akoK Опубликовано 28 июля, 2008 Автор Жалоба Поделиться Опубликовано 28 июля, 2008 (изменено) Недовольный сисадмин устроил ловушку в муниципальной сети Сан-Франциско Системный администратор Терри Чайлдс, 13 июля взявший под контроль городскую сеть Сан-Франциско FiberWAN, настроил устройства в ней на уничтожение множества файлов в ходе планового обслуживания системы. Сотрудники прокуратуры обнаружили ловушку в субботу, перед тем как FiberWAN должна была быть выключена на профилактику. Следствие утверждает, что Чайлдс намеревался уничтожить всю сеть и мог использовать для доступа к сети любые из 1100 модемов, расположенных в закрытых шкафах в самых разных точках города. 21 июля, в понедельник, Чайлдс встретился с мэром города Гэвином Ньюсомом и отдал ему пароли от сети. Пароли необходимо было ввести в компьютер в комнате здания муниципалитета, о существовании которой не знали даже полицейские. Позднее оказалось, что пароли не помогли восстановить контроль над системой в полном объеме. Недоступными остались локальные сети ведомства шерифа, паркового хозяйства и IP-телефония. Конфликт Терри Чайлдса, проработавшего пять лет в муниципалитете, с городскими властями начался 20 июня. Именно тогда новая начальница отдела сетевой безопасности, Джиана Пьералд, приказала провести проверку. Чайлдса возмутило то, что его не предупредили о проверке. Он напугал Пьералд, заявив, что та "рылась в его вещах" и сфотографировав на мобильный телефон, как начальница "уносила оборудование, которое ей не принадлежало". 9 июля ему приказали покинуть работу за неподчинение руководству. На FiberWAN приходится более половины муниципального трафика Сан-Франциско. Сеть содержит сотни тысяч документов, писем и платежных ведомостей. Источник Изменено 1 августа, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 31 июля, 2008 Автор Жалоба Поделиться Опубликовано 31 июля, 2008 (изменено) Россия продолжает оставаться основным источником спама По данным отчета IBM X-Force, Россия продолжает оставаться основным источником спама. На Россию приходится 11% от общего объема спама, за ней следуют Турция (8%) и США (7,1%). В то же время США лидирует по другому показателю. Почти треть ссылок, указанных в спам-сообщениях ведут на ресурсы, расположенные на американских серверах. Россия в этом списке занимает лишь пятое место после Южной Кореи, Франции и Китая. Также специалисты IBM X-Force проанализировали эволючию спама. На смену единичным, выполняемым вручную атакам, приходят масштабные автоматизированные атаки, организованные преступными группами. Киберпреступники применяют новые методы автоматизации, позволяющие им использовать уязвимости буквально в день их обнаружения независимыми исследователями. Спамеры возвращаются к простому текстовому формату. Сложный спам (в виде изображений, вложений файлов и т.д.), активно распространявшийся в 2007 г., практически исчез, и теперь спамеры используют простые ссылки. Как правило, рассылаемые письма содержат несколько простых слов и ссылку, что затрудняет фильтрацию спама. В настоящее время к такому типу относится примерно 90% спама. X-Force отмечает, что целевая область угроз сместилась от операционной системы к браузерам и плагинам. В первые шесть месяцев 2008 г. примерно 78% атак, использующих уязвимости браузеров, выполнялись через плагины. Рост популярности сетевых игр и виртуальных сообществ делает их привлекательной целью для киберпреступников. Целью атак, направленных против игроков, является кража их виртуальных активов для продажи на онлайновых рынках. Финансовые учреждения продолжают оставаться основными целями фишинга. Лишь 2 из 20 наиболее серьезных фишинговых атак не были нацелены на финансовые учреждения. Испания лидирует в рейтинге стран, из которых исходит большинство фишинг-атак. Россия не фигурирует в первой десятке этого списка, однако 8,6% ссылок, содержащихся в шпионских рассылка, указывают на адреса российских серверов. Источник Изменено 31 июля, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 1 августа, 