Как объясняют эксперты, уязвимость под названием «Hole 196» может использоваться для проведения атак типа «man-in-the-middle», в которых принимает участие инсайдер-злоумышленник. Благодаря обнаруженному эксплойту, санкционированный пользователь сети сможет перехватывать и расшифровывать передаваемые по сети конфиденциальные данные, использовать доступные ресурсы для генерирования вредоносного трафика, компрометировать авторизованные устройства и осуществлять другую вредоносную активность.

Исследователь Сохаил Ахмад (Sohail Ahmad), обнаруживший указанную уязвимость, собирается поделиться этой информацией с участниками двух конференций Black Hat Arsenal и DEF CON 18, посвященных вопросам информационной безопасности.

Имя главаря не раскрывается. Он фигурирует в деле под псевдонимом Исердо (Iserdo). Не уточняются и предъявленные ему обвинения. ФБР сообщает лишь, что арест был произведён десять дней назад, а сейчас словенец разгуливает на свободе, ибо выпущен под залог. «Чтобы вам было понятно, мы поймали не того, кто вломился в ваш дом, а гада, который дал ему фомку, карту и рассказал о самых богатых домах в округе, — поясняет Джеффри Трой, заместитель помощника директора киберподразделения ФБР. — Это крупный прорыв в истории расследований киберпреступлений».

И он прав: идейные вдохновители ботнетов — это обычно чрезвычайно опытные хакеры, которые скрываются так, что найти их практически невозможно. Так, по сей день не обнаружен главный распространитель червя Conficker, инфицировавшего от 3 до 12 млн компьютеров. Гадость активна до сих пор, но находится под пристальным наблюдением спецслужб.

По словам г-на Троя, стоит ожидать новой волны арестов, которая, скорее всего, выйдет за пределы Испании и Словении, ибо код, написанный Исердо, пользовался большим спросом. Базовый пакет стоил $500, а цена более продвинутых версий доходила до $1 300.

Подготовлено по материалам Ассошиэйтед Пресс.

Эксперты антивирусной компании F-Secure информируют об обнаружении вредоносной программы, распространяющейся в Интернете под видом обновления для популярного браузера Firefox.
Как сообщается на сайте компании, для распространения зловреда злоумышленниками используется стилизованный под официальный сайт веб-обозревателя ресурс, настойчиво предлагающий не подозревающему подвоха пользователю установить обновление для браузера и демонстрирующий на экране окно загрузки исполняемого файла ff-update.exe, являющегося инсталлятором фальшивого антивируса.

Попав на компьютер, поддельный антивирус имитирует проверку системы, после чего сообщает, что для удаления обнаруженных вредоносных приложений (которых, разумеется, нет и в помине) необходимо приобрести платную версию продукта. В зависимости от аппетитов киберпреступников, стоимость лже-антивирусов варьируется от 30 до 100 долларов. Нередко такие приложения выполняют шпионские функции, собирая номера кредитных карт, пароли к платежным системам и прочие сведения о ставшем жертвой обмана владельце компьютера.
Специалисты по информационной безопасности рекомендуют пользователям быть предельно внимательными и осторожными при работе в Интернете, а также советуют взять за правило проверять каждый копируемый из сети файл каким-нибудь популярным антивирусом со свежими базами.

По словам Джеремайи Гроссмана, технического директора WhiteHa Security, существующие эксплоиты могут получать из браузеров хранимую информацию с помощью самых разных способов и из разных источников, например, из системы автозаполнения, присутствующей во всех современных браузерах. Данная система содержит данные об имени пользователя, его электронной почте, данные о кредитных картах.


Безопасность современных браузеров является основной темой на BlackHat 2010. Наиболее остро стоит сейчас проблема обеспечения безопасности пользовательских данных, с которыми работают браузеры, обеспечение приватности пользователей в Интернете. На конференции различными группами IT-специалистов были представлены несколько эксплоитов, атакующих функцию автозаполнения в современных браузерах Internet Explorer, Safari, Chrome и Firefox.

Напомним, что минувший апдейт стал для Flash Player уже третьим серьезным обновлением этой платформы. В рамках предыдущих обновлений, выпущенных в марте и июне этого года, Adobe устранила всего 33 уязвимости.

Согласно практике, принятой в компании Adobe, компания разглашает лишь незначительную часть информации о конкретных уязвимостях, дабы не ставить под удар пользователей, которые не успевают обновить плагин сразу же после выпуска его новой версии. Известно, что пять из шести устраненных уязвимостей связаны с неверной работой системы с оперативной памятью компьютера, а шестая - с так называемой системой "угона кликов" пользователей. В заявлении компании подчеркивается, что на данный момент случаев реальной эксплуатации устраненных уязвимостей зафиксировано не было.

