"Интересности"

[akoK]

ЛК: "Самые-самые" угрозы апреля

Юрий Машевский, ведущий антивирусный аналитик «Лаборатории Касперского», отобрал по разным категориям "самые-самые" вредоносные модули за прошлый месяц.Вот каким оказался получившийся список:

- самый жадный зловред по отношению к банкам - Trojan-Spy.Win32.Banker.lax. Проявляет интерес к клиентам 104 банков;

- самый жадный зловред по отношению к системам электронных денег - Trojan-Spy.Win32.Banker.krv. Под прицелом пользователи трех систем электронного платежа;

- самый жадный зловред по отношению к пластиковым картам - Trojan-Spy.Win32.Bancos.blc. Проявляет интерес к трем системам пластиковых карт;

- самый упакованный зловред - Backdoor.Win32.Hupigon.bqsi. Упакован 7 различными пакерами;

- самый маленький зловред - Trojan.BAT.MouseDisable.b. 22 байта, после запуска блокирует работу мыши;

- самый большой зловред - Trojan-Dropper.Win32.Agent.nrh. 46МБ, не слишком большой на фоне победителей предыдущих месяцев;

- самый враждебный зловред - Backdoor.Win32.Agobot.gen. Уничтожает антивирусы везде, где может до них дотянуться: в оперативной памяти, в реестре и на диске;

- самый распространенный зловред в почтовом трафике. Через месяц-другой придется пересмотреть ценность этой категории в силу того, что она всерьез узурпирована Email-Worm.Win32.Netsky.q. За прошедший месяц доля во вредоносном трафике несколько увеличилась – до 40,58%;

- самое многочисленное семейство среди троянских программ - Backdoor.Win32.Hupigon, 3151 модификации;

- самое многочисленное семейство среди вирусов и червей - Worm.Win32.AutoRun, 230 модификаций.

Источник

Изменено 14 мая, 2008 пользователем akoK

[ТроПа]

Доля спама в Рунете в апреле составила 86,2% от общего объема email-трафика

"Лаборатория Касперского" сегодня представила очередной отчет по спам-активности за прошедший месяц. Доля спама в почтовом трафике по сравнению с мартом понизилась и составила в среднем 86,2%. Самый низкий показатель был отмечен 28 апреля - 68,6%, больше всего спама было зафиксировано 9 апреля - 93,9%.

Вредоносные файлы и ссылки на зараженные веб-страницы содержались в 0,76% электронных сообщений. Cсылки на фишинговые сайты находились в 1,3% всех электронных писем. Доля графического спама значительно уступила показателям марта и составила 13%.

Состав пятерки лидирующих спам-тематик по сравнению с мартом не изменился. Ведущую позицию в рейтинге по-прежнему занимает рубрика "Медикаменты; товары и услуги для здоровья" (16,4%). Львиную долю такого спама составляет англоязычная реклама виагры, на русском языке виагра рекламируется крайне редко. В апреле русскоязычные спамеры предлагали пользователям "Дженерик виагру", "полный аналог самого известного в мире лекарства для повышения потенции".

Спам, связанный с образованием, занимает второе место с показателем 15,6% и удерживает свои позиции в связи с приближением выпускных экзаменов и поступлением в вузы.

Дешевые копии дорогих товаров продолжают пользоваться популярностью - данная тематика занимает третье место в рейтинге (11,6%).

Продажа реплик неожиданно приобрела "политическую" окраску. В связи с приближением президентской инаугурации в апреле неоднократно рассылались письма с темой "Часы как у Путина", где предлагалось приобрести по низким ценам не только дешевые аналоги хронометра президента, но и множество других товаров, не уступающих им в "качестве".

На четвертом и пятом местах тематики "Отдых и путешествия" (9,8%) и "Компьютеры и Интернет" (4,3%).

В Рунете увеличилось число незапрошенных рассылок с предложением оплатить услуги с помощью SMS-сообщений, отправляемых на короткие номера. При этом велика вероятность того, что деньги просто окажутся в кармане мошенников. Даже в спамовых письмах, рекламирующих финансовые пирамиды и предлагающих пользователям заработать огромные деньги, не отходя от компьютера, спамеры обещают выслать желающим руководство к действию только после получения SMS. Заплатив 5 рублей за отправленное сообщение, пользователь уже внесет свою лепту в становление MLM-бизнеса.

Не говоря уже о том, что не стоит верить сомнительным обещаниям "заработка", не требующего никаких вложений.

Наряду с типичной англоязычной рекламой дешевого софта в Рунете появились русскоязычные спамовые письма, предлагающие антивирусное ПО. В отличие от аналогичной англоязычной рекламы в русскоязычном спаме антивирусные программы предлагается скачать бесплатно. При получении подобных предложений пользователям следует соблюдать особую осторожность, так как закачанные из неизвестного источника файлы с "антивирусами" на деле могут оказаться вредоносными программами.

Для обхода фильтров спамеры использовали новые приемы и реанимировали некоторые старые. В апреле прокатилась волна сообщений с сильно замусоренными номерами телефонов. Еще одним новым способом искажения письма является замена в ссылках на сайты случайных букв на специальные UTF-коды. Рассылая письмо с одной и той же ссылкой, спамеры каждый раз заменяют кодами разные буквы. Спам-фильтры из-за этой замены не могут идентифицировать ссылки и распознать письма как одинаковые. При этом почтовый клиент преобразует коды в соответствующие им буквы, и пользователь искажений не видит. В ряду графического спама снова появились картинки с текстом, повернутым под разными углами - этот прием уже использовался спамерами для затруднения идентификации идентичных изображений.

С приближением летних праздников и отпусков доля спамовых писем в основном потоке почтового трафика постепенно снижается. Скорее всего, летом этот показатель станет еще ниже. Однако поиск спамерами новых технологий для преодоления систем антиспама свидетельствует о том, что это будет только сезонный спад. К тому же криминальный аспект спама начинает проявляться все сильнее, а это, в свою очередь, привлекает желающих получить прибыль нечестным путем и способствует дальнейшей криминализации спама.

Источник

Изменено 14 мая, 2008 пользователем akoK

[ТроПа]

На Луганщине поймали хакера

Алчевский городской суд Луганской области приговорил 20-летнего местного жителя к двум годам лишения свободы за несанкционированное вмешательство в работу компьютера-сервера одного из провайдерских предприятий.

«Неработающий молодой человек в течение года досаждал своему интернет-провайдеру, вмешиваясь в его работу. Все это парень, по его словам, делал от безделья, но для провайдера подобные выходки создавали постоянные проблемы. Директор фирмы несколько раз грозил ему отключением и в конце концов свое обещание выполнил», - пояснила руководитель пресс-службы Управления СБУ в Луганской области Юлия Еременко

Конфликт разгорелся с новой силой после того, как на одном из виртуальных компьютерных форумов юноша столкнулся с директором провайдерской конторы, и тот, вероятно, памятуя прежние «заслуги» бывшего клиента, обозвал его «дауном». Стерпеть это ранимый молодой человек не мог. Он нашел вредоносную программу, взломал сервер компьютерной сети нелюбимого провайдера и устроил там разгром: удалил ссылки на ресурсы сети, а на месте стартовой страницы разместил непристойную картинку, с издевательской надписью. Выявили мстителя очень быстро.

«С юридической точки зрения, действия парня являются несанкционированным вмешательством в работу электронно-вычислительных машин, которое привело к утрате и подделке компьютерной информации, - поясняет Юлия Еременко. - В отношении него было возбуждено уголовное дело. Мало того, по заключению судебной искусствоведческой экспертизы, изображение, выставленное злоумышленником на всеобщее обозрение, имеет порнографический характер. А распространение порнографии в нашей стране карается сроком до семи лет лишения свободы».

В итоге суд признал молодого человека виновным и приговорил его к двум годам ограничения свободы. Системный блок компьютера и программные средства, с помощью которых было осуществлено несанкционированное вмешательство, конфискованы.

Источник

[ТроПа]

За написание компьютерного вируса - к трем годам условно

(в Японии нет закона, запрещающего создавать компьютерные вирусы).

Окружной суд Киото приговорил хакера Масато Накацудзи (Masato Nakatsuji) к трем годам условного тюремного заключения за написание компьютерного вируса.

Накацудзи был арестован японской полицией в январе 2008 года и стал первым японцем, задержанным за подобное нарушение.

