Москва, 6 февраля. ESET — международный разработчик антивирусного ПО и решений в области компьютерной безопасности — сообщает о выпуске утилиты для удаления червя Conficker, также известного, как Downadup или Kido. Вредоносная программа уже заразила более 10 миллионов компьютеров по всему миру.

Win32/Conficker.A – червь, который распространяется, эксплуатируя уязвимость в операционной системе Windows. Первыми симптомами заражения являются прекращение обновления антивируса и невозможность попасть на сайты разработчиков антивирусных продуктов. Кроме того, помимо наличия собственной вредоносной функции, Conficker может стать промежуточным звеном для последующей атаки вирусов. Проникнув в компьютер, Conficker пытается дополнительно скачать вредоносные программы или рекламное ПО, обычно это варианты FakeAlert, Wigon.

Чтобы избежать заражения, необходимо, во-первых, использовать постоянно обновляемое лицензионное антивирусное ПО, а во-вторых, установить обновление операционной системы Windows, доступное с октября 2008. Подробную информацию об уязвимости можно найти на сайте Microsoft.

Специалисты ESET зафиксировали злонамеренную программу, создающую обширные бот-сети, еще в ноябре 2008 года. С тех пор решения ESET свободно детектируют Conficker в его трех вариантах — A, B, C. С уже зараженного компьютера червь удаляется с помощью специальной утилиты, которую можно скачать по ссылке: http://download.eset.com/special/EConfickerRemover.exe

На хабре уже обсуждали то, как червь Downadup распространяется по миру. Вот и Microsoft забеспокоилась и предложила награду за «информацию, которая приведет к аресту и осуждению лиц, ответственных за незаконный запуск Conficker в сети Интернет»(с)
Ранее сообщалось, что вирус уже зацепил Министерство обороны Великобритании и ВМС Франции

Своего рода юбилейный выпуск подкаста о кино и не только.

Темы выпуска:
— [Не]официально о [не]конференции
— Почём нынче вирусописатели
— Я.Ответы на вселенский вопрос
— Как подружиться с IT-шником?
— Атака клонов
— По следам своей памяти
— Датная тема

Темы слушателей:
— Второй minibar (subaur)
— О конкурсах на просторах казнета (BigFirst)

Ссылки: BarCampCA 2009; Microsoft готов платить; Яндекс ответит; Coders vs Peoples; Твиттер наводит порядки; Черный-черный фильм

Сейчас в интернете бродит много слухов про то, что якобы первого апреля случится что-то страшное. Conficker (Downadup, Kido) начнет использовать новый алгоритм определения доменов для рассылки обновлений, поэтому многие придумывают всякие небылицы, вплоть до «конца интернета». Некоторые товарищи даже советую не выходить в интернет 1-ого апреля.
Вчера наши парни опубликовали FAQ про это в блоге F-Secure, а я тут привожу его перевод. Прочитайте, чтобы не поддаваться панике и знать, что именно произойдет 1-ого апреля.

Q: Я слышал, что что-то очень-очень плохое случится с интернетом 1 апреля. Так это?
A: Нет, не совсем.

Q: Серьезно, червь Conficker начнет делать что-то плохое 1-ого апреля, так?
A: Conficker aka Downadup немного изменит свой алгоритм работы, но это врядли приведет к каким-то видимым изменениям 1-ого апреля.

Q: Так что случится-то 1-ого апреля?
A: Сейчас Conficker генерирует 250 разных доменных имен каждый день и пытается скачать с них программу апдейта и запустить ее. 1 апреля новейшая версия Conficker-а начнет выбирать уже 500 из 50,000 доменов каждый день для той же цели — скачивания и запуска файлов.

Q: Последняя версия? Есть несколько разных версий чтоли?
A: Да, и последняя версия сейчас не самая распространенная. Большинство зараженных компьютеров сейчас заражены вариантом B, который начал распространяться в Январе. И в поведении этого варианта B ничего не изменится.

Q: Я только что проверил, что моя Windows машина не заражена. Что-нибудь случится с моим компьютером 1-ого апреля?
A: Нет!

Q: У меня Mac, что-нибудь случится с моим компьютером?
A: Нет!

