Печать

Пожалуйста, войдите или зарегистрируйтесь.
1 час 1 день 1 неделя 1 месяц Навсегда

[777]

Обнаружен новый компьютерный вирус, заражающий аудиофайлы


Российский разработчик антивирусов "Лаборатория Касперского" обнаружил компьютерный вирус, заражающий аудиофайлы, говорится в сообщении компании.
В нем отмечается, что целью заражения является загрузка троянской программы, позволяющей злоумышленнику установить контроль над компьютером пользователя.
"Червь", получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу. Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за кодек (программное обеспечение, требующееся для воспроизведения аудиофайлов определенного типа). Если пользователь соглашается на установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным ПК.
"До этого формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом", - отмечается в сообщении.
Особенностью же данного червя является заражение чистых аудиофайлов, что, по словам вирусных аналитиков "Лаборатории Касперского", является первым случаем подобного рода и повышает вероятность успешной атаки, так как пользователи обычно с большим доверием относятся с собственным медиафайлам и не связывают их с опасностью заражения.
"Лаборатория Касперского" особо отмечает, что файл, который находится на подложной странице, обладает электронной цифровой подписью компании Inter Technologies и определяется выдавшим ЭЦП ресурсом www.usertrust.com как доверенный.
Взято тут: http://www.rian.ru/technology/20080716/114125541.html

[777]

Троян маскируется под плагин Firefox


Специалисты из компании BitDefender ( http://www.bitdefender.com/NW900-en--BitDefender-Uncovers-New-Password-Stealing-Application.html ) предупреждают о появлении троянской программы, маскирующейся под плагин браузера Firefox. Зловредный код, получивший в базе BitDefender наименование Trojan.PWS.ChromeInject.B ( http://www.bitdefender.com/VIRUS-1000451-en--Trojan.PWS.ChromeInject.A.html ), крадёт логины и пароли к зарубежным банковским и платёжным онлайн-системам.

В BitDefender не уточняют, каким именно образом этот троян проникает на компьютер и перехватывает управление. Однако известно, что при этом в подпапки plugins и chrome, расположенные по месту установки Firefox, копируются вредоносные dll- и js-файлы, действующие как плагин к этому браузеру. По информации Vnunet, троян маскируется под плагин Greasemonkey ( http://www.vnunet.com/vnunet/news/2232031/malware-writers-spoof-firefox ).

ChromeInject.A отслеживает ссылки, открываемые пользователем в Firefox, сравнивая их с собственной базой из сотни онлайн-банков и платёжных систем (среди которых e-gold.com, paypal.com, bankofamerica.com и др.), перехватывает логины и пароли, вводимые в веб-формы этих сайтов, и пересылает их на сервер, расположенный в России.

Специалисты BitDefender отмечают, что это первый случай, когда вредоносная программа создаётся с намерением атаковать пользователей Firefox. Очевидно, киберпреступники внимательно следят за браузерными войнами и в курсе, что популярность Firefox позволила этому браузеру отхватить уже более 20% рынка. То ли ещё будет.

Отсюда: http://webplanet.ru/news/security/2008/12/05/ff_plugin_trojan.html

[777]

Новый мобильный троян очищает счета владельцев смартфонов

<<Лаборатория Касперского>> предупреждает о появлении нового трояна, очищающего счета владельцев коммуникаторов. Вредоносная программа Trojan-SMS.Python.Flocker впервые была обнаружена на прошлой неделе; на сегодня зафиксировано несколько ее модификаций.

Известно, что многие операторы мобильной связи предоставляют своим абонентам услугу по перечислению средств с одного счета на другой посредством специальных команд. Именно такую функцию и использует новый троян: после проникновения на смартфон под управлением операционной системы Symbian OS вредоносная программа начинает отправлять СМС с инструкциями о переводе денег. Сумма варьируется между $0,45 и $0,9, и при достаточно большом количестве инфицированных коммуникаторов доходы злоумышленников могут составлять значительные суммы.

