Как стать автором
Обновить

«Я понял, что многие хотят любви»: журналисты нашли создателя червя ILOVEYOU

Информационная безопасность *Антивирусная защита *
image

Спустя 20 лет после того, как в мире произошла первая крупная атака компьютерного вируса, журналисты нашли его создателя и пообщались с ним. Речь идет о филиппинце Онеле де Гузмане, который создал червя ILOVEYOU (Love Bug) для кражи паролей.
Читать дальше →
Всего голосов 26: ↑26 и ↓0 +26
Просмотры 11K
Комментарии 12

Инженеры создали робота-червя, способного передвигаться под поверхностью песка

Робототехника


Мы уже привыкли к роботам, способным летать, плавать и бегать, а вот теперь исследователи из Калифорнийского университета в Санта-Барбаре и Технологического института Джорджии разработали робота нового типа, способного зарываться в песок. У них получился быстро перемещающийся, мягкий и хорошо управляемый робот, умеющий не только спрятаться в песке но и передвигаться в нём.

Аспирант из лаборатории машиностроения при университете и ведущий автор работы Николас Наклерио пояснил, что самой большой проблемой, с которой они столкнулись при разработке робота – это силы, препятствующие ему передвигаться под поверхностью. Воздух и даже вода сопротивляются не так сильно, как песок и почва – при передвижении под землёй приходится отпихивать среду в стороны.

Однако природа предлагает множество примеров живых существ, способных передвигаться под землёй – от растений и грибов, создающих разветвлённые подземные сети, до животных, научившихся передвигаться в гранулированных средах. Понимание того, как это происходит в природе – ключ ко множеству интересных возможностей, как считает профессор физики Дэниел Голдман из Технологического института Джорджии.
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 4.7K
Комментарии 11

Работа в безопасности

GTD *
Как вы уже давно заметили, в сети активно шастает новый вид трояна. Разновидностей уже несколько, а задача стара как мир — воровать доступы и менять информацию.

Читать дальше →
Всего голосов 16: ↑14 и ↓2 +12
Просмотры 585
Комментарии 25

Skype снова подхватил вирус

Мессенджеры *
Согласно сообщению нескольких антивирусных контор, а также официальному заявлению Виллу Арака (Villu Arak), пресс-секретаря Skype Inc., вчера, 10 сентября, пользователи в очередной раз столкнулись с вирусной атакой, организованной неизвестными злоумышленниками.

Вирус распространяется одним из наиболее простых (и, увы, наиболее действенных) способов: пользователю Skype в текстовом чате приходит сообщение со ссылкой на jpeg-изображение и призыв поскорее его посмотреть. Как только юзер переходит по ссылке, на ПК проникает вредоносная программа (Worm.Win32.Skipi.a), блокирует работу антивирусного ПО, переключает Skype в режим «Не беспокоить» и начинает рассылать по контакт-листу сообщение с ссылкой. Таким образом, пользователь может получить вредоносное сообщение даже от друзей. Важно отметить, что никакого серьёзного вреда системе червь не наносит.

Антивирусы производства F-Secure, Symantec и Kaspersky Lab, по словам представителей этих компаний, уже способны выявлять данный вирус и нейтрализовать его. Тем не менее, Skype Inc. приводит официальный документ с инструкцией по избавлению от червя.

Итак, решение проблемы состоит из следующих шагов:
— перезагрузить ПК в режиме Safe Mode
— запустить редактор реестра (regedit)
— найти ветку HKLM/software/microsoft/windows/currentversion/runonce
— найти в ней запись, содержащую mshtmldat32.exe, и удалить эту запись
— зайти в директорию Windows\System32 и удалить файлы wndrivs32.exe, mshtmldat32.exe, winlgcvers.exe и sdrivew32.exe
— зайти в директорию Windows\System32\drivers\etc
— найти файл hosts, открыть его Блокнотом и удалить всё содержимое, затем сохранить файл и закрыть.
— перезапустить ПК.

via Skype
Всего голосов 20: ↑16 и ↓4 +12
Просмотры 7.5K
Комментарии 34

Уязвимость OpenOffice опасна не только для пользователей Windows

Антивирусная защита *
Ошибка в обработке изображений, обнаруженная в кроссплатформенном пакете OpenOffice, опасна даже пользователям систем, традиционно считающихся защищенными — Linux и Mac. Windows, разумеется, тоже.
Читать дальше →
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 1.2K
Комментарии 9

XSS-червь: кто меньше?