Вирус, написанный хакером, распространялся через файлообменную сеть Winny, и, попадая на компьютер, удалял всю информацию с жесткого диска.

Предъявить обвинение Накацудзи стало возможным только благодаря тому, что вирус распространялся под видом кадров из популярного в Японии анимационного фильма Clannad. Таким образом, японцу предъявили обвинение в нарушении авторских прав. Если бы вирус не затрагивал Clannad, предъявить обвинение было бы невозможно - в Японии нет закона, запрещающего создавать компьютерные вирусы.

Источник

[ТроПа]

Пользователи социальной сети "Одноклассники.Ру" рискуют заразать свои ПК трояном

Служба вирусного мониторинга компании «Доктор Веб» зафиксировала массовую рассылку писем, адресованных пользователям социальной сети «Одноклассники.Ру». В письмах содержится ссылка на сайт, посетив который пользователь может заразить компьютер.

Рассылка писем производится от разных пользователей, в том числе от имени некой "Глории Чернявской, Россия, Москва Возраст: 22 года".

"Привет, Роман(Антон, Виталий) :doh: Увидела твою анкету в списке "Друзей моих друзей" и решила попросить тебя о небольшом одолжении. Дело в том, что я участвую в конкурсе красоты "Мисс Рунет" и мне очень нужна поддержка. Если тебя не затруднит, зайди пожалуйста на сайт конкурса и проголосуй за меня. хттп://miss-runet.net/?a=125**** голосование абсолютно бесплатно, достаточно нажать на ссылку "Отдать свой голос". Победа в данном конкурсе для меня очень много значит, иначе бы я не стала обращаться с подобной просьбой. Заранее благодарю за помощь."

По указанной ссылке (адрес модицифирован) открывается окно с фотографиями претендентки и отзывами людей, якобы уже проголосовавших за нее.

При нажатии на ссылку "Отдать свой голос" предлагается скачать файл fire-codec5107.exe (по классификации Dr.Web Trojan.MulDrop.16008). Будучи скачанным, троянец помещает на жесткий диск компьютера жертвы файлы notepad2.exe (BackDoor.Mbot), reebsd2.exe (Trojan.DnsChange) и сalc2.exe (Trojan.DnsChange). Инфицирование компьютера производится с целью использования его для последующих спам-рассылок.

«Социальные сети представляют особую ценность для таких атак в силу многочисленности потенциальных жертв», – комментирует Генеральный директор компании «Доктор Веб» Борис Шаров. «Подобные атаки чаще всего связаны с попытками мошенничества. Также во время таких атак оттачиваются «мастерство» и техники вирусописателей. Нередко целью атаки служит завладение компьютером и превращение его в одно из звеньев бот-сети с целью дальнейшей рассылки спама. Во всех перечисленных случаях, за атаками стоят коммерческие интересы и немалые деньги».

Напомним, что на прошлой неделе антивирусные компании сообщили о серьезной вирусной эпидемии, затронувшей подписчиков популярной социальной сети "ВКонтакте.Ру". Причиной эпидемии стал опасный сетевой червь, определяемый антивирусом Dr.Web как Win32.HLLW.AntiDurov

Червь рассылает с инфицированных машин другим пользователям сети "ВКонтакте.Ру" ссылку на картинку в формате jpeg, ведущую на ресурс злоумышленника в сети Интернет (хттп://******.misecure.com/deti.jpg). Реально же сервер отдает по этой ссылке исполняемый файл deti.scr, который и является непосредственно сетевым червем.

Чтобы не стать жертвой подобных рассылок специалисты рекомендуют следовать простейшим советам: не открывать письма и не читать вложений в письмах от незнакомых адресатов, не заходить на подозрительные сайты. Также желательно иметь на ПК установленный антивирус, на котором производятся регулярные обновления вирусных баз.

Источник

Изменено 23 мая, 2008 пользователем wise-wistful

[Matias]

Преступники вновь распространяют сообщения о фальшивых обновлениях безопасности с целью распространения своих троянов.

Электронные письма уведомляют получателей о критическом обновлении безопасности для Microsoft Windows (Critical Security Update for Microsoft Windows, KB946026) и включают ссылку якобы на патч. Стиль писем очень похож на тот, который используется Microsoft для описания загрузки обновления, в том числе правдоподобны данные об объеме скачиваемой информации и времени загрузки, хотя адрес отправителя - Microsoft Corporation - должен предупредить пользователей об опасности.

Microsoft никогда не рассылает сообщения со ссылками на свои обновления безопасности, и получатели таких сообщений должны быть начеку, предупреждает Heise Security.

Вместо обновления безопасности пользователь, перешедший по ссылке, устанавливает на свой ПК троян Virut.AI IRCBot. В данный момент все популярные антивирусные сканеры обнаруживают данную вредоносную программу.

Источник - CNews

[ТроПа]

Запорожские мошенники настраивали игральные автоматы на выигрыш

В Запорожье работники областного управления борьбы с экономической преступностью задержали группу плутов, которые настраивали игральные автоматы на выигрыш с помощью компьютерной техники и таким образом присвоили десятки тысяч гривен, сообщает УНИАН.

По информации начальника Запорожского облуправления в борьбе с экономической преступностью Николая Кулитко, в состав группы входило 4 человека в возрасте от 32 до 40 лет.

"Злоумышленники действовали на территории Запорожского региона не менее 4 месяцев, и во время каждого из "рейдов" присваивали сумму в пределах десяти тысяч гривен", - рассказал он.

По его словам, жертвами мошенников во всех случаях были не казино, а залы игральных автоматов. Во всех обнаруженных случаях члены преступной группы действовали по одной схеме.

"Сначала злоумышленники полностью обесточивали зал игральных автоматов, потом монтировали в автоматы компьютерные чипы, которые программируют их на выигрыш, после чего "выигрывали" нужную сумму и скрывались с места события", - сказал начальник ОБЭП.

Относительно организаторов преступной группы возбуждено уголовное дело по ч.3 ст.190 Уголовного кодекса Украины - "мошенничество, совершенное в больших объёмах или с использованием электронно-вычислительной техники". В качестве наказания эта статья предусматривает лишение свободы на срок от 3 до 8 лет.

Изобрели мошенники эти чипы сами или приобрели у пока ещё неустановленного "компьютерного гения", выясняют работники следственного отдела Хортицкого РОВД Запорожья.

Источник

[akoK]

«Вирус подмены страниц» терроризирует Рунет

В Рунете появился вирус, подменяющий страницы в браузере пользователей. Он заменяет ссылку на веб-страницу, к примеру, найденную поисковиком, ссылкой на другую страницу, не имеющую отношения к запросу пользователя. Причем, если перезагрузить страницу поисковика, ссылка на эту страницу может исчезнуть.

Также при переходе пользователя по ссылке вредоносная программа может переадресовать его на другой сайт. Вирус подменяет результаты всех поисковых систем, популярных в Рунете, - Google, «Яндекса», «Рамблера», MSN (Live).

«Вирус подмены страниц», как окрестил его поисковик «Яндекс» в своем блоге, распространяется разными способами. Один из них – через скачивание бесплатного ускорителя закачки файлов BitAccelerator, предоставляемого файлообменником Letitbit.net. Вместе с ускорителем на ПК пользователя устанавливается скрытая библиотека, которая остается на жестком диске даже после удаления программы.

По оценкам «Яндекса», сотни тысяч ПК уже заражены вирусом. Ранее антивирусные компании определяли «вирусы подмены страниц» как рекламное ПО, которое не наносит вреда компьютерам пользователей. Однако недавно производители защитного ПО пришли к выводу, что данный вирус опасен.

Сегодня почти все популярные антивирусные системы детектируют и удаляют подобное вредоносное ПО.

Источник

Изменено 30 мая, 2008 пользователем akoK

[akoK]

Лаборатория Касперского" предупреждает: Одноклассники.ru снова используются злоумышленниками для атаки на пользователей

"Лаборатория Касперского", ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о массовой рассылке писем, имитирующих сообщения сайта Одноклассники.ru. Письма содержат ссылку на подложный сайт www.odnoklassniks.info, с которого на компьютер пользователя может загрузиться троянская программа Trojan.Win32.Agent.qxk.

Письма, рассылаемые с помощью спам-ботнета, имитируют стандартное оповещение сайта Одноклассники.ru, уведомляющее пользователя о получении им нового сообщения от другого пользователя этой социальной сети. В качестве отправителей якобы пришедшего пользователю внутреннего сообщения фигурируют преимущественно женские имена.