2008 Автор Жалоба Поделиться Опубликовано 1 августа, 2008 Зафиксирована новая атака ботнета Storm Представители ФБР США и центра расследований интернет-преступлений IC3 сообщили о появлении в глобальной сети новых образцов нашумевшего сетевого червя Storm. Одновременно с появлением кодов, была зафиксирована и массовая рассылка вирусного спама от создателей бот-сети Storm. Большая часть разосланных писем имела заголовок "F.B.I. vs Facebook" (ФБР против Facebook). Данные письма содержали ссылки, ведущие якобы на статью, где опубликован материал о ФБР и Facebook, однако в реальности вместе со статьей пользователям предлагался и новый вариант червя. "Спамеры распространяют вирусы исключительно за счет пользователей. В большинстве случаев пользователи сами делают из своих компьютеров участников бот-сетей. Мы призываем пользователей максимально внимательно относится к входящей корреспонденции", - говорится в заявлении ФБР. Эксперты в очередной раз напомнили пользователям о том, что не нужно отвечать на письма спамеров, а также открывать вложения, пришедшие с письмом от неизвестного отправителя. Источник Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 5 августа, 2008 Автор Жалоба Поделиться Опубликовано 5 августа, 2008 (изменено) ЛК: Июльский рейтинг вредоносных программ Так, по итогам работы KSN в июле 2008 г. составлены две вирусные двадцатки. Первая представляет собой рейтинг самых распространенных вредоносных, рекламных и потенциально опасных программ по числу компьютеров, на которых они были обнаружены: 1. Trojan.Win32.DNSChanger.ech 2. Trojan-Downloader.WMA.Wimad.n 3. Trojan.Win32.Monderb.gen 4. Trojan.Win32.Monder.gen 5. not-a-virus:AdWare.Win32.HotBar.ck 6. Trojan.Win32.Monderc.gen 7. not-a-virus:AdWare.Win32.Shopper.v 8. not-a-virus:AdTool.Win32.MyWebSearch.bm 9. Trojan.Win32.Agent.abt 10. Worm.VBS.Autorun.r 11. Trojan.Win32.Agent.rzw 12. Trojan-Downloader.Win32.CWS.fc 13. not-a-virus:AdWare.Win32.Mostofate.cx 14. Trojan-Downloader.JS.Agent.bi 15. Trojan-Downloader.Win32.Agent.xvu 16. not-a-virus:AdWare.Win32.BHO.ca 17. Trojan.Win32.Agent.sav 18. Trojan-Downloader.Win32.Obitel.a 19. Trojan.Win32.Chifrax.a 20. Trojan.Win32.Agent.tfc Можно распределить все представленные в двадцатке вредоносные и потенциально опасные программы по основным классам – TrojWare, VirWare, AdWare и Other Malware. Как видно, чаще всего пользовательские компьютеры становятся целью атаки всевозможных троянских программ. Всего на компьютерах пользователей в июле было зафиксировано 20704 уникальных вредоносных, рекламных и потенциально опасных программ. Именно такое число уникальных детектируемых программ - примерно 20000 - и формирует, по данным «Лаборатории Касперского», среду «In-the-Wild». Вторая двадцатка предоставляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты: 1. Virus.Win32.Virut.q 2. Worm.Win32.Fujack.ap 3. Net-Worm.Win32.Nimda 4. Virus.Win32.Hidrag.a 5. Virus.Win32.Neshta.a 6. Virus.Win32.Parite.b 7. Virus.Win32.Sality.z 8. Virus.Win32.Alman.b 9. Virus.Win32.Virut.n 10. Virus.Win32.Xorer.du 11. Worm.Win32.Fujack.aa 12. Worm.Win32.Otwycal.g 13. Worm.Win32.Fujack.k 14. Virus.Win32.Parite.a 15. Trojan-Downloader.WMA.GetCodec.d 16. Virus.Win32.Sality.l 17. Virus.Win32.Sality.s 18. Worm.Win32.Viking.ce 19. Worm.VBS.Headtail.a 20. Net-Worm.Win32.Allaple.b В данной двадцатке представлены в основном различные вредоносные программы, способные заражать файлы. Эти данные интересны как показатель наиболее распространенных угроз, требующих лечения, а не простого удаления инфицированных объектов. Примечательно наличие в двадцатке программы GetCodec.d – уникального примера червя, заражающего аудиофайлы. Видно, что данное семейство вредоносных программ весьма активно распространяется на пользовательских компьютерах. Данные об изменении позиций и долей всех вредоносных, рекламных и потенциально опасных программ будут представлены в отчете за август. Источник Изменено 5 августа, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 5 августа, 2008 Автор