Сегодня на календаре 16 Августа 2016. Windows Defender удалил рабочий код с хоста. Как это было:

Обсуждая с коллегой новости о череде проблем у Microsoft, которые пестрят в новостях. Там зависло, там пропало, там еще что-то — видимо накаркал себе проблем. Работая на виртуальном сервере с кодом под IIS вдруг получаю предупреждение о том что Windows Defender обнаружил Worm внутри многих ASP файлов на хосте и настоятельно рекомендует удалить.

Вся прелесть в том что вариантов не предлагает Defender. Файлы уже пустые и залоченные. До вчера этой проблемы не существовало. Любая попытка восстановить с репозитория файлы — вызывает возмущение у Defender, с последующим удалением файлов.

Проверка настроек показала что Windows Defender обновился 8/15/16 до версии 1.225.3982.0. Сканер настойчиво видел Worm:VBS/VBSWGbased.gen в ASP (VBScript ) файлах. Проверка одного из файлов на virustotal.com показала теже результаты. Из 53х тестовых проверок — только Microsoft Defender находит Worm:VBS/VBSWGbased.gen.

Несколько недель назад мы (антивирусная лаборатория PandaLabs) сообщили об атаке, где пострадали сотни ресторанов в США, в рамках которой использовалась вредоносная программа под названием PunkeyPOS. Мы не сообщили, каким образом была обнаружена PunkeyPOS: на самом деле мы расследуем целую серию PoS-атак, от которых также страдают сотни баров, ресторанов и магазинов в США. Пока мы анализировали одну из таких атакованных систем, она была атакована еще одной кибер-бандой, использующей PunkeyPOS. В этой статье мы собираемся обсудить еще одну атаку, которую мы пока исследуем. В этом случае использовалась вредоносная программа для PoS под названием PosCardStealer.

Попалось нам в руки новое решение от компании IXIA – Threat Armor. И у нас получилось его протестировать и разобраться, что же это за «чудо», которое появилось в начале этого года и уже успело получить большое количество золотых наград на всевозможных выставках в разных концах мира.

Неделю назад специалисты ФСБ опубликовали интригующий пресс-релиз о вредоносном ПО, которое было обнаружено на компьютерах государственных, а также научных и военных учреждений. Описанные специалистами ФСБ признаки указывали на хорошо подготовленную т. н. state-sponsored кибератаку, в которой использовались жестко направленные (highly targeted), уникальные для каждой жертвы компоненты. Наша антивирусная лаборатория также получила образцы этого вредоносного ПО и AV-продукты ESET обнаруживают их как Win32/Cremes и Win64/Cremes.



Выводы наших специалистов совпали с выводами компании Symantec, которые опубликовали свой отчет, посвященный исследованию Cremes (Remsec). По своей сложности новое вредоносное ПО напоминает уже известное ранее кибероружие, такое как Flame, Regin и EvilBunny. С Flame и EvilBunny, Cremes роднит использование скриптов на языке Lua. Новая кибергруппировка получила название Strider и использовала Cremes для кражи ценной информации у своих жертв.

Multigrain – это вредоносная программа для PoS-терминалов, которая специализируется на краже информации с банковских карт при использовании техник RAM-Scraping (она напрямую обращается к ОЗУ из определенных процессов для получения информации о картах). Это стало очень популярным методом, т.к. международное законодательство запрещает хранить эту информацию на диске (даже временно).

Другая особенность Multigrain заключается в том, что он использует DNS-обращения для общения с внешним миром (и таким образом он может отправлять украденную информацию). В этой статье мы проанализируем саму по себе вредоносную программу, а также, каким образом она выполняет свои коммуникации.

Цель статьи

В Интернете доступно некоторое количество статей по настройке антивирусной защиты в связке squid + ClamAV, но нет полного материала по настройке полной связки под CentOS 7. В рамках данной статьи будет показан процесс настройки прокси сервера со следующими возможностями:

• фильтрация сайтов и ссылок по категориям;
• антивирусная защита.

Аудитория

Системные администраторы Linux

Cerber – это относительно новое семейство шифровальщиков, от которого сильно страдают в последние несколько месяцев. В этой статье мы хотим взглянуть на некоторые техники, которые используются для заражения своих жертв.

Глава 2: Cerber

Цифровая революция, которую переживает современный мир, ведет к небывалому росту количества подключений. Для потребителей, компаний, государственных органов власти цифровизация — двигатель инноваций. Но с увеличением числа подключений больше возможностей получают и киберпреступники. Поэтому предприятия должны прилагать больше усилий для обеспечения информационной безопасности (ИБ).

Время от времени случается, что ко мне обращаются пользователи с заглючившим Windows 7 или 8 (наверняка так же и с «десяткой» будут жертвы), у кого постоянно запускается «Восстановление системы» вместо нормальной загрузки, и автоматический механизм поиска и устранения проблем не справляется.



Мне удалось разобраться, почему возникает сообщение «Было предпринято несколько попыток, но причину проблемы определить не удалось» и как вернуть жизнь операционке без радикальной переустановки.

Что за байда!

Китайский антивирус «Baidu» распространяется вирусными методами malware/adware, устанавливается вне зависимости от работы других антивирусов, в результате конфликт антивирусов порождает чрезмерное замедление работы ОС Windows.
Удаление ПО Baidu затруднено из-за того, что штатные программы удаления существуют только для двух компонент, драйверы уровня ядра ими не удаляются, более того, при следующей загрузке компьютера это ПО устанавливается повторно. В то же время удалить драйверы байды сложно из-за того, что они блокируют запись в «свои» ветки реестра и блокируют доступ к своим файлам.

