Спустя 20 лет после того, как в мире произошла первая крупная атака компьютерного вируса, журналисты нашли его создателя и пообщались с ним. Речь идет о филиппинце Онеле де Гузмане, который создал червя ILOVEYOU (Love Bug) для кражи паролей.

Мы уже привыкли к роботам, способным летать, плавать и бегать, а вот теперь исследователи из Калифорнийского университета в Санта-Барбаре и Технологического института Джорджии разработали робота нового типа, способного зарываться в песок. У них получился быстро перемещающийся, мягкий и хорошо управляемый робот, умеющий не только спрятаться в песке но и передвигаться в нём.

Аспирант из лаборатории машиностроения при университете и ведущий автор работы Николас Наклерио пояснил, что самой большой проблемой, с которой они столкнулись при разработке робота – это силы, препятствующие ему передвигаться под поверхностью. Воздух и даже вода сопротивляются не так сильно, как песок и почва – при передвижении под землёй приходится отпихивать среду в стороны.

Однако природа предлагает множество примеров живых существ, способных передвигаться под землёй – от растений и грибов, создающих разветвлённые подземные сети, до животных, научившихся передвигаться в гранулированных средах. Понимание того, как это происходит в природе – ключ ко множеству интересных возможностей, как считает профессор физики Дэниел Голдман из Технологического института Джорджии.

Как вы уже давно заметили, в сети активно шастает новый вид трояна. Разновидностей уже несколько, а задача стара как мир — воровать доступы и менять информацию.

Согласно сообщению нескольких антивирусных контор, а также официальному заявлению Виллу Арака (Villu Arak), пресс-секретаря Skype Inc., вчера, 10 сентября, пользователи в очередной раз столкнулись с вирусной атакой, организованной неизвестными злоумышленниками.

Вирус распространяется одним из наиболее простых (и, увы, наиболее действенных) способов: пользователю Skype в текстовом чате приходит сообщение со ссылкой на jpeg-изображение и призыв поскорее его посмотреть. Как только юзер переходит по ссылке, на ПК проникает вредоносная программа (Worm.Win32.Skipi.a), блокирует работу антивирусного ПО, переключает Skype в режим «Не беспокоить» и начинает рассылать по контакт-листу сообщение с ссылкой. Таким образом, пользователь может получить вредоносное сообщение даже от друзей. Важно отметить, что никакого серьёзного вреда системе червь не наносит.

Антивирусы производства F-Secure, Symantec и Kaspersky Lab, по словам представителей этих компаний, уже способны выявлять данный вирус и нейтрализовать его. Тем не менее, Skype Inc. приводит официальный документ с инструкцией по избавлению от червя.

Итак, решение проблемы состоит из следующих шагов:
— перезагрузить ПК в режиме Safe Mode
— запустить редактор реестра (regedit)
— найти ветку HKLM/software/microsoft/windows/currentversion/runonce
— найти в ней запись, содержащую mshtmldat32.exe, и удалить эту запись
— зайти в директорию Windows\System32 и удалить файлы wndrivs32.exe, mshtmldat32.exe, winlgcvers.exe и sdrivew32.exe
— зайти в директорию Windows\System32\drivers\etc
— найти файл hosts, открыть его Блокнотом и удалить всё содержимое, затем сохранить файл и закрыть.
— перезапустить ПК.

via Skype

Ошибка в обработке изображений, обнаруженная в кроссплатформенном пакете OpenOffice, опасна даже пользователям систем, традиционно считающихся защищенными — Linux и Mac. Windows, разумеется, тоже.

Наткнулся на днях на новость о конкурсе, в котором предлагают создать минимальный JavaScript-код, который будет сам себя копировать дальше. Автор конкурса — Robert Hansen aka RSnake, достаточно крупный специалист по информационной безопасности.

Условия

По условиям конкурса от кода требовалось следующее:

Сегодня ко мне в слезах прибежала жена — говорит, все MP3 испортились.

Пошёл смотреть. В Windows Media Player файлы проигрываются нормально, а в Winamp, iTunes и на айподе квакают, хрюкают и ведут себя крайне неподобающе.

