Новости сетевой безопасности, все новости по сетевой безопасности
6.02.2010 - 11:37 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| Предупреждение о распространении троянских дополнений для Firefox Цитата | Quote Разработчики Mozilla опубликовали уведомление, связанное с обнаружением в каталоге addons.mozilla.org двух дополнений, в которых были интегрированы вредоносные троянские вставки. Проблемы найдены в версии 4.0 дополнения Sothink Web Video Downloader и всех версиях Master Filer.
Троянский код нацелен на поражение только машин под управлением ОС Windows: Sothink Web Video содержит троян Win32.LdPinch.gen, а Master Filer - Win32.Bifrose.32.Bifrose. После установки зараженных дополнений, троянское ПО поражает основную систему, вылечить которую может только специализированное антивирусное ПО (для очистки недостаточно просто деинсталлировать расширения).
По предварительным данным инфицированное дополнение Sothink Web Video Downloader успели установить примерно 4 тысячи пользователей, а дополнение Master Filer - 600 человек. Сообщается, что в каталоге addons.mozilla.org изначально реализована система автоматической антивирусной проверки загружаемых дополнений, но данные два инцидента были распознаны только после введения в строй двух дополнительных сканеров вредоносного ПО и перепроверке ими всех дополнений в архиве. Источник_ http://blog.mozilla.com/ | |
| |
9.02.2010 - 19:48 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Доказана уязвимость криптопроцессоров TPM На хакерской конференции Black Hat исследователь из небольшой компании Flylogic Engineering, которая занимается анализом защищенности электронных компонентов, публично показал, как ему удалось взломать чип, отвечающий за безопасность данных на миллионах компьютеров и серверов, а также в игровых приставках. Взлом оказался недешевым - по словам автора, ему пришлось потратить несколько месяцев работы и около 200 тысяч долларов на образцы и электронный микроскоп. » Нажмите, для открытия спойлера | Press to open the spoiler « Кристофер Тарновски (Christopher Tarnovsky) сумел получить доступ к внутренним механизмам работы микросхем из серии SLE 66PE компании Infineon Technologies. Именно эти чипы используются для реализации технологии «доверенных вычислений» TPM (Trusted Platform Module), которая защищает пользовательские данные от перехвата с помощью шифрования. Как рассказал Тарновски, проникновение внутрь чипа оказалось очень непростым – доступ к телу чипа, где все данные обрабатываются в открытом виде, блокируется мельчайшей сеткой. Если разрушить эту сетку, чип становится бесполезным для дальнейших исследований. Тем не менее, с помощью мощного графического редактора Adobe Photoshop и электронного микроскопа с тончайшей фокусировкой ионного луча доступ был найден через мельчайшие отверстия диаметром около 3 микрон.
Конечно, компания Infineon осталась недовольна таким «надругательством» над своими чипами, которые до сих пор считались эталоном надежности. Сам Тарновски считает эти чипы «произведением искусства» в мире электроники. Но его открытие показывает, что при наличии серьезного финансирования злоумышленники из разведки вражеских стран или преступных организаций могут получить доступ к самым секретным данным. Представители Infineon и Microsoft (вскрытый чип используется в приставках Xbox 360) утверждают, что показанная атака способна нарушить безопасность лишь одного компьютера за раз. Тарновски, со своей стороны, считает, что в результате вскрытия подобных чипов появляется возможность изготовления контрафактных аналогов – эти аналоги со встроенными инструментами для несанкционированного доступа извне могут попасть в компьютеры, отвечающие за самые критические задачи. По материалам сайта Redmond Magazine | |
| |
15.02.2010 - 21:05 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Ваш фальшивый антивирус не работает? Обратитесь в службу технической поддержки Разработчики фальшивого антивируса, известного под именем Live PC Care, нашли достаточно оригинальный способ увеличения объемов продаж своего продукта. С недавнего времени создатели приложения предлагают своим клиентам услугу бесплатной технической поддержки. » Нажмите, для открытия спойлера | Press to open the spoiler « По словам исследователей из компании Symantec, после установки и запуска этого потенциально опасного продукта на дисплей клиентского ПК выводится сообщение об обнаруженных в системе вредоносных программах. Впрочем, такое поведение вполне характерно для указанных программ. Менее обычным явлением можно считать большую желтую кнопку с говорящей надписью «Live Online Support».