Поддельное письмо содержит ссылку на сайт www.odnoklassniks.info, который зарегистрирован в Сингапуре. При переходе по данной ссылке запускается программный код на языке Java Script, использующий уязвимость в браузере Internet Explorer и загружающий на компьютер пользователя троянскую программу-загрузчик Trojan.Win32.Agent.qxk, после чего происходит автоматическое перенаправление пользователя на оригинальный сайт Одноклассники.ru.

Данная рассылка производилась по широкому кругу адресов, содержащихся в базе данных спамеров, а не только по адресам пользователей сайта Одноклассники.ru. Однако основной целью ее, несомненно, были именно пользователи данной социальной сети, привыкшие получать письма о новых сообщениях и, не подозревая об опасности, автоматически переходить по указанной в письме ссылке.

Следует отметить, что, благодаря некомпетентности киберпреступников, эта атака имела лишь частичный успех: настройки сайта www.odnoklassniks.info позволяют одновременно подключаться к нему лишь очень ограниченному числу пользователей, поэтому троянская программа просто не загружается на большинство компьютеров.

«Сервер, с которого загружается троянская программа Trojan.Win32.Agent.qxk, уже неоднократно использовался злоумышленниками для распространения вредоносных программ. Первые случаи его использования были зафиксированы нами еще в феврале этого года. Кроме того, на этом же сервере расположен сайт одной из российских киберпреступных группировок, что дает все основания подозревать ее членов в осуществлении спам-рассылки от имени сайта Одноклассники.ru», - говорит Александр Гостев, ведущий вирусный аналитик "Лаборатории Касперского".

Сигнатура троянской программы Trojan.Win32.Agent.qxk была добавлена в антивирусные базы «Лаборатории Касперского» сразу после ее обнаружения вирусными аналитиками компании. Кроме того, сайт www.odnoklassniks.info был включен в "черный список" "Лаборатории Касперского", что позволяет блокировать к нему доступ тех пользователей, которые решили перейти по подложной ссылке, содержащейся в спамовом письме.

Данная атака является лишним примером растущей среди злоумышленников популярности социальных сетей, с помощью которых они пытаются спровоцировать пользователей на опасные действия.

"Лаборатория Касперского" напоминает, что киберпреступники часто пытаются обмануть доверчивых пользователей, маскируясь под известного жертве и пользующегося доверием отправителя. Гарантией надежной защиты в таких случаях может служить лишь осторожность пользователя и использование эффективных решений для защиты ПК от вредоносных программ и хакерских атак.

Источник

[Matias]

Правительство Германии подготовило законопроект, расширяющий полномочия правоохранительных органов в том, что касается ведения слежки, прослушивания и мониторинга данных на личных компьютерах граждан. Как пишет International Herald Tribune, министр внутренних дел Вольфганг Шойбле (Wolfgang Shaeuble) считает принятие такого закона необходимым для борьбы с терроризмом, тогда как либеральная оппозиция обвиняет правительство в намерении ограничить гражданские свободы.

Правительственный законопроект, который будет вынесен на обсуждение бундестага, позволяет, в частности, наряду с наружным наблюдением, с санкции суда устанавливать видеонаблюдение за домами подозреваемых, а также пользоваться вирусами и троянами для получения данных из компьютеров, отмечает DPA. Кроме того, законопроект расширяет полномочия национальной полиции, которой больше не потребуется согласовывать свои действия с правоохранительными органами федеральных земель, имеющих в Германии большую автономию.

Обсуждение законопроекта проходило на фоне крупного скандала: компанию Deutsche Telekom уличили в прослушивании телефонов сотрудников. Ранее сеть магазинов Lidl уличили в слежке за персоналом при помощи видеокамер. Немецкие законы об охране частной жизни крайне строги.

Против законопроекта высказались не только представители оппозиции (партии "Зеленых" и "Свободных демократов"), но и некоторые члены правящей коалиции социалистов и христианских демократов.

Источник

[akoK]

«Лаборатория Касперского» сообщает о появлении опасного вируса-шантажиста

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о появлении новой версии опасного вируса-шантажиста, известного как Gpcode. Новая версия вируса получила название Virus.Win32.Gpcode.ak.

Вирус шифрует пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит.

Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.

«Лаборатория Касперского» ранее уже сталкивалась с другими версиями вируса Gpcode (см. статью «Шантажист»), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных.

До сих пор максимальная длина ключа RSA, который удалось «взломать» специалистам «Лаборатория Касперского», составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.

После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.

На данный момент расшифровать пострадавшие файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит. Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса.

Аналитики «Лаборатории Касперского» продолжают анализировать обнаруженный вирус и искать способы дешифровки файлов.

К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор. Полный текст сообщения гласит:

«Your files are encrypted with RSA-1024 algorithm.

To recovery your files you need to buy our decryptor.

To buy decrypting tool contact us at: ********@yahoo.com»

«Лаборатория Касперского» настоятельно рекомендует пользователям, увидевшим такое сообщение на своем компьютере, обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу stopgpcode@kaspersky.com, и сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.

Сотрудники «Лаборатории Касперского» приложат все усилия, чтобы помочь пострадавшим пользователям вернуть зашифрованные данные.

Кроме того, пользователям ни в коем случае не следует идти на поводу у киберпреступников и выплачивать им требуемый выкуп, так как это мотивирует их продолжить свою преступную деятельность и совершенно не гарантирует жертве получения дешифратора.

Источник

[akoK]

Rustock и все-все-все

«Неуловимый» руткит

В декабре 2006 года в некоторых кругах исследователей проблемы руткитов (как blackhat, так и whitehat) стали циркулировать слухи о том, что кем-то создан и выпущен в свет «абсолютно неуловимый руткит» — Rustock.С, — который при активном заражении не способно обнаружить ни одно из существующих антивирусных или антируткит-решений.

Длительные поиски «мифического руткита» не увенчались успехом. Это привело к тому, что любая информация о «Rustock.С» стала восприниматься в около-исследовательских кругах как шутка. Такое положение вещей сохранялось вплоть до мая 2008 года.

Диагноз «Доктора»

В начале мая антивирусная индустрия услышала от российской компании DrWeb неприятную и сенсационную новость — ее специалистами был обнаружен руткит Ntldrbot, он же Rustock.С.

Согласно заявлению представителей DrWeb, этот руткит с октября 2007 года оставался неуловимым для всех антивирусных компаний. Выдвигалось предположение, что при помощи Rustock.C была создана одна из самых мощных на сегодняшний момент зомби-сетей, предназначенная для спам-рассылок.

Приводились и ссылки на результаты исследования компании Secure Works, согласно которым бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Отметим, что вряд ли оценки Secure Works имели какое-то отношение к найденному руткиту, поскольку он фактически был неизвестен до мая 2008 года. Скорее всего, эксперты Secure Works имели в виду сеть, созданную ранними вариантами Rustock — А и B (по классификации «Лаборатории Касперского» — Costrat и SpamTool.Win32.Mailbot).

Судя по опубликованной DrWeb информации, образец настоящего Rustock.С попал в руки специалистов компании в конце марта 2008 года, а на анализ кода руткита, создание и выпуск средств его детектирования и лечения им потребовалось более месяца. Только после этого о находке были извещены и другие антивирусные компании.

Описание руткита, сделанное DrWeb, оставляло слишком много белых пятен. И, в первую очередь, было абсолютно непонятно, каким способом и когда распространялся этот руткит, и почему с октября 2007 года он так и не был никем обнаружен.

Образец тела руткита, распространенный сотрудниками DrWeb, представлял собой драйвер операционной системы Windows размером 244 448 байт.

К сожалению, отсутствовал так называемый «дроппер» — файл, который бы производил установку руткита в систему. Его наличие могло бы значительно облегчить работу других антивирусных лабораторий в анализе и добавлении собственных процедур обнаружения и лечения Rustock.С, а также помогло бы ответить на вопрос о способах изначального распространения руткита.

Отсутствовала также любая достоверная информация о наличии данного руткита в «дикой природе». Оставалась вероятность того, что Rustock.С является исключительно «коллекционной» разработкой и не имеет широкого распространения в мире — в таком случае был бы оправдан столь долгий период его поисков.