Натравил на файлы NOD32. Антивирус опознал червя GetCodec, о котором несколько месяцев назад уже писали на Хабре. NOD32 пошуршал, сказал, что всё получилось, но файлы не вылечил.

Я открыл Гугл и стал разбираться. Выяснилось, что червь не пережимает файлы в WMA, а засовывает MP3-поток в контейнер ASF, а потом переименовывает обратно.

В интернете советовали похимичить с тегами, но это, само собой, не помогло. Пережимать файл в MP3 — тоже не вариант. Только через полчаса понял, что поток-то никуда не делся.

Выручил FFmpeg. Лёгким движением руки достаём звук и сохраняем в новый файл:
ffmpeg -i ill.mp3 -vn -acodec copy healthy.mp3

С начала года наблюдается глобальная эпидемия сетевого червя Net-Worm.Win32.Kido
Данный зверёк распространяется через локальную сеть и при помощи съемных носителей информации.
При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.
Червь для атаки использует уязвимость операционных систем семейства Windows, обнаруженную в конце октября 2008 года MS08-067 в сервисе «Сервер». Для того, чтобы воспользоваться уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора, последовательно перебирая пароли, заложенные создателем в теле вируса.
После запуска, на компьютере-жертве блокируется доступ к сайтам антивирусных компаний. Также блокируется доступ пользователей к доменным именам, содержащим слова «virus, rootkit, spyware» и прочим, с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям.
Известны десятки модификаций данного червя.
Рекомендации по удалению выпущены всеми ведущими производителями АВ. ЛК выпустила специальную утилиту — KidoKiller для борьбы с сетевым червем Net-Worm.Win32.Kido, утилита содержит generic-детектирование всех известных модификаций червя.
Алгоритм лечения с помощью данной утилиты описан в данной статье www.kaspersky.ru/support/wks6mp3/error?qid=208636215

По материалам virusinfo.info, av-school.ru

Подкатом — алгоритм лечения, скопирован с сайта ЛК, для не имеющих туда доступ в результате действий червя.

Сейчас в интернете бродит много слухов про то, что якобы первого апреля случится что-то страшное. Conficker (Downadup, Kido) начнет использовать новый алгоритм определения доменов для рассылки обновлений, поэтому многие придумывают всякие небылицы, вплоть до «конца интернета». Некоторые товарищи даже советую не выходить в интернет 1-ого апреля.
Вчера наши парни опубликовали FAQ про это в блоге F-Secure, а я тут привожу его перевод. Прочитайте, чтобы не поддаваться панике и знать, что именно произойдет 1-ого апреля.

Q: Я слышал, что что-то очень-очень плохое случится с интернетом 1 апреля. Так это?
A: Нет, не совсем.

Q: Серьезно, червь Conficker начнет делать что-то плохое 1-ого апреля, так?
A: Conficker aka Downadup немного изменит свой алгоритм работы, но это врядли приведет к каким-то видимым изменениям 1-ого апреля.

Q: Так что случится-то 1-ого апреля?
A: Сейчас Conficker генерирует 250 разных доменных имен каждый день и пытается скачать с них программу апдейта и запустить ее. 1 апреля новейшая версия Conficker-а начнет выбирать уже 500 из 50,000 доменов каждый день для той же цели — скачивания и запуска файлов.

Q: Последняя версия? Есть несколько разных версий чтоли?
A: Да, и последняя версия сейчас не самая распространенная. Большинство зараженных компьютеров сейчас заражены вариантом B, который начал распространяться в Январе. И в поведении этого варианта B ничего не изменится.

Q: Я только что проверил, что моя Windows машина не заражена. Что-нибудь случится с моим компьютером 1-ого апреля?
A: Нет!

Q: У меня Mac, что-нибудь случится с моим компьютером?
A: Нет!

Q: Итак, это значит, что хакеры смогут использовать этот новый канал для скачивания и запуска любой программы на всех машинах?
A: Да, на всех машинах, которые инфицированы последней версией червя.

21 год назад произошло событие навеки впечатавшее себя в историю интернета.

2 ноября 1988 года 99 строк кода вызвали двухдневный шоковый паралич еще молодого и неопытного в делах безопасности интернета.