Я написал простую инструкцию по полному удалению вредной Байды из Windows 7 и 8 без использования загрузочного носителя, она предназначена для использования техниками по обслуживанию компьютеров («эникейщиками») и подходит любому более-менее опытному пользователю.

Инструкция особенно актуальна для 64-битных версий Windows, поскольку в них не работает AVZ (точнее, нет 64-битного драйвера AVZ Guard).

Недавно ВКонтакте началось активное продвижение по всем фронтам нового антивируса.
Я решил посмотреть в действии эффективность этого «антивирусного сканера Cezurity» против нескольких вирусов.

Самые первые вирусы были безобидными. Это были эксперименты – типа одного из первых вирусов “Creeper”, который просто выводил сообщение “I’M A CREEPER: CATCH ME IF YOU CAN”. Их распространение ограничивалось домашними сетями (Creeper существовал на TENEX ОС). Это было в 1971 году.

Сейчас существуют миллионы вирусов, распространяющихся через интернет всякими путями – файловые раздачи, e-mail, сайты. Когда всё связано со всем, вирусы распространяются быстро. Защита от вирусов – прибыльный бизнес.

«Платить или не платить за антивирус?» По мнению некоторых, именно такой вопрос встает перед миллионами пользователей. Вот, например, в статье Владимира Безмалого в 12 номере журнала «Мир ПК» за 2014-й год этой теме посвящено целое «исследование». Результаты его сомнений не оставляют: «скупой платит дважды». Однако аргументы в этой статье настолько спорные, что я не могу не высказаться на эту тему. Ведь мы с вами живем в то время, когда многие манипулируют информацией, чтобы заработать больше денег. О том, насколько эффективна эта система, можно судить по тому факту, что «Антивирус Бабушкина» закупило несколько государственных организаций. Это, конечно, крайний случай, но он показывает, что когда хвалят платные продукты, стоит задуматься, насколько бескорыстны эти похвалы.

На данный момент в сети имеется целая куча различных инструкций по созданию дежурной рабочей сисадминской флешки, но, к сожалению, многие из них уже устарели и просто не подходят под современные задачи.

Я не собираюсь описывать процесс установки GRUB4DOS, так как это не изменилось и в сети полно инструкций. Просто скажу, что GRUB4DOS просто должен быть установлен на флешку. Также я НЕ собираюсь выкладывать здесь образы систем (все имеется на торрентах), но, тем не менее, выложу полное меню из LST-файлов со структурой папок. Также необходимо учесть, что все образы ISO необходимо дефрагментировать.

На днях корпорация Google объявила о введении новой меры безопасности в Android OS. Так, ранее все загружаемые в Google Play Store приложения проверялись корпорацией на наличие «зловредов». Кроме того, можно было и выбрать опцию проверки приложений, устанавливаемых на смартфон пользователя.

Теперь же стало ясно, что этого недостаточно, и корпорация решила ввести новую меру безопасности: мониторинг установленных на мобильном устройстве приложений с целью обнаружения возможного malware.

Компания «Доктор Веб» 31 января 2014 года на своем сайте опубликовала новость "Dr.Web в помощь правообладателям контента". Теперь компания готова блокировать сайты по запросу правообладателей при условии предоставления документов, доказывающих, что данный контент принадлежит данному правообладателю. Есть форма для отправки запроса на блокировку.

Первый вопрос, который возникает у меня: почему производитель антивирусного программного продукта так заботится о контенте, который попадает под категорию не лицензионный?

Сегодня на выставке CES генеральный директор Intel Брайан Кржанич объявил, что бренд McAfee будет заменён на Intel Security, пишет The Next Web. Новый бренд будет использоваться для всех продуктов и сервисов Intel в сфере безопасности.

Ребрендинг, вероятно, связан с попыткой дистанцироваться от одиозного создателя McAfee Джона Макафи, который так отреагировал на новость: «Я теперь буду вечно благодарен Intel за освобождение меня от этой ужасной ассоциации с худшей программой на планете. Это не мои слова, это слова миллионов разгневанных пользователей. Мой восторг в связи с решением Intel невозможно выразить словами».

В новости «ОСТОРОЖНО. Вирус-шифровальщик Trojan.Encoder.225» я уже подробно рассказывал об одном конкретном вирусе Trojan.Encoder.225, но, на тот момент, решения по расшифровке я так и не получил.
Но в последствии (спустя 3 с лишним недели после начала дэшифровки) ситуация изменилась в лучшую сторону. За этот период мною были успешно расшифрованы данные сразу после двух вирусов Trojan.Encoder.225 и Trojan.Encoder.263 на разных ПК.

Большинство программистов учатся постоянно. Мы читаем книги гуру и смотрим код профессионалов. И спорим какой метод лучше и какое решение красивее.
Но представим себе что есть суперпрофессионал, код которого нам удалось посмотреть. Чему мы можем научиться у него? И какие выводы мы сможем сделать?

Итак — искусственные иммунные системы.

Интернет уже не тот, что прежде — кругом враги. Тема обнаружения непосредственного заражения сайта и поиска вредоносных/зараженных скриптов на взломанном сайте рассмотрена слабо, попробуем это исправить.
Итак, представляем вашему вниманию Linux Malware Detect.

Linux Malware Detect (LMD) — это сканер для Linux, предназначенный для поиска веб-шеллов, спам-ботов, троянов, злонамеренных скриптов и прочих типичных угроз характерных для веб-пространств и особенно актуален для виртуальных шаред-хостинг платформ. Главное отличие от прочих Linux-антивирусов — его веб направленность, сканирование файлов веб-сайтов, ведь обычные антивирусы ориентируются на более глобальные угрозы уровня системы.