Информационная безопасность *
Наткнулся на днях на новость о конкурсе, в котором предлагают создать минимальный JavaScript-код, который будет сам себя копировать дальше. Автор конкурса — Robert Hansen aka RSnake, достаточно крупный специалист по информационной безопасности.

Условия



По условиям конкурса от кода требовалось следующее:
Читать дальше →
Всего голосов 46: ↑45 и ↓1 +44
Просмотры 9.2K
Комментарии 16

Борьба с червём GetCodec

Информационная безопасность *
Сегодня ко мне в слезах прибежала жена — говорит, все MP3 испортились.

Пошёл смотреть. В Windows Media Player файлы проигрываются нормально, а в Winamp, iTunes и на айподе квакают, хрюкают и ведут себя крайне неподобающе.

Натравил на файлы NOD32. Антивирус опознал червя GetCodec, о котором несколько месяцев назад уже писали на Хабре. NOD32 пошуршал, сказал, что всё получилось, но файлы не вылечил.

Я открыл Гугл и стал разбираться. Выяснилось, что червь не пережимает файлы в WMA, а засовывает MP3-поток в контейнер ASF, а потом переименовывает обратно.

В интернете советовали похимичить с тегами, но это, само собой, не помогло. Пережимать файл в MP3 — тоже не вариант. Только через полчаса понял, что поток-то никуда не делся.

Выручил FFmpeg. Лёгким движением руки достаём звук и сохраняем в новый файл:
ffmpeg -i ill.mp3 -vn -acodec copy healthy.mp3
Всего голосов 68: ↑65 и ↓3 +62
Просмотры 617
Комментарии 31

Эпидемия сетевого червя Net-Worm.Win32.Kido & утилита лечения

Чулан
С начала года наблюдается глобальная эпидемия сетевого червя Net-Worm.Win32.Kido
Данный зверёк распространяется через локальную сеть и при помощи съемных носителей информации.
При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.
Червь для атаки использует уязвимость операционных систем семейства Windows, обнаруженную в конце октября 2008 года MS08-067 в сервисе «Сервер». Для того, чтобы воспользоваться уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора, последовательно перебирая пароли, заложенные создателем в теле вируса.
После запуска, на компьютере-жертве блокируется доступ к сайтам антивирусных компаний. Также блокируется доступ пользователей к доменным именам, содержащим слова «virus, rootkit, spyware» и прочим, с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям.
Известны десятки модификаций данного червя.
Рекомендации по удалению выпущены всеми ведущими производителями АВ. ЛК выпустила специальную утилиту — KidoKiller для борьбы с сетевым червем Net-Worm.Win32.Kido, утилита содержит generic-детектирование всех известных модификаций червя.
Алгоритм лечения с помощью данной утилиты описан в данной статье www.kaspersky.ru/support/wks6mp3/error?qid=208636215

По материалам virusinfo.info, av-school.ru

Подкатом — алгоритм лечения, скопирован с сайта ЛК, для не имеющих туда доступ в результате действий червя.
Читать дальше →
Всего голосов 17: ↑10 и ↓7 +3
Просмотры 5.3K
Комментарии 12

Вопросы и ответы: Conficker и 1 апреля

Информационная безопасность *
Перевод
Conficker and DownadupСейчас в интернете бродит много слухов про то, что якобы первого апреля случится что-то страшное. Conficker (Downadup, Kido) начнет использовать новый алгоритм определения доменов для рассылки обновлений, поэтому многие придумывают всякие небылицы, вплоть до «конца интернета». Некоторые товарищи даже советую не выходить в интернет 1-ого апреля.
Вчера наши парни опубликовали FAQ про это в блоге F-Secure, а я тут привожу его перевод. Прочитайте, чтобы не поддаваться панике и знать, что именно произойдет 1-ого апреля.

Q: Я слышал, что что-то очень-очень плохое случится с интернетом 1 апреля. Так это?
A: Нет, не совсем.

