Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает о начале активного распространения троянской программы Win32/TrojanDownloader.Bredolab.AA. Программа заражает компьютеры через Интернет и использует различные уязвимости файлов в форматах PDF и SWF.

Едва проникнув в оперативную память, вредоносный код моментально начинает свое распространение. Троян попадает в список автозагрузки, а также получает доступ к системным ресурсам, отключая все процессы, отвечающие за безопасность. Таким образом, программа будет находиться в памяти при каждом включении компьютера. Bredolab проникает во все файлы пользователя, имеющие формат PDF и SWF, которые обычно используются для хранения и передачи различных документов.

Троян моментально устанавливает соединение со своим удаленным сервером посредством HTTP-пртокола с целью получения дополнительных инструкций. Заразив компьютер, Bredolab начинает загружать вредоносные программы с различных серверов и интернет-сайтов. Обычно это рекламное и шпионское ПО, даунлоудеры и программы, нацеленные на кражу паролей и другой ценной информации. Также были зафиксированы случаи, когда троянская программа Bredolab была сама загружена на ПК пользователя с помощью другого даунлоудера, относящегося к семейству фальшивых антивирусов Win32/TrojanDownloader.FakeAlert.

Win32/TrojanDownloader.Bredolab.AA относится к категории трудноудаляемого вредоносного ПО и представляет опасность для пользователя, так как служит промежуточным звеном для других, более сложных, интернет-угроз.

В пятницу появились сообщения об уязвимости в Firefox 3.5.1, связанной с переполнением приемного буфера, в результате чего взломщик может получить доступ к компьютеру или запустить DDoS-атаку. Однако после проверки жалоб Mozilla отвергла претензии. Дефект действительно есть, он может вызвать аварийное закрытие Firefox 3.5 и 3.5.1, но не дает злоумышленникам доступа к ПК.

Ошибка может также привести к падению Firefox 3.0 и 3.5 на компьютерах Apple. Авария происходит внутри системной библиотеки ATSUI en.wikipedia.org/wiki/Apple_Type_Services_for_Unicode_Imaging(модуль поддержки типографики текста в Mac OS X ru.wikipedia.org/wiki/Mac_OS_X) из-за отказа в проверке распределения ресурсов. Подобная проблема могла возникнуть в любом приложении, в котором используется текст, поэтому команда Mozilla попросила Apple рассказать, как программисты корпорации решили этот вопрос. Если ответа не последует, придется менять код самим.

Подготовлено по материалам PC World.

Данная вредоносная программа, получившая название Trojan-Ransom.Win32.SMSer, устанавливается в системную директорию ОС Windows и никак не проявляет себя до перезагрузки зараженного компьютера. После перезагрузки, стартовав вместо explorer.exe, троянская программа блокирует работу ПК, и выводит на экран сообщение от имени «Kaspersky Lab Antivirus Online» с требованием отправить платное SMS-сообщение для излечения системы. Для большего эффекта пользователю показывается таймер обратного отсчета времени в секундах, которое якобы осталось до «смены алгоритма шифрования обнаруженного вируса». При этом сообщение, выводимое на экран зараженного компьютера, не позволяет добраться до элементов управления системой, в том числе и до менеджера задач.

Очевидно, что вирусописатели решили воспользоваться именем "Лаборатории Касперского", чтобы придать своим требованиям видимость законности, однако внимательный пользователь может заметить, что сообщение о «вирусной угрозе» изобилует грамматическими и орфографическими ошибками и не может являться сообщением легитимного антивирусного решения.

"Подобный способ «оповещения о вирусах» совершенно неприемлем для любой серьезной антивирусной компании и является откровенным вымогательством", - говорят в ЛК.

Все известные версии данной вредоносной программы успешно детектируются и удаляются продуктами самой "Лаборатории Касперского". Пользователям, отключившим функцию автоматического обновления антивирусных баз, рекомендуется обновить их в кратчайшие сроки.

В сообщении Symantec говорится, что потенциально уязвимость может затрагивать очень большое число пользователей, так как распространенность Flash и PDF очень велика, а сами по себе программы для работы с этими форматами существуют под разные ОС. "Любое программное обеспечение, использующее технологию Flash, находится в опасности. Программное обеспечение Abobe Reader также уязвимо из-за тесной интеграции с Flash", - говорит Пол Роял, старший специалист по ИТ-безопасности в компании Purewire.