Около 6000 VAX машин под управлением операционных систем SUN и BSD UNIX оказались зараженными невиданной доселе заразой. Многие администраторы были вынуждены отключить своих подопечных, чтобы хоть как-то остановить перегрузку компьютеров и распространение заразы.

Как бы ни был опытен и параноидален человек, всё-равно вырабатывается определённое доверие к сервисам, от которых никогда не было проблем, спама и прочих неприятностей. Сегодня мне пришло уведомление о новом сообщении в Facebook:



Безобидное вроде, от человека опытного и, так сказать, надёжного. Подвоха я не заметил (ссылка на apps.facebook.com, подозрений вообще никаких не возникло), в сообщение особо не вчитывался, ну и открыл ссылку. Видимо он тоже так думал, когда такое получил. В общем как выяснилось это новый интернет-червь, причем действует он изнутри (!) в виде приложения. Понятно, что надо быть бдительным, видимо те, кто минусует пост хотят до меня донести именно это, но тут случай вроде как уникальный, так как приложение не требует никакого дополнительного действия со стороны пользователя, и, как выяснилось, очень даже массовый.

Если вам пришло такое письмо — не заходите на страницу приложения!
Откроете ссылку и мгновенно станете разносчиком заразы.

UPD Черво-приложение удалено из apps.
Интересно как это прокомментируют в Facebook, и прокомментируют ли вообще

UPD2 Детальный анализ червя (eng): blog.kotowicz.net/2010/08/makemelaughnow-analysis-of-new.html
Довольно любопытно, рекомендую ознакомиться. Если кто-то сделает перевод то будет вообще шикарно.
А вот и перевод подоспел от miguello.

Если коротко, то приложение использовало лазейки мобильной версии touch.facebook.com, избегая защиты «песочницы». Цитирую: «Урок, который следует извлечь — не забывайте о мобильных версиях ваших сайтов».

Учитывая недавний спор и требования показать вирус не под Windows, позволю себе небольшой перевод интересного блога Джерома Сегуры, специалиста по безопасности компании ParetoLogic.

История, стоящая за спиной Stuxnet — червя ориентированного на Иранские атомные электростанции, была описана уже не раз (в том числе и на Хабре) с того момента, как прошедшей весной группа разработчиков из Symantec выпустила этот документ — досье, посвященное этому беспрецедентно сложному творению чьих-то рук. Но видеть — значит верить. И у меня был шанс присутствовать на специальном брифинге в штаб-квартире Symantec, расположенной в Mountain View — California, где Патрик Гарднер, директор их группы безопасности, показывал как все происходило на самом деле. Это был великолепно.

Stuxnet был очень сложной программой, содержащей около 10 000 строк кода, написание которых заняло человеко-годы. Symantec обнаружила первые версии червя примерно за год до настоящей атаки, имевшей место год назад в июне и у них не был ни малейшего понятия о том, что же это такое, до тех пора пока события не начали развиваться на атомном объекте. Они раскололи код командой из трех человек, работавших на полный рабочий день, за несколько месяцев.

Этот софт очень специфичен, и затрагивал отдельный программируемый логический контроллер от компании Siemens, проводящий серию из 9 000 различных центрифуг, используемых для разделения урана. Червь начисто уничтожал около 1000 из них, наносив серьезный ущерб и отбрасывая всю атомную программу Ирана на год, или даже более, назад.

Компьютерная сеть атомной электростанции имеет т.н. «воздушную дыру» между компьютерами используемыми для работы с контроллерами Siemens и обычными компьютерами бизнес-отделения, подключенными к Интернету. Это значит, что компьютеры подключенные к технике от Siemens не имели доступа к внешней сети, что является стандартной и хорошей практикой в сетевой безопасности такого уровня. Как же тогда они оказались заражены червем? Оказалось, в результате человеческого фактора.

Аналитики компании Seculert опубликовали свои наблюдения над активностью новой версии червя Ramnit, который уже ранее был неоднократно замечен в качестве инструмента для совершения мошенничеств, связанных с финансовыми операциями в интернете.