Q: Серьезно, червь Conficker начнет делать что-то плохое 1-ого апреля, так?
A: Conficker aka Downadup немного изменит свой алгоритм работы, но это врядли приведет к каким-то видимым изменениям 1-ого апреля.

Q: Так что случится-то 1-ого апреля?
A: Сейчас Conficker генерирует 250 разных доменных имен каждый день и пытается скачать с них программу апдейта и запустить ее. 1 апреля новейшая версия Conficker-а начнет выбирать уже 500 из 50,000 доменов каждый день для той же цели — скачивания и запуска файлов.

Q: Последняя версия? Есть несколько разных версий чтоли?
A: Да, и последняя версия сейчас не самая распространенная. Большинство зараженных компьютеров сейчас заражены вариантом B, который начал распространяться в Январе. И в поведении этого варианта B ничего не изменится.

Q: Я только что проверил, что моя Windows машина не заражена. Что-нибудь случится с моим компьютером 1-ого апреля?
A: Нет!

Q: У меня Mac, что-нибудь случится с моим компьютером?
A: Нет!

Q: Итак, это значит, что хакеры смогут использовать этот новый канал для скачивания и запуска любой программы на всех машинах?
A: Да, на всех машинах, которые инфицированы последней версией червя.
Читать дальше →
Всего голосов 43: ↑30 и ↓13 +17
Просмотры 1.1K
Комментарии 40

Легенды вирусостроения: Великий Червь

Биографии гиков
image21 год назад произошло событие навеки впечатавшее себя в историю интернета.

2 ноября 1988 года 99 строк кода вызвали двухдневный шоковый паралич еще молодого и неопытного в делах безопасности интернета.

Около 6000 VAX машин под управлением операционных систем SUN и BSD UNIX оказались зараженными невиданной доселе заразой. Многие администраторы были вынуждены отключить своих подопечных, чтобы хоть как-то остановить перегрузку компьютеров и распространение заразы.
Читать дальше →
Всего голосов 170: ↑167 и ↓3 +164
Просмотры 4.7K
Комментарии 82

Червь в Facebook — «Make Me Laugh Now»

Информационная безопасность *
Как бы ни был опытен и параноидален человек, всё-равно вырабатывается определённое доверие к сервисам, от которых никогда не было проблем, спама и прочих неприятностей. Сегодня мне пришло уведомление о новом сообщении в Facebook:

image

Безобидное вроде, от человека опытного и, так сказать, надёжного. Подвоха я не заметил (ссылка на apps.facebook.com, подозрений вообще никаких не возникло), в сообщение особо не вчитывался, ну и открыл ссылку. Видимо он тоже так думал, когда такое получил. В общем как выяснилось это новый интернет-червь, причем действует он изнутри (!) в виде приложения. Понятно, что надо быть бдительным, видимо те, кто минусует пост хотят до меня донести именно это, но тут случай вроде как уникальный, так как приложение не требует никакого дополнительного действия со стороны пользователя, и, как выяснилось, очень даже массовый.

Если вам пришло такое письмо — не заходите на страницу приложения!
Откроете ссылку и мгновенно станете разносчиком заразы.

UPD Черво-приложение удалено из apps.
Интересно как это прокомментируют в Facebook, и прокомментируют ли вообще

UPD2 Детальный анализ червя (eng): blog.kotowicz.net/2010/08/makemelaughnow-analysis-of-new.html
Довольно любопытно, рекомендую ознакомиться. Если кто-то сделает перевод то будет вообще шикарно.
А вот и перевод подоспел от miguello.

Если коротко, то приложение использовало лазейки мобильной версии touch.facebook.com, избегая защиты «песочницы». Цитирую: «Урок, который следует извлечь — не забывайте о мобильных версиях ваших сайтов».

Читать дальше →
Всего голосов 142: ↑125 и ↓17 +108
Просмотры 903
Комментарии 57

Кроссплатформенный зловред: Linux, MacOS, Windows

Антивирусная защита *
Учитывая недавний спор и требования показать вирус не под Windows, позволю себе небольшой перевод интересного блога Джерома Сегуры, специалиста по безопасности компании ParetoLogic.