С помощью этой кнопки обеспокоенный клиент может связаться с «квалифицированным специалистом», готовым ответить на все вопросы. По данным Symantec, в роли агента службы поддержки выступает не привычный «чат-бот», а живой человек, чьей основной задачей является дальнейшее запугивание клиента и его раскрутка на покупку платной версии продукта за 30-100 долларов США. Вполне естественно, что живой эксперт может быть более убедительным, чем безликий «бот», и быстрее убедит жертву в легальности приобретаемого приложения.
Это не первый случай, когда разработчики фальшивых антивирусов привлекают клиентов с помощью услуги техподдержки. Компания Innovative Marketing также организовала call-центр по поддержке своих продуктов, включая программу WinFixer. Сотрудники Innovative Marketing действовали по той же схеме, что и их коллеги из Live PC Care, оказывая психологическое воздействие на жертв и пытаясь выманить у них несколько десятков долларов.
Фальшивые антивирусы (Rogue antivirus) являются одной из наиболее распространенных сетевых угроз на протяжении нескольких последних лет. Нередко эти приложения устанавливаются после нажатия на красочный баннер, предлагающий клиенту оценить защищенность собственного ПК. В ходе быстрой проверки на компьютере жертвы обнаруживаются десятки опасных вирусов, после чего мошенники предлагают потратить небольшую сумму на установку надежных средств защиты. Разумеется, о реальной защите клиентского ПК речи не идет. Напротив, некоторые фальшивые антивирусы способны изменить настройки систем безопасности или даже отключить их. В лучшем же случае, эти программы вызывают у клиента ложное ощущение безопасности.
В период между июлем 2008 и июлем 2009 года эксперты Symantec выявили более 43 миллионов случаев установки фальшивых антивирусов. По материалам ComputerWorld | |
| |
18.02.2010 - 23:13 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Хакеры обновили руткит, мешавший обновлению XP Авторы «руткита», выводящего из строя Windows-систему после установки очередного обновления от Microsoft, выпустили исправленную версию своего вредоносного приложения. » Нажмите, для открытия спойлера | Press to open the spoiler « О присутствии в свое системе «руткита», известного под такими именами, как TDSS, Tidserv и TDL3, многие Windows-пользователи узнали лишь на прошлой неделе. Оказалось, что вирус «подвешивает» пользовательскую систему под управлением Windows XP после установки обновления безопасности MS10-015. Это обновление, ликвидирующее некоторые уязвимости в системе защиты, было выпущено компанией Microsoft неделю назад.
Спустя несколько часов с момента выхода «патча» десятки возмущенных пользователей обратились с жалобами на форум технической поддержки Microsoft. По словам потерпевших, установка обновления приводит к сбою компьютера, сопровождаемому «синим экраном смерти» (BSOD). Сотрудники Microsoft временно приостановили рассылку обновления и приступили к расследованию причин происшествия.
Сегодня эксперты в области средств защиты сообщили, что разработчики TDSS поспешили исправить свою ошибку. «Вышедшая позавчера обновленная версия «руткита» не конфликтует с обновлением MS10-015 и не приводит к появлению экрана BSOD», - сообщает Роэль Шовенберг (Roel Schouwenberg) из компании Kaspersky. Эту информацию подтверждают специалисты компании Symantec.
Ведущие производители антивирусного ПО предлагают различные способы решения проблемы. Набор инструкций, опубликованных компанией Symantec, позволяет восстановить работоспособность системы путем замены зараженного «руткитом» драйвера на чистую копию. А эксперты компании Kaspersky выпустили бесплатную утилиту, которая обнаруживает и уничтожает злополучную вредоносную программу.
Кстати, эксперты опровергли слухи об избирательности «руткита». «Конфликт между вирусом и обновлением можно наблюдать в любой версии Windows, включая Vista и Windows 7, - утверждает Роэль Шовенберг, – Большое количество жалоб, поступивших от пользователей Windows XP, обусловлено лишь огромной популярностью этой операционной системы».
