Обо всем > Сети, сетевая безопасность и администрирование
Обнаружен новый компьютерный вирус
777:
"Лаборатория Касперского" предупреждает о новых методах работы вредоносного червя Conficker
13 апреля 2009 г.
время публикации: 06:15
http://hitech.newsru.com/article/13Apr2009/kidonews
Эксперты "Лаборатории Касперского" сообщают о новых методах работы широко известного сетевого червя Conficker (в ЛК этот червь чаще называют Kido, еще одно название вредоносной программы - Downadup). Согласно последним данным, червь загружает на зараженные ПК поддельный антивирус SpywareProtect2009.
Работа в системе видна пользователям, чьи компьютеры заражены, и выглядит это, как сообщает CyberSecurity.ru примерно так: поддельный антивирус постоянно, каждые несколько минут, показывает на экране различные сообщения об обнаружении вирусов, сетевых атаках, проблемах с браузером и так далее.
Назойливость поддельного антивируса настолько велика, что неискушенный пользователь с большой вероятностью может кликнуть на предложение об оплате лечения и не только потерять 50 долларов США, но и подарить данные своей кредитной карточки злоумышленникам - с самым непредсказуемым результатом.
Кроме демонстрации многочисленных сообщений, SpywareProtect2009 пытается загрузить в систему еще один компонент - троян-загрузчик (Trojan-Downloader.Win32.FraudLoad.ecl). Этот троян, в свою очередь, должен обеспечивать загрузку новых версий SpywareProtect2009.
Ранее сообщалось, что Kido установил на зараженные компьютеры другого известного червя - Iksmas aka Waledac. Загрузка Iksmas производилась с сервера goodnewsdigital.com, который давно известен экспертам и является одним из основных источников распространения этого червя в настоящее время.
"Мы решили последить за жизнью ботнета и тем, что же будет делать червь-спамбот Iksmas, попав в компьютеры. За 12 часов, Iksmas неодократно подключался к своим центрам управления по всему миру и получал от них команды на рассылку спама", - говорят в компании.
Всего за 12 часов работы одного единственного бота он отправил 42298 спам-писем. В спаме есть ссылки на домены. Практически в каждом письме используется уникальный домен. Очевидно, что это сделано для того, чтобы антиспам-технологии не смогли обнаружить такую рассылку основываясь на методах анализа частоты использования конкретного домена.
"Нами было зафиксировано использование 40542 доменов третьего уровня и 33 доменов второго уровня. Все они принадлежат спамерам и компаниями, которые заказывают у них данные рассылки. Практически все эти сайты находятся в Китае и зарегистрированы на самых разных людей, вероятно, вымышленных" - сообщается в блоге "Лаборатории Касперского".
Один бот Iksmas отправляет примерно 80'000 писем в сутки. Если предположить, что общее количество зараженных машин составляет 5 000 000, то получается, что за одни сутки этот ботнет мог разослать примерно 400 000 000 000 (400 миллиардов) писем со спамом.
777:
В Интернете появился новый пасхальный вирус
В Интернете появился новый вирус под названием Banker.LSL. Он представляет собой видео с пасхальной тематикой, однако потом крадет деньги с интернет-счетов пользователей.
Об обнаружении вируса сообщили специалисты PandaLabs. Они также отметили, что данный тип вируса обычно распространяется с электронными сообщениями, а также с ним можно столкнуться при попытке скачать в Интернете какое-либо видео с YouTube.
Действует вирус следующим образом. Попав на компьютер жертвы, троян начинает отображение видео, чтобы не вызвать подозрений у пользователей, и параллельно устанавливает в компьютер жертвы вредоносную программу.
После этого Banker.LSL перехватывает управление и считывает информацию, введенную с клавиатуры, отслеживает работу мышки, перехватывает скриншоты открытых веб-страниц, а также считывает информацию при заполнении различных веб-форм. Эти данные вирус сохраняет в текстовые файлы, которые потом пробует отправить злоумышленникам.
http://www.newsland.ru/News/Detail/id/357318/cat/84/
777:
обнаружила уникальный MBR-руткит
http://news.softodrom.ru/ap/b4781.shtml
(http://www.kaspersky.ru/) сообщает о детектировании и лечении уникального MBR-руткита.
Экспертами компании был обнаружен новый вариант вредоносной программы Sinowal, обладающей функционалом скрытия своего присутствия в системе при помощи заражения главной загрузочной записи (MBR, Master Boot Record) жесткого диска.