Читать дальше →
Всего голосов 79: ↑69 и ↓10 +59
Просмотры 5K
Комментарии 299

Как Symantec взломала Stuxnet

Информационная безопасность *
Перевод
imageИстория, стоящая за спиной Stuxnet — червя ориентированного на Иранские атомные электростанции, была описана уже не раз (в том числе и на Хабре) с того момента, как прошедшей весной группа разработчиков из Symantec выпустила этот документ — досье, посвященное этому беспрецедентно сложному творению чьих-то рук. Но видеть — значит верить. И у меня был шанс присутствовать на специальном брифинге в штаб-квартире Symantec, расположенной в Mountain View — California, где Патрик Гарднер, директор их группы безопасности, показывал как все происходило на самом деле. Это был великолепно.

Stuxnet был очень сложной программой, содержащей около 10 000 строк кода, написание которых заняло человеко-годы. Symantec обнаружила первые версии червя примерно за год до настоящей атаки, имевшей место год назад в июне и у них не был ни малейшего понятия о том, что же это такое, до тех пора пока события не начали развиваться на атомном объекте. Они раскололи код командой из трех человек, работавших на полный рабочий день, за несколько месяцев.

Этот софт очень специфичен, и затрагивал отдельный программируемый логический контроллер от компании Siemens, проводящий серию из 9 000 различных центрифуг, используемых для разделения урана. Червь начисто уничтожал около 1000 из них, наносив серьезный ущерб и отбрасывая всю атомную программу Ирана на год, или даже более, назад.

Компьютерная сеть атомной электростанции имеет т.н. «воздушную дыру» между компьютерами используемыми для работы с контроллерами Siemens и обычными компьютерами бизнес-отделения, подключенными к Интернету. Это значит, что компьютеры подключенные к технике от Siemens не имели доступа к внешней сети, что является стандартной и хорошей практикой в сетевой безопасности такого уровня. Как же тогда они оказались заражены червем? Оказалось, в результате человеческого фактора.
Читать дальше →
Всего голосов 129: ↑120 и ↓9 +111
Просмотры 11K
Комментарии 158

Отмечена активность новой версии червя Ramnit в социальных сетях

Информационная безопасность *
Аналитики компании Seculert опубликовали свои наблюдения над активностью новой версии червя Ramnit, который уже ранее был неоднократно замечен в качестве инструмента для совершения мошенничеств, связанных с финансовыми операциями в интернете.

Впервые активность Ramnit была обнаружена экспертами еще в 2010 году, когда он, заражая исполняемые файлы Windows, при запуске последних на компьютере жертвы получал возможность распространения, инфицируя попутно HTML, DLL, DOC, XLS и SCR-файлы. Управляющие сервера вредоносной программы, как было определено в Symantec, находятся в Германии, а характерной особенность работы Ramnit было то, что он соединялся со своим «хозяином» при помощи HTTPS.

В мае 2011 года на одном их хакерских форумов был опубликован исходный код печально известного трояна Zeus, чем, по всей вероятности, не преминули воспользоваться автор(ы) Ramnit. Исследования сразу нескольких антивирусных компаний показали, что «зловред» приобрел новую функциональность, унаследованную от Zeus, а именно возможность встраиваться в обозреватель и изменять содержимое целевой веб-страницы.
Узнать подробности
Всего голосов 10: ↑8 и ↓2 +6
Просмотры 917
Комментарии 1

Анализ структуры управления Flame

Блог компании «Лаборатория Касперского» Информационная безопасность *
Не прошло и пары недель с момента обнаружения Flame, как с помощью коллег из OpenDNS и GoDaddy мы смогли перенаправить вредоносные домены на наш сервер. В результате детального анализа полученной таким образом информации, наши эксперты пришли к следующим выводам:

• Командные серверы Flame, действовавшие в течение нескольких лет, были отключены сразу же после того, как на прошлой неделе «Лаборатория Касперского» раскрыла существование вредоносной программы.
• На данный момент известно более 80 доменов, задействовавшихся для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 гг.
• За последние 4 года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.
• Для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы, причем данная активность началась еще в 2008 году.
• Злоумышленников, использующих Flame для кражи информации, особенно интересовали офисные документы, файлы PDF и чертежи AutoCAD.
• Данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.
• По предварительным данным, 64-разрядная версия операционной системы Windows 7, которая ранее уже была рекомендована «Лабораторией Касперского» как одна из самых безопасных, оказалась не подвержена заражению Flame.