Q: Итак, это значит, что хакеры смогут использовать этот новый канал для скачивания и запуска любой программы на всех машинах?
A: Да, на всех машинах, которые инфицированы последней версией червя.

Благодаря участникам Honeynet Project появилась возможность обнаружить самого массового червя по сети. Они заметили, что зараженные данным вирусом машины при вызове RPC возвращают нестандартные ошибки.

Сам сканер, дополнительные утилиты по теме и подробности о методе обнаружения можно найти на их сайте.

Для запуска под линуксом потребуется интерпретатор python и пакет Impacket.

В среду червь Conficker (Kido) наконец-то подал признаки жизни: он обновился через P2P-сеть заражённых машин, а также установил на них некое новое ПО, функционал которого пока не ясен, сообщает антивирусная компания Trend Micro.

Специалисты сейчас анализируют исходный код новой программы и пытаются определить, что она делает. Есть подозрение, что это кейлоггер, который записывает все нажатия клавиш.

Новая программа представляет собой компонент .sys, и она надёжно зашифрована, что затрудняет анализ исходного кода.

Червь пытается установить соединение с сайтами MySpace.com, MSN.com, eBay.com, CNN.com и AOL.com для проверки наличия интернет-соединения. Он должен удалить все следы своего существования и полностью прекратить саморепликацию 3 мая 2009 года. Однако, сеть заражённых ПК останется открытой для управления и после этой даты.

Червь распространяется через дыру в Windows, патч для которой был выпущен в октябре, а также через флэшки. Он блокирует доступ к более чем 100 сайтам антивирусных компаний. Проверить свой компьютер на заразу можно здесь и здесь. Удалить Conficker со своего компьютера можно с помощью этой утилиты.

via Cnet News

Кликайте, не бойтесь.

Краткое описание нового поведения вируса было опубликовано здесь несколькими днями ранее.

В конце среды компанией TrendMicro была замечена новая модификация червя Conficker.c, названная WORM_DOWNAD.E. Предыдущая версия червя использует p2p функционал для загрузки обновления, которое показывает множество окон с оповещениями о несуществующих угрозах, а также надоедливые всплывающие окна, пока вы не согласитесь заплатить $49.95. Таким образом разработчики вируса, наконец, открыли свою цель: нажива.

Червь Conficker, который почти год сохранял за собой первенство в как в мировом, так и в российском рейтинге интернет-угроз, в августе начал сдавать свои позиции. Несмотря на то, что программа по-прежнему остается самым распространенным вредоносным ПО в мире, общий процент заражений упал на 2% по сравнению с июлем 2009 и составил 8,56%.

Похожая картина наблюдается и в России. Число заражений Conficker снизилось на 5,64% до 17,38%. Это самый низкий показатель с начала года. России, Conficker также получил широкое распространение на Украине (25,59%), в Болгарии (13.48%) и Румынии (12.77%).Данные получены с помощью глобального сервиса ESET ThreatSense.Net.

Conficker — семейство вредоносного программного обеспечения, относящегося к категории червей. Conficker — название, наиболее часто употребляемое в прессе и образованное путем перестановки частей домена trafficconverter.biz, к которому обращалась первая версия ВПО, согласно другой версии название образовано от английского слова configuration и немецкого слова ficker (синоним английского fucker). Среди зарубежных антивирусных компаний используется название Downadup, а так же Kido в классификации Kaspersky Lab. Первые образцы были обнаружены в ноябре 2008 года. По состоянию на январь 2009 было поражено около 9 миллионов компьютеров во всём мире. Столь большое число обусловлено использованием для своего автоматического распространения уязвимости службы Server операционной системы Microsoft Windows MS08-067. Следует отметить, что на момент распространения компания Microsoft уже выпустила обновление безопасности, устраняющую данную уязвимость. Однако тот факт, что обычные пользователи, как правило, не уделяют должного внимания механизму постоянного обновления операционной системы (в том числе из-за использования «пиратских» копий), сыграл немаловажную роль. К сожалению, в очередной раз на практике было продемонстрировано пренебрежительное отношение к вопросам компьютерной безопасности. В апреле 2009 года размер ботсети оценивался в 3.5 миллиона.
Существует пять основных модификаций Conficker, обозначаемых буквами A (21 ноября 2008), B (29 декабря 2008), C (20 февраля 2009), D (4 марта 2009), E (7 апреля 2009). В терминологии некоторых антивирусных компаний используется наименования A, B, B++, C, D соответственно.