Несмотря на это, специалисты Microsoft не спешат с завершением начатого расследования. «До получения конкретных результатов патч MS10-015 не будет распространяться через службу Windows Update», - сообщил Джерри Брайант (Jerry Bryant), старший менеджер Microsoft Security Response Center. По материалам сайта ComputerWorld | |
| |
21.02.2010 - 13:37 |
Урсу
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 12.045 Регистрация: 23.09.2007 Пользователь №: 513.991
Респектов: 2276
| PandaLabs обнаружила новый червь Spybot.AKB Цитата | Quote Новый червь Spybot.AKB распространяется через сети P2P и электронную почту Google. Также в качестве приманки использует Twitter, Amazon, Hallmark and Hi5. Лаборатория PandaLabs обнаружила новый червь - Spybot.AKB. Этот червь использует необычный способ обмана пользователей. Он может распространяться через программы P2P, в этом случае он копирует сам себя под разными именами в папки, которыми делятся пользователи. Еще один способ распространения - электронная почта. Spybot.AKB может выглядеть как: 1) приглашение присоединиться к социальным сетям, таким как Twitter и Hi5; 2) ответ на заявление о приеме на работу (письмо приходит якобы по электронной почте Google). А при установке на компьютер Spybot.AKB выдает себя за расширение безопасности Firefox. Письмо электронной почты может выглядеть следующим образом: Jessica would like to be your friend on hi5! (Джессика хотела бы стать Вашим другом на hi5!) You have received A Hallmark E-Card! (Вы получили Электронную карту Hallmark!) Shipping update for your Amazon.com order 254-71546325-658732 (Отправка обновлений для Вашего Amazon.com, заказ 254-71546325-658732) Thank you from Google! (Спасибо от Google!) Your friend invited you to twitter! (Ваш друг приглашает Вас в twitter!) После установки Spybot.AKB направляет пользователя на различные вебсайты, если он начинает поиск по следующим ключевым словам: A: Airlines, Amazon, Antivir, Antivirus. B: Baseball, Books. C: Casino, Chrome, Cialis, Cigarettes, Comcast, Craigslist, Credit. D: Dating, Design, Doctor. E: Explorer F: Fashion, Finance, Firefox, Flifhts, Flower, Football G: Gambling, Gifts, Graphic. H: Health, Hotel. I: Insurance, Iphone. L: Loans. M: Medical, Military, Mobile, Money, Mortgage, Movie, Music, Myspace. O: Opera. P: Pharma, Pocker. S: School, Software, Sport, Spybot, Spyware. T: Trading, Tramadol, Travel, Twitter. V: Verizon, Video, Virus, Vocations. W: Wallpaper, Weather. Червь также снижает уровень безопасности зараженных компьютеров. Он добавляет себя в список разрешенных соединений брандмауэра Windows и повреждает сервис Windows Error Reporting и User Access Control (UAC). Источник: www.ferra.ru | |
| |
23.02.2010 - 20:12 |
ЭЖД
*nix`оид
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 11.935 Регистрация: 18.09.2004 Пользователь №: 1.679
Респектов: 789
| Обнаружен новый ботнет из незащищенных маршрутизаторов с прошивкой на базе Linux Цитата | Quote Чешские исследователи в области безопасности компьютерных систем сообщили об обнаружении нового сетевого червя, получившего название "Чак Норрис" и состоящего из незащищенных надлежащим образом мини-маршрутизаторов, DSL-модемов и спутниковых TV-ресиверов, работающих на базе прошивок, основанных на Linux. Как правило инфицирование маршрутизаторов происходит из-за выставления администратором ненадежного пароля, подбираемого путем несложного перебора типовых вариантов, или сохранения пароля, заданного по умолчанию. Также заражение может происходить через эксплуатацию обнаруженной в январе уязвимости в маршрутизаторах D-Link.
Разбор вредоносного кода, загружаемого после проникновения на маршрутизатор, показал, что подобные маршрутизаторы объединены в единый ботнет и поддерживают выполнение команд по участию в совершении DDoS-атак или проведению атак по подбору паролей. На устройствах входящих в ботнет может производиться смена связанных с DNS настроек, что позволяет перенаправлять запросы пользователей к таким популярным ресурсам, как Facebook или Google, на поддельные сайты злоумышленников, на которых может быть организовано внедрение вирусов, перехват паролей и конфиденциальной информации. Имя "Чак Норрис" было присвоено ботнету из-за наличия в одном из вредоносных файлов комментария на итальянском языке "in nome di Chuck Norris" ("во имя Чака Норриса").