Впрочем, распространение трояна сдерживается тем, что он не способен размножаться самостоятельно. Заражение коммуникатора происходит только в том случае, если его владелец сам скачает и установит эту программу. В настоящее время зафиксированы случаи инфицирования смартфонов в Индонезии.

Специалисты рекомендуют владельцам коммуникаторов не загружать подозрительные файлы и использовать антивирусные средства защиты.

Владимир Парамонов
Оригинал статьи на http://soft.compulenta.ru/396712/

[777]

Опасный червь захватил уже 10 млн компьютеров по всему миру

Количество персональных компьютеров, инфицированных червем Conficker (он же Downadup, он же Kido ), приблизилось к десяти миллионам, сообщает Компьюлента.

Вредоносная программа Conficker была обнаружена еще в ноябре, однако пик ее распространения пришелся на начало января. Microsoft сообщает, что вирус проникает в систему через файл Windows "services.exe", становясь частью его кода.

Очутившись в Windows, вирус присваивает себе расширение ".dll" и название, состоящее из 5-8 букв, например, "piftoc.dll".

Затем активизированный вирус создает сервер HTTP, перегружает всю систему, что делает очень сложным ее последующее восстановление, и начинает загружать файлы с хакерских сайтов. Заражение также может происходить через USB-устройства - к примеру, флеш-брелоки или МР3-плееры.

Согласно статистике компании Trend Micro, по состоянию на 19 января количество машин, зараженных червем Conficker, составляло около девяти миллионов. Ежедневно червь поражает более миллиона ПК.

Специалисты Trend Micro опасаются, что заражение может быть первым шагом в создании глобального ботнета - (сети-робота, который распространяет через интернет пакеты данных большими потоками.

Эксперты из финской компании F-Secure, специализирующейся на компьютерных антивирусах, также уверены, что возможности вируса распространяются намного дальше.

Специалисты пока не нашли эффективного метода борьбы с этим вирусом, однако, благодаря последним разработкам, могут установить количество зараженных компьютеров.

Эксперты по вопросам безопасности настоятельно рекомендуют пользователям Сети установить обновление для "дыры" в Windows, которую эксплуатирует червь, а также загрузить апдейты антивирусных баз данных.

Кроме того, так как этот вирус может распространяться через флешки, то даже заплата тут не поможет - необходимо устанавливать специальную антивирусную программу.

20 января 2009 года, 11:31 | Текст: Владимир Парамонов

http://soft.compulenta.ru/395702/

[777]

"Доктор Веб" сообщил о крупномасштабной эпидемии троянца-вымогателя
8 апреля 2009 г.

http://hitech.newsru.com/article/08apr2009/blackmailer

Компания "Доктор Веб" предупреждает о крупномасштабной эпидемии трояна Blackmailer. Его активное распространение началось около недели назад, и на сегодня различными вариантами трояна могут быть инфицированы миллионы компьютеров.

Данная программа представляет собой плагин к браузеру Internet Explorer. Заражение компьютера происходит при посещении пользователем вредоносных сайтов или легальных ресурсов, взломанных злоумышленниками с целью распространения троянов, программ-шпионов и пр.

Попав на ПК жертвы, Blackmailer начинает рекламировать сайты с материалами для взрослых, попутно предлагая для своего удаления отправить смс на платный номер, а затем ввести в специальную форму полученный код. При этом стандартными средствами удалить вредоносную программу довольно сложно.

С момента начала эпидемии сразу 4 различных модификации - Trojan.Blackmailer.1094, Trojan.Blackmailer.1093, Trojan.Blackmailer.1086 и Trojan.Blackmailer.1091 - расположились в первых 5 строчках статистики инфицированных файлов, переведя во второй эшелон даже сетевого червя Win32.HLLW.Shadow.based. Поэтому даже если принять во внимание, что на каждом заражённом Trojan.Blackmailer компьютере обнаруживается несколько инфицированных этим троянцем файлов, то масштабы эпидемии всё равно серьёзные.

