.08.2005 - 2:14

+1 Email-Worm.Win32.NetSky.q 14.67%
-1 Net-Worm.Win32.Mytob.c 13.58%
+5 Email-Worm.Win32.Zafi.b 8.01%
-1 Email-Worm.Win32.Zafi.d 6.54%
-1 Net-Worm.Win32.Mytob.be 6.12%
- Net-Worm.Win32.Mytob.bk 6.07%
-2 Email-Worm.Win32.NetSky.aa 4.41%
New Net-Worm.Win32.Mytob.bt 2.65%
-1 Email-Worm.Win32.NetSky.b 2.52%
+8 Net-Worm.Win32.Mytob.bi 2.11%
+3 Net-Worm.Win32.Mytob.au 1.85%
Re-entryEmail-Worm.Win32.NetSky.d 1.73%
-1 Net-Worm.Win32.Mytob.u 1.62%
-4 Net-Worm.Win32.Mytob.ar 1.59%
-8 Email-Worm.Win32.LovGate.w 1.59%
-5 Net-Worm.Win32.Mytob.q 1.37%
-1 Net-Worm.Win32.Mytob.t 1.30%
-1 Email-Worm.Win32.Mydoom.l 1.20%
Re-entryEmail-Worm.Win32.Mydoom.m 1.17%
Re-entryEmail-Worm.Win32.Bagle.ah 1.04%

Прочие вредоносные программы 20.95%
Удивительные вещи происходят порой в мире компьютерных вирусов. Стоит только отметить устоявшуюся тенденцию появления нового поколения сетевых червей и постепенное исчезновение ветеранов вирусных рейтингов, как "старички" вновь напоминают о себе, причем весьма уверенно.

Так произошло и в июле. Три месяца на вершине 20-ки находился Mytob.c, сместивший с "трона" лидера 2004 года - NetSky.q. Появлялись все новые и новые варианты червей семейства Mytob, и с такими темпами их роста вирусная двадцатка грозила превратиться в список исключительно Mytob-червей.

Внезапно все изменилось. NetSky.q вновь оккупировал первую строчку, таким своебразным способом отметив вынесение судебного приговора своему автору Свену Яшану, отделавшемуся условным наказанием. И это несмотря на появление еще одного нового представителя Mytob, впрочем, не спасшего уменьшение численности клана - общее их число сократилось с 13 до 10. Что характерно, при этом они были потеснены не новыми червями, а именно "ветеранами" из ставших уже классическими семейств Bagle, Zafi, Mydoom и того же NetSky.

Второй месяц подряд аналитиков продолжает удивлять семейство червей Zafi. В июне показатель Zafi.d вырос на 6 пунктов и тем самым вознес его на третье место в рейтинге. В июле абсолютно идентичная ситуация случилась с Zafi.b! Рост на 5 пунктов и то же самое третье место. Таким образом, два венгерских червя-полиглота (они рассылают зараженные письма на более чем пятнадцати европейских языках) находятся в пределах первой пятерки. Весьма неожиданные перемещения, не поддающиеся четкому логическому объяснению.

Новичок в рейтинге всего один - Mytob.bt. Варианты .bt практически ничем не отличается от своих предшественников. Авторы Mytob (самоназвание "HELLBOT") продолжают экспериментировать с программами-упаковщиками, стараясь таким образом затруднить детектирование, или просто меняют функционал бота, а также список используемых IRC-каналов для управления (так как старые довольно оперативно закрываются администрацией IRC-серверов).

Mytob-ы довольно уверенно чувствуют себя в первой десятке, занимая соответственно 2, 5, 6, 8 и 10 места.

Замыкает первую десятку Mytob.bi, который стал одним из лидеров месяца по росту показателей - сразу плюс восемь мест в рейтинге. Такой же показатель, но со знаком минус, у старожила LovGate.w. Если тенденция к падению LovGate.w будет продолжена, то в следующем месяце он покинет вирусный рейтинг.

Но наибольший интерес представляет трио червей, вернувшихся в двадцатку. Именно они и стали причиной утраты ряда позиций Mytob"ом, и именно они заняли места трех вытесненных ими представителей клана Mytob.

В первую очередь, это NetSky.d. Замеченный последний раз в мае, на пятнадцатой позиции, в июне он окончательно покинул пределы двадцатки, чтобы триумфально вернуться сразу на двенадцатое место. Четыре представителя семейства NetSky - на первом, седьмом, девятом и двенадцатом местах. Остается только еще раз удивиться неожиданной гуманности немецкого суда, приговорившего Свена Яшана к 18 месяцам условного заключения и 30 часам общественных работ.

Два других <возвращенца> находятся в самом конце рейтинга на 19-м и 20-м местах, однако не исключено, что, если падение Mytob"ов будет продолжено, то они смогут забраться и выше.

Mydoom.m - один из "старших братьев" семейства Mytob. Все они основываются на одних и тех же исходных кодах - Mydoom.a, и являются наглядным примером того, к каким последствиям может привести публикация исходных текстов вирусов в Интернет. Это не менее опасно, а фактически и более вредно, чем просто распространение одного вируса или червя, потому что подвигает массу других вирусописателей к использованию исходных текстов в своих вредоносных программах. Кто знает, если бы в феврале 2004 года исходные коды Mydoom.a не были бы распространены их автором в интернет, насколько сильно изменилась бы текущая вирусная ситуация. Понятно, что никаких новых Mydoom и Mytob в рейтинге бы не было.

Замыкает 20-ку один из многочисленных Bagle. На этот раз это - Bagle.ah. В июле как раз исполнился год с момента его обнаружения. Еще один необьяснимый всплеск активности старого, хорошо известного вируса.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (20,95%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

В двадцатке появилась 1 новая вредоносная программа: Mytob.bt.

В двадцатку вернулись: NetSky.d, Mydoom.m, Bagle.ah.

Повысили свой рейтинг: NetSky.q, Zafi.b, Mytob.bi, Mytob.au.

Понизили свои показатели: Mytob.c, Zafi.d, Mytob.be, NetSky.aa, NetSky.b, Mytob.u, Mytob.ar, LovGate.w, Mytob.q, Mytob.u, Mytob.t, Mydoom.l.

Не изменились показатели: Mytob.bk


Источник
Информационная служба "Лаборатории Касперского"

ЭЖД, 18.08.2005 - 10:57

Источник_kaspersky.ru

Volk, 21.08.2005 - 1:59

Компания CNN вынуждена была прервать показ телепередач из-за атаки нового червя Zotob, которому удалось поразить сеть телекомпании. Зараженные машины постоянно перезагружались. Червь проник также в компьютерные сети New York Times, компании ABC и других крупных организаций. Zotob копирует себя в системную папку Windows и блокирует доступ к сайтам антивирусных компаний. Затем он запускает ФТП-сервер на 3333-м порте и, используя порт 445, начинает сканировать IP-адреса на наличие других уязвимых систем. Уязвимость в Windows 2000, которую использует червь, была закрыта Microsoft на прошлой неделе, но администраторы жалуются, что еще не успели установить обновление. Windows XP действию вируса не подвержена.

Источник

_http://www.betanews.com/

ЭЖД, 4.10.2005 - 16:20

Источник_http://www.securitylab.ru/

Фан, 16.11.2005 - 21:07

Новые версии Sober воруют пароли

За последние сутки мы обнаружили несколько новых версий почтового червя Email-Worm.Win32.Sober (некоторые из них удостоились полноценного «желтого» предупреждения). Примерно в прошлую полночь был обнаружен последний из новых Sober — Sober.z.

Новые версии Sober мало отличаются от обнаруженных ранее: они по-прежнему используют специфический алгоритм защиты собственных файлов от доступа из других программ и обладают функцией загрузки на зараженный компьютер файлов из интернета.

Однако новые Sober также устанавливают в систему утилиту not-a-virus:PSWTool.Win32.PassView.162.

Эта утилита позволяет видеть скрытые пользовательские пароли — в данном случае речь идет о паролях, сохраненных Internet Explorer и Outlook.

Поскольку ни сами Sober, ни PSWTool.Win32.PassView.162 не обладают возможностью дальнейшей пересылки собранных паролей, то высока вероятность, что программа с подобной функцией будет вскоре загружена червями Sober из интернета на зараженные компьютеры.

«Лаборатории Касперского»

Фан, 16.11.2005 - 21:47

Червь Linux.Lupper

Несколько лет назад я впервые поехал на конференцию по Linux. Помню, мне сразу бросилась в глаза общая неформальная атмосфера: посетители прямо на лекциях разговаривали, пили пиво и пытались взломать ноутбук выступавшего через WiFi посредством обнаруженной тремя днями ранее уязвимости в SSH. Позже я узнал, что подобное поведение норма на конференциях по Linux/Unix, но для новичка это выглядело диковинно.