Жалоба Поделиться Опубликовано 5 августа, 2008 Обзор вирусной обстановки за июль 2008 года от компании «Доктор Веб» Давно минули времена громких вирусных эпидемий. Сегодня борьба идет на «тихом» фронте – неслышно и незаметно для неискушенных пользователей. Июль стал подтверждением этого правила наших дней и этот обзор следовало бы назвать "обзором троянской активности", так как центральное место в нем занимают именно троянские программы разных мастей. О троянских программах Среди троянских программ, наиболее интересных с точки зрения анализа и разработки алгоритма лечения, можно назвать троянцев семейства Virtumod (в классификации других антивирусных вендоров Virtumonde/Vundo/Monder). Правда, пока их еще нельзя увидеть в победной десятке самых распространенных вредоносных программ, но в «дикой природе» они уже встречаются. Очень немногие антивирусы могут детектировать этих троянцев, и тем более эффективно лечить. Причина – в применяемых автором этого семейства троянцев алгоритмах "работы". Вирусописатель активно и планомерно разрабатывает 3-4 направления развития полиморфного упаковщика, при этом за последние месяцы было выпущено более 10 модификаций, и каждое направление насчитывает около десятка тысяч образцов. Эти данные подтверждаются не только коллекцией Dr.Web, но и коллекциями других компаний, а также постоянным потоком образцов с сервера online-проверки на вирусы. Virtumod - далеко не единственный активный представитель «off-line полиморфизма», и можно уверенно сказать, что без целенаправленного технологического развития противодействия данному направлению, без разработки универсальной технологии, которая позволила бы быстро добавлять детектирование полиморфных упаковщиков в антивирусное ядро, довольно скоро ситуация может превратиться в патовую. В последнее время активно распространяется еще один троянец – Trojan.Clb. Он содержит в себе руткит и прячет методом сплайсинга файлы на диске и определенные ветки реестра. Также стоит отметить Trojan.DnsChange.967, подменяющий DNS сервера на роутерах, предоставляющих возможность конфигурирования через web-интерфейс. Это особенно опасно для пользователей беспроводных сетей, роутеры которых часто конфигурируются через веб-интерфейс. Пользователи такого беспроводного сервиса, например, работающие через точку доступа Wi-Fi, вполне могут оказаться жертвами подмены DNS, в результате чего их конфиденциальные данные утекут совершенно в неизвестном для них направлении. Достаточно неприятным сюрпризом может стать попадание на ПК пользователей представителя семейства Trojan.Okuks. Детектирование его не представляет проблем для большинства антивирусов, чего нельзя сказать о лечении. Если используемая антивирусная программа некорректно вылечит инфицированную троянцем систем – удалит файл, но не вылечит при этом реестр, – после перезагрузки пользователя ожидает вечный BSOD. О лидерах Вернее, об одном «лидере», который с переменным успехом путешествует по первой «вирусной десятке» и не собирает сдавать свои позиции. Речь о червях семейства Autoruner, в избытке присылаемых в компанию «Доктор Веб» для проверки онлайн-сканером. Транспортом для распространения этих червей стали привычные в быту и в офисах флэш-накопители. Их применение сейчас стало поистине повсеместным, сотрудники ездят с ними в командировки и работают дома. Но кроме удобств и повышения производительности, они несут и большую опасность, т.к. вирусы всё чаще атакуют и распространяются именно с помощью этих устройств. Самое любопытное заключается в том, что объектами атаки этого червя становятся не только традиционные устройства "флэш-памяти", но и любые другие устройства, которые можно подключить к компьютеру через порт USB - фотоаппараты, видеокамеры, мобильные телефоны, цифровые фоторамки. На сервере статистики компании "Доктор Веб", отражающем глобальную вирусную обстановку на защищаемых антивирусами Dr.Web серверах, червь семейства Autoruner занимает в июле лидирующую позицию. Источник Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 