Установка Trojan.Blackmailer в систему происходит не только при посещении заранее подготовленных вредоносных порно-сайтов. Заражение данной вредоносной программой возможно и при посещении вполне благонадёжных интернет-ресурсов, которые были взломаны с целью добавления к их страницам вредоносных скриптов, которые, используя уязвимости Internet Explorer, загружают и устанавливают вредоносный плагин.

"Доктор Веб" рекомендует использовать альтернативные интернет-браузеры, а также устанавливать актуальные обновления для операционной системы и другого ПО для снижения риска заражения Trojan.Blackmailer. В случае, если заражение одной из модификаций Trojan.Blackmailer всё же произошло, то не рекомендуется отправлять SMS-сообщения, тем самым делая свой вклад в обогащение злоумышленников. Для удаления плагина достаточно просканировать компьютер сканером Dr.Web с актуальными базами или актуальной версией Dr.Web CureIt!.

[777]

"Лаборатория Касперского" предупреждает о новых методах работы вредоносного червя Conficker

13 апреля 2009 г.
время публикации: 06:15

http://hitech.newsru.com/article/13Apr2009/kidonews



Эксперты "Лаборатории Касперского" сообщают о новых методах работы широко известного сетевого червя Conficker (в ЛК этот червь чаще называют Kido, еще одно название вредоносной программы - Downadup). Согласно последним данным, червь загружает на зараженные ПК поддельный антивирус SpywareProtect2009.

Работа в системе видна пользователям, чьи компьютеры заражены, и выглядит это, как сообщает CyberSecurity.ru примерно так: поддельный антивирус постоянно, каждые несколько минут, показывает на экране различные сообщения об обнаружении вирусов, сетевых атаках, проблемах с браузером и так далее.

Назойливость поддельного антивируса настолько велика, что неискушенный пользователь с большой вероятностью может кликнуть на предложение об оплате лечения и не только потерять 50 долларов США, но и подарить данные своей кредитной карточки злоумышленникам - с самым непредсказуемым результатом.

Кроме демонстрации многочисленных сообщений, SpywareProtect2009 пытается загрузить в систему еще один компонент - троян-загрузчик (Trojan-Downloader.Win32.FraudLoad.ecl). Этот троян, в свою очередь, должен обеспечивать загрузку новых версий SpywareProtect2009.

Ранее сообщалось, что Kido установил на зараженные компьютеры другого известного червя - Iksmas aka Waledac. Загрузка Iksmas производилась с сервера goodnewsdigital.com, который давно известен экспертам и является одним из основных источников распространения этого червя в настоящее время.

"Мы решили последить за жизнью ботнета и тем, что же будет делать червь-спамбот Iksmas, попав в компьютеры. За 12 часов, Iksmas неодократно подключался к своим центрам управления по всему миру и получал от них команды на рассылку спама", - говорят в компании.

Всего за 12 часов работы одного единственного бота он отправил 42298 спам-писем. В спаме есть ссылки на домены. Практически в каждом письме используется уникальный домен. Очевидно, что это сделано для того, чтобы антиспам-технологии не смогли обнаружить такую рассылку основываясь на методах анализа частоты использования конкретного домена.

"Нами было зафиксировано использование 40542 доменов третьего уровня и 33 доменов второго уровня. Все они принадлежат спамерам и компаниями, которые заказывают у них данные рассылки. Практически все эти сайты находятся в Китае и зарегистрированы на самых разных людей, вероятно, вымышленных" - сообщается в блоге "Лаборатории Касперского".

Один бот Iksmas отправляет примерно 80'000 писем в сутки. Если предположить, что общее количество зараженных машин составляет 5 000 000, то получается, что за одни сутки этот ботнет мог разослать примерно 400 000 000 000 (400 миллиардов) писем со спамом.