Одна из презентаций посвящалась вредоносным программам для Unix, в частности — для Linux. Выступавший проанализировал несколько широко известных вирусов, руткитов и бэкдоров для Linux, но обошел стороной сетевые черви. Под конец своего доклада автор отметил, что черви для Linux не просто возможны, но совершенно неминуемо появятся в будущем и станут не менее распространенными, чем, например, CodeRed. Утверждение было встречено явным (то есть, довольно громким) несогласием аудитории, напомнившей выступавшему, что Linux безопаснее Windows и червь вроде CodeRed в принципе не может появиться в Linux. Выступавший вздохнул, но спорить не стал — ему все было и так ясно.

Несколько дней назад наша система мониторинга сети Smallpot стала регистрировать флуд пакетов на 80-м порту. Поскольку в них не содержалось ни кода shell, ни кода переполнения буферов, то система автоматически присвоила им степень «низкой опасности» и отправила в архив. Но вскоре мы заметили, что с этими пакетами все же что-то не так. Обычно мы получаем огромное количество элементарных HTTP-запросов на 80-й порт — спамеры ищут открытые прокси-серверы или иные возможности для рассылки своих писем — но встретить червя, размножающегося через уязвимость на 80-м порту (HTTP) без использования переполнения буфера довольно трудно.

Однако именно так устроен Net-Worm.Linux.Lupper. Червь представляет собой статично скомпилированный ELF-бинарник, способный работать на большинстве систем и укомплектованный набором эксплойтов, предназначенных для уязвимых версий файлов xmlrpc.php и awstats.pl. Файлы эти встречаются во множестве дистрибутивов Linux (в частности, в Gentoo, Mandriva, Slackware, Debian и Ubuntu), а также в старых версиях популярного веблог-пакета WordPress.

Стоит отметить, что встроенная в новейшие процессоры AMD и Intel «железная» защита от переполнения буфера (так называемый NX/XD bit) бесполезна в отражении подобных атак и неспособна защитить компьютер от заражения червем Lupper, что еще раз доказывает несостоятельность рекламирования этой функции как «конец всем вирусам».

Детектирование червя Lupper.a было добавлено в базы антивируса 6 ноября. Вариант «b» стал перехватываться Антивирусом Касперского 9 ноября. Разумеется, Антивирус Касперского для Linux File Servers с запущенной постоянной защитой предотвращает заражение червем Lupper.

Веблог «Лаборатории Касперского»

DILI, 17.11.2005 - 21:50

http://images.km.ru/p..._ins.jpg" align="left" WIDTH="170" HEIGHT="134" hspace="10" BORDER="1">«Лаборатория Касперского» сообщает об обнаружении трех различных вариантов известного сетевого червя Sober. По классификации ЛК им были присвоены индексы «u», «v» и «w». Все модификации представляют собой различные варианты паковки одной и той же вредоносной программы. Многочисленные случаи обнаружения в почтовом трафике новых разновидностей Sober подтверждают информацию о том, что данная эпидемия вызвана цепью спам-рассылок зараженных червем писем.

Новые варианты Sober были разосланы через электронную почту в виде вложений в письма. Размер приложенного файла, который и содержит тело червя, составляет около 130 Кб. Несмотря на то, что заголовок и текст зараженного письма произвольны либо отсутствуют, распознать опасное сообщение позволяет ограниченность набора названий приложенного файла. Они могут быть следующими:

Exceltab-packed_List.exe;

Liste.zip;

Reg-List-Dat_Packer2.exe;

reg_text.zip;

Word-Text.zip;

Word-Text_packedList.exe;

Word-Text_packedList.zip.

Процедура запуска новых версий вредоносной программы стандартна для семейства Sober. Активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: «WinZip Self-Extractor. WinZip_Data_Module is missing ~Error».

Затем вирус копирует себя в системный каталог Windows и регистрируют себя в ключе автозапуска системного реестра. Помимо этого, они создают несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге Windows. Для своего размножения черви сканируют файловую систему пораженного компьютера в поисках адресов электронной почты и рассылают себя по обнаруженному списку адресатов.

Соблюдайте максимальную осторожность при работе с электронной корреспонденцией и постоянно обновляйте антивирусные базы.

OK.KM.RU

Фан, 23.12.2005 - 11:50

Обнаружен новый червь для Linux

Сегодня утром в интернете появился новый червь для Linux — это уже второй новый червь для Linux за последние пару месяцев (первым был Net-Worm.Linux.Lupper).

Червь получил название Net-Worm.Linux.Mare.a. Для своего распространения Mare.a использует php include. Вместе с червем также распространяется новая версия IRC-бота Backdoor.Linux.Tsunami.

Volk, 2.01.2006 - 22:24

Trojan-Downloader.Win32.Agent.acd

Тип вредоносной программы: Троянская программа (Trojan)
Уровень опасности: Высокий
Длина: 16'036 байт
ОС подверженные заражению: Windows XP (SP2), Windows XP (SP1) и Microsoft Windows Server 2003 (SP0 или SP1)
Возможные названия: WMF - Trojan, Exploit-WMF trojan, Exploit.Win32.Agent.t, Troj/DownLdr-LW (Sophos), W32/PFV-Exploit (F-Secure)

Описание

Trojan-Downloader.Win32.Agent.acd является WMF файлом (Windows Metafile) использующим уязвимость в процессе обработки операционной системой WMF-файлов.

Уязвимости подвержены операционные системы Windows XP (SP2), Windows XP (SP1) и Microsoft Windows Server 2003 (SP0 или SP1).

Данная уязвимость работает в браузере Internet Explorer.

Создана и специальная эвристическая процедура детектирования новых разновидностей и модификаций Type_WMF-TROJAN

Данная “WMF-уязвимость” особенно опасна потому, что она имеет статус критической, а соответствующего исправления программных модулей от компании Microsoft еще не существует.

Настоятельно рекомендуется пользователям не открывать файлы с расширением *.wmf, а также, по возможности отказаться от использования браузера Internet Explorer или установить уровень безопасности на максимальную отметку (High).

Фан, 4.01.2006 - 22:35

Санта-Клаус несет вирус

Пользователи электронной почты были неприятно удивлены, получив под видом новогодней поздравительной открытки с Санта-Клаусом новый тип компьютерного вируса. Рождественский троян «MerryX.A» рассылается по почте в виде поздравительного письма.

В приложении к такому письму находится анимированный файл о Санта-Клаусе, который действительно воспроизводится на компьютере адресата. Правда, во время показа поздравительного ролика на компьютер устанавливается вредоносное программное обеспечение. Пока пользователь рассматривает картинку, «червь» пытается установить в его системе программу типа rootkit. Далее программа пытается разрешить удаленному пользователю получить полный доступ к ресурсам компьютера, что, в конечном итоге, чревато для хозяина машины большими проблемами, например, потерей конфиденциальной информации, если она имеется на зараженном компьютере, сообщает Аmericaru.

Поздравительные программы часто используются хакерами для обмана систем безопасности программного обеспечения и позволяют получить удаленный контроль над компьютером. Таким образом, хакер закрепляется на взломанном компьютере и остается при этом необнаруженным. Попав на компьютер, «червь» от имени пользователя рассылает себя по имеющимся адресам, передает Интернет Репортер. В корпоративных сетях, вирусы, подобные «червю» с Санта-Клаусом, могут представлять особую угрозу, поскольку некоторые работники открывают ссылки от информационных порталов на лету, не уведомляя технический персонал, сообщает MIGnews.ru.

В то же время тот факт, что на этот раз угроза исходит от порталов массовой рассылки, ознаменовало новый этап в распространении вирусов. Специалисты прогнозировали такое развитие - принимая во внимание растущее число новых, инновационных решений в области вирусописания за последние годы. Как констатировали в компании IMLogic, занимающейся безопасностью в Интернете, с начала 2005 года опасность, связанная с рассылкой сообщений, возрастала с каждым месяцем.

В прошлом году всплеск активности вирусоразработчиков пришелся опять-таки на рождественские праздники. Вирус, названный Zafi.D, распространялся посредством электронной почты: заражая пользовательский компьютер, программа сканировала адресную книжку почтового клиента и рассылала свои копии по всем найденным адресам. Узнать вирус можно было по поздравлению с Рождеством и Новым годом, написанном на одном из пятнадцати языков стран-членов Евросоюза. Выбор языка происходил автоматически в зависимости от того, в каком национальном домене сидит почтовый провайдер жертвы, что делает вирус еще более опасным, сообщает Internet.ru .

«Сложность в том, что разработчики «червей» прибегают к тактикам, которые оказались эффективными в e-mail кампаниях», - говорит представитель IMLogic. Вирусописатели могут видоизменять ранние версии вирусов и применять разные стратегии. Другая проблема заключается в том, что рядовые пользователи еще не всегда осознают, что черви и вирусы могут передаваться через системы рассылок, отметил представитель IMLogic. Согласно информации компании SurfControl, за последний год количество вирусов, маскирующихся под поздравительные открытки, выросло на 90%.