Впервые активность Ramnit была обнаружена экспертами еще в 2010 году, когда он, заражая исполняемые файлы Windows, при запуске последних на компьютере жертвы получал возможность распространения, инфицируя попутно HTML, DLL, DOC, XLS и SCR-файлы. Управляющие сервера вредоносной программы, как было определено в Symantec, находятся в Германии, а характерной особенность работы Ramnit было то, что он соединялся со своим «хозяином» при помощи HTTPS.

В мае 2011 года на одном их хакерских форумов был опубликован исходный код печально известного трояна Zeus, чем, по всей вероятности, не преминули воспользоваться автор(ы) Ramnit. Исследования сразу нескольких антивирусных компаний показали, что «зловред» приобрел новую функциональность, унаследованную от Zeus, а именно возможность встраиваться в обозреватель и изменять содержимое целевой веб-страницы.

Не прошло и пары недель с момента обнаружения Flame, как с помощью коллег из OpenDNS и GoDaddy мы смогли перенаправить вредоносные домены на наш сервер. В результате детального анализа полученной таким образом информации, наши эксперты пришли к следующим выводам:

• Командные серверы Flame, действовавшие в течение нескольких лет, были отключены сразу же после того, как на прошлой неделе «Лаборатория Касперского» раскрыла существование вредоносной программы.
• На данный момент известно более 80 доменов, задействовавшихся для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 гг.
• За последние 4 года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.
• Для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы, причем данная активность началась еще в 2008 году.
• Злоумышленников, использующих Flame для кражи информации, особенно интересовали офисные документы, файлы PDF и чертежи AutoCAD.
• Данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.
• По предварительным данным, 64-разрядная версия операционной системы Windows 7, которая ранее уже была рекомендована «Лабораторией Касперского» как одна из самых безопасных, оказалась не подвержена заражению Flame.


География распространения Flame

Washington Post со ссылкой на неназванных западных чиновников сообщила о том, что шпионский вирус Flame разрабатывался совместно специалистами США и Израиля для получения информации, которая могла бы быть полезна в срыве иранской ядерной программы.

Введение

Многие наверняка знают это чувство опасения за свою флешку, подключая ее в «чужой» компьютер. Тем более, если нельзя посмотреть что происходит в операционной системе этого компьютера из-за прав пользователя, да и сам этот компьютер «публичного доступа» ( аудитория в учебном заведении). И еще более паршивое чувство, когда опасения оправдываются: помимо записи на флешку, вирус некоторым образом модифицирует данные на ней, притом криво.
С этим столкнулся и я. А заполучив образец вируса на подставную флешку, решил разобраться, что еще он делает и в чем вообще заключается суть его работы, а главное – как изгнать эту заразу с компов и «зараженных» флешек.
Статья будет полезна тем, кому интересна область анализа ПО, независимо от квалификации и навыков (специалисты могут в комментарии написать о своем опыте).

Несколько месяцев назад исследователь Траммел Хадсон (Trammel Hudson) создал эксплойт под названием Thunderstrike, который мог инфицировать компьютеры Mac через устройства, подключенные через разъем Thunderbolt. При подключении к зараженному компьютеру новых устройств червь записывался на них, таким образом под угрозой оказывались и другие машины.

Apple исправила уязвимость в OS X версии 10.10.2, однако, как сообщает издание Wired, Хадсон и еще один ИБ-исследователь Ксено Кова (Xeno Kovah) разработали новую версию эксплойта и опубликовали буткит и червя, заражающего компьютеры Mac.

Сэми Камка, главный герой истории, не хотел быть «героем» для каждого, он даже не собирался заводить новых друзей. Но благодаря нескольким строчкам умного кода он за сутки стал «героем» и «другом» для более чем миллиона людей.



Все произошло около полуночи 4 октября 2005 года в солнечном городе Лос-Анджелес. Тогда 19-летний хакер Сэми Камка выпустил в сеть нечто, более известное теперь как “червь Samy”. Это был первый самый быстрый и самораспространяющийся вирус, который навсегда изменил мир веб-безопасности.

Издание Bleeping Computer сообщает о том, что создатели знаменитого трояна TeslaCrypt, который зашифровывал файлы на атакованных машинах, опубликовали мастер-ключ для разблокировки и закрыли проект.