Лабораторный анализ

«Лаборатория Касперского» приступила к детальному анализу кода руткита 12 мая. Задача, стоявшая перед нашими экспертами, была действительно сложной. Код руткита был полностью зашифрован неизвестным способом и не поддавался обычным методам анализа упакованного кода и эмуляции. Проблема осложнялась еще и тем, что каждый файл руткита имел некую привязку к аппаратной части зараженного компьютера и не мог быть запущен и проанализирован на других компьютерах и виртуальных машинах.

Однако нашим специалистам удалось за два дня справиться с этими сложностями и, подобрав «ключ», расшифровать значительную часть тела руткита. Вечером 14 мая нашему взору предстали участки настоящего кода Rustock.С.

Параллельно с решением этой сложной технической проблемы нами предпринимались попытки обнаружить файл, который устанавливал руткит в систему. Это позволило бы не только значительно ускорить процесс анализа, но и установить источники распространения Rustock.С.

В результате проведенного исследования нами было обнаружено 599 файлов Rustock.С. Часть из них представляла собой так называемое «чистое тело руткита», а часть являлась зараженными системными драйверами. Фактически все файлы были результатом полиморфного изменения одного и того же кода.

Когда был создан руткит

Итак, мы обладали шестью сотнями файлов, которые отличались размерами и датами поступления на наши ловушки-сборщики файлов. Все найденные файлы попали в ловушки в период с 10 сентября 2007 года по 14 мая 2008 года. Забегая вперед, скажу, что в итоге ни одного образца Rustock.С, созданного ранее сентября 2007 года, нами так и не было обнаружено. Не исключено, что до этого момента действительно могли появляться какие-то более ранние его варианты — тестовые разработки и «пробы пера» автора. Но то, что DrWeb окрестил Ntldrbot, имеет совершенно четкую дату рождения — сентябрь 2007 года.

Как же быть с пресловутыми слухами о Rustock.С, относящимися еще к концу 2006 года? Мы считаем, что в то время никакого Rustock.С не существовало. Он был создан уже после своеобразного «PR» в кругах исследователей руткитов — возможно, как реакция на истерию с его поисками. Косвенно этот вывод может подтверждаться и тем фактом, что код руткита содержит самоназвание «Rustock.С», что идет вразрез с тем названием, которое ранее давал вариантам Rustock.A и B сам автор («spambot» и номера версий). Название «Rustock» было дано компанией Symantec первым вариантам руткита, датированным 2005 и 2006 годами. Именно оно было принято в среде исследователей проблемы руткитов, и по аналогии с уже известными ранее вариантами Rustock.A и .B «неуловимый» руткит именовался Rustock.С. Так что назвать свой новый руткит именно так автор мог в подтверждение слухов о его существовании.

Так или иначе, первые «рабочие» образцы Rustock.С появились в сентябре 2007 года, а его разработка, очевидно, началась за несколько месяцев до этого.

Модификации

Анализ 599 файлов выявил много интересных деталей, о которых ранее не было известно.

В первую очередь, нами было классифицировано 4 модификации Rustock.С.

Вариант С1 — мы датируем его создание 10-м сентября 2007 года. «Чистое тело» руткита имеет размер 244 440 — 244 512 байт и содержит драйвер и DLL. Именно эта модификация была исследована специалистами DrWeb и представлена другим антивирусным компаниям.

Вариант С2 относится к 26 сентября. Имеет размер 158 432 — 158 464 байт.

Варианты C3 и С4 относятся к 9-10 октября 2007 года. Их размер варьирует в пределах 158 400 — 158 496 байт.

Несмотря на то, что модификация С1 отличается от последующих почти на 100кб, принципиальных различий между ними нет. Автор лишь несколько оптимизировал алгоритм обфускации тела руткита. Все варианты имеют незначительные отличия, касающиеся изменений в коде DLL (спам-бота).

Спам-бот

В течение 5 дней исследований нами был проведен анализ руткита, руткит был полностью распакован и запущен на виртуальных машинах (без наличия у нас «дроппера»). Это позволило получить доступ и к коду DLL (спам-бота), существование и защита которой является основной целью Rustock.С.

В ходе своей работы руткит извлекает DLL из себя и исполняет ее в системной памяти, внедряя в процесс winlogon.exe. Данная DLL никогда не существует в виде файла на диске и присутствует только в памяти компьютера. Ее задача — рассылка спама с зараженного компьютера. Для выполнения этой задачи она обращается к серверу 208.66.194.215 и получает оттуда шаблоны писем для рассылки. IP-адрес принадлежит американскому хостинг-провайдеру MCCOLO, на ресурсах которого уже довольно давно размещаются и вредоносные программы, и сайты киберпреступных группировок.

Детектирование и лечение

Несмотря на примененные автором средства защиты тела Rustock.С (протектор, криптор, ключ шифрования), с точки зрения добавления детектирования данного руткита в антивирусные базы «Лаборатории Касперского» не было никаких проблем. Складывается впечатление, что автор был настолько уверен в эффективности шифрования своего творения, что не придавал большого значения методам противодействия антивирусным продуктам. Его целью было максимально осложнить и отсрочить анализ кода (как антивирусными компаниями, так и представителями вирусописательских кругов) — именно на это были нацелены все крипто-технологии руткита.

Чуть сложнее обстоит дело с лечением зараженных руткитом системных файлов. Принцип действия руткита основан на заражении только драйверов Windows, созданных Microsoft и загружающихся при старте операционной системы. Именно таким образом он получал управление и успешно скрывал свое присутствие в системе. Оригинальный зараженный драйвер хранился в последней секции тела руткита и также был зашифрован.

Алгоритм, которым руткит шифровал тело зараженного драйвера, оказался довольно простым и не зависел от аппаратной части зараженного компьютера. Это позволило нам реализовать детектирование и полноценное лечение зараженных файлов.

Руткит был классифицирован как Virus.Win32.Rustock.a. Именно как вирус — поскольку Rustock является полноценным файловым вирусом, работающим в режиме ядра операционной системы.

Процедуры детектирования и лечения зараженных файлов были выпущены «Лабораторией Касперского» 20 мая 2008 года (через 8 дней после начала исследования).

Возможность детектирования активного руткита в зараженной системе и лечения зараженных файлов полностью реализована в новой версии нашего антивируса — KAV\KIS 2009. Пользователи других версий могут проверить свои компьютеры на наличие Rustock при помощи Rescue Disk с любой версией нашего антивируса. Они также могут обнаружить и вылечить подозрительные файлы при отсутствии активного заражения.

Вопросы и ответы

Казалось бы, задача решена — руткит повержен, и его жертвы могут получить надежное решение для выявления и устранения проблемы. Однако специалисты «Лаборатории Касперского» не собирались останавливаться на достигнутом.

По-прежнему оставались открытыми главные вопросы — как распространялся Rustock, и действительно ли он находится в «дикой природе»? Найти ответы на эти вопросы и расставить все недостающие точки над i, было для нас делом чести.

Распространение Rustock

В течение нескольких дней все имеющиеся у нас файлы руткита подвергались детальному анализу на предмет установления их «аппаратных настроек». Это могло дать хотя бы приблизительное представление о масштабах распространения Rustock. Все данные сопоставлялись с датами обнаружения самплов.

Выяснилось, что 590 из 599 самплов попали в наши ловушки с 10 сентября по 23 ноября 2007 года. И только 9 — в период с 23 ноября 2007 года до середины мая 2008 года.

Эта статистика использовалась для сужения объектов поиска и выстраивания зависимостей между файлами и известными нам четырьмя модификациям руткита.

Картина получилась следующая:

С 17 октября по 12 ноября 2007 года не было зафиксировано ни одного случая появления Rustock. Однако с 12 ноября по 22 ноября отмечен новый всплеск активности, причем в основном относящийся именно к варианту C2 (от 26 сентября) с незначительными добавлениями вариантов C3 и C4.

С 23 ноября 2007 года наступает долгий многомесячный период затишья (или «смерти» Rustock?).

Данные были весьма интересны, но все равно масштабы и способы распространения Rustock оставались неизвестными. Несмотря на все усилия, так и не был обнаружен «дроппер» руткита.

Но, в конце концов, удача нам улыбнулась. Было дополнительно обнаружено еще более 500 файлов руткита, и именно они дали нам все недостающие звенья цепи.