Надеяться на то, что «вирусологи» ограничатся лишь новогодним «налетом» на компьютеры пользователей, не стоит. В 2003 году вирус замаскировали под поздравительную открытку к 8 Марта. Открытки рассылались пользователям в ночь с 4 на 5 марта. При посещении сайта, адрес которого прилагался, пользователю предлагалось скачать файл для просмотра открытки. Открытка же являлась в действительности вирусом Wmpatch. Поздравление с вирусом получили до 1.000.000 адресатов.

Деловая газета «Взгляд»

Infernus, 19.01.2006 - 13:02

Червь Win32.VB размножается, как кролик, распространяется по Сети со скоростью лесного пожара, но при этом не представляет особой опасности для большинства пользователей.


К такому выводу пришли эксперты компании F-Secure, ведущие собственную статистику сетевых происшествий. Распространяющийся посредством спам-технологий червь Win32.VB занял третье место в хит-параде финской компании. Всего за два дня служба поддержки F-Secure получила почти семьсот писем от жертв новой сетевой напасти.

Тем не менее, несмотря на его повышенную назойливость, червь не представляет собой особой угрозы и без особого труда сдерживается антивирусными программами и межсетевыми фильтрами, пишет CNET. Так что, если вы регулярно обновляете базы соответствующих программ, опасаться вам нечего.

Фан, 20.01.2006 - 10:09

Вирус прикидывается шифровкой из GMail

Вирусами, распространяющимися по электронной почте, давно никого не удивишь. Времена, когда в письма вкладывались просто файлы с вирусами постепенно уходят. Чтобы обойти антивирусные фильтры, вирусописатели прячут свои творения в архивы, защищают их паролями и стараются убедить пользователя открыть зараженный файл.
Для этой цели используются самые разные подходы: то вирусописатели утверждают, что прислали порнографию, то секретный документ. Недавно в редакцию "Компьюленты" пришло письмо с темой "Encrypted E-mail Service (GMail)" (зашифрованная почтовая служба GMail). В тексте письма говорилось, что один из пользователей GMail прислал получателю зашифрованное послание - поздравление с новым годом.



Для расшифровки послания предлагается открыть архив mail.zip, пароль к которому прилагается. Разумеется, после открытия содержимого архива компьютер будет заражен вирусом. Это подтвердила и проверка архива онлайновой версией антивируса Dr. Web. По его мнению, архив содержит в себе вирус Win32.HLLM.Graz.

Источник: compulenta.

Infernus, 20.01.2006 - 22:04

Распространяющийся по электронной почте сетевой червь предлагает своим жертвам полюбоваться на картинки из индийского учебного пособия по плотской любви, не забывая заразить Windows-машины попавшихся на удочку простаков.
Помимо собственно обещаний показать жертве сценки из индийского бестселлера всех времен и народов, червь рассылает себя с такими заголовками, как The Best Videoclip Ever, Fw: SeX.mpg и Miss Lebanon 2006, сообщает The Register.
Если жертве хватит ума активировать червя, Nyxem-D пытается отключить антивирусные программы, а затем собирает все контакты из записных книжек коммуникационных программ, установленных на зараженном компьютере. Кроме того, червь снабжен механизмом автоматического обновления, с помощью которого он закачивает на машину-носителя свежие версии программы.

Internet.ru

okmer, 27.01.2006 - 18:51

Сообщение от «Доктор Веб»


Источник «Доктор Веб»

Infernus, 30.01.2006 - 12:02

Компания IronPort, первой заявившая об обнаружении вируса Nyxem.E, предупреждает, что вирус приступит к выполнению "активных мероприятий" уже в пятницу третьего февраля.


К такому выводу эксперты IronPort пришли, проанализировав код попавшего к ним вируса. Через четыре дня уже подцепившие вирус системы начнут активно рассылать код Nyxem.E по всей Сети. На сегодняшний день, как полагают аналитики, общее количество зараженных компьютеров составляет что-то около полумиллиона, так что можно ожидать, что в будущую пятницу мы столкнемся с резким снижением скорости интернета и перегрузками у почтовых провайдеров.

Пользователям, антивирусные базы которых содержатся в надлежащем порядке, беспокоиться не о чем. А вот более безалаберным владельцам компьютеров стоит помнить, что в случае успешного заражения вирус Nyxem сотрет все файлы, созданные в форматах Word, Excel, PowerPoint и PDF, и превратит компьютер в часть зомби-сети, которая в будущем будет использоваться для рассылки спама и организации новых сетевых атак, сообщает CNET

Фан, 31.01.2006 - 14:39

Вирус Nyxem.e 3 февраля уничтожит информацию на зараженных компьютерах

"Лаборатория Касперского" оповещает о серьезной угрозе со стороны почтового червя Email-Worm.Win32.Nyxem.e. Главной опасностью червя является его деструктивная направленность: третьего числа каждого месяца, через полчаса после загрузки компьюетра он уничтожает информацию на жестком диске, перезаписывая файлы с расширениями doc, mdb, pdf, ppt, rar, xls, zip и другие. Содержимое этих файлов заменяется совершенно бесполезной текстовой строкой: DATA Error [47 0F 94 93 F4 F5].


Сам червь представляет собой файл размером 95 кб и распространяется по электронной почте с различными заголовками и текстом. Активировать вирус может только сам пользователь, запустив зараженный файл. После запуска Nyxem.e создает в системном каталоге Windows архив с тем же именем, что и запущенный файл. В дальнейшем запуск вируса происходит из этого архива. После запуска червь копирует себя под несколькими именами в корневой и системный каталоги Windows, а также в каталог автозагрузки, вдобавок, регистрируясь в ключе автозапуска системного реестра. Затем вирус рассылает свои копии по всем найденным адресам электронной почты и копирует себя в доступные сетевые ресурсы под именем Winzip_TMP.exe.

Вредоносная программа также прекращает работу антивирусов и предотвращает их повторный запуск. Наконец, Nyxem.e способен самостоятельно обновляться через интернет.

По данным "Лаборатории Касперского", на данный момент вирусом заражены несколько сотен тысяч компьютеров, причем их число продолжает расти. Пока эпидемия сильно уступает масштабам эпидемий червей MyDoom и Sobig.f, но деструктивное действие Nyxem.e делает этот червь особенно опасным.

Ближайшая дата активации деструктивных функций - пятница, 3 февраля 2006 г. По этой причине в "Лаборатории Касперского" рекомендуют всем пользователям проверить свои компьютеры. Процедуры защиты от Nyxem.e уже добавлены в базу данных "Антивируса Касперского".

INKOGNITO3, 31.01.2006 - 22:33

Новый вирус эксплуатирует дыру в Winamp'е

Воспользовавшись "чрезвычайно критической" ошибкой в коде программного плеера Winamp, злоумышленники могут взять под полный контроль компьютер жертвы. Дырка, как сообщает антивирусная компания Secunia, наличествует в плеерах Winamp 5.12, хотя, теоретически, неприятности могут угрожать и владельцам более древних версий популярной программы. Правда, как считают эксперты компании, за последние годы количество пользователей Winamp'a сильно сократилось в пользу тяжеловесного (и не менее дырявого Windows Media Player), так что есть надежда, что особо массовой эпидемии мы не увидим. Тем не менее, принадлежащая America Online компания Nullsoft уже подготовила заплатку! Вы можете скачать новую версию программы уже сейчас! Новость о выходе новой версии программы немного раньше была опубликована!

The company posted version 5.13 of the media player online on Monday after Secunia and other security companies issued alerts about the problem. Malicious software exploiting the "extremely critical" flaw was already circulating on the Internet, according to Secunia's advisory. The security hole, found in the latest version of Winamp 5.12, could lead to malicious attackers taking remote control of a Winamp user's system. Earlier versions of the media player may also be affected, Secunia said.

Even though the security company gave the vulnerability its highest rating for software threats, it noted that the number of people who use Winamp has declined over the years, so the scope of the problem is not as large as it once might have been.

"Winamp used to be the world's most popular MP3 player and is still quite popular, but as Windows Media Player has gotten better, some users have migrated over," said Thomas Kristensen, Secunia's chief technology officer.

The vulnerability could be exploited when a Winamp user visits a malicious Web site and a tainted media file is launched onto the person's system. A buffer overflow is triggered, which allows the attacker to take control of the computer without being constrained by security measures, Kristensen noted.

"We aren't aware of any systems that have been compromised yet, but it's likely to happen since there's exploit code out," Kristensen said.

The update from Nullsoft, a division of America Online, has been made available for download at the Winamp Web site.

The vulnerability, initially discovered by Atmaca, is not the first to be found in the Winamp software. In late 2004, a highly critical flaw was found in the playlist files for the Winamp player.