[777]

В Интернете появился новый пасхальный вирус
 

В Интернете появился новый вирус под названием Banker.LSL. Он представляет собой видео с пасхальной тематикой, однако потом крадет деньги с интернет-счетов пользователей.

Об обнаружении вируса сообщили специалисты PandaLabs. Они также отметили, что данный тип вируса обычно распространяется с электронными сообщениями, а также с ним можно столкнуться при попытке скачать в Интернете какое-либо видео с YouTube.

Действует вирус следующим образом. Попав на компьютер жертвы, троян начинает отображение видео, чтобы не вызвать подозрений у пользователей, и параллельно устанавливает в компьютер жертвы вредоносную программу.

После этого Banker.LSL перехватывает управление и считывает информацию, введенную с клавиатуры, отслеживает работу мышки, перехватывает скриншоты открытых веб-страниц, а также считывает информацию при заполнении различных веб-форм. Эти данные вирус сохраняет в текстовые файлы, которые потом пробует отправить злоумышленникам.

http://www.newsland.ru/News/Detail/id/357318/cat/84/

[777]

<<Лаборатория Касперского>> обнаружила уникальный MBR-руткит

http://news.softodrom.ru/ap/b4781.shtml

<<Лаборатория Касперского>> (http://www.kaspersky.ru/) сообщает о детектировании и лечении уникального MBR-руткита.

Экспертами компании был обнаружен новый вариант вредоносной программы Sinowal, обладающей функционалом скрытия своего присутствия в системе при помощи заражения главной загрузочной записи (MBR, Master Boot Record) жесткого диска.

Предыдущие варианты данного руткита освещались в статье <<Буткит: вызов 2008>> (http://www.viruslist.com/ru/analysis?pubid=204007635).

Новый вариант руткита стал настоящим сюрпризом для исследователей. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств - самом <<глубоком>> уровне работы операционной системы.

Никогда ранее злоумышленники не обращались к таким продвинутым технологиям. Из-за этого ни один из существовавших антивирусных продуктов на момент появления новой модификации Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но и даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их различных аккаунтов.

По данным экспертов <<Лаборатории Касперского>>, буткит активно распространяется на протяжении последнего месяца с ряда вредоносных сайтов, использующих набор уязвимостей Neosploit. Одним из основных способов проникновения в систему является использование уязвимости в Adobe Acrobat Reader, вызывающей исполнение вредоносного PDF-файла, загруженного без ведома пользователя.

Как отмечают эксперты <<Лаборатории Касперского>>, обнаружение и лечение данного буткита, который до сих пор распространяется в Интернете, является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. <<Лаборатория Касперского>> одной из первых среди ведущих антивирусных компаний реализовала в своих существующих персональных антивирусных решениях не только детектирование, но и успешное лечение данного варианта Sinowal.

Для того чтобы проверить компьютер на наличие заражения, пользователям персональных продуктов <<Лаборатории Касперского>> необходимо обновить антивирусные базы и провести полную проверку системы. В случае обнаружения буткита в ходе лечения потребуется перезагрузка компьютера.

<<Лаборатория Касперского>> также рекомендует всем пользователям установить необходимые патчи, закрывающие уязвимости в Acrobat Reader (http://www.adobe.com/support/security/bulletins/apsb09-04.html) и используемых браузерах

[777]

Новый червь <<грызет>> сайты

19.05.09, 12:10, Сергей Коноплицкий
http://ruformator.ru/news/article053F4/default.asp
http://www.newsland.ru/News/Detail/id/367227/cat/84/

В Интернете распространяется вирус, который опасен не только для обычных пользователей, но и для владельцев сайтов.
Специалисты по компьютерной безопасности компании ScanSafe предупреждают о стремительном росте заражений компьютерным вирусом Gumblar. Червь атакует сайты и прописывает в их коде скрипт, который заражает компьютеры посетителей сайта.

Как сообщает PCWorld, такая схема распространения приносит злоумышленникам впечатляющие результаты: 42% всех атак, зафиксированных в Интернете на этой неделе, связаны с Gumblar, а недельный рост активности червя составил 188%.