Развитие информационных технологий сказывается на разработке всего спектра программного обеспечения (ПО). Не обходит оно стороной и вредоносные программы. Можно выделить основные приемы, применяемые при разработке «передового» вредоносного программного обеспечения (ВПО).

В прошлом месяце неоспоримым лидером была троянская программа Win32/Qhost. Ее рейтинг активности в России, по сравнению с другими угрозами, остается очень высоким, 15.9 %. Мы уже упоминали ее в прошлых ежемесячных отчетах, в одном из них она также возглавляла нашу “десятку” угроз. Win32/Qhost не представляет из себя технологически сложную угрозу, одним из основных ее предназначений является модификация служебного hosts файла. С использованием вредоносных записей, добавляемых в этот текстовый файл, злоумышленники переадресуют пользователя на фишинговые ресурсы. При этом перенаправление на такие ресурсы осуществляется за счет стандартных механизмов ОС и при минимальном участии самого пользователя, которому достаточно просто воспользоваться браузером для посещения веб-ресурсов.

20 ноября 1985 года мир впервые познакомился с операционной системой Windows. Нет, не так. С операционной системой Windows 1.0 познакомилась довольно узкая прослойка людей, связанных с IT, которых ровно 30 лет назад было гораздо меньше, чем сейчас. Пресс-материалы к запуску были распечатаны на бумаге, с теплыми, ламповыми фотографиями интерфейса, сделанными с монитора пленочным фотоаппаратом. По-хорошему, Windows 1.0 и операционкой-то назвать нельзя, скорее надстройкой над MS-DOS. В пресс-релизе цитируется Билл Гейтс: «Windows дает пользователям беспрецедентные возможности уже сегодня, а также является фундаментом для развития в области программного и аппаратного обеспечения на несколько лет вперед». И в целом он был прав, так все и вышло.

30 лет спустя Microsoft объявляет о масштабной инициативе в области безопасности, а последователь Билла Гейтса и Стивена Баллмера Сатья Наделла называет Windows 10 самой защищенной операционной системой. А вот с этим можно поспорить, но анонсированные планы по улучшению безопасности платформы впечатляют: новая система управления безопасностью мобильных устройств для компаний (причем с поддержкой iOS и Android), расширение штата экспертов внутри компании, в том числе для обработки аналитики с миллионов Windows-машин по всему миру. Большая часть инициатив в анонсе направлена на корпоративную безопасность, но и обычным пользователям обещают больше защиты от вредоносных программ, кражи паролей и прочего.

Насколько серьезно изменится ситуация с безопасностью, покажет время, на этой неделе Microsoft скорее обнародовала план, а не отчитывалась о результатах. Несмотря на разницу в технологиях и возможностях, между Windows 1.0 и Windows 10 есть много общего не только в названии. Пережив долгосрочный период почти абсолютной монополии, платформа Microsoft, как и 30 лет назад, всерьез конкурирует с другими ОС. А вот в сфере безопасности изменилось вообще все: от самой постановки проблемы до масштаба угроз. Тут не только Microsoft, а всем разработчикам софта и железа есть над чем поработать. Посмотрим, что случилось на этой неделе. Все выпуски дайджеста — тут.

Предположим, что апокалипсиса не будет. Неверный подход к безопасности новых устройств и софта не приведет к массовому выходу компьютерных систем из строя: ПасьянсОфис не упадет, светофоры не погаснут, машины с автопилотом без проблем довезут людей до дома. Это не значит, что можно кодить безответственно: никто ведь не умрет? Потрясающую историю на прошлой неделе раскопала редактор издания Fusion Кашмир Хилл. В 2002 году компания MaxMind разрабатывала новый сервис, позволяющий примерно определить координаты сетевого адресата по IP. В процессе разработки понадобилось ввести дефолтные координаты. Дело не в том, что это требовалось клиентам. В статье этот момент не раскрывается, но вполне можно представить, что так решил один из разработчиков, потому что все так делают и удобно. Чтобы система не падала от пустой переменной и не происходило деление на ноль.