августа, 2008 Автор Жалоба Поделиться Опубликовано 7 августа, 2008 В Сети появилась фальшивая версия Flash Player Adobe Systems выпустила предупреждение для пользователей о том, что неизвестные злоумышленники в интернете активно распространяют злонамеренное программное обеспечение, якобы представляющее собой популярный плагин Adobe Flash Player. На некоторых публичных сайтах и форумах появились ссылки, при нажатии на которые браузер якобы предлагает обновить Flash Player. При согласии пользователя вместо Flash Player на клиентский компьютер загружается и устанавливается вредоносное программное обеспечение. "Лаборатория Касперского", в частности, обнаружила учетную запись со ссылкой на фальшивый Flash Player в социальной сети Twitter. Несмотря на то, что установочный файл имеет имя Adobe Flash, на самом деле он является троянским загрузчиком, доставляющий на машину жертвы еще десять вредоносных программ, предназначенных для кражи персональной информации. По данным "Лаборатории Касперского", организаторами атаки являются бразильские киберпреступники. Дело в том, что в имени аккаунта в сети Twitter используется слово на португальском языке. Кроме того, о бразильском происхождении вредоносной учетной записи говорит специфичный адрес электронной почты, на который отправляются данные, собранные на инфицированных компьютерах. Adobe настоятельно рекомендует пользователям загружать Flash Player только с сайта компании. Кроме того, проверить подлинность пакета можно, щелкнув правой кнопкой мыши по установочному файлу и выбрав пункт "Свойства". В разделе "Цифровые подписи" должна присутствовать надпись "Adobe Systems, Incorporated". Источник Хакер получил 4 года тюрьмы за взлом веб-камеры Кипрский хакер был осужден за взлом веб-камеры с целью скрытого наблюдения за жизнью несовершеннолетней девушки, за что и получил 4 года тюрьмы. 47-летний компьютерщик использовал троянскую программу для получения удаленного контроля над веб-камерой жертвы. Машина подростка была заражена после того, как девушка открыла инфицированное вложение из незнакомого письма, пришедшего на ее электронную почту. Получив ряд фотографий 17-летней девушки, киберпреступник начал ее шантажировать, угрожая отправить тайно сделанные снимки друзьям жертвы, если та откажется позировать обнаженной перед веб-камерой. Девушка отказалась от требований хакера и обратилась в полицию, которая и задержала любителя "онлайн-клубнички". Судебное разбирательство длилось более трех лет, а среди обвинений появлялись "вторжение в личную жизнь" и "попытка совращения малолетних". В конце концов суд вынес решение, согласно которому кибершантажист проведет за решеткой ближайшие четыре года жизни. Источник Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 9 августа, 2008 Автор Жалоба Поделиться Опубликовано 9 августа, 2008 Black Hat: Ицик Котлер создал кроссплатформенный троян для Firefox Известная во всем мире конференция Black Hat, посвященная вопросам информационной безопасности проходит со 2 по 7 августа. Специально к конференции Ицик Котлер (Itzik Kotler) менеджер по безопасности операционного центра Radware и ведущий на Black Hat создал троянскую программу Jinx, нацеленную на поражение популярного веб-браузера Firefox. Уязвимости подвержены все версии Firefox 3 до релиза 3.0.1. Технически Jinx индексирует и отсылает файлы с жесткого диска жертвы. Сам троян написан на JavaScript и не зависит от платформы, на которой запущен, т.е. программе не важно, Windows, Linux или Macintosh перед ней. В качестве дополнительного функционала Котлер наделил свою программу возможностью рассылки спама. По словам Котлера, "Это первое доказательство-концепт такого вредоносного ПО, действующего без каких-либо инъекций в код, не вмешиваясь в ядро". Он обещал сделать доступным код Jinx для всех (т.е, опубликовать его). Кроме того, он намекнул, что Radware в настоящее время работает над аналогичными Jinx-подобными вредоносными программами, направленными на Microsoft Internet Explorer. Источник Ссылка на комментарий Поделиться на другие сайты Поделиться