Червь заразил более 1,5 тыс. сайтов, включая ряд очень популярных проектов, например, Tennis.com и Variety.com.

Для защиты от вируса, способного использовать компьютер жертвы в целях злоумышленников, рекомендуется своевременно обновлять все программное обеспечение.

[777]

Новый вирус-троянец убивает всей файлы и папки по алфавиту, предупреждает "Доктор Веб"

8 июня 2009 г.
http://hitech.newsru.com/article/08jun2009/trojankill

Компания "Доктор Веб" сообщила о появлении в интернете опасного троянца, уничтожающего все файлы и папки на зараженном компьютере. Первые случаи инфицирования Trojan.KillFiles.904 зафиксированы в начале июня 2009 года.

Уникальным для современных вредоносных программ свойством данного троянца является нанесение максимального урона пользователю. В отличие от получивших в последнее время широкое распространение программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо финансовых вложениях и не пытается что-либо украсть - он просто уничтожает всю информацию, хранящуюся в зараженной системе, говорится в сообщении российского разработчика средств информационной безопасности.

Проникнув в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные и съемные диски в порядке от Z до A. В найденном диске троянец начинает удалять папки и файлы, перебирая их названия по алфавиту. Если удалить файл не удается, к примеру, по причине его использования, троянец делает его скрытым.

Особая опасность заключается в том, что действия Trojan.KillFiles.904 касаются всех файлов и папок, находящихся на жестком диске компьютера жертвы, за исключением системных. Таким образом пользователь может потерять все данные на дисках, при этом его операционная система продолжит свою работу.

Можно предположить, что данный троянец, появившийся в начале июня 2009 года, продолжает традицию вируса Win32.HLLW.Kati, также известного как Penetrator, который повреждает файлы форматов Microsoft Word и Excel, а также фотографии и мультимедийные файлы. При этом Trojan.KillFiles.904 представляет еще большую угрозу.

В связи с опасностью инфицирования Trojan.KillFiles.904 "Доктор Веб" традиционно рекомендует использовать исключительно лицензионное антивирусное ПО с последними обновлениями.

[777]

Выявлено более 575 новых модификаций сетевого червя Koobface, сообщает "Лаборатория Касперского"
10 июля 2009 г.
время публикации: 16:17
http://hitech.newsru.com/article/10jul2009/koobface



"Лаборатория Касперского отмечает резкое увеличение числа модификаций компьютерного червя Koobface - с 324 до 1000 за период с мая по июнь 2009 года. Новые версии Koobface способны поражать аккаунты пользователей Facebook, MySpace, Hi5, Bebo, Tagged, Netlog и Twitter, говорится в сообщении компании.

Стремительный рост количества новых видов червя специалисты ЛК связывают с наступлением лета и сезона отпусков в северном полушарии, а также растущей популярностью таких социальных сетей, как Facebook и Twitter.

"Июнь 2009 года стал своего рода рубежом в эволюции вредоносного ПО, распространяющегося через социальные сети: показатели активности киберпреступников сейчас выше, чем когда-либо, - рассказал Стефан Танасе, антивирусный эксперт "Лаборатории Касперского" в регионе EEMEA. - Сложившаяся ситуация лишний раз доказывает, что шансы злоумышленников на успех значительно возрастают, если в качестве площадки для проведения кибератак используются социальные сети".

Net-Worm.Win32.Koobface был обнаружен специалистами "Лаборатории Касперского" около года назад. Червь получил широкую известность, заражая аккаунты пользователей сетей Facebook и MySpace.

Алгоритм заражения Koobface достаточно прост. Комментарии и сообщения, отправляемые пользователям через зараженный аккаунт, содержат ссылку на подложный сайт YouTube, откуда под видом установочного файла новой версии проигрывателя Flash Player на компьютер пользователя попадает сетевой червь.