Ботнет

Наши выводы о начале активного распространения Rustock 10 сентября 2007 года полностью подтвердились. Мы знаем в деталях как, с каких серверов он загружался и как устанавливался в системы. Есть у нас ответы и на вопрос «а где же дроппер?», и на вопрос «действительно ли пользователи антивирусных продуктов были беззащитны перед «неуловимым» руткитом, который распространялся минимум три месяца?».

К сожалению, способ и каналы распространения Rustock заставят поволноваться многих экспертов информационной безопасности.

Несколько слов, хорошо известных любому антивирусному эксперту:

CoolWebSearch / IFrameBiz / Trafficadvance / LoadAdv.

Да, мы в очередной раз столкнулись с одной из самых известных киберпреступных группировок в Интернете, с которой ассоциируются вышеперечисленные названия. Все они относятся к их сайтам и их вредоносным программам. Банда существует как минимум с начала 2004 года и активна в настоящий момент. Самыми известными и получившими широкое распространение творениями группировки были такие троянцы, как Harnig, Tibs, Femad, LoadAdv и различные модификации Trojan-Downloader.Agent и Small, а также троянец Inject.

Эти умельцы всегда оказывались в авангарде всех вирусных новшеств — в свое время именно они первыми стали массово использовать троянские загрузчики в chm-файлах, именно на их серверах были обнаружены первые варианты эксплоитов уязвимостей в обработке ANI и ICO-файлов. Они использовали троянские программы, написанные на Java (Trojan-Downloader.Java.ClassLoader), и они же задали моду на использование скриптовых загрузчиков.

«Фирменным» признаком группировки IFrameBiz долгое время были домены в зоне .biz и имена файлов вида loadadv*.exe.

Следы этой группы ведут в Россию. Большинство ее членов, несомненно, проживает именно здесь. На ранних стадиях своего существования группа активно использовала хостинг-ресурсы в Санкт-Петербурге. Также было отмечено ее взаимодействие с печально известной сетью RBN (Russia Business Network), которую многие эксперты также связывают с этим городом.

За 4 года существования группа создала одну из мощнейших систем распространения вредоносных программ. Ее ботнет, основанный на миллионах зараженных различными загрузчиками (в первую очередь Tibs и Femad) компьютеров, способен загрузить на инфицированные машины любую новую вредоносную программу в течение короткого периода времени. Именно такой способ сейчас является эффективной альтернативой рассылкам вредоносного кода по электронной почте, с которыми антивирусная индустрия давно и успешно научилась бороться.

Ботнет IFrameBiz активно используется как плацдарм для распространения новых вредоносных программ. Заказчик оплачивает период времени, в течение которого его троянская программа будет распространяться при помощи ботнета. После чего и начинается ее «заливка». Зачастую один и тот же загрузчик (например, Tibs) устанавливает сразу несколько троянцев от разных заказчиков. Услуга пользуется спросом и даже на одновременное выполнение заказов нескольких клиентов заказчики закрывают глаза.

К услугам IFrameBiz прибегали и прибегают как создатели множества Adware-программ, так и желающие создать свой собственный ботнет, спамеры, организаторы DDoS-атак и так далее. Если проводить параллели все с той же RBN, то можно сказать, что RBN — это аппаратная и техническая часть бизнеса вирусописателей, а IFrameBiz — программная начинка и пусковая кнопка для великого множества современных вредоносных программ.

Именно к IFrameBiz и обратились летом 2007 года авторы руткита Rustock с заказом на его распространение. Однако, либо троянцы IframeBiz были не способны незаметно активировать Rustock в системах, либо авторы руткита не хотели давать в руки исполнителей заказа сам код руткита, опасаясь кражи идей и технологий. Для «заливки» по каналам IFrameBiz был создан совершенно отдельный модуль!

Реконструкция событий

Рассмотрим на конкретном примере, что и как происходило в конце сентября 2007 года на одном из зараженных компьютеров, входящих в ботнет IFrameBiz.

Установленный в систему загрузчик (вероятно Tibs) обращается к одному из серверов ботнета в зоне .hk (Хорватия — домены в этой зоне стали использоваться группой в 2007 году) и пытается загрузить файл loadadv351.exe.

Данный файл является усовершенствованным модулем все того же ботнета. По классификации «Лаборатории Касперского», это Trojan.Win32.Inject.mt. Название отражает суть действий вредоносной программы — она внедряет («инжектирует») себя в процесс Explorer.exe, обходя, таким образом, многие сетевые экраны, и получает возможность для бесконтрольной загрузки файлов в систему.

Троянец отсылает на серверы IFrameBiz информацию об успешной установке и получает приказы — какие файлы и откуда ему следует загружать. Так работает своеобразная система статистики ботнета, позволяющая его владельцам вести учет успешных загрузок вредоносных программ и предоставлять заказчикам отчеты.

Троянец загружает в систему несколько файлов с разных серверов — либо принадлежащих заказчикам, либо с используемых ими ресурсов на серверах IFrameBiz. В рассматриваемом случае файлы загружаются с ресурсов клиентов, арендованных ими у IFrameBiz (http:// *.biz/progs/*). Одновременно производится сбор и отправка данных о зараженном компьютере — операционной системе, жестком диске и прочее. Эти данные нужны для учета состояния бот-сети, ее географического распределения и так далее.

Итак, в системе появляются еще несколько файлов, из которых нас интересуют два — назовем их «1.exe» и «2.exe». Сейчас наше внимание будет направленно на 1.exe (к файлу 2.exe мы вернемся позже).

Это еще один загрузчик, однако весьма необычный. Первый его образец был обнаружен «Лабораторией Касперского» 10 сентября 2007 года — в тот же день, когда появились первые варианты Rustock. Это совпадение уже не кажется удивительным, не правда ли? С того же дня этот загрузчик детектировался нами как Trojan-Downloader.Win32.Agent.ddl.

Эта вредоносная программа содержит в себе драйвер, который загружается в ядро операционной системы. (Фактически, мы уже имеем дело с руткитом!) Код драйвера зашифрован с использованием сложного алгоритма шифрования, очень напоминающего алгоритм, использованный при шифровании Rustock.

Снятие всех слоев защиты с драйвера приводит нас к самому интересному: это программа-загрузчик Rustock, не менее «мифическая», чем сам руткит.

Недостающее звено

Если про руткит слухи ходили еще с декабря 2006 года, то первое и единственное упоминание о загрузчике и самом факте его существования относится к концу октября 2007 года — спустя почти два месяца после того, как он был обнаружен и добавлен в наши антивирусные базы. Стоит ли говорить о том, что в свете «неуловимости» к тому моменту самого Rustock.C никто и не задумывался о существовании его программы-загрузчика.

Однако даже после детектирования Rustock.С, когда возникла необходимость в обнаружении его «дроппера», некоторые антивирусные компании остановились на достигнутом, ограничившись добавлением детектирования руткита. Они не стали тратить время на выяснение того, как руткит попадал на компьютеры и действительно ли пользователи были беззащитны перед «неуловимым руткитом»?

Ответ очевиден. Начиная с 10 сентября 2007 года, с первого же дня распространения через ботнет IFrameBiz руткита Rustock.С, «Антивирус Касперского» детектировал его «разносчика» — Trojan-Downloader.Win32.Agent.ddl. Позже детектирование этого троянца появилось еще у целого ряда антивирусных компаний.

В течение нескольких месяцев уберечь машины пользователей от заражения «неуловимым» руткитом могло только своевременное детектирование его загрузчика.

К сожалению, даже в настоящие время (начало июня 2008 года) некоторые антивирусные продукты по-прежнему не ловят Agent.ddl.

Загрузчик

Как было отмечено выше, троянец состоит из двух компонент — основного тела и драйвера. Драйвер собирает информацию о системе: идентификаторы производителя и модель устройств на материнской плате, дату установки и точную версию операционной системы. Затем эта информация зашифровывается и пересылается на сервер автора (или заказчиков) Rustock: 208.66.194.215.

Содержимое буфера, передаваемого на сервер в зашифрованном (TEA) виде:

TSC, Bridge0, Bridge1, InstallDate, Version, ProductID.

Сервер, на который идет отправка данных (208.66.194.215), тот же самый, который мы уже видели в DLL (спам-боте) руткита — именно оттуда Rustock получает письма для рассылки. Однако метод взаимодействия драйвера загрузчика с сервером отличается от метода, использованного в спам-боте.