Напомним, что буквально несколько дней назад Adobe закрыла уязвимости в Adobe Reader и Acrobat 9.1.2, а также Adobe Flash Player 9 и 10. В отношение сегодняшней уязвимости в компании говорят, что пока изучают данные сведения.

В компании Symantec говорят, что они уже добавили в свои антивирусные базы троян, загружаемый при помощи flash-атаки.

Очередная zero-day уязвимость была обнаружена вчера и сначала озадачила исследователей из антивирусных компаний. В «дикой природе" были перехвачены PDF-файлы, явно имевшие «китайский след».

Один из файлов имел название «Cao Chang-Ching The CPP made eight mistang Urumuqi incident_mm.pdf». События последних дней в китайском городе Урумчи, где происходили столкновения между местными жителями и полицией, были важной мировой новостью — и поэтому использование данной темы при распостранении вредоносных программ вполне понятно.

Файлы не содержали в себе уже традиционных вставок-эксплоитов на Java Script, как это было в предыдущих уязвимостях в PDF. Однако при запуске PDF-файла в системе появлялись два файла с именами temp.exe и suchost.exe: явно срабатывал какой-то эксплойт, и работал он даже на самой последней пропатченной версии Adobe Reader.

Более детальный анализ показал, что внутри PDF-файлов содержится вставленный SWF-объект — флеш-ролик. Флеш-ролики также являются продуктом компании Adobe, и для их просмотра используется Adobe Flash.



Обнаруженная уязвимость была именно в Adobe Flash Player версий 9 и 10, а не в Adobe Reader! Именно это и смутило поначалу исследователей, анализировавших PDF-файлы и их формат. Уязвимость использует «heap spray» и может работать как при открытии специально сконструированного PDF-файла, так и при посещении веб-сайтов.

Судя по некоторым косвенным признакам, мы можем констатировать, что данный вариант эксплойта был создан в начале июля (2 или 9 числа) и, вероятно, уже использовался в ряде точечных атак.

В проанализированных нами самплах в систему происходила установка двух вредоносных программ — Trojan.Win32.PowerPointer (модификации h и i) и очередного Trojan-Downloader.Win32.Agent (модификации cjll и cjoc).

Все они уже детектировались нашим антивирусом проактивно, при помощи эвристических технологий, как HEUR:Trojan.Generic.

Детектирование вредоносных PDF-файлов было добавлено вчера вечером, файлы детектируются под именами Exploit.SWF.Agent.br и .bs.

В настоящий момент компания Adobe официально подтверждает факт наличия 0-day уязвимости и сообщает о том, что исследует поступившие сообщения. Это означает, что уязвимость еще какое-то время (а прошлый опыт показывает, что это может занять и месяцы) будет оставаться непропатченной.

В этой связи мы настоятельно рекомендуем всем пользователям отключить использование Flash в Acrobat Reader и embedded objects в браузере.

В Adobe Reader для этого необходимо войти в пункт меню
Edit > Preferences Settings >Multimedia Trust -> Permission for Adobe Flash Player ->
и установить переключатель в “Never” или “Prompt”.

Количество ложных антивирусов за год выросло более чем в 100 раз, сообщает ZDNet со ссылкой на результаты исследования Panda Security. В 1-м квартале 2009 г. специалисты компании выявили 111 тыс. ложных антивирусов против 1 тыс. годом ранее. В июне число таких программ выросло до 374 тыс. штук. По словам технического директора PandaLabs Луиса Корронса (Luis Corrons), они находят данное ПО на 3-5% сканируемых компьютеров.

После перехода на произвольный веб-сайт жертва атаки видит предупреждение о том, что компьютер заражен. Ниже предлагается скачать и установить антивирус, который его вылечит. Впоследствии пользователю предлагается купить улучшенную версию программы, так как бесплатным средством вылечить компьютер не удается. Обычно такое ПО стоит $50 за годовую лицензию или $80 за лицензию с неограниченным сроком. В действительности, то, что пользователь устанавливает на свой компьютер, и то, что он покупает, вовсе не является антивирусом. Деньги уходят за несуществующий продукт, а компьютер мог быть и не заражен вовсе. Это и есть ложный антивирус (rogueware, ложное ПО).