Griffon Master Опубликовано 13 августа, 2008 Жалоба Поделиться Опубликовано 13 августа, 2008 В Интернет запущен троянец-вымогатель ________________________________________________ 13.08 21:43 MIGnews.com Компания "Доктор Веб" сообщила о появлении нового троянца, который шифрует пользовательские файлы и вымогает деньги за их дешифровку. В классификации "Доктор Веб" троянская программа получила название Trojan.Encoder.19. Инфицировав систему, троянец оставляет текстовый файл crypted.txt с требованием заплатить 10 долларов за программу расшифровщик. Аналитики компании "Доктор Веб" разработали утилиту дешифровки и предлагают всем пользователям бесплатно скачать ее и пролечить компьютеры. В результате действия утилиты все файлы на диске "С" будут расшифрованы. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 августа, 2008 Автор Жалоба Поделиться Опубликовано 19 августа, 2008 (изменено) «Лаборатория Касперского» помогла полиции Нидерландов обезвредить ботнет «Shadow» «Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о нейтрализации зомби-сети, состоящей из более чем 100 000 расположенных по всему миру компьютеров, пользователи которых в большинстве случаев даже не подозревали о заражении вредоносной программой своего ПК. Ботнет «Shadow» был обнаружен отделом по борьбе с высокотехнологичными преступлениями полиции Нидерландов во время операции по аресту 19-летнего хакера. Представители отдела обратилась в «Лабораторию Касперского» с просьбой помочь нейтрализовать обнаруженный ботнет и удалить вредоносную программу, при помощи которой была образована столь крупная зомби-сеть. После запроса полиции Нидерландов специалисты «Лаборатории Касперского» разработали детальные инструкции по удалению вредоносной программы с зараженных ПК. Полиция направила всех пострадавших пользователей на специально созданную на официальном сайте «Лаборатории Касперского» страницу, содержащую детальные инструкции по удалению вредоносной программы с зараженных ПК, и на сайт, предоставляющий жертвам возможность написать официальную жалобу в полицию. Эдди Виллемс, ведущий эксперт «Лаборатории Касперского» в странах Бенилюкса, отмечает, что этот пример демонстрирует, как компании, работающие в сфере информационной безопасности, могут эффективно помогать правоохранительным органам в борьбе с киберпреступниками. Ботнет – это компьютерная сеть, состоящая из зараженных вредоносной программой машин. Такие компьютеры могут контролироваться дистанционно (без ведома владельца) и использоваться злоумышленниками для рассылки спама, распределенных атак на веб-ресурсы или кражи ценной конфиденциальной информации, например, номеров кредитных карт. Арест голландского хакера произошел при попытке продать ботнет некому гражданину Бразилии, который также был арестован. Аресты стали результатом сотрудничества отдела по борьбе с высокотехнологичными преступлениями полиции Нидерландов и Федерального бюро расследований США. Если вы полагаете, что ваш компьютер стал частью данного ботнета, то инструкции по удалению вредоносной программы можно найти на сайте www.kaspersky.com/shadowbot. Эдди Виллемс предупреждает: «Эта вредоносная программа могла загрузить на зараженный компьютер дополнительное вредоносное ПО. Поэтому пользователи должны дополнительно произвести полную проверку машины, используя антивирус с актуальными антивирусными базами». Пользователи антивирусных решений Kaspersky Internet Security и Антивирус Касперского находятся под надежной защитой, так как продукты «Лаборатории Касперского» автоматически обнаруживают и удаляют данную вредоносную программу. Источник Изменено 19 августа, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 19 сентября, 2008 Жалоба Поделиться Опубликовано 19 сентября, 2008 Asus поставляла хакерские программы и конфиденциальные документы в комплекте с лэптопами Корпорация Asus по ошибке включила в комплект поставки своих продуктов любопытный DVD-диск, содержащий хакерские программы и несколько