Фан, 1.02.2006 - 14:42

Вирус в компьютере

https://softoroom.org/topic12425s0.html

Файвер, 9.02.2006 - 7:47

В Sun Java JRE опасные уязвимости

Эксперты по информационной безопасности обнаружили уязвимости в Sun Java JRE, которые позволяют удаленному пользователю скомпрометировать уязвимую систему.

Уязвимости существуют из-за неизвестных ошибок в «reflection» API. Злонамеренный апплет может обойти ограничения безопасности песочницы, прочитать и записать произвольные файлы, выполнить произвольные приложения на системе.

«Дыре» присвоен рейтинг опасности «высокая». Уязвимы JDK and JRE 5.0 Update 5 и более ранние версии; SDK and JRE 1.4.2_09 и более ранние версии; SDK and JRE 1.3.1_16 и более ранние версии. Для использования уязвимости нет эксплойта. Для решения проблемы установите исправленную версию с сайта производителя, сообщил Securitylab.

Файвер, 9.02.2006 - 8:13

В приложениях для Windows найдены уязвимости

Программистам крупных компаний, таких, как провайдер США AOL и разработчик систем работы с графикой и документами Adobe Systems, следовало бы тщательнее подходить к защите своих программ от хакеров, считают двое исследователей Принстонского университета. Это касается и других крупных фирм, которые в настоящее время устраняют указанные уязвимости. Главная претензия исследователей — приложения требуют слишком много прав для работы, и этими правами может воспользоваться злоумышленник.

Команда из Принстона работает над системой контроля доступа в Windows, определяющей права пользователя. Студент Судхакар Говиндавахала (Sudhakar Govindavajhala), входящий в команду исследователей, сказал, что поставщики делают ошибки, когда пишут программы под Windows. Используя эти ошибки, хакер может повысить свои привилегии в системе и «сделать много интересных вещей».

Исследователям удалось обнаружить уязвимости в AOL Instant Messenger и Photoshop. Компании уже исправили ошибки, однако с тех пор были найдены другие в различных приложениях разных поставщиков. Соавтор доклада и участник команды Эндрю Эппел (Andrew Appel) сказал, что информация передана в соответствующие компании.

Поскольку корпорация Microsoft серьезно взялась за безопасность операционной системы Windows, в частности, предоставляя автоматические обновления, хакеры переключились на сопутствующие продукты, поставщики которых реагируют не так быстро. Об этой тенденции предупреждают специалисты SANS Institute — организации, готовящей профессионалов компьютерной безопасности. SANS периодически выпускает списки уязвимых приложений — интернет-пейджеров, медиаплееров, систем резервного копирования и других.

de1ay, 20.02.2006 - 8:43

Обнаружен новый троян под Mac OS X 10.5

Вирус OSX/Leap-A был обнаружен специалистами компании Sophos и выложен ими на сайт для информирования пользователей о новой опасности. Ввирус специально предназначен для заражения операционных систем от Apple Computer Inc. действует через iChat, который совместим с американским онлайн-чатом AIM.

Программа рассылает себя по адресам, обнаруженным в списке адресатов в файле latestpics.tgz программы iChat.

Представители крупнейших антивирусных компаний заявили, что появление вируса для Mac OS свидетельствует об опасной тенденции распространения вредоносных программ на платформы менее распространенные, чем Windows. По сообщениям специалистов, более, чем 90% всех вирусов в мире создаются для операционной системы Windows.

Однако как отмечают специалисты, вирус не опасен для осторожных пользователей, так как не инфицирует компьютер автоматически. Перед тем, как сохраниться на новом компьютере OSX/Leap-A спрашивает разрешения у пользователя.

Компания Symantec присвоила первый ранг опасности вирусу OSX/Leap-A, в то время как саамы опасный вид вирусов имеет пятый ранг.

Ранее под MaC OS уже появлялись трояны, например Mac/Cowhand-A.

scorpio, 10.04.2006 - 13:46

Компания "Лаборатория Касперского" обнаружила новую вредоносную программу, способную инфицировать компьютеры с операционными системами Windows и Linux. Вирус получил двойное название Virus.Linux.Bi.a / Virus.Win32.Bi.a.

Эксперты "Лаборатории Касперского" отмечают, что Bi.a представляет собой концептуальную вредоносную программу, демонстрирующую принципиальную возможность создания кроссплатформенных вирусов. Bi.a написан на ассемблере и заражает исполняемые файлы (ELF и PE) в текущем каталоге. При этом Bi.a не выполняет деструктивных действий и не имеет никакого практического применения. Инфицированные файлы содержат строки со следующим текстом: "[CAPZLOQ TEKNIQ 1.0] © 2006 JPanic:", "This is Sepultura signing off... ", "This is The Soul Manager saying goodbye..." и "Greetz to: Immortal Riot, #RuxCon!".

Не исключено, что код Bi.a в перспективе будет использован злоумышленниками для создания более опасных программ. Процедуры защиты от кроссплатформенного вируса, впрочем, уже добавлены в базы данных Касперского.

Примечательно, что около месяца назад была обнаружена первая вредоносная программа, способная поражать персональные компьютеры под управлением Windows, а также коммуникаторы с операционной системой Windows CE или Windows Mobile. Программный код получил название Crossover Virus и также является лишь демонстрацией того, что существует принципиальная возможность создания вирусов, паразитирующих на различных устройствах.


В. Парамонов, Компьюлента

Фан, 21.04.2006 - 11:24

Вирус в сетях

Червь проникает через сети P2P, посредством которых миллионы пользователей каждый день скачивают музыку и картинки

В Интернете появился опасный полиморфный вирус, носящий название Polipos, который уже в течение целого месяца распространяется по различным сетям типа Peer2Peer. Первые сообщения о вирусе были зарегистрированы в конце марта этого года. Помимо сложного полиморфного механизма, реализованного во вредоносной программе, в ней содержалась и опасная функция «нейтрализации» целого ряда антивирусных программ и прочих средств безопасности.

С легкостью распространяясь по P2P, вирус проникает на подключенные машины и, будучи запущенным, скрытно делает их участниками другой общедоступной сети.

Polipos заражает исполняемые файлы Windows, записывая вредоносный код в неиспользуемые пространства кодовых секций, как бы «покрывая тело файла-жертвы собственными пятнами». При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код.

При запуске вирус внедряет свой код во все запущенные на компьютере процессы. Таким образом в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и других. Зараженные файлы становятся общедоступными для участников этой сети.

Безусловно, распространение подобного вируса вызвало беспокойство среди пользователей соответствующих P2P-сетей. Однако обращает на себя внимание довольно любопытное обстоятельство.

Несмотря на то что присутствие в P2P-сетях Polipos не является ни для кого новостью уже около месяца, антивирус Dr.Web до последних дней был единственным, кто его детектировал, заявили в пресс-службе компании. Специалисты «Лаборатории Касперского» в свою очередь не смогли дать комментарии по поводу этого вируса.

В середине марта также стало известно об эпидемии еще одного вируса, распространяемого через P2P. Червь Bagle-DO выдавал себя за фотографии обнаженной актрисы Кейт Бекинсейл или эротические фото известной наследницы короля гостиничного бизнеса Пэрис Хилтон и поп-звезды Бритни Спирс.

Как только инфицированный файл открывается, червь устанавливает себя на компьютер и ищет другие компьютеры в локальной сети и в сетях P2P с целью их заражения – через почтовые сообщения и одноранговые системы обмена файлами.

Еще раньше, в сентябре прошлого года, в Интернете появился червь P2Load.A, подменяющий собой самую популярную поисковую систему Google. Как и его «собратья», P2Load.А распространяется через P2P, а точнее, через пиринговые программы Shareaza и Imesh. При этом он маскируется под файлы компьютерной игры из серии «Звездных войн».

При запуске он отображает сообщение об ошибке, информирующее пользователя о том, что не найден определенный файл, и предлагает скачать его. При этом червь заражает компьютер и вносит две основные модификации: изменяет стартовую страницу, отображая рекламу, и подменяет интернет-поисковик Google.

Когда пользователь пытается воспользоваться поисковиком, его запрос перенаправляется на страницу, которая выглядит точно так же, как и Google, и даже выполняет схожие функции. Однако при этом в результатах поиска отображаются те сайты, которые хотели показать создатели червя, а не те, которые показал бы «официальный» Google.

Механизм лечения этих вирусов довольно сложен, поскольку требует обработки сложного алгоритма шифровки, поэтому порой на распознавание кода вируса может уходить довольно значительное (по компьютерным меркам) время.

Для лечения зараженных файлов не требуется скачивания никаких дополнительных утилит – большинство современных антивирусных программ эффективно борются с вирусами, подобными Polipos. Однако специалисты, как и во многих других случаях, настоятельно рекомендуют обновить антивирусные базы.

«Обязательным элементом защиты является постоянно обновляемое антивирусное ПО. Учитывая, что сейчас пишется все больше и больше вредоносных программ, неосторожные компьютерные пользователи могут подвергнуть свои данные большому риску», – говорит старший технический консультант компании Sophos Грэхем Клули.

Slevin Kelevra, 6.05.2006 - 3:55

Новый троян завлекает планом игр чемпионата по футболу

Специалисты по вопросам компьютерной безопасности предупреждают о появлении очередной вредоносной программы, использующей методы так называемого социального инжиниринга. Новый троян эксплуатирует всеобщий интерес к предстоящему чемпионату мира по футболу, который начнётся в следующем месяце в Германии.

Схема распространения вредоносной программы, как сообщает Infoworld, сводится к следующему. Потенциальной жертве приходит электронное письмо с текстом "Fussball Weltmeisterschaft 2006 in Deutschland" ("Чемпионат мира по футболу в Германии"). В теле сообщения имеется ссылка на некий файл googlebook.exe, якобы содержащий план соревнования. Однако, если пользователь по неосторожности щёлкнет по ссылке, на его компьютер вместо ожидаемого графика игр проникает троян.

Уголовная полиция земли Баден-Вюртемберг уже направила информацию о вредоносной программе в Федеральное агентство по информационной безопасности Германии, а также в Федеральное бюро расследований США. Кстати, троян, предположительно, распространяется с сервера, расположенного именно на территории Соединённых Штатов.

Кстати, методы социального инжиниринга применяются вирусописателями достаточно часто. Например, ураган Катрина повлёк за собой спам-рассылку сообщений с предложением узнать подробности о стихийном бедствии. Однако любопытным вместо обещанной информации высылался вредоносный код.

de1ay, 24.05.2006 - 8:28

Червь устанавливает на компьютер подставной Internet Explorer

Компания защиты сетей мгновенных сообщений FaceTime Communications обнаружила червя «yhoo32.explr», который распространяется через Yahoo Messenger и инсталлирует на компьютер подставной браузер Internet Explorer.

Всё начинается со ссылки на зараженную веб-страницу, которую вирус рассылает по списку контактов. При посещении страницы на компьютер загружается и устанавливается так называемый «Safety Browser» - «безопасный браузер» - программа, которая ведет пользователя на страницы с рекламным и шпионским ПО. «Браузер» использует логотип Internet Explorer для того, чтобы сбить пользователя с толку. Червь также устанавливает в браузере новую домашнюю страницу – сайт Safety Browser.

Кроме рассылки себя по списку контактов, червь также перезаписывает отправляемые сообщения, вставляя в них свою ссылку, причем пользователь этого не видит. Еще одно неудобство – визгливые звуки, которые играет фальшивый браузер, однако пользователи Windows XP Service Pack 2 этого не услышат из-за блокировки.

de1ay, 28.05.2006 - 20:03

Любителям вареза посвящяется...

Троян Erazer-A, распространяющийся через пиринговые сети под видом полезных программ, не только шпионит за хозяевами зараженных компьютеров, но и удаляет с них варез и прочую порнографию.

Программа обследует открытые для p2p-обмена папки на предмет обнаружения там файлов, сохраненных в форматах AVI, MP3, MPEG, WMV, GIF, ZIP и другие, после чего стирает с диска файлы с порнографией, музыкой и краденным софтом, отвечающие определенному описанию. Сделав свое черное дело, троян откладывает яйцо, используя для него такие громкие имена, как game.exe, goporn.exe, nero7.exe или officexpcrack.exe в надежде, что очередной пользователь пиринговой сети купится и закачает его на свою машину.

Фан, 1.06.2006 - 15:01

В Европе появился новый компьютерный вирус-вымогатель

Новый опасный вид вируса поразил европейские каналы Интернета. Проникая в персональный компьютер, он устанавливает контроль над ним.

Одновременно владелец компьютера получает сообщение, что если он не переведет определенную сумму на указанный счет, то вся частная информация, находящаяся в компьютере, будет распространена в Интернете. Еще одна угроза - стереть все файлы в захваченном компьютере. И в данном случае у владельца также требуют деньги. Во многих случаях люди вынуждены платить, отмечают британские специалисты.

Как сообщили власти, вирус-вымогатель сейчас активно распространяется в сетях Великобритании, Франции, Германии и в ближайшее время достигнет России, сообщает ИТАР-ТАСС.

аэк, 1.06.2006 - 15:30

Новый вирус прикидывается Word`ом1.06.2006 10:21 | Финансовые известия
На российских пользователей компьютеров, работающих с программами MS Office, на этой неделе посыпались напасти. Сначала в "народном" текстовом редакторе Word была обнаружена "брешь", позволяющая злоумышленнику проникнуть на удаленный компьютер. А на днях антивирусные аналитики забили тревогу вновь - по миру начали распространяться "трояны", маскирующиеся под документы с расширением .doc (формат приложения Word). Новые "трояны" 1Table.A, Gusi.A и Gusi.B запросто могут полностью разрушить систему компьютера.

Наверное, уже любой пользователь знает, что открывать незнакомые файлы, пришедшие по электронной почте или закачанные из интернета, крайне опасно для операционной системы. Раньше подозрения вызывали в основном документы с экзотическими расширениями, а Word'овские файлы априори пользовались доверием. Теперь это не так: троянская программа попадает в компьютеры в виде документа, созданного в приложениях MS Office (например, Word или Exel). Получив полный контроль над системой, хакер может распорядиться предоставленной возможностью как угодно. Для начала он может выкачать из зараженного компьютера все секретные сведения (к примеру, пароли), а потом с удовольствием уничтожить все данные на жестком диске (отформатировать его).

Вот как описывают процедуру заражения антивирусные аналитики из "Лаборатории Касперского": "Пользователь получает письмо с вложением в формате .doc, которое представляет собой замаскированную троянскую программу. При попытке открыть данный документ, эта программа устанавливает в систему другой троянский модуль". Впрочем, пока специалисты не драматизируют ситуацию: "На данный момент нам известно, что злоумышленники использовали эту технологию в рамках одной организации, прислав на рабочие ящики нескольких сотрудников письма якобы от их коллеги. Таким образом, атака была точечной, и вредоносные программы, использующие эту уязвимость, пока не получили широкого распространения". Microsoft еще не выпустила "заплатку" от появившихся "троянов". Пока единственным спасением от хакер ов является использование антивирусных программ и собственная бдительность. Эксперты настоятельно рекомендуют пользователям не открывать вложения в формате документов Word в письмах, пришедших от неизвестных адресатов.

Финансовые известия

scorpio, 13.06.2006 - 13:38

Компания Symantec предупреждает о появлении новой вредоносной программы, названной Yamanner. Этот червь, написанный на JavaScript, распространяется через уязвимость в службе Yahoo Mail и используется с целью сбора адресов электронной почты.

Вредоносная программа рассылается с письмами с заголовком "New Graphic Site". Активация червя происходит при открытии сообщения. Затем копии Yamanner рассылаются по адресам из книги контактов жертвы внутри доменов @yahoo.com и @yahoogroups.com. Найденные адреса электронной почты отправляются на спамерский сервер.

Теоретически Yamanner способен размножаться через любую из модификаций Yahoo Mail (кроме последней бета-версии). Однако, как сообщает ZDNet со ссылкой на заявления представителей Yahoo, в начале текущей недели компания выпустила патч, устраняющий уязвимость в своей почтовой службе. Заплатка распространяется автоматически, и пользователю не нужно предпринимать какие-либо действия по её установке.

Специалисты компании Symantec охарактеризовали вредоносную программу умеренно опасной. Тем не менее, для пересылки украденной информации злоумышленникам червь обратился к удалённому серверу в Сети более ста тысяч раз. В этой связи пользователям почтовой службы Yahoo Mail рекомендуется обновить антивирусные базы данных.

compulenta

s_A_n, 16.06.2006 - 19:16

скажи всем своим контактам, которые в Agente, что бы контакт [email protected] с ником "айсберг" не принимали! Это вирус! Крышу сносит при первом включении компьютера. А если кто-то из твоих контактов его словит, то он у тебя тоже будет автоматически. Так что скопируй это и перешли всем своим контактам, а информация пришла вчера утром от Микрософта. Пожалуйста, передайте её каждому,кто имеет доступ в интернет.
Дальше: Будвайзер, названный "ХЕР.ZIP".Если получите, то НИ В КОЕМ СЛУЧАЕ ЕГО СРАЗУ НЕ ОТКРЫВАЙТЕ. Если его откроете,то потеряете всё, что есть в вашем компьютере

sapfir, 19.06.2006 - 19:57

Вот что я сегодня обнаружил на одном сайте:

Здравствуйте!
Скажите всем, с кем Вы контактируете в Инете, чтобы контакт [email protected] с ником "айсберг" не принимали! Это вирус!!!
«Крышу сносит» при первом включении компьютера. А если кто-то из ваших контактов его поймает, то он у вас тоже будет автоматически. Так что скопируйте это и перешлите всем своим контактам. Эта информация пришла вчера утром от Майкрософта. Пожалуйста, передайте её каждому, кто имеет доступ в Интернет!
Дальше: Будвайзер, названный "ХЕР.ZIP". Если получите, то НИ В КОЕМ СЛУЧАЕ ЕГО СРАЗУ НЕ ОТКРЫВАЙТЕ. Если его откроете, то потеряете всё, что есть в вашем компьютере. Жёсткий диск будет полностью уничтожен, а лицо, которое вам послало сообщение получит доступ к вашему имени и паролю в Интернете. Это новый вирус и очень опасный.
Пожалуйста, скопируйте это сообщение и пошлите его всем, кто есть в вашем списке е-мейлов. Необходимо сделать всё, что бы этот вирус остановить. AOL подтвердил, что этот вирус очень опасен, и пока не существует никакой антивирусной программы против него. Пожалуйста, примите меры предосторожности и передайте эту информацию
своим знакомым.

Вот такое письмо я получил сразу же из нескольких разных источников. Как говорится: "Кто предупрежден - тот вооружен!"

Нашел в интернете , верить или нет решайте сами.

Фан, 3.07.2006 - 10:15

Сегодня активизируется опасный компьютерный вирус

Несмотря на то, что специалисты придумывают все новые методы борьбы с компьютерными вирусами, злоумышленники неизменно находят новые способы насолить пользователям компьютеров.

Вирус, который угрожает сегодня, является почтовым и в меньшей степени сетевым червем. Он попадает на компьютер либо при открытии вложения к письму, где размещены ссылки на порносайты, либо через «расшаренные» диски. Вирус запускается после загрузки компьютера в третий день любого месяца, разрушая файлы форматов DOC, XLS, ZIP, RAR, PDF и некоторых других.

В первый раз вирус НИКСЕМ обнаружили в январе этого года. Вредоносный код вызвал эпидемию, и антивирусные аналитики прогнозировали массовое уничтожение файлов на инфицированных машинах 3 февраля. Однако ущерб оказался гораздо меньше прогнозируемого. А вскоре специалисты посчитали вирус и вовсе уничтоженным навсегда.


Однако в июне он появился вновь и сегодня угрожает миллионам компьютеров по всему миру. Впрочем, для того, чтобы не пострадать от него, достаточно элементарных мер предосторожности – нужно установить на свой компьютер современный антивирус, а также не открывать подозрительных вложений в электронные письма. Некоторые организации даже приняли решение вовсе не включать сегодня компьютеры, сообщает «Эхо Москвы».

mars, 3.07.2006 - 11:40

БУДЕМ ВО ВСЕ ОРУЖИИ!!

Фан, 10.07.2006 - 8:56

Троянец DNSChanger.eg меняет IP-адреса

Обнаружена новая троянская программа, которая перенаправляет пользователей на фальшивые сайты даже в случаях, когда они набирают адрес ресурса в строке браузера. Новый троянец получил название DNSChanger.eg, сообщает Darkreading.com.

DNSChanger.eg изменяет процесс обращения доменного имени в IP-адрес, утвержают специалисты индийской антивирусной компании MicroWorld Technologies. По их оценке, вредоносная программа обладает потенциалом высокого риска.

Когда пользователь набирает адрес в строке браузера, троянская программа направляет его на IP-адрес, не соответствующий набранному доменному имени. Преступники могут сделать фальшивый сайт очень похожим на тот, к которому обращаются пользователи и таким образом получить от них важную информацию, например, банковские учетные данные.

«Фишинг обычно связан с необходимостью привлекать пользователей на фальшивые сайты через электронную почту. В этом случае ничего подобного не требуется. Пока ничего не подозревающий пользователь совершает онлайн-транзакцию, он может отдать все удаленному мошеннику прямо в руки», — комментирует генеральный директор MicroWorld Technologies Говинд Раммурти (Govind Rammurthy).

Используя DNSChanger.eg, преступники могут повредить и сам DNS-сервер. Программа способна менять DNS-кэш, а значит запросы к сайту могут перенаправляться на другие IP-адреса.

Источники:
Dark Reading

scorpio, 31.07.2006 - 8:24

Компания McAfee обнаружила в интернете нового трояна, который маскируется под расширение к браузеру Mozilla Firefox. Вредоносная программа носит название FormSpy, сообщает Beta News.

Заражая компьютер, троян отсылает на удалённый сайт информацию, которая вводится пользователем в браузере. Она может включать номера кредитных карт, пароли, пин-коды к счетам в электронных банках. Приложение также умеет выделять аутентификационные данные из перехваченных ICQ, FTP, IMAP и POP3 сессий.

Компания McAfee оценила опасность нового трояна как "низкую" и выпустила обновлённую антивирусную базу. Кроме того, для нормальной работы трояну требуется дополнительная программа Downloader-AXM.

security.compulenta.ru

Hell, 3.08.2006 - 0:37

Троян "Превед" атакует через ICQ

Служба вирусного мониторинга компании "Доктор Веб" сообщает о распространении по сети мгновенных сообщений ICQ новой модификации троянской программы, получившей название Trojan.PWS.LDPinch.1061. Вредоносный код распространяется в файле oPreved.exe.

Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe) действительно имеет значок флэш-ролика, но на самом деле — это троянец, перехватывающий пароли.

После запуска oPreved.exe создаются файлы:
%System%\Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot),
%windir%\temp\xer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot)
и временный файл C:\a.bat.

Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run «Shel»=Expllorer.exe;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices «Shel»=Expllorer.exe.

Передача паролей происходит через скрипт на сайте _hxxp://220web.ru. Передаются все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д. Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны — как встроенный в операционную систему, так и некоторых сторонних разработчиков.

Компания "Доктор Веб" призывает пользователей быть внимательными и не открывать ссылки, пришедшие в сообщениях ICQ от неизвестных адресатов.


По сообщению cnews.ru

scorpio, 18.01.2007 - 10:14

Китайский киберчервь поразил миллионы компьютеров в США, Европе и самой КНР.

Китайский киберчервь поразил миллионы компьютеров в США, Европе и самой КНР. Вирус получил название worm.whboy по названию провинции Ухань. Под ударом оказались локальные сети в правительственных учреждениях и коммерческих компаниях. Пользователи узнают о заражении, когда ярлыки файлов превращаются в панд с горящими китайскими фонарями.

Один из самых разрушительных компьютерных вирусов в истории высоких технологий поразил миллионы компьютеров в КНР, США и Европе. О распространении червя во вторник сообщила китайская газета Shanghai daily.

Вирус получил название worm.whboy по названию провинции Ухань в Китае, откуда пошло его распространение. Специалисты Шанхайского центра информационных технологий присвоили ему наивысшую степень опасности по пятибалльной шкале – «из-за потенциальной возможности нанести серьезный вред инфицированным компьютерам», поясняют ученые. Согласно оценкам экспертов в области информационной безопасности, миллионы компьютеров в Китае, США и Европе уже заражены worm.whboy.

Компьютерный червь распространяется через Интернет в течение последних нескольких дней. Под ударом оказались локальные сети в правительственных учреждениях и коммерческих компаниях. Червь препятствует запуску программ и нарушает целостность работы баз данных. Пока вирус поражает только китайскую версию операционной системы Windows на компьютерах, которые регистрировались на зараженных web-сайтах.

Шанхайский центр получил в понедельник более 20 запросов о новом черве от правительственных учреждений и компаний. По словам представителя центра Ван Хао, с жалобами обращаются администраторы крупных локальных сетей, "связывающих сотни и тысячи компьютеров".

"Мы оценили киберчервя по высшей категории опасности из-за серьезного потенциала его широкого распространения", – отметил эксперт. "В прошлом году самыми опасными компьютерными червями был вирус Mydoom и его модификации, – рассказал господин Ван. – Но они были оценены как "четырехзвездочные", поскольку главным образом предназначались для индивидуальных пользователей".

Новый червь может препятствовать зараженным компьютерам управлять антивирусным программным обеспечением и любыми программами, использующими расширение «exe». Пользователи узнают о заражении системы, когда ярлыки файлов превращаются в изображения панд с горящими китайскими фонарями.

Специалисты компании Beijing Jiangmin Science, специализирующейся на обеспечении интернет-безопасности, назвала червя "королем вирусов". "В нашу службу технической поддержки звонки поступают без перерыва, главным образом с запросами из провинции Гуандун и Шанхая, – сказал представитель компании. По его оценке несколько миллионов человек уже столкнулись с червем.

Согласно данным компании Kingsoft, разрабатывающей антивирусное программное обеспечение, уже заражены компьютеры в более чем 1 тыс. фирм. "Главным образом это транснациональные корпорации", – говорят в компании.

Китайские антивирусные лаборатории и национальный центр по борьбе с вирусными атаками в Китае уже отреагировали на угрозу. Выпущены специальные программные «заплатки» для установки на зараженных компьютерах. Программы доступны к загрузке на сайтах антивирусных компаний, включая www.jiangmin.com и tool.duba.net.

Для защиты от вируса эксперты советуют пользователям не открывать незнакомые ссылки. Они также убеждают поднять уровень безопасности интернет-браузеров хотя бы до среднего и изменить пароли на вход в Windows.

jerelo.com.ua

Korich, 19.07.2007 - 12:33

Сообщается об обнаружении новой версии печально известной шантажной программы Gpcode. Обнаруженная недавно программа Virus.Win32.Gpcode.ai при попадании на компьютер жертвы использует сложный криптографический алгоритм для шифрования личных документов и архивов пользователя, в результате чего они перестают открываться. Кроме того, в системе появляются файлы read_me.txt, в котором сообщается, что файлы пользователя были зашифрованы с использованием алгоритма RSA-4096 и на их расшифровку требуется несколько лет. Хакеры предлагают вернуть украденные данные за выкуп в 300 долларов. Вот как выглядит это послание, подписанное некой «Гламурной командой», в оригинале:
«Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: [email protected] and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data. Glamorous team».
Однако на самом деле данная версия шантажной программы использует другой криптографический алгоритм, модифицированный RC4. Также ложным оказалось заявление вирусописателей о том, что личные файлы пользователей были отосланы хакерам — никакие файлы никуда не отправлялись.

Zheny, 4.08.2007 - 21:07

Как сообщается на сайте SANS, в Интернете появились вредоносные Javascript нового типа, позволяющие оставаться незамеченными для антивирусов.
Новизна используемой техники заключается в том, что Javascript генерируется сервером динамически: при каждом новом обращении посетителя к странице все переменные и функции скрипта изменяются, принимая случайные значения. Подобная техника делает невозможным детектирование скрипта сканерами, алгоритмы поиска вирусов которых основаны на сопоставлении сигнатур.
Сообщается, что в проведенных экспериментах ни одна из протестированных антивирусных программ не смогла выявить вредоносный код. Сам код представляет собой набор эксплойтов, использующих известные уязвимости в различных приложениях.

Злой Бамбр, 5.08.2007 - 10:05

Сразу несколько антивирусных компаний сообщили о появлении новой вредоносной программы, которая после проникновения на компьютер уничтожает на доступных накопителях все музыкальные файлы в формате МР3.

По классификации Symantec червь получил название Deletemusic. Вредоносная программа распространяется посредством флэш-накопителей и не способна размножаться через интернет. После проникновения на ПК червь создает в корневом каталоге каждого диска, в том числе подключенных флэш-брелоков, исполняемый файл csrss.exe, а также файл автозапуска autorun.inf. Кроме того, Deletemusic вносит ряд изменений в реестр операционной систем Windows, обеспечивая себе автоматический запуск при каждом включении компьютера. После заражения машины Deletemusic осуществляет поиск и удаление файлов с расширением .mp3.

Грэхем Клули, консультант по техническим вопросам Sophos, отмечает, что мотивы создателей червя пока не совсем ясны. Это позволяет предположить, что вредоносная программа, вероятнее всего, была создана подростками или начинающими киберпреступниками. Червь Deletemusic способен инфицировать компьютеры с любой из версий операционной системы Windows - начиная от Windows 95 и заканчивая Windows Vista. Впрочем, особого распространения вредоносная программа пока не получила.

Нужно отметить, что вирусы, уничтожающие мультимедийные файлы, появлялись и раньше. Так, например, в прошлом году был обнаружен троян Erazer, удаляющий МР3-композиции и видеоролики.

scorpio, 10.11.2007 - 21:40

Эксперты по компьютерной безопасности из компании Damballa утверждают, что у сети зомбированных компьютеров Storm появился сильный конкурент. Специалисты пока затрудняются называть конкретные данные о новой бот-сети, однако убеждены, что по мощности и опасности она существенно превосходит крупнейшие сети - Storm, Rbot и Bobax.

Напомним, что червь Storm появился в начале текущего года. Вредоносная программа используется киберпреступниками с целью формирования крупной сети зомбированных компьютеров. Причем злоумышленники постоянно меняют тактику распространения трояна. Бот-сеть Storm активно используется киберпреступниками для распространения спама. Именно через эту сеть не так давно мошенники осуществили первую массовую рассылку мусорных сообщений, в которых роль рекламного объявления играл аудиофайл в формате МР3. По различным оценкам, сеть Storm в определенные моменты могла насчитывать до 50 миллионов компьютеров.

Исследователи полагают, что в настоящее время в мире действуют тысячи бот-сетей различного размера и структуры. При этом отмечается, что методика включения новых компьютеров в сети становится все более изощренной. Если раньше злоумышленники отдавали предпочтение вредоносному программному обеспечению, то теперь используются взломанные серверы и фоновая загрузка на ПК жертвы ПО, о существовании которого большинство пользователей могут не узнать никогда, сообщает DarkReading.com. За последние несколько лет масштабных "вирусных эпидемий" не наблюдается, но стремительно растёт число целенаправленных атак для кражи данных, а также распространение руткитов, подготавливающих почву для вторжений.
security.compulenta.ru

ЭЖД, 28.10.2008 - 7:39

Источник_http://www.infoworld.com/

ЭЖД, 27.11.2008 - 21:06

Источник_http://www.securitylab.ru/

KLUCHICK, 8.11.2012 - 12:53

Вредоносный спам с использованием Skype и другие октябрьские опасности в Сети

В октябре 2012 года был отмечен рост числа рассылок вредоносных программ с использованием различных средств коммуникации: так, начало месяца ознаменовалось массовым распространением сообщений с использованием программы Skype. Рассылаемые злоумышленниками послания содержали короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки на компьютер жертвы начиналась загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляла вредоносная программа, добавленная в базы Dr.Web под именем Trojan.Spamlink.1.



Во второй половине октября активизировались злоумышленники, использующие в своих целях электронную почту. Поступавшие пользователям письма рассылались от имени интернет-магазина Amazon.com, корпорации Microsoft, почтовой службы FedEx, также были замечены массовые рассылки якобы от имени платежной системы PayPal с сообщением о переводе средств, и нескольких авиакомпаний с предложением подтвердить бронирование авиабилета. В большинстве случаев подобное сообщение содержало ссылку на веб-страницу, включающую сценарий, при выполнении которого посетитель переадресовывался на другой веб-сайт. В свою очередь этот сайт передавал браузеру файл, содержащий сценарий на языке JavaScript, при выполнении которого на компьютер пользователя загружались две вредоносные программы: широко известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97. Рекомендуем пользователям проявлять осторожность и не переходить по ссылкам в сообщениях электронной почты, полученных из неизвестных источников.

Угрозы для Android

С точки зрения угроз для мобильной платформы Android октябрь 2012 года прошел относительно спокойно. В течение месяца вирусные базы D.Web пополнились записями для нескольких вредоносных программ семейства Android.SmsSend. Напомним, что эти троянцы представляют опасность тем, что в процессе своей работы выполняют отправку дорогостоящих СМС-сообщений и подписывают владельцев мобильных устройств на различные контент-услуги, за пользование которыми взимается определенная денежная сумма.

Также в базы была добавлена запись для троянца Android.FakeLookout.1.origin, распространявшегося в каталоге Google Play под видом некоего программного обновления. Эта вредоносная программа имела возможность красть пользовательские СМС-сообщения, а также различные файлы, находящиеся на карте памяти, и отправлять их на удаленный сервер. Несмотря на потенциальную опасность раскрытия частной информации, троянец не является серьезной угрозой для пользователей Android, т. к. на момент удаления из каталога его успели установить не более 50 человек.

Ко всему прочему, в октябре была обнаружена новая модификация вредоносной программы семейства Android.Gongfu, внесенная в вирусные базы под именем Android.Gongfu.10.origin.
Угроза месяца: Trojan.GBPBoot.1

Одной из наиболее интересных вредоносных программ, обнаруженных в октябре сотрудниками антивирусная лаборатории компании «Доктор Веб», можно назвать троянца, получившего наименование Trojan.GBPBoot.1.

С точки зрения реализуемых данной вредоносной программой функций, Trojan.GBPBoot.1 можно назвать довольно примитивным: он способен загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы. Этим его деструктивный функционал исчерпывается. Однако интересна эта вредоносная программа прежде всего тем, что имеет возможность серьезно противодействовать попыткам ее удаления.