Расцвет rogueware пришелся на 2008 г. «Злоумышленникам больше не нужно воровать персональную информацию пользователей для того, чтобы завладеть их счетами. Теперь они заставляют пользователя отдавать им деньги добровольно», - говорится в отчете Panda. Ссылки на такие программы распространяются всеми возможными способами: посредством рекламы на сайтах средств массовой информации, на веб-сайтах социальных сетей вроде Facebook, блог-сервисов, включая Twitter, и так далее. Путем определенных манипуляций (SEO-оптимизация) злоумышленники делают так, чтобы ссылки на rogueware были как можно выше в Google и других поисковиках, заставляя пользователей кликать на них, а не на ссылки реальных поставщиков.

Ежемесячно ложным ПО инфицируется около 35 млн персональных компьютеров в мире. Суммарный доход злоумышленников, использующих данный способ вытягивания денег, составляет около $34 млн в месяц, сообщает InformationWeek со ссылкой на Panda Security. Согласно исследованию компании Finjan, предложением установить бесплатное ПО для фиктивного сканирования системы на вирусы воспользовались 1,8 млн уникальных посетителей избранных веб-сайтов за 16 дней мониторинга. От 7% до 12% людей установили программу и 1,8% из них заплатили за несуществующий антивирус $50. За каждый клик веб-сайты, согласившиеся разместить подобного рода ссылки, получили по 9,6 центов, а из суммарный доход составил $10 тыс. в день.

Специалисты «Лаборатории Касперского» не берутся подтвердить или опровергнуть цифры о доходах создателей поддельных антивирусов, однако отмечают, что данный вид преступной деятельности известен уже более трех лет и, вне всякого сомнения, его «изобретателями» являются жители стран бывшего СССР. В последнее время наметилась тенденция втягивания в этот процесс и китайских вирусописателей.

«В начале прошлого года «ЛК» уже обнаруживала более 3 тыс. таких новых программ каждый месяц, - рассказал CNews Александр Гостев, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского». - Поддельные антивирусы сейчас являются одной из самых распространенных угроз в Сети и были задействованы в самых громких эпидемиях этого года - червя Kido (Conficker), атаках на социальные сети Twitter и Facebook. К сожалению, антивирусная индустрия только в прошлом году выработала общее консолидированное мнение по поводу того считать ли поддельные антивирусы вредоносными программами или нет. До того момента ряд антивирусных компаний не признавал их таковыми».

Зачастую очень сложно определить, действительно ли предлагается какой-то уникальный антивирусный продукт, или это имитирующая антивирус программная оболочка. Тем более в этом невозможно разобраться рядовому интернет-пользователю, говорят специалисты. «Расцвет лже-антивирусов, действительно, пришелся на 2008 год, когда мы фиксировали большое количество обращений от пользователей, которые уже стали или могли стать жертвами мошенников, - комментирует Илья Шабанов, руководитель проекта Anti-Malware.ru. - Сейчас всевозможных лже-антивирусов становится еще больше, поэтому я бы рекомендовал всем интернет–пользователям внимательно относиться в тому, какое защитное ПО они покупают, доверять только известным, проверенным брендам и покупать, по возможности, в известном проверенном магазине. Вы же не покупаете таблетки у первого встречного, который скажет, что вы тяжело больны?»

cnews.ru

Уязвимость выявлена в пакетах Flash Player 9.x и 10.x для операционных систем Linux, Mac OS X и Windows. Кроме того, проблема затрагивает программы Adobe Reader и Adobe Acrobat 9.x. Adobe уже выпустила обновленные версии продуктов и настоятельно рекомендует пользователям загрузить их при первой возможности. adobe.com/go/getflashplayer

Кроме того, компания устранила ряд «дыр» в платформе AIR (Adobe Integrated Runtime), предназначенной для разработки интерактивных приложений. Уязвимости теоретически позволяют киберпреступникам повысить уровень собственных привилегий в атакуемой системе и выполнить на компьютере жертвы произвольные операции. Обновленную версию среды AIR с индексом 1.5.2 можно скачать с этой страницы. get.adobe.com/air

Подготовлено по материалам Adobe Systems и eWeek.