Также отмечается, что один из устраненных багов - это уже вторая попытка ликвидации уязвимости со стороны Adobe. Речь идет о патче CVE-2010-2188, который впервые был устранен в июне, но позже оказалось, что уязвимость по-прежнему работает.

Отметим, что как правило Adobe выпускает патчи для основной массы своих программ раз в квартал, но два самых популярных и одновременно самых проблемных продукта - Adobe Flash Player и Adobe Reader подвергаются исправлениям чуть ли не каждый месяц. На прошлой неделе Adobe заявила, что синхронизирует выпуски своих патчей с графиком, принятым корпорацией Microsoft.

Сегодня же в компании заявили, что на будущей неделе выйдет еще одна партия исправлений для программного обеспечения Adobe.

Аналитики антивирусной компании F-Secure сообщили о новом способе распространения вредоносного ПО. Чтобы заставить пользователя установить программу на компьютер, злоумышленники замаскировали ее под обновление для браузера Firefox, говорится на сайте компании.

Программа распространяется по следующей схеме. В браузере Firefox открывается сайт, копирующий дизайн страницы с сообщением об очередном обновлении. Пользователю предлагается установить также и обновление для Adobe Flash Player, нажав на соответствующую ссылку.

Вне зависимости от того, нажмет пользователь на ссылку или нет, начинается загрузка файла ff-update.exe. После запуска файла на компьютере запускается лже-утилита Security Tool, которая выдает сообщение о заражении mspaint.exe вирусом Virus.DOS.Glew.4245.

Далее пользователю предлагается заплатить за избавление от мнимого вируса.

F-Secure утверждает, что вредоносный сайт уже заблокирован, но нет гарантий, что в дальнейшем злоумышленники не воспользуются уже опробованной схемой.

Баг в Apple iTunes под Windows, закрытый в версии 9.1, оказался гораздо серьёзнее, чем предполагалось. По словам Эйч Ди Мура  (автор известной программы Metasploit), он не исключителен для iTunes, а присутствует ещё примерно в 40 программах Windows, включая Windows-шелл, и Microsoft никак не сможет его закрыть одним патчем. Для каждого приложения придётся выпустить отдельное обновление.

Названия приложений не сообщаются, чтобы не выдать механизм создания эксплойта. Однако Эйч Ди Мур заметил, что этот баг похож на недавно обнаруженную белорусами уязвимость с ярлыками Windows, которая была закрыта внеочередным патчем Microsoft от 2 августа. Эйч Ди Мур обнаружил новую уязвимость как раз тогда, когда изучал баг с ярлыками. Здесь злоумышленник может подгрузить на машину жертвы .dll после того как пользователь откроет «безопасный» файл с сетевого диска. Атака возможна через браузер или другую программу, например, офисные приложения с внедрённым контентом.

Рекомендации по защите аналогичны тем, что были в прошлый раз: блокировка исходящего SMB (порты TCP 139 и 445) и отключение клиента WebDAV.

Пользователям Reader и Acrobat настоятельно рекомендуется обновить пакеты до версий 9.3.4 и 8.3.4, в которых «дыры» устранены. Скачать апдейты под Windows, Mac OS X и Linux можно отсюда. ((_http://www.adobe.com/...apsb10-17.html))

Одновременно сообщается, что обнаружена критическая брешь примерно в 40 приложениях для платформы Windows. Подробности и перечень уязвимых продуктов не раскрываются из соображений безопасности. Известно лишь, что, как обычно, киберпреступники могут захватить полный контроль над машиной или внедрить на неё вредоносное ПО.

Подготовлено по материалам PC World.

Специалисты Symantec предупреждают о появлении нового трояна, посредством которого злоумышленники внедряют в веб-пользовательские ПК фальшивый антивирус. Попав на машину потенциальной жертвы, троян выдаeт сообщение об обнаружении несертифицированных антивирусных продуктов, которые могут нанести системе вред. Далее пользователю предлагается деинсталлировать эти пакеты; причeм какое бы действие вы ни выбрали, установленные средства защиты всё равно будут удалены.
Троян способен определять и уничтожать инструменты обеспечения безопасности таких компаний, как Microsoft, AVG, PC Tools, Zone Labs и др.
Затем на ПК устанавливается фальшивый антивирус AnVi Antivirus, сразу же предупреждающий о якобы найденных инфекциях. Для очистки системы предлагается заплатить авторам AnVi Antivirus некоторую сумму. Кроме того, вредоносная программа может деактивировать определeнные протоколы защиты, внедряться в браузер и выполнять другие несанкционированные действия.