Эксперты "Лаборатории Касперского" советуют пользователям социальных сетей соблюдать осторожность при переходе по ссылкам в сообщениях от друзей; использовать браузер Internet Explorer 7 в защищенном режиме или же Firefox с установленным расширением NoScript; по возможности не оставлять в сети свои персональные данные, а также регулярно обновлять базы используемого антивирусного ПО.

[777]

"Доктор Веб" предупреждает о новой волне Trojan.Encoder. Вирусы шифруют файлы на компьютере и требуют денег за расшифровку

http://hitech.newsru.com/article/29sep2009/trencoder
29 сентября 2009 г.

Компания "Доктор Веб" сообщила о новой волне распространения Trojan.Encoder (Trojan.Encoder.34, а также 37, 38, 39, 40 и 41). Вирусы данного семейства шифруют данные на компьютерах пользователей и требуют деньги за расшифровку. Последние модификации Trojan.Encoder принадлежат перу одного автора, иногда называющего себя "Корректор".

Модификации Trojan.Encoder шифруют большинство документов на компьютере, делая невозможной работу с ними. Исключение составляют файлы, относящиеся к системе и установленным в ней программам. Заражению они не подвергаются, а компьютер продолжает работать, позволяя жертве мошенничества связаться со злоумышленником и перечислить ему требуемую сумму денег.

Особенностью последних модификаций Trojan.Encoder является то, что они добавляют к зараженным файлам окончание vscrypt - к примеру, вместо pic.jpg файл получает имя pic.jpg.vscrypt.

Trojan.Encoder распространяется посредством ссылок на вредоносный сайт в почтовых сообщениях. Пользователю предлагается просмотреть открытку, якобы присланную от имени сервиса открыток Мail.ru. При открытии соответствующей страницы предлагается установить кодек, который на самом деле оказывается троянской программой.

После окончания процесса шифрования файлов Trojan.Encoder выводит на Рабочий стол Windows сообщение о том, что документы зашифрованы, а также приводит контактные данные злоумышленника.

Ежедневно в службу технической поддержки Доктор Веб обращаются десятки пользователей с симптомами заражения этой вредоносной программой. Общее же число жертв может быть в разы большим. Все, кто использует антивирусные решения Dr.Web, надежно защищены от данной угрозы.

В декабре, августе и сентябре 2008 года "Доктор Веб" уже сообщал о других модификациях этого семейства троянцев - Trojan.Encoder.33, Trojan.Encoder.20 и Trojan.Encoder.19.

Большинство модификаций Trojan.Encoder предлагают пользователю воспользоваться дешифровщиком, для чего требуют перевести на счет киберпреступников от 10 до 89 долларов. Аппетит "Корректора" сопоставим с запросами авторов предыдущих модификаций - в настоящий момент пользователи-жертвы сообщают о цене в 600 рублей за один экземпляр расшифровщика.

Компания "Доктор Веб" категорически не рекомендует платить злоумышленникам выкуп. Кроме того, эксперты советуют не пытаться переустановить систему и восстанавливать ее из резервных копий, а обратиться за помощью в техподдержку компании "Доктор Веб", либо в специальный раздел официального форума.

Для расшифровки данных можно воспользоваться специальными утилитами, разработанными специалистами компании "Доктор Веб". Доступ к этим утилитам предоставляется по запросу пользователей, выславших образцы зашифрованных файлов, которые позволят определить версию Trojan.Encoder.

[777]

В России эпидемия Trojan.Winlock. Заражены миллионы

http://soft.mail.ru/pressrl_page.php?id=36773

В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов.

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении c 300-600 рублями).

С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников - новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы по прошествии некоторого времени и приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (владельцы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения - 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

Всю актуальную информацию об этих троянцах, а также форму разблокировки, которая помогает бесплатно найти необходимый код можно найти здесь: http://www.drweb.com/unlocker/index/?lng=ru . Только за первые 2 дня работы этого проекта, его посетили сотни тысяч пользователей.

Опубликовано 25.01.2010 10:14

[777]

В Европе активизировался вирус-троян, рассылающий спам

http://hitech.newsru.com/article/18mar2010/lethic

В Европе активизировался троян Win32/Lethic.AA, используемый для распространения спама и управляемый на расстоянии. По состоянию на середину марта этот компьютерный вирус является одной из самых распространенных опасностей. Об этом, как сообщает эстонская газета Postimees, предупредила интернет-система сбора вредоносного ПО производителя систем безопасности ESET.

Для проникновения в компьютеры Win32/Lethic.AA прицепляется к вредоносному ПО другого типа, либо вредоносное ПО, уже имеющееся в компьютере, загружает этот троян в компьютер пользователя.

Основная цель трояна - превратить зараженный компьютер в часть мощного ботнета, который распространяет спам. Во избежание обнаружения программный код трояна включается в файл explorer.exe.

Больше всего жертв атаки Win32/Lethic.AA зафиксировано в Нидерландах, где этот троян составляет 13% из всех установленных опасностей. Троян угрожает также компьютерам пользователей в Дании, Норвегии, Швеции, Португалии, Словении, Словакии, Хорватии, Сербии, Греции, России и Великобритании - в этих государствах троян входит в число 20 самых распространенных угроз.

Для борьбы с этим трояном специалисты традиционно рекомендуют использовать новейшие версии веб-браузеров и антивирусного ПО, а также всегда соблюдать осторожность при скачивании файлов.

[777]

В социальных сетях вновь свирепствует вирус, предупреждает "Лаборатория Касперского"

http://hitech.newsru.com/article/22Mar2010/koobface

"Лаборатория Касперского" предупреждает о всплеске активности "червя" Koobface, активно заражающего сайты социальных сетей.

Пользователям в этой связи эксперты крупнейшего производителя систем защиты от вредоносного и нежелательного программного обеспечения советуют:

- Будьте осторожны при открытии ссылок в сообщениях подозрительного содержания, даже если вы получили их от пользователя, которому доверяете.

- Используйте современный браузер последней версии: Firefox 3.x, Internet Explorer 8, Google Chrome, Opera 10.

- По возможности не раскрывайте в сети личную информацию: домашний адрес, телефонный номер и т. д.

- Регулярно обновляйте антивирусное ПО на вашем компьютере, чтобы обезопасить себя от новейших версий вредоносных программ.

Преступная стабильность

Как говорится в сообщении ЛК, вредоносная программа атакует такие популярные порталы, как Facebook и Twitter, и использует взломанные сайты в качестве собственных командных серверов.

Командные серверы используются для посылки удаленных команд и обновлений на все компьютеры, зараженные данным червем.

Сначала количество работающих командных серверов червя постоянно снижалось: 25 февраля их было 107, а 8 марта уже 71. Однако затем в течение всего двух суток их число выросло вдвое, до 142. По состоянию на 18 марта количество серверов составило 79, так что в ближайшее время стоит ожидать очередного роста.

По словам Стефана Танасе, антивирусного эксперта Центра глобальных исследований и анализа угроз в регионе ЕЕМЕА "Лаборатории Касперского", последние события дают возможность судить о том, каким образом преступная группировка, стоящая за Koobface, управляет инфраструктурой червя.

Можно сделать вывод, что киберпреступники внимательно следят за состоянием инфраструктуры червя - они заинтересованы в том, чтобы количество командных серверов не падало ниже определенной величины, иначе они могут потерять контроль над ботнетом.

В случае падения числа серверов до критического уровня злоумышленники демонстрирует готовность ввести в строй десяток новых. На протяжении нескольких недель, количество серверов колеблется в районе ста; судя по всему, сотня действующих серверов - этот тот уровень, который киберпреступники считают оптимальным.

Кроме того, они предпочитают видеть сеть серверов распределенной между провайдерами по всему миру - такой подход обеспечивает стабильность сети.