конфиденциальных документов. Диск был обнаружен одним из читателей журнала PC Pro, незадолго до этого ставшего обладателем ноутбука от ASUS. Пользователь утверждает, что установленный на его ПК антивирус среагировал на «взломщик ключей» для популярного архиватора WinRAR, оказавшийся в одной из папок. Внимательно изучив содержимое диска, владелец ноутбука обнаружил на нем следующие каталоги: * Папку с красноречивым названием «Crack», предположительно содержащую серийные номера к различным программным продуктам * Папку с большим количеством конфиденциальных документов от Microsoft, предназначенных для производителей ПК и содержащих соответствующие ключи и файлы приложений program files * Ряд документов для распространения внутри корпорации и исходные тексты ПО от Asus. Один из этих документов представляет собой презентацию PowerPoint, которая знакомит зрителя с целым рядом «насущных проблем», вызывающих беспокойство у руководства компании (включая проблемы с совместимостью приложений). Читатель прислал диск в редакцию PC Pro и корреспонденты смогли лично убедиться в существовании указанных файлов. После этого обозреватели провели небольшое Интернет-расследование и установили, что диск с конфиденциальными материалам существует отнюдь не в единственном экземпляре. Автор одного из постов на форуме Asus также делится информацией о подобной находке. Еще одно упоминание о компрометирующем диске удалось обнаружить на форуме австралийского компьютерного журнала Australian APC. Представитель Asus принес свои извинения клиентам и уверил их в том, что подобная ситуация впредь не повторится, однако отказался от каких-либо подробных комментариев случившегося. securitylab.ru Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 3 октября, 2008 Жалоба Поделиться Опубликовано 3 октября, 2008 (изменено) Особенности национальных утечек компьютерных данных Cisco объявила результаты нового глобального исследования проблем информационной безопасности, выявившего множество рисков, на которые идут сотрудники компаний, тем самым подвергая бизнес такой серьезнейшей опасности, как потеря корпоративной информации. Исследование по заказу Cisco провела американская аналитическая фирма InsightExpress, опросившая более 2 000 сотрудников и специалистов по информационным технологиям из Австралии, Бразилии Великобритании, Германии, Индии, Италии, Китая, США, Франции и Японии, что позволило определить наиболее типичные ошибки работников, приводящие к утечке данных. Результаты исследования говорят о том, что поведенческие риски разнятся в зависимости от страны и местных обычаев, что позволяет компаниям принимать меры к предотвращению нежелательных инцидентов с учетом местных особенностей, сохраняя при этом глобальный характер своего бизнеса. Переход от централизованных офисов к распределенным моделям бизнеса и удаленному доступу размывает границы между работой и личной жизнью. Изменения в методах работы предприятий и смешение работы и личной жизни чаще всего связано с распространением устройств и приложений для совместной деятельности, используемых на работе и дома и поддерживаемых мобильными телефонами, мобильными компьютерами, приложениями Web 2.0, видеоуслугами и социальными медиасистемами. Именно эта постоянно развивающаяся деловая среда стала предметом исследования, в ходе которого были опрошены 1000 сотрудников и 1000 ИТ-специалистов из разных отраслей и компаний разного размера, работающих в 10 странах. При этом страны были выбраны с таким расчетом, чтобы представлять разные социальные и деловые культуры, зрелые и формирующиеся сетевые экономики и разные уровни распространения Интернета. 10 наиболее важных результатов исследования: Изменение настроек безопасности на компьютере. Каждый пятый сотрудник меняет настройки безопасности на рабочих устройствах, чтобы обойти корпоративные ограничения и получить доступ к несанкционированным Web-сайтам. Это особенно характерно для растущих экономик Индии и Китая. На вопрос о причинах такого поведения более половины (52 процента) