Червь "Bizex" атакует пользователей ICQ
Зарегистрирована первая глобальная эпидемия ICQ-червя

"Лаборатория Касперского" предупреждает об обнаружении нового
сетевого червя "Bizex", который вызвал первую глобальную эпидемию среди
пользователей интернет-пейджера ICQ. На данный момент сообщения о
случаях заражения червем поступают практически из всех стран мира. По
предварительным оценкам количество зараженных компьютеров составляет
около 50 тысяч.

Заражение компьютера происходит при посещении хакерского веб-сайта,
приглашение на который доставляется по каналам ICQ.

Для маскировки при просмотре веб-сайта пользователю показывается
содержание интернет-представительства "Joe Cartoon" - автора популярных
американских мультсериалов. В это время вредоносная программа атакует
компьютер сразу по двум направлениям. Во-первых, используя брешь в
браузере Internet Explorer
(http://www.microsoft..../MS02-047.asp).
Во-вторых, через брешь в операционной системе Windows
(http://www.microsoft..../ms03-011.asp).
В результате на компьютер незаметно для пользователя загружается
специальный файл, который "дотаскивает" с удаленного веб-узла
непосредственно файл-носитель "Bizex" (APTGETUPD.EXE) и запускает его на
выполнение.

После этого "Bizex" начинает процедуру заражения компьютера. Для
этого он создает папку SYSMON в системном каталоге Windows, копирует
себя в нее под именем SYSMON.EXE и регистрирует этот файл в ключе
автозапуска системного реестра. Таким образом, червь обеспечивает свою
загрузку в память компьютера при каждом старте операционной системы.

По завершении этого процесса "Bizex" начинает процедуру дальнейшего
распространения по ICQ. Червь извлекает из себя несколько системных
библиотек для работы с этим интернет-пейджером и устанавливает их в
системный каталог Windows. С их помощью "Bizex" получает доступ к списку
контактов ICQ, отключает запущенный ICQ-клиент, осуществляет
самостоятельное подключение к серверу от имени владельца зараженной
машины и от его имени рассылает по всем найденным контактам ссылку на
указанный выше веб-сайт. Важно отметить, что червь атакует только
оригинальные ICQ клиенты (за исключением Web ICQ), в то время как
альтернативные пейджеры (Miranda, Trillian) обладают иммунитетом.

"Bizex" содержит ряд исключительно опасных побочных эффектов,
которые могут привести к утечке важных конфиденциальных данных. В
частности, червь сканирует зараженный компьютер, собирает сведения об
установленных платежных системах и незаметно отсылает их на удаленный
анонимный сервер. В число уязвимых систем попали: Wells Fargo American
Express UK Barclaycard Credit Lyonnais Bred.fr Lloyds E-gold

Помимо этого "Bizex" перехватывает информацию, передаваемую с
компьютера по протоколу HTTPS (защищенный протокол передачи данных,
который, в частности, используется для важных финансовых транзакций), а
также коды доступа к различным почтовым системам (например, Yahoo Mail).
Эти сведения также пересылаются на удаленный анонимный сервер.

Новый вирус прикидывается Word`ом1.06.2006 10:21 | Финансовые известия
На российских пользователей компьютеров, работающих с программами MS Office, на этой неделе посыпались напасти. Сначала в "народном" текстовом редакторе Word была обнаружена "брешь", позволяющая злоумышленнику проникнуть на удаленный компьютер. А на днях антивирусные аналитики забили тревогу вновь - по миру начали распространяться "трояны", маскирующиеся под документы с расширением .doc (формат приложения Word). Новые "трояны" 1Table.A, Gusi.A и Gusi.B запросто могут полностью разрушить систему компьютера.

Наверное, уже любой пользователь знает, что открывать незнакомые файлы, пришедшие по электронной почте или закачанные из интернета, крайне опасно для операционной системы. Раньше подозрения вызывали в основном документы с экзотическими расширениями, а Word'овские файлы априори пользовались доверием. Теперь это не так: троянская программа попадает в компьютеры в виде документа, созданного в приложениях MS Office (например, Word или Exel). Получив полный контроль над системой, хакер может распорядиться предоставленной возможностью как угодно. Для начала он может выкачать из зараженного компьютера все секретные сведения (к примеру, пароли), а потом с удовольствием уничтожить все данные на жестком диске (отформатировать его).

Вот как описывают процедуру заражения антивирусные аналитики из "Лаборатории Касперского": "Пользователь получает письмо с вложением в формате .doc, которое представляет собой замаскированную троянскую программу. При попытке открыть данный документ, эта программа устанавливает в систему другой троянский модуль". Впрочем, пока специалисты не драматизируют ситуацию: "На данный момент нам известно, что злоумышленники использовали эту технологию в рамках одной организации, прислав на рабочие ящики нескольких сотрудников письма якобы от их коллеги. Таким образом, атака была точечной, и вредоносные программы, использующие эту уязвимость, пока не получили широкого распространения". Microsoft еще не выпустила "заплатку" от появившихся "троянов". Пока единственным спасением от хакер ов является использование антивирусных программ и собственная бдительность. Эксперты настоятельно рекомендуют пользователям не открывать вложения в формате документов Word в письмах, пришедших от неизвестных адресатов.

Финансовые известия

Компания Symantec предупреждает о появлении новой вредоносной программы, названной Yamanner. Этот червь, написанный на JavaScript, распространяется через уязвимость в службе Yahoo Mail и используется с целью сбора адресов электронной почты.

Вредоносная программа рассылается с письмами с заголовком "New Graphic Site". Активация червя происходит при открытии сообщения. Затем копии Yamanner рассылаются по адресам из книги контактов жертвы внутри доменов @yahoo.com и @yahoogroups.com. Найденные адреса электронной почты отправляются на спамерский сервер.

Теоретически Yamanner способен размножаться через любую из модификаций Yahoo Mail (кроме последней бета-версии). Однако, как сообщает ZDNet со ссылкой на заявления представителей Yahoo, в начале текущей недели компания выпустила патч, устраняющий уязвимость в своей почтовой службе. Заплатка распространяется автоматически, и пользователю не нужно предпринимать какие-либо действия по её установке.

Специалисты компании Symantec охарактеризовали вредоносную программу умеренно опасной. Тем не менее, для пересылки украденной информации злоумышленникам червь обратился к удалённому серверу в Сети более ста тысяч раз. В этой связи пользователям почтовой службы Yahoo Mail рекомендуется обновить антивирусные базы данных.

compulenta

скажи всем своим контактам, которые в Agente, что бы контакт [email protected] с ником "айсберг" не принимали! Это вирус! Крышу сносит при первом включении компьютера. А если кто-то из твоих контактов его словит, то он у тебя тоже будет автоматически. Так что скопируй это и перешли всем своим контактам, а информация пришла вчера утром от Микрософта. Пожалуйста, передайте её каждому,кто имеет доступ в интернет.
Дальше: Будвайзер, названный "ХЕР.ZIP".Если получите, то НИ В КОЕМ СЛУЧАЕ ЕГО СРАЗУ НЕ ОТКРЫВАЙТЕ. Если его откроете,то потеряете всё, что есть в вашем компьютере

Вот что я сегодня обнаружил на одном сайте:

Здравствуйте!
Скажите всем, с кем Вы контактируете в Инете, чтобы контакт [email protected] с ником "айсберг" не принимали! Это вирус!!!
«Крышу сносит» при первом включении компьютера. А если кто-то из ваших контактов его поймает, то он у вас тоже будет автоматически. Так что скопируйте это и перешлите всем своим контактам. Эта информация пришла вчера утром от Майкрософта. Пожалуйста, передайте её каждому, кто имеет доступ в Интернет!
Дальше: Будвайзер, названный "ХЕР.ZIP". Если получите, то НИ В КОЕМ СЛУЧАЕ ЕГО СРАЗУ НЕ ОТКРЫВАЙТЕ. Если его откроете, то потеряете всё, что есть в вашем компьютере. Жёсткий диск будет полностью уничтожен, а лицо, которое вам послало сообщение получит доступ к вашему имени и паролю в Интернете. Это новый вирус и очень опасный.
Пожалуйста, скопируйте это сообщение и пошлите его всем, кто есть в вашем списке е-мейлов. Необходимо сделать всё, что бы этот вирус остановить. AOL подтвердил, что этот вирус очень опасен, и пока не существует никакой антивирусной программы против него. Пожалуйста, примите меры предосторожности и передайте эту информацию
своим знакомым.

Вот такое письмо я получил сразу же из нескольких разных источников. Как говорится: "Кто предупрежден - тот вооружен!"

Нашел в интернете , верить или нет решайте сами.

Сегодня активизируется опасный компьютерный вирус

Несмотря на то, что специалисты придумывают все новые методы борьбы с компьютерными вирусами, злоумышленники неизменно находят новые способы насолить пользователям компьютеров.

Вирус, который угрожает сегодня, является почтовым и в меньшей степени сетевым червем. Он попадает на компьютер либо при открытии вложения к письму, где размещены ссылки на порносайты, либо через «расшаренные» диски. Вирус запускается после загрузки компьютера в третий день любого месяца, разрушая файлы форматов DOC, XLS, ZIP, RAR, PDF и некоторых других.

В первый раз вирус НИКСЕМ обнаружили в январе этого года. Вредоносный код вызвал эпидемию, и антивирусные аналитики прогнозировали массовое уничтожение файлов на инфицированных машинах 3 февраля. Однако ущерб оказался гораздо меньше прогнозируемого. А вскоре специалисты посчитали вирус и вовсе уничтоженным навсегда.


Однако в июне он появился вновь и сегодня угрожает миллионам компьютеров по всему миру. Впрочем, для того, чтобы не пострадать от него, достаточно элементарных мер предосторожности – нужно установить на свой компьютер современный антивирус, а также не открывать подозрительных вложений в электронные письма. Некоторые организации даже приняли решение вовсе не включать сегодня компьютеры, сообщает «Эхо Москвы».

БУДЕМ ВО ВСЕ ОРУЖИИ!!

Троянец DNSChanger.eg меняет IP-адреса

Обнаружена новая троянская программа, которая перенаправляет пользователей на фальшивые сайты даже в случаях, когда они набирают адрес ресурса в строке браузера. Новый троянец получил название DNSChanger.eg, сообщает Darkreading.com.

DNSChanger.eg изменяет процесс обращения доменного имени в IP-адрес, утвержают специалисты индийской антивирусной компании MicroWorld Technologies. По их оценке, вредоносная программа обладает потенциалом высокого риска.

Когда пользователь набирает адрес в строке браузера, троянская программа направляет его на IP-адрес, не соответствующий набранному доменному имени. Преступники могут сделать фальшивый сайт очень похожим на тот, к которому обращаются пользователи и таким образом получить от них важную информацию, например, банковские учетные данные.

«Фишинг обычно связан с необходимостью привлекать пользователей на фальшивые сайты через электронную почту. В этом случае ничего подобного не требуется. Пока ничего не подозревающий пользователь совершает онлайн-транзакцию, он может отдать все удаленному мошеннику прямо в руки», — комментирует генеральный директор MicroWorld Technologies Говинд Раммурти (Govind Rammurthy).

Используя DNSChanger.eg, преступники могут повредить и сам DNS-сервер. Программа способна менять DNS-кэш, а значит запросы к сайту могут перенаправляться на другие IP-адреса.

Источники:
Dark Reading

Компания McAfee обнаружила в интернете нового трояна, который маскируется под расширение к браузеру Mozilla Firefox. Вредоносная программа носит название FormSpy, сообщает Beta News.

Заражая компьютер, троян отсылает на удалённый сайт информацию, которая вводится пользователем в браузере. Она может включать номера кредитных карт, пароли, пин-коды к счетам в электронных банках. Приложение также умеет выделять аутентификационные данные из перехваченных ICQ, FTP, IMAP и POP3 сессий.

Компания McAfee оценила опасность нового трояна как "низкую" и выпустила обновлённую антивирусную базу. Кроме того, для нормальной работы трояну требуется дополнительная программа Downloader-AXM.

security.compulenta.ru

Троян "Превед" атакует через ICQ

Служба вирусного мониторинга компании "Доктор Веб" сообщает о распространении по сети мгновенных сообщений ICQ новой модификации троянской программы, получившей название Trojan.PWS.LDPinch.1061. Вредоносный код распространяется в файле oPreved.exe.

Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe) действительно имеет значок флэш-ролика, но на самом деле — это троянец, перехватывающий пароли.

После запуска oPreved.exe создаются файлы:
%System%\Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot),
%windir%\temp\xer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot)
и временный файл C:\a.bat.

Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run «Shel»=Expllorer.exe;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices «Shel»=Expllorer.exe.

Передача паролей происходит через скрипт на сайте _hxxp://220web.ru. Передаются все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д. Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны — как встроенный в операционную систему, так и некоторых сторонних разработчиков.

Компания "Доктор Веб" призывает пользователей быть внимательными и не открывать ссылки, пришедшие в сообщениях ICQ от неизвестных адресатов.


По сообщению cnews.ru

Китайский киберчервь поразил миллионы компьютеров в США, Европе и самой КНР.

Китайский киберчервь поразил миллионы компьютеров в США, Европе и самой КНР. Вирус получил название worm.whboy по названию провинции Ухань. Под ударом оказались локальные сети в правительственных учреждениях и коммерческих компаниях. Пользователи узнают о заражении, когда ярлыки файлов превращаются в панд с горящими китайскими фонарями.

Один из самых разрушительных компьютерных вирусов в истории высоких технологий поразил миллионы компьютеров в КНР, США и Европе. О распространении червя во вторник сообщила китайская газета Shanghai daily.

Вирус получил название worm.whboy по названию провинции Ухань в Китае, откуда пошло его распространение. Специалисты Шанхайского центра информационных технологий присвоили ему наивысшую степень опасности по пятибалльной шкале – «из-за потенциальной возможности нанести серьезный вред инфицированным компьютерам», поясняют ученые. Согласно оценкам экспертов в области информационной безопасности, миллионы компьютеров в Китае, США и Европе уже заражены worm.whboy.

Компьютерный червь распространяется через Интернет в течение последних нескольких дней. Под ударом оказались локальные сети в правительственных учреждениях и коммерческих компаниях. Червь препятствует запуску программ и нарушает целостность работы баз данных. Пока вирус поражает только китайскую версию операционной системы Windows на компьютерах, которые регистрировались на зараженных web-сайтах.

Шанхайский центр получил в понедельник более 20 запросов о новом черве от правительственных учреждений и компаний. По словам представителя центра Ван Хао, с жалобами обращаются администраторы крупных локальных сетей, "связывающих сотни и тысячи компьютеров".

"Мы оценили киберчервя по высшей категории опасности из-за серьезного потенциала его широкого распространения", – отметил эксперт. "В прошлом году самыми опасными компьютерными червями был вирус Mydoom и его модификации, – рассказал господин Ван. – Но они были оценены как "четырехзвездочные", поскольку главным образом предназначались для индивидуальных пользователей".

Новый червь может препятствовать зараженным компьютерам управлять антивирусным программным обеспечением и любыми программами, использующими расширение «exe». Пользователи узнают о заражении системы, когда ярлыки файлов превращаются в изображения панд с горящими китайскими фонарями.

Специалисты компании Beijing Jiangmin Science, специализирующейся на обеспечении интернет-безопасности, назвала червя "королем вирусов". "В нашу службу технической поддержки звонки поступают без перерыва, главным образом с запросами из провинции Гуандун и Шанхая, – сказал представитель компании. По его оценке несколько миллионов человек уже столкнулись с червем.

Согласно данным компании Kingsoft, разрабатывающей антивирусное программное обеспечение, уже заражены компьютеры в более чем 1 тыс. фирм. "Главным образом это транснациональные корпорации", – говорят в компании.

Китайские антивирусные лаборатории и национальный центр по борьбе с вирусными атаками в Китае уже отреагировали на угрозу. Выпущены специальные программные «заплатки» для установки на зараженных компьютерах. Программы доступны к загрузке на сайтах антивирусных компаний, включая www.jiangmin.com и tool.duba.net.

Для защиты от вируса эксперты советуют пользователям не открывать незнакомые ссылки. Они также убеждают поднять уровень безопасности интернет-браузеров хотя бы до среднего и изменить пароли на вход в Windows.

jerelo.com.ua