Драйвер Agent.ddl работает с виртуальным устройством TCP/IP напрямую из нулевого кольца, в результате чего исходящий с машины трафик при активном заражении невозможно обнаружить с помощью некоторых снифферов/межсетевых экранов. Agent.ddl устанавливает соединение на 443 порт, пытаясь замаскировать данные под пакеты протокола HTTPS. В результате исследователь, даже перехватив трафик на шлюзе, не сразу поймет, что это никакой не HTTPS, а просто зашифрованные данные, собранные на зараженном компьютере.

Вот пример пакета с зараженной машины, который выдавался за HTTPS данные:

При этом ключ шифрования изменяется при каждом новом запуске драйвера. Сложность обнаружения достигается тем, что внешний наблюдатель не знает алгоритма и ключа шифрования.

Следует отметить что авторы троянца-загрузчика явно старались максимально усложнить жизнь исследователям кода драйвера.

IP-адрес центрального сервера, как и порт, по которому будет обращаться драйвер, «вшиты» в тело программы, так чтобы скрыть их явное представление:

push 00000BB01 ; порт — 443

push 0E00C04E1

sub d,[esp],00849C211; Разность равна 0xD7C242D0, т.е. IP-адресу 208.66.194.215

Авторы поработали и над обфускацией кода. Например, простая операция

mov [eax], ecx

после обфускации выглядит так:

push ebx

mov ebx, 0x03451b8c

sub ebx,eax

sub ebx, 0x03451b8c

neg ebx

mov [ebx], ecx

pop ebx

Одна инструкция заменялась на семь. Можно вообразить, что из себя представляют остальные «внутренности» драйвера!

Вернемся к сетевой коммуникации. Итак, вредоносный код отправлял пакет с данными о зараженном компьютере. В ответ на эти данные сервер предположительно отвечал файлом, специально зашифрованным для данной машины — с ключем, соответствующим оборудованию обратившегося компьютера.

Таким образом, авторы решают проблему дроппера, который мог бы быть обнаружен, исследован, запущен и при наличии которого у исследователей сразу решаются проблемы подбора ключа шифрования для анализа кода руткита.

Сгенерированный файл руткита, «чистое тело», загружается на компьютер-жертву, где Agent.ddl производит его активацию в системе. Rustock.C заражает свой первый системный драйвер и еще одним компьютером в новом спам-ботнете становится больше.

В данный момент сервер блокируется. Все пакеты, идущие к нему, фильтруются сетевыми маршрутизаторами. Должно быть, компетентные органы уже заинтересовались упомянутым IP-адресом.

Вот именно таким способом и происходило распространение «неуловимого» Rustock.

Заключение

Реконструкция событий, выполненная нашими экспертами, доказывает факт активного распространения данного руткита в сентябре-ноябре 2007 года. С одной стороны, использованная для этого сеть IFrameBiz могла обеспечить ему действительно широкое распространение. С другой стороны, приведенные факты показывают, что «неуловимость» руткита была вызвана исключительно высоким уровнем шифрования его кода и использованием множества анти-отладочных приемов, затруднявших его анализ для большинства экспертов.

Руткит был у антивирусных компаний со дня его появления «в дикой природе». Его активность при установке в систему и компоненты, отвечавшие за его установку и распространение, столь же давно и успешно обнаруживались почти всеми антивирусными продуктами, за редким исключением. Его появление в системе могло быть перехвачено на самой ранней стадии при помощи несложных средств мониторинга изменений файловой системы.

Все это происходило с Rustock десятки раз, но детальный анализ его кода был сделан только в мае 2008 года.

Rustock.С действительно существует, и это не миф. А вот его «неуловимость» — миф, базирующийся не на каких-то реализованных в рутките сверхъестественных принципах сокрытия себя в системе, а, скорее, все на тех же слухах, появившихся еще в конце 2006 года и играющих на руку только авторам вредоносной программы.

Любой руткит, создаваемый с учетом существующих средств детектирования, будет обходить защиту, которую эти средства обеспечивают. Война на уровне ядра операционной системы, в конечном итоге, сводится к решению одного вопроса: кто раньше получит управление — руткит или анти-руткит.

Целью автора Rustock было не создание недетектируемого в принципе руткита, а максимальное усложнение процесса анализа руткита после того, как он будет обнаружен. Именно это могло обеспечить некий временной выигрыш между периодом распространения и началом детектирования вредоносной программы.

Фактически, остается неясным только один вопрос: почему автор Rustock прекратил в середине октября 2007 года совершенствование руткита и выпуск его новых версий? Не означает ли это, что он занялся созданием нового проекта, и, возможно, где-то уже существует «Rustock.D»?

Ответа у нас нет. Как бы то ни было, сам факт существования одной единственной вредоносной программы, даже остававшейся недетектируемой в течение нескольких месяцев, нисколько не влияет на появление каждый день тысяч других вредоносных программ, успешно уничтожаемых антивирусной индустрией.

До тех пор, пока в Интернете продолжают существовать IframeBiz и аналогичные ей группы, ответственные за ежедневное распространение сотен новых вредоносных программ, за многочисленные взломы веб-сайтов и десятки эпидемий, праздновать успех в одной локальной победе никак нельзя.

P.S. Выше мы писали о том, что Trojan.Win32.Inject.mt устанавливал в систему два файла — 1.exe и 2.exe. Мы не рассказали о том, чем же был второй файл.

Он был очередным вариантом троянца-шпиона Sinowal. Тем самым Sinowal, который спустя пару месяцев после описываемых событий превратился в еще одну головную боль для антивирусных компаний и вошел в историю как «буткит».

И Rustock, и Sinowal распространялись одновременно и через один и тот же ботнет. Новые версии Rustock перестали появляться в середине октября 2007 года. Первые образцы «буткита» были обнаружены спустя месяц — в ноябре 2007 года.

Просто совпадение?

Возможно, мы когда-нибудь узнаем ответ и на этот вопрос.

Источник

Изменено 18 июня, 2008 пользователем akoK

[ТроПа]

Хакер навел полицию на обидчиков детей

Австралийская полиция арестовала семьдесят человек в рамках операции по борьбе с детской порнографией под названием «Центурион», которая проводится уже полгода. Среди задержанных оказались уважаемые люди, в том числе полицейский, несколько школьных учителей и спортивный администратор.

Начало правительственной операции положил хакер, разместивший на одном из европейских Интернет-сайтов 99 непристойных фотографий детей. Всего за 76 часов, которые противозаконные изображения «провисели» на портале, было зафиксировано 12 миллионов обращений к ним со 150 тысяч компьютеров. Позже специалисты отследили по IP адресам 2883 компьютера на территории Австралии. По этим данным были определены и их владельцы.

В первую очередь аресты касались ситуаций, в которых могли пострадать конкретные дети. Четверых несовершеннолетних пришлось даже изолировать от родителей. Представитель полиции подчеркнул, что проведенные 70 арестов далеко не последние, и расследование по делу Интернет-педофилии продолжается.

Источник

[ТроПа]

Атаки велись с помощью зараженных вирусом электронных писем

Канадское правительство подверглось массированной атаке хакеров. Вирусами оказались заражены около 20 министерств.

Канадские власти отказываются напрямую называть автора атак, однако дают понять, что атака велась из Китая. При этом информация о хакерских нападениях, которые произошли в июне и июле 2007 года, держалась правительством страны в секрете. Как стало известно изданию La Presse, недавно сотрудники ведомства, занимавшегося расследованием нападения, разослали затронутым министерствам и региональными администрациям документ, в котором подводились итоги кибератаки и говорилось о методах борьбы с хакерами.

Атаки велись с помощью зараженных вирусом электронных писем. В ходе расследования выяснилось, что практически все компьютеры канадского правительства заражены вирусами.

«По мере продвижения расследования можно утверждать, что была предпринята массированная атака против правительства Канады. Мы получили подтверждение со стороны наших партнеров (США, Великобритании, Австралии, Новой Зеландии), что речь шла о глобальной международной угрозе», — говорится в официальном сообщении министерства национальной безопасности.

При этом в министерстве отказываются сообщать любые подробности, ссылаясь на то, что расследование продолжается. «США проявили сдержанность в вопросе официального объявления авторов кибератак. Канада поступает так же», — говорится в документе.

Источник

[ТроПа]

Очередной спамер выплатит социальной сети MySpace штраф

Житель штата Колорадо Скотт Рихтер должен будет выплатить штраф общей суммой 6 млн долларов за несанкционированную рекламу в популярной западной социальной сети MySpace. Рихтер обвиняется в массовой рассылке рекламных сообщений многим тысячам пользователей сети.