Предыдущие варианты данного руткита освещались в статье (http://www.viruslist.com/ru/analysis?pubid=204007635).
Новый вариант руткита стал настоящим сюрпризом для исследователей. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств - самом уровне работы операционной системы.
Никогда ранее злоумышленники не обращались к таким продвинутым технологиям. Из-за этого ни один из существовавших антивирусных продуктов на момент появления новой модификации Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но и даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их различных аккаунтов.
По данным экспертов , буткит активно распространяется на протяжении последнего месяца с ряда вредоносных сайтов, использующих набор уязвимостей Neosploit. Одним из основных способов проникновения в систему является использование уязвимости в Adobe Acrobat Reader, вызывающей исполнение вредоносного PDF-файла, загруженного без ведома пользователя.
Как отмечают эксперты , обнаружение и лечение данного буткита, который до сих пор распространяется в Интернете, является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. одной из первых среди ведущих антивирусных компаний реализовала в своих существующих персональных антивирусных решениях не только детектирование, но и успешное лечение данного варианта Sinowal.
Для того чтобы проверить компьютер на наличие заражения, пользователям персональных продуктов необходимо обновить антивирусные базы и провести полную проверку системы. В случае обнаружения буткита в ходе лечения потребуется перезагрузка компьютера.
также рекомендует всем пользователям установить необходимые патчи, закрывающие уязвимости в Acrobat Reader (http://www.adobe.com/support/security/bulletins/apsb09-04.html) и используемых браузерах
777:
Новый червь сайты
19.05.09, 12:10, Сергей Коноплицкий
http://ruformator.ru/news/article053F4/default.asp
http://www.newsland.ru/News/Detail/id/367227/cat/84/
В Интернете распространяется вирус, который опасен не только для обычных пользователей, но и для владельцев сайтов.
Специалисты по компьютерной безопасности компании ScanSafe предупреждают о стремительном росте заражений компьютерным вирусом Gumblar. Червь атакует сайты и прописывает в их коде скрипт, который заражает компьютеры посетителей сайта.
Как сообщает PCWorld, такая схема распространения приносит злоумышленникам впечатляющие результаты: 42% всех атак, зафиксированных в Интернете на этой неделе, связаны с Gumblar, а недельный рост активности червя составил 188%.
Червь заразил более 1,5 тыс. сайтов, включая ряд очень популярных проектов, например, Tennis.com и Variety.com.
Для защиты от вируса, способного использовать компьютер жертвы в целях злоумышленников, рекомендуется своевременно обновлять все программное обеспечение.
777:
Новый вирус-троянец убивает всей файлы и папки по алфавиту, предупреждает "Доктор Веб"
8 июня 2009 г.
http://hitech.newsru.com/article/08jun2009/trojankill
Компания "Доктор Веб" сообщила о появлении в интернете опасного троянца, уничтожающего все файлы и папки на зараженном компьютере. Первые случаи инфицирования Trojan.KillFiles.904 зафиксированы в начале июня 2009 года.
Уникальным для современных вредоносных программ свойством данного троянца является нанесение максимального урона пользователю. В отличие от получивших в последнее время широкое распространение программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо финансовых вложениях и не пытается что-либо украсть - он просто уничтожает всю информацию, хранящуюся в зараженной системе, говорится в сообщении российского разработчика средств информационной безопасности.
Проникнув в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные и съемные диски в порядке от Z до A. В найденном диске троянец начинает удалять папки и файлы, перебирая их названия по алфавиту. Если удалить файл не удается, к примеру, по причине его использования, троянец делает его скрытым.
Особая опасность заключается в том, что действия Trojan.KillFiles.904 касаются всех файлов и папок, находящихся на жестком диске компьютера жертвы, за исключением системных. Таким образом пользователь может потерять все данные на дисках, при этом его операционная система продолжит свою работу.
Можно предположить, что данный троянец, появившийся в начале июня 2009 года, продолжает традицию вируса Win32.HLLW.Kati, также известного как Penetrator, который повреждает файлы форматов Microsoft Word и Excel, а также фотографии и мультимедийные файлы. При этом Trojan.KillFiles.904 представляет еще большую угрозу.
В связи с опасностью инфицирования Trojan.KillFiles.904 "Доктор Веб" традиционно рекомендует использовать исключительно лицензионное антивирусное ПО с последними обновлениями.
Навигация
Перейти к полной версии