По своей сути новый сетевой червь очень напоминает усовершенствованный вариант ботнета Psybot, который был зафиксирован весной прошлого года. Как и Psybot червь "Чак Норрис" поражает устройства на базе архитектуры MIPS, снабженные прошивками, основанными на Linux (Psybot поддерживал прошивки на базе проектов OpenWRT и DD-WRT). Источник_ http://seclists.org/ | |
| |
1.03.2010 - 21:26 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| "Яндекс" создал собственный антивирус "Яндекс" запустил собственную антивирусную технологию, основанную на поведенческом анализе. Она умеет обнаруживать сайты с самыми новыми вирусами и предупреждать об опасности пользователей поиска. » Нажмите, для открытия спойлера | Press to open the spoiler « Ранее - с мая 2009 г. - "Яндекс" проверял веб-страницы с помощью антивируса компании Sophos, предупреждая пользователей о зараженных сайтах. "Каждый день предупреждение о вирусах появляется в результатах поиска "Яндекса" около 3 млн раз", - говорят в российской компании. Технология Sophos работает на основе сигнатур и позволяет обнаруживать уже известные вирусы. Собственный антивирусный комплекс "Яндекса" построен на поведенческом подходе. Он, по словам представителей компании, ориентирован, прежде всего, на поиск новых вирусов. Обе технологии будут работать параллельно.
Имитируя поведение пользователя, антивирус заходит на сайт и анализирует, что происходит в системе, объясняют в "Яндексе" принцип работы комплекса: "Если без каких-либо дополнительных действий со стороны пользователя начинает скачиваться или исполняться какая-то программа, скорее всего, страница заражена. При этом неважно, где размещен вредоносный код – в собственном коде веб-страницы, в стороннем коде (например, баннерной системы) или где-то еще. Основное преимущество поведенческого подхода - способность выявлять новые вирусы, которые еще не успели попасть в антивирусные базы".
Такой метод позволяет обнаруживать вирусы, еще не попавшие в антивирусные базы, уверены в "Яндексе": "Только за 5 дней работы нового антивируса в тестовом режиме количество обнаруженных зараженных сайтов увеличилось на 9%. Благодаря различию в технологиях, антивирусы "Яндекса" и Sophos находят разные вирусы - пересечение составляет около 34%. Это значит, что более трети вирусов будут выявлены и той, и другой системой. Однако при эпидемиях с использованием новых вредоносных программ эффективность разработанного "Яндексом" антивируса в 10-11 раз выше".
Владельцам зараженных сайтов, чтобы быть предупрежденными о заражении, в "Яндексе" советуют зарегистировать в "Яндекс.Вебмастере", чтобы своевременно получать уведомления о заражении. "Веб-мастера могут следить за состоянием своих сайтов с помощью сервиса "Яндекс.Вебмастер", - рассказывают в компании. - В случае обнаружения на сайте зараженных страниц "Яндекс" присылает уведомление, чтобы веб-мастер мог найти и удалить вредоносный код".
Распределение опасных сайтов по зонам, по версии "Яндекса", выглядит следующим образом: 43,6% - .com, 12.4% - .ru, 8.2% - .net. Время нахождения сайтов в базе опасных: 30-59 дней – 45%, 8-14 дней – 20%, 15-30 – 13%, 61-90 дней – 11%. Около 8% пользователей поиска "Яндекса" раскрывают блок-предупреждение о том, что сайт заражен (процент считается от всех пользователей, задавших тот или иной запрос). Чуть менее 0.5% пользователей, несмотря на предупредупреждение, переходят на зараженные сайты.
Напомним, что антивирус - это не первый собственный продукт "Яндекса" в сфере интернет-безопасности. Уже несколько лет функционирует разработанный компанией антиспам фильтр «Спамооборона» — корпоративный программный продукт, созданный на основе одноименной серверной технологии фильтрации спама. В основе программы лежат алгоритмические и лингвистические разработки, используемые в поисковой машине "Яндекса". Источник: Cnews | |
| |
3.03.2010 - 15:21 |
Урсу
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 12.045 Регистрация: 23.09.2007 Пользователь №: 513.991
Респектов: 2276
| Microsoft Security Essentials: остерегайтесь подделок. Цитата | Quote Как и предсказывали специалисты "Лаборатории Касперского", в Интернете началась новая волна распространения фальшивых антивирусов. Изобретательные и циничные злоумышленники посредством спам-рассылок и рекламной сети Google Adsense вновь приступили к активному пропагандированию своих бестолковых программных решений, имитирующих проверку компьютера, рапортующих о заражении системы и навязчиво рекомендующих зарегистрировать продукт для наибыстрейшего удаления вредоносных объектов. С целью увеличения продаж фейковых приложений, мошенники стали снабжать свои детища службами онлайновой технической поддержки и начали использовать ещё более изощренные способы их распространения. Дошло даже до торговли программами, стилизованными под априори бесплатные продукты, и ярким примером тому является появившаяся совсем недавно фальшивка Security Essentials 2010, созданная с прицелом на выискивающую в Сети антивирус компании Microsoft аудиторию. Распространяется подделка в виде исполняемого файла SetupSE2010.exe размером чуть больше одного мегабайта. При запуске программа демонстрирует на мониторе реализованный в схожих с Microsoft Security Essentials цветовых оттенках интерфейс, выполняет фиктивное сканирование системы, выдает огромный список обнаруженных вредоносных приложений и для вычистки зловредов предлагает приобрести полнофункциональную версию "антивируса". Помимо массированной бомбежки владельца компьютера устрашающими сообщениями, Security Essentials 2010 внедряет в Windows компонент, перехватывающий генерируемый браузерами трафик и блокирующий доступ к популярным сетевым порталам, таким, как livejournal.com, youtube.com, rapidshare.com, facebook.com, bing.com и многим другим. При попытке открытия находящихся в чёрном списке ресурсов, псевдоантивирус всякий раз рапортует о необходимости приобрести лицензионный ключ за 50 долларов посредством пластиковой карты Visa/Mastercard и фишингового сайта, собирающего вводимые пользователем данные. Схема разводки известная и заезженная донельзя, однако до сих пор успешно применяемая на практике жуликами всех мастей, зарабатывающими на криминальном промысле миллионы долларов. Фальшивый антивирус Security Essentials 2010. Обратите внимание на пугающий своими масштабами список якобы обнаруженных в системе угроз. Поскольку троян Security Essentials 2010 не внедряется глубоко в систему, ликвидировать его из системы достаточно просто. Первым делом следует открыть окно диспетчера задач Windows и принудительно завершить процесс SE2010.exe, отвечающий на работу лжеантивируса. Далее потребуется в директории Program Files удалить папку фальшивой программы и средствами поисковых механизмов утилиты regedit.exe отыскать и стереть все записи, внесенные суррогатным приложением в системный реестр Windows. После этого останется только просканировать диск компьютера любым заслуживающим доверия антивирусом и перезапустить операционную систему. Естественно, все перечисленные операции следует выполнять, используя администраторский аккаунт в системе. Как уберечься от мошенников и распространяемых ими вредоносных программ-самозванцев? На этот вопрос мы уже отвечали, но поскольку проблема имеет место быть, позволим себе повториться, тем более что методы защиты тривиальны и доступны каждому. Во-первых, нужно избавиться от привычки работать в системе с администраторскими правами. Это ограничит свободу действий таких поделок, как Security Essentials 2010. Во-вторых, следует взять за правило проверять каждый копируемый из Интернета файл каким-нибудь популярным антивирусом со свежими базами. В нашем случае, например, работающий по умолчанию в операционной системе Windows Vista/7 защитник (Windows Defender) мгновенно определил фальшивку, обозвав её страшным словом Trojan:Win32/Fakeinit. Наконец, в-третьих, чтобы обезопасить себя от поддельных сайтов, логичным будет в настройках используемого браузера включить фильтр фишинга, а в голове - здравый смысл. Ведь только руководствуясь последним можно противостоять натиску аферистов и их ненасытному стремлению заглянуть в чужой кошелёк. Комментарий специалистов Microsoft:Изменение названия продукта, использование ложных ссылок – одни из наиболее часто используемых злоумышленниками способов доступа к данным и распространения вредоносного кода. Антивирус Microsoft Security Essentials, как и другие продукты компании Microsoft, необходимо загружать с официального сайта, попасть на который можно с главной страницы, по ссылке www.microsoft.com/security_essentials/?mkt=ru-ru, а также набрав в адресной строке www.msantivirus.ru. Все ссылки на антивирус, размещаемые на других сайтах, должны вести именно на этот сайт. Убедиться в их благонадежности пользователям поможет браузер. Например, в Internet Explorer 8 встроенный фильтр SmartScreen сразу сообщит, если сайт является опасным, а автоматическое выделение доменного имени в адресной строке поможет с легкостью распознать подлинные веб-сайты. Источник: www.computerra.ru | |
| |
3.03.2010 - 17:30 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Oнлайн-библиотека хэшей «белых» файлов SANS открыл онлайн-доступ к библиотеке хэшей «белых» файлов, пополняемой американским институтом стандартов и технологий (National Institute of Standards and Technology, NIST). По словам экспертов, ресурсом NIST NSRL (National Software Reference Library) нередко пользуются вирусные аналитики. Однако эти списки неудобны в использовании, так как предоставляются в виде больших массивов для скачивания или подписными изданиями на CD-дисках, и проверить единственный хэш совсем не просто. Теперь это можно сделать на сайте ISC SANS, воспользовавшись поисковым инструментом. Искать можно по sha1-/md5-хэшу или по имени файла. Ресурс также поддерживает поиск по базе зловредов, которую ведет команда Team Cymru, но пока только в системе md5. Поисковый механизм запущен в режиме бета-тестирования. В настоящее время хэш-реестр насчитывает около 40 млн. записей. Эксперты планируют дополнить его собственной коллекцией и другими аналогичными поступлениями, которые приветствуются. Начат импорт файлов Windows XP Professional SP3, информация по Windows 7 пока отсутствует. | |
| |
4.03.2010 - 23:54 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| ¡Adiós Mariposa! В Испании арестованы трое операторов ботнета Mariposa — многомиллионной зомби-сети, недавно потерявшей управление благодаря целенаправленным действиям борцов за безопасность интернета. » Нажмите, для открытия спойлера | Press to open the spoiler « Задержанные оказались местными жителями без криминального прошлого. Не владея особыми хакерскими навыками, они просто приобрели на подпольном рынке готовый комплект для создания ботнета и воспользовались системой теневых сервисов, чтобы монетизировать результаты его функционирования. Согласно законодательству страны, правонарушителям грозит тюремное заключение на срок до шести лет. Расследование идет полным ходом, ожидаются новые аресты. Сумма ущерба, нанесенного этой группировкой, пока не определена, но, по оценкам, исчисляется миллионами долларов.
Ботнет Mariposa специализировался на краже персональных идентификаторов к веб-аккаунтам и банковских реквизитов. Его боевые порядки насчитывают 12,7 млн. IP-адресов, привязанных к ресурсам 190 стран, а среди жертв числятся половина компаний из списка Fortune 1000 и более 40 крупнейших банков. Ботнет появился в Сети в конце 2008 года, а осенью 2009-го попал под прицел канадских экспертов по сетевой безопасности.
Когда выяснилось, что управляющие центры Mariposa находятся на территории Испании, была сформирована интернациональная рабочая группа по оказанию противодействия. Помимо канадцев и американцев, в ее состав вошли представители Panda Security. К концу декабря при содействии хостинг-провайдеров ботнет удалось обезглавить. Один из его операторов попытался восстановить управление сетью через свой домашний компьютер и даже отомстил обидчикам DDoS-атакой, но только обнаружил себя: обычно связь с командными серверами осуществлялась скрытно, через VPN-соединения.
По отзывам экспертов, червь-полиморфик Mariposa (в классификации ЛК P2P- Worm.Win32.Palevo) выполнен с большим профессионализмом и обладает большой эффективностью. Он распространяется через р2р-сети, USB-накопители и системы мгновенного обмена сообщениями. Содержит функционал бэкдора, способен по удаленной команде загружать другие вредоносные файлы — кейлоггеры, банковских троянцев, компоненты для проведения DDoS-атак.
По свидетельству исследователей, червь постоянно видоизменяется, иногда с интервалом в двое суток. На настоящий момент канадские эксперты насчитали более 200 вариантов этого зловреда. Он все еще присутствует на множестве домашних, корпоративных, университетских ПК, и рабочая группа экспертов начала кампанию по их очистке. Источник:securelist | |
| |
|
|