В MySpace говорят, что самой сети спамер выплатит 4,8 млн долларов, оставшиеся 1,2 млн долларов уйдут на покрытие судебных издержек.

В обвинении говорится, что молодой человек рассылал при помощи автоматических средств почти по 100 млн сообщений в сутки, где рекламировал один из западных веб-сайтов с товарами.

Иск против Скотта Рихтера был подан еще в январе 2007 года, однако пик его спамерской активности пришелся на август 2006 года.

По словам Филипа Боша, представителя стороны обвинения, сообщения Рихтер отправлял с фиктивных пользовательских ученых записей в MySpace.

Сообщается, что Скотт Рихтер действовал в интересах рекламной компании Media Breakaway, которой руководит его отец Стивен Рихтер. "Мы уважаем решение суда и готовы полностью его выполнить, апелляцию подавать мы не планируем. Сумма будет выплачена полностью", - сказал он.

Первоначально MySpace требовала от спамера значительно бoльшую сумму, однако в процессе следствия суд сократил выплаты почти на 95%.

Обращает внимание на себя и еще один факт: в 2005 году компания Optinrealbig.com по иску Microsoft была приговорена к 7 млн долларов штрафа за рассылку спам-сообщений. Во главе этой компании также стоял Рихтер-старший. После уплаты штрафа Optinrealbig.com была закрыта, а на ее месте возникла Media Breakaway.

Напомним, что около 2 месяцев назад MySpace отсудила у спамеров еще 230 млн долларов.

Источник

Изменено 18 июня, 2008 пользователем wise-wistful

[ТроПа]

Задержанному в Турции украинскому хакеру грозит до 72 лет тюрьмы

От 24 до 72 лет тюремного заключения грозит украинскому хакеру Максиму Ястремскому, задержанному в прошлом году в Анталье по обвинению в кибермошенничестве, сообщают в субботу турецкие СМИ.

Обвинение в отношении мошенника подготовил прокурор суда «турецкой Ривьеры», в том числе на основе информации спецслужб США, которые в свое время объявили его в международный розыск, передает полицейское радио.

В частности, как утверждается, американцы обвиняют украинского хакера в том, что он незаконными способами заработал около 10 миллионов долларов и разместил их на счетах в 13 банках различных стран. Только в Турции претензии к украинцу имеются у 12 банковских структур, и все они строятся на обвинении в незаконном присвоении денежных средств с использованием электронных систем (компьютеров), сообщает радио.

Аналогичное обвинение, как отмечается, предъявлено сообщнику украинца, имя которого не называется.

Ранее в местных СМИ сообщалось, что вместе с украинским хакером в Анталье в июле 2007 года был взят под стражу житель Израиля Максим Турчак, но потом был выпущен на свободу, - сообщает РИА «Новости».

Как в свое время писала турецкая пресса, украинский хакер взломал по всему миру через Интернет коды 50-60 тысяч владельцев кредитных карточек. Он также подозревается в хищении данных у 1 тысячи 200 владельцев кредиток в Турции.

В СМИ, кроме того, публиковались сообщения о связи украинского хакера с международной террористической сетью «Аль-Каида», которой он якобы продал конфиденциальные сведения о США, в частности по аэропортам страны и Пентагону. Однако эти сведения впоследствии не нашли подтверждения.

Не подтвердилась, впрочем, и информация о возможности экстрадиции Ястремского в США, по просьбе которых, как утверждалось, и была проведена операция по аресту хакера в Анталье.

Источник: Focus.in.ua

[akoK]

«Лаборатория Касперского» сообщает об обнаружении червя-кейлоггера, использующего оригинальную технологию маскировки

"Лаборатория Касперского", ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает об обнаружении нового почтового полиморфного червя-кейлоггера, использующего оригинальный механизм сокрытия своего присутствия в системе.

Червь, получивший название Email-Worm.Win32.Lover.a, распространяется по каналам электронной почты - пользователю приходит письмо с вложенным файлом to_my_love.scr, при запуске которого на экран выводится яркая демонстрация, напоминающая скринсейвер "Геометрический вальс". Картинка генерируется в реальном времени с использованием фрактальной геометрии. Однако данный файл не является скринсейвером, а представляет собой кейлоггер, записывающий все, что пользователь набирает на клавиатуре при работе с веб-браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими).

Механизм сокрытия присутствия червя Email-Worm.Win32.Lover.a в системе реализован оригинальным образом. Для заражения он использует программный код, которым инфицирует исполняемые файлы вышеупомянутых программ, разделяя код инфекции для каждого из приложений на несколько частей, что серьезно затрудняет его обнаружение. При запуске зараженного приложения программный код вируса занимает 4 Кб памяти, где собирает свое тело, и далее записывает в папке Windows файл с именем ia*.cfg. В этот файл сохраняются коды нажатых пользователем клавиш. Как показало исследование червя, проведенное аналитиками "Лаборатории Касперского", файл с отслеженными вредоносной программой данными отправляется на FTP-сервер rdtsc.***.com.

Червь Email-Worm.Win32.Lover.a применяет нетипичную для таких программ маскировку своего основного функционала, скрываясь за красивыми картинками и выдавая себя за скринсейвер. Лексика, обнаруженная в коде вредоносной программы, дает основания предположить, что автор червя является русскоговорящим.

Детектирование вредоносной программы Email-Worm.Win32.Lover.a было добавлено в сигнатурные базы Антивируса Касперского в 17 часов 23 июня 2008 года.

Источник

[akoK]

Суд заставил Google раскрыть информацию о пользователях YouTube

Согласно постановлению суда, компании Google придется предоставить в пользование медиагиганта Viacom информацию о каждом пользователе сервиса YouTube, просматривавшем защищенную авторскими правами продукцию Viacom. Среди требуемых данных называются ip-адреса пользователей, реквизиты и учетные записи.

Viacom с марта 2007 года требует с Google миллиард долларов за то, что пользователям YouTube было позволено загрузить видеоматериалы, права на которые принадлежат корпорации. Данные нужны Viacom для демонстрации тезиса о том, что украденные материалы становятся более популярными, чем легальные.

Линия защиты Google строится на том, что закон позволяет загружать любые клипы, но обязывает убирать их с сервиса после получения запроса от правообладателя. Такие видеоклипы, убранные по любой причине, Google по решению суда также должен передать Viacom.

Viacom также требовала исходный код портала YouTube, копии всех видеоклипов, помеченных как частные, а также схему рекламной базы данных Google. В этом суд Viacom отказал, обязав Google лишь сообщить Viacom данные о том, как часто просматривают частные видео, и сколько человек их смотрит.

Изменено 4 июля, 2008 пользователем akoK

[akoK]

Создатели Storm предприняли очередную попытку наращивания мощности ботнета

К Дню независимости Соединенных Штатов, отмечавшемуся 4 июля, киберпреступники приурочили очередную попытку увеличения числа компьютеров, подключенных к ботнету Storm. Первая информация о вредоносной программе Storm появилась в начале прошлого года. Буквально за неделю червь Storm инфицировал полтора миллиона компьютеров по всему миру, а к осени 2007 года, по различным оценкам, бот-сеть насчитывала до 50 миллионов машин. Количество же вариантов вредоносной программы, зафиксированных на протяжении прошлого года, исчисляется десятками тысяч. Создатели Storm регулярно пытаются укрепить ботнет, подключая к нему новые компьютеры. Для этого, как правило, пользователям интернета рассылаются письма с предложением скачать "крайне полезную" утилиту, посмотреть видеоролик или посетить интересный веб-сайт. Не стала исключение и атака, проведенная злоумышленниками в конце прошлой недели. Специалисты компании Sophos зафиксировали крупномасштабную рассылку электронных сообщений, в которых получателям предлагалось перейти на некий сайт, якобы содержащий файл с записью небывалого по своим масштабам праздничного фейерверка.

Однако на самом деле вместо обещанного видеоролика пользователи, попавшиеся на удочку киберпреступников, получали комплект вредоносного ПО, превращающего компьютер в зомбированную машину. Кстати, некоторые эксперты в области компьютерной безопасности в создании сети Storm обвиняют Россию. Так, Дмитрий Альперович из компании Secure Computing полагает, что Storm - это дело рук группы злоумышленников, базирующейся в Санкт-Петербурге. Однако задержать лиц, ответственных за формирование ботнета, по словам Альперовича, не представляется возможным из-за отсутствия содействия со стороны российских правоохранительных органов.