В константу забили округленные (38.0000,-97.0000) координаты географического центра США и в общем-то быстро забыли про этот рутинный эпизод. А к жителям дома рядом с городком Потвин в штате Канзас через некоторое время начали приходить странные люди. Приезжали скорые. Приходили агенты ФБР в форме и в штатском. Налоговики. Коллекторы. Звонили разъяренные владельцы сайтов, которым приходил спам, и требовали прекратить сейчас же. Кто-то даже угрожал, а на аллее возле дома ночью поставили разбитый унитаз. Пожилой владелице дома и арендаторам не повезло оказаться в округленном до градусов центре страны. Все адреса, координаты которых компании MaxMind не удалось определить, указывали на дом в Канзасе, всего более шести миллионов IP. Кашмир Хилл связалась с MaxMind, и там были очень удивлены. Компания ведь всегда говорила, что координаты дает примерные, и они не должны использоваться для идентификации конкретных адресов и домов. Проблема в том, что абсолютно все, вплоть до медиков и ФБР, именно так их используют.

Предположим, что апокалипсиса не будет. И очень хорошо, что так. Но технологии все больше влияют на нашу реальную жизнь, иногда самым непредсказуемым образом. Ошибки и уязвимости в софте и железе не всегда приводят к трагедиям (хотя иногда таки приводят). Безответственная разработка медленно и почти незаметно снижает качество нашей жизни. И чем дальше мы будем идти от точки «теперь питание компьютера можно отключить» к постоянному нахождению в сетевой среде, тем больше будет новых возможностей, но и проблем тоже.

Для московских IP, кстати, та же база дает координаты Кремля. А в географическом центре России никто не живет. Перейдем к новостям недели. Предыдущие выпуски тут.

Помните уязвимость в Android Mediaserver? Те, кто в теме, сначала попросят уточнить — какая именно уязвимость имеется в виду. Действительно, в Mediaserver было много уязвимостей, начиная с приснопамятной Stagefright, обнаруженной в прошлом году дыре, позволяющей получить контроль над телефоном после отправки единственного подготовленного MMS-сообщения. Сегодня поговорим о другой уязвимости, обнаруженной в мае компанией Duo Labs. Тогда сообщалось, что уязвимость затрагивает только смартфоны на аппаратной платформе Qualcomm, что, впрочем, эквивалентно 60% всех Android-устройств.

В отличие от Stagefright, эту дыру сложнее эксплуатировать: нужно все же загрузить на устройство вредоносное предложение, которое может получить полный доступ к системе, пользуясь дырами одновременно в Mediaserver и модуле Qualcomm Secure Execution Environment. Последний отвечает за ключевые аспекты защиты системы и данных, в том числе за шифрование. Изначально была показана возможность получения системных привилегий, но шифрования данная уязвимость не касалась.

Теперь — касается. Те же эксперты выяснили (новость, исследование), что аналогичный набор уязвимостей дает возможность подобрать ключ к зашифрованным данным методом брутфорс-атаки. Как и в iOS, в Android предусмотрена защита от перебора паролей, установлены ограничения по частоте попыток и их количеству, но как раз их и удалось обойти.
Все выпуски дайджеста доступны по тегу.

Старый и многим известный компьютерный вирус Conficker получил второе дыхание. Его обнаружили в программном обеспечении носимых камер для полиции США. Эти камеры полицейских обязали носить после нескольких инцидентов со стрельбой в безоружных людей, что вылилось в уличные протесты и беспорядки. Американская компания iPower Technologies обнаружила, что камеры, продаваемые Martel Electronics, заражены вирусом Win32/Conficker.B!inf.

Эти же камеры используются и силами SWAT. Сама камера крепится на груди полицейского и записывает на видео все, что происходит вокруг. Кроме того, камера определяет координаты полицейского, а также регулярно делает фотографии. Все данные заносятся на внутренний накопитель, откуда полицейские или наблюдатели могут их перенести на ПК, используя обычный USB кабель.