image
География распространения Flame
Читать дальше →
Всего голосов 36: ↑30 и ↓6 +24
Просмотры 13K
Комментарии 14

Вирус Flame создавался специалистами США и Израиля с целью саботажа иранской ядерной программы

Информационная безопасность *
Washington Post со ссылкой на неназванных западных чиновников сообщила о том, что шпионский вирус Flame разрабатывался совместно специалистами США и Израиля для получения информации, которая могла бы быть полезна в срыве иранской ядерной программы.
Читать дальше →
Всего голосов 40: ↑33 и ↓7 +26
Просмотры 1.8K
Комментарии 20

Первый опыт в исследовании вредоносного ПО под Microsoft Windows

Антивирусная защита *
Из песочницы

Введение


Многие наверняка знают это чувство опасения за свою флешку, подключая ее в «чужой» компьютер. Тем более, если нельзя посмотреть что происходит в операционной системе этого компьютера из-за прав пользователя, да и сам этот компьютер «публичного доступа» ( аудитория в учебном заведении). И еще более паршивое чувство, когда опасения оправдываются: помимо записи на флешку, вирус некоторым образом модифицирует данные на ней, притом криво.
С этим столкнулся и я. А заполучив образец вируса на подставную флешку, решил разобраться, что еще он делает и в чем вообще заключается суть его работы, а главное – как изгнать эту заразу с компов и «зараженных» флешек.
Статья будет полезна тем, кому интересна область анализа ПО, независимо от квалификации и навыков (специалисты могут в комментарии написать о своем опыте).

Читать дальше →
Всего голосов 28: ↑23 и ↓5 +18
Просмотры 8.6K
Комментарии 22

Исследователи создали червя, который может заражать прошивку Mac

Блог компании Positive Technologies Информационная безопасность *


Несколько месяцев назад исследователь Траммел Хадсон (Trammel Hudson) создал эксплойт под названием Thunderstrike, который мог инфицировать компьютеры Mac через устройства, подключенные через разъем Thunderbolt. При подключении к зараженному компьютеру новых устройств червь записывался на них, таким образом под угрозой оказывались и другие машины.

Apple исправила уязвимость в OS X версии 10.10.2, однако, как сообщает издание Wired, Хадсон и еще один ИБ-исследователь Ксено Кова (Xeno Kovah) разработали новую версию эксплойта и опубликовали буткит и червя, заражающего компьютеры Mac.
Читать дальше →
Всего голосов 23: ↑23 и ↓0 +23
Просмотры 20K
Комментарии 4

Червь, который изменил Интернет

Блог компании ua-hosting.company Информационная безопасность *Разработка веб-сайтов *
Сэми Камка, главный герой истории, не хотел быть «героем» для каждого, он даже не собирался заводить новых друзей. Но благодаря нескольким строчкам умного кода он за сутки стал «героем» и «другом» для более чем миллиона людей.



Все произошло около полуночи 4 октября 2005 года в солнечном городе Лос-Анджелес. Тогда 19-летний хакер Сэми Камка выпустил в сеть нечто, более известное теперь как “червь Samy”. Это был первый самый быстрый и самораспространяющийся вирус, который навсегда изменил мир веб-безопасности.
Читать дальше →
Всего голосов 62: ↑51 и ↓11 +40
Просмотры 84K
Комментарии 36

Создатели трояна-шифровальщика TeslaCrypt закрыли проект и опубликовали master-ключ для разблокировки

Блог компании Positive Technologies Информационная безопасность *


Издание Bleeping Computer сообщает о том, что создатели знаменитого трояна TeslaCrypt, который зашифровывал файлы на атакованных машинах, опубликовали мастер-ключ для разблокировки и закрыли проект.
Читать дальше →
Всего голосов 42: ↑37 и ↓5 +32
Просмотры 56K
Комментарии 25
1