Источник

[akoK]

Проект по измерению защищенности браузера Firefox

Фонд Mozilla Foundation начал работать над проектом по созданию своего рода «шкалы» для измерения степени уязвимости Firefox, сообщает opennet.ru. В сотрудничестве с исследователем проблем безопасности Ричем Могулом, был составлен детальный список данных, которые необходимо отслеживать, что бы получить реальную картину состояния проекта с точки зрения его защищенности. В отличие от подхода, используемого в Microsoft, когда степень риска использования браузера определяется количеством официально выпущенных обновлений, при котором самым безопасным считается продукт, обновления для которого еще не выходили, оценка защищенности Firefox будет складываться из целого спектра различных факторов. Собранные вместе в единой базе результаты смогут быть использованы как внутри проекта, так и проанализированы другими организациями. Обрабатываемые данные будут включать следующие параметры: дата обнаружения уязвимости, когда об этом было объявлено, время на классификацию степени угрозы, время передачи задания разработчику и когда было выпущено обновление. Такая детальная статистика поможет отслеживать относительную защищенность браузера, а так же оценить эффективность усилий, прикладываемых для решения проблем безопасности на этапах разработки и тестирования. ”Наша цель, в первую очередь, создать базовую модель, отталкиваясь от которой мы могли бы двигаться дальше, изучая какие предпосылки оказались успешными, а какие нет” - говорит Window Snyder, директор по безопасности фонда Mozilla. Никакая модель не дает гарантию абсолютной защищенности, поэтому необходимо вести учет успехов и неудач, чтобы выделять слабые места и затем над ними работать. Проект еще находится в самой начальной фазе, поэтому разработчики рассчитывают на конструктивные предложения и критику со стороны исследователей и профессионалов.

О проекте

Источник

[ТроПа]

Microsoft предупредила о новой уязвимости в Word

Корпорация Microsoft накануне выпустила очередное оповещение об опасности, связанной с возможностью хакерской атаки на программное обеспечение Microsoft Word. Новая уязвимость в популярном текстовом процессоре связана с особенностями обработки файлов в стандартном формате .doc.

На сегодняшний день наличие уязвимости подтверждено в Word 2002 Service Pack 3. Атакующий при помощи специально сгенерированного документа может вызвать переполнение памяти и последующую системную ошибку, оставляющую систему беззащитной перед хакером. В итоге злоумышленник может выполнить произвольный код в системе.

На сайте TechNet специалисты корпорации рекомендуют не только пользоваться антивирусами и фаерволлами, но и избегать открытия doc-файлов, присланных неизвестными отправителями по электронной почте.

В Microsoft говорят, что сейчас выход патча запланирован на 12 августа, однако если будет зафиксирована широкая эксплуатация данной уязвимости, то патч будет выпущен ранее.

Источник

[akoK]

Хакеры сообщают о начале Третьей мировой войны

Эксперты антивирусной компании Sophos предупреждают о появлении массовых рассылок вредоносных писем, в заголовках которых содержатся сообщения о вторжении армии США на территорию Ирана и якобы начавшейся Третьей мировой войне.

В письмах содержится ссылка на страницу с изображением, похожим на изображение видео-плейера, демонстрирующего ядерный взрыв и следующий текст:

"Только что спецназ и ВВС США совершили вторжение на территорию Ирана. Около 20 тысяч солдат пересекли границы Ирана и подавили сопротивление иранских войск. Это видео было сделано одним из американских солдат сегодня утром. Нажмите на видео, чтобы увидеть первые минуты начала Третьей мировой войны."

В действительности, как сообщает Sophos, при нажатии на изображение видео-плейера происходит заражение компьютера вредоносной троянской программой.

"Just now US Army's Delta Force and US Air Force have invaded Iran. Approximately 20000 soldiers crossed the border into Iran and broke down the Iran's Army resistance. The video made by US soldier was made today morning. Click on the video to see the first minutes of the beginning of World War III. God save us".

Источник

[Griffon Master]

Обнаружен вирус, заражающий аудиофайлы

Качать музыку из интернета теперь стоит осторожнее: Лаборатория Касперского сообщает об обнаружении вредоносной программы, заражающей аудиофайлы. Целью заражения является загрузка троянской программы, позволяющей злоумышленнику установить контроль над компьютером пользователя, пишет Корреспондент.

Червь, получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу.

Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь соглашается на установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным ПК.

До этого формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом.

Особенностью же данного червя является заражение чистых аудиофайлов, что, по словам вирусных аналитиков Лаборатории Касперского, является первым случаем подобного рода и повышает вероятность успешной атаки, так как пользователи обычно с большим доверием относятся с собственным медиафайлам и не связывают их с опасностью заражения.

Источник

[ТроПа]

Кибер-преступники рассылают сообщения якобы от службы доставки UPS

Антивирусная лаборатория PandaLabs обнаружила целый ряд электронных почтовых сообщений, содержащих троян Agent.JEN. Подобные сообщения с темой “Посылка UPS N3621583925” маскируются под рассылку от компании UPS, занимающейся доставкой почты. Текстовое сообщение информирует получателя, что почтовую посылку невозможно доставить, и предлагает распечатать прикрепленный счет.

Такой счет представляет собой прикрепленный “.zip” файл, который содержит вложение, замаскированное под документ Microsoft Word с примерным названием “UPS_invoice”. Как только пользователь открывает файл, он заносит копию трояна на свой компьютер.

Вредоносный код копирует себя в систему, подменяя собой файл Userinit.exe в операционной системе Windows. Этот файл запускает Internet Explorer, системный интерфейс и другие необходимые процессы. Для дальнейшей корректной работы компьютера и во избежание обнаружения инфекции троян копирует системный файл под именем userini.exe в другую папку.

“Такие действия соответствуют динамике современного вредоносного ПО: кибер-преступники уже не стремятся к популярности и известности; они предпочитают обогащение без излишней огласки”, - говорит Луис Корронс, технический директор PandaLabs.

В итоге, Agent.JEN подключается к домену в зоне .ru (уже использующемуся другими банковскими троянами) и с его помощью посылает на немецкий домен запрос на загрузку руткита и рекламного ПО, распознаваемых PandaLabs как Rootkit/Agent.JEP и Adware/AntivirusXP2008. Это дополнительно усиливает риск заражения.

“Мы были свидетелями того, как кибер-преступники использовали в качестве наживки для распространения вирусов эротические картинки, рождественские и романтические открытки, фальшивые трейлеры к фильмам и др. Однако видеть что-то, подобное этой задумке, нам еще не приходилось”, - объясняет Корронс. “Она демонстрирует стремление кибер-преступников использовать для распространения инфекций приманки, которые бы вызывали минимум подозрений”.

Источник

[akoK]

«Лаборатория Касперского» сообщает о прекращении технической поддержки шестого поколения продуктов для защиты домашних пользователей

Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о прекращении технической поддержки шестого поколения продуктов компании для защиты домашних пользователей от информационных угроз – Антивируса Касперского 6.0 и Kaspersky Internet Security 6.0.

Техническая поддержка продуктов Антивирус Касперского 6.0 и Kaspersky Internet Security 6.0 будет прекращена 1 сентября 2008 года.

При этом поддержка всех корпоративных продуктов версии 6.0 будет продолжена в полном объеме.

С 1 сентября 2008 все запросы пользователей по поводу Антивируса Касперского 6.0 и Kaspersky Internet Security 6.0, поступающие в службу Технической поддержки «Лаборатории Касперского», будут обрабатываться только при условии перехода на более новую версию данных продуктов.

1 октября 2008 года прекращается выпуск антивирусных баз для продуктов Антивирус Касперского 6.0 и Kaspersky Internet Security 6.0, за исключением последней версии - 6.0.2.621.

Специалисты "Лаборатории Касперского" настоятельно советуют пользователям, использующим Антивирус Касперского 6.0 и Kaspersky Internet Security 6.0, установить более новую версию используемых продуктов. Все пользователи лицензионных версий данных продуктов могут обновить их бесплатно.

Более подробную техническую информацию, а также инструкции по переходу на новую версию продуктов можно получить на сайте технической поддержки «Лаборатории Касперского».

Дополнительную информацию о последних продуктах «Лаборатории Касперского» для защиты домашних пользователей можно получить на официальном сайте компании.

Источник