В процессе заражения компьютера один из модулей троянца модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. Сама вредоносная программа реализована в виде библиотеки, которая регистрируется на инфицированном компьютере в качестве системной службы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

Другие угрозы октября

В начале октября специалистами «Доктор Веб» было зафиксировано распространение вредоносной программы Trojan.Proxy.23012, предназначенной для массовой рассылки спама. С подробной информацией об этой угрозе можно ознакомиться в соответствующей статье, опубликованной на сайте news.drweb.com.

Отдельный информационный материал был посвящен троянцу-загрузчику, активно распространявшемуся в октябре с использованием ресурсов пиринговой сети Trojan.PWS.Panda.2395. Данная вредоносная программа характеризуется весьма любопытным механизмом заражения, подробно описанным в опубликованной на сайте Dr.Web обзорной статье.

Материал взял с news.drweb.com
спасибо огромное "Докторам" за обзор

Henry723, 12.02.2014 - 19:08

«Маска», я тебя знаю: «Лаборатория Касперского» нашла новый вирус — возможно, самый опасный в мире

Он поражает компьютеры, работающие на любой платформе, и может воровать документы, шифры и все настройки

Эксперты «Лаборатории Касперского» предупредили мир о новой угрозе. Компьютерном вирусе, который, возможно, станет самым опасным в истории. Мало того — за ним стоит глобальная сеть кибершпионажа. Не исключено, что действует она в интересах и под прикрытием государственных структур. В общем, сюжет достоин нового фильма про Джеймса Бонда.

kotmur, 14.09.2014 - 14:48

Компания ESET предупреждает, что за последнее время зафиксирована повышенная активность и опасность заражения корпоративной сети вредоносной программой, последствиями действий которой является:

1) Шифрование конфиденциальной информации и файлов, в том числе базы данных 1С, документов, изображений. Тип зашифрованных файлов зависит от конкретной модификации шифратора. Процесс шифрования выполняется согласно сложным алгоритмам и в каждом случае шифрование происходит по определённой закономерности. Таким образом, зашифрованные данные сложно восстановить.

2) В некоторых случаях, после выполнения вредоносных действий шифратор автоматически удаляется с компьютера, что затрудняет процедуру подбора дешифратора.

После выполнения вредоносных действий на экране зараженного компьютера появляется окно с информацией «Ваши файлы зашифрованы», а также требования вымогателей, которые необходимо выполнить для получения дешифратора.

Пример вируса-шифратора

Как правило, перед заражением, на электронную почту пользователя приходит письмо с неизвестного адреса с приложенным к письму архивом (*.rar, *.zip, *.cab), документом со встроенными макросами (*.doc, *.docx), либо скриптом (*.js). В теме письма говорится о чем-то важном – информации о задолженности, взысканию долга и тому подобное. В архив может быть вложено два файла, например, файлы «порядок работы с просроченной задолженностью.doc» и «постановление суда.exe». После запуска вредоносных файлов вирус начинает выполнять шифрование файлов в фоновом режиме, что может быть незамеченно пользователем. Вирус зашифровывает файлы различных типов, например *.doc, *.jpg, *.pdf и зачастую файлы базы данных 1С. К зашифрованным файлам добавляется произвольное расширение. После окончании процесса шифрования, на экране появляется изображение с требованием вымогателей, а сам вирус, в некоторых случаях, бесследно удаляется с компьютера.

С целью предотвращения заражения данным видом угрозы, необходимо убедиться в том, что Ваша система соответствует указанным ниже требованиям безопасности. При условии соблюдения данных правил, вероятность заражения шифратором будет минимальна.

Требования безопасности, предъявляемые к серверам и рабочим станциям для снижения риска заражения шифратором (Filecoder)

1) Убедитесь в том, что на данный момент на Вашем компьютере включены настройки автоматических обновлений операционной системы и установлены все критические обновления. Злоумышленники могут использовать уязвимость в протоколе удаленного рабочего стола (RDP) для выполнения вредоносных действий. Наиболее серьезная из этих уязвимостей делает возможным удаленное выполнение кода, если злоумышленник отправляет уязвимой системе последовательность специально созданных пакетов RDP. По умолчанию протокол удаленного рабочего стола отключен во всех операционных системах Windows. Системы, на которых не включен RDP, не подвержены данной уязвимости. Мы настоятельно рекомендуем закрыть доступ по RDP из вне, и разрешить подключения по RDP только в пределах локальной сети. Некоторые из обновлений для устранения описанной выше уязвимости можно скачать отдельным пакетом по данной ссылке.

2) Используйте антивирусные решения со встроенным модулем файервола (ESET NOD32 Smart Security) для снижения вероятности использования злоумышленником уязвимости в RDP даже при условии отсутствия необходимых обновлений операционной системы.

3) На почтовом сервере следует запретить приём и передачу исполняемых файлов *.exe, а также *.js, так как зачастую шифраторы рассылаются злоумышленниками в виде вложения в электронное письмо с вымышленной информацией о взыскании задолженности, информации о ней и другим подобным содержанием, которое может побудить пользователя открыть вредоносное вложение из письма от злоумышленника и тем самым запустить шифратор.

4) Запретите выполнение макросов во всех приложениях, входящих в состав Microsoft Office, либо аналогичном ПО сторонних производителей. Макросы могут содержать команду для загрузки и выполнения вредоносного кода, которая запускается при обычном просмотре документа (например, открытие документа с названием «Уведомление о взыскании задолженности.doc» из письма от злоумышленников может привести к заражению системы даже в том случае, если сервер не пропустил вредоносное вложение с исполняемым файлом шифратора при условии, если Вы не отключили выполнение макросов в настройке офисных программ).

5) Регулярно осуществляйте Backup (резервное копирование) важной информации, хранящейся на Вашем компьютере. Начиная с ОС Windows Vista в состав операционных систем Windows входит служба защиты системы на всех дисках, которая создаёт резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Рекомендуется включить данную функцию для всех разделов.

Что делать, если заражение уже произошло?

В случае, если Вы стали жертвой злоумышленников и Ваши файлы зашифрованы, не спешите переводить деньги на их счет для подбора дешифратора. При условии, что Вы являетесь нашим клиентом, обратитесь в техническую поддержку, возможно, нам удастся подобрать дешифратор для Вашего случая или такой дешифратор уже имеется. Для этого необходимо добавить в архив образец шифратора и других подозрительных файлов, если таковые имеются, и отправить данный архив нам с помощью специальной формы. Также вложите в архив несколько образцов зашифрованных файлов. В комментариях укажите обстоятельства, при которых произошло заражение, а также Ваши лицензионные данные и контактный e-mail для обратной связи.

Так как в противоправных действиях злоумышленников могут присутствовать признаки преступлений, предусмотренных ст. ст. 159.6, 163, 165, 272, 273 УК РФ, в случае заражения вирусом семейства FileCoder мы рекомендуем обратиться с заявлением в полицию.

При этом, Ваш компьютер может быть изъят на некоторое время для проведения экспертизы.

Для получения дополнительной информации обратитесь в службу технической поддержки ESET.
ESET Technical Support

HugoBo-SS, 14.09.2014 - 15:18

От недумающего пользователя никакая защита не спасёт...

Hell, 15.09.2014 - 12:18

Поделюсь своим опытом в "борьбе" с шифровальщиком keybtc@gmail_com:

Пригласили в небольшую фирмочку побороться с этой дрянью: они его по почте получили. Причём, что самое интересное, письмо пришло с адреса, похожего по написанию с известным адресом и директор ждал подобное письмо. Суть письма: какие-то счета на оплату, ну и +, естесственно, сам "счёт" - файл-архив, в нём файл с о-о-очень длинным названием, чтоб пользователь не видел какое расширение стоит у файла.
В фирмочке стандартный расклад: пять раб.станций + сервачок (w2k8)
Что имеет в себе сервак:
- терминалка на 5 пользователей;
- файлопомойка;
- стоит 1С на тех же 5 пользователей.

Директор сидел в терминале, открыл и запустил. Причём у него были админские права (какой оболтус давал - руки оторвать)
Вообщем, всё как по писанному: все документы за весь период работы накрылись. До 1С-ки не добрался, т.к. она в этот момент была в рабочем состоянии.

О бекапах админ, ставивший всё это хозяйство не думал.

После прочтения информации по этому вирусу (это даже не вирус, а программа-шифратор и потому не распознаётся антивирусом), написал письмо на [email protected]. В течении 5 минут пришёл ответ от робота с присвоением номера тикета "Спасибо за правильное обращение по расшифровке файлов" и т.д.
Робот предложил выслать три офисных файла на предмет тест-расшифровки, кроме таблиц Excel.
В ответном послании, вместе с расшифрованным файлом (отправил только один) пришло и указание суммы в BTC за высылку дешифратора с подробной инструкцией. Вообщем, парни заплатили (сумма оказалась подъёмной < 10 000 р.) и им всё выслали. История для пользователей на этом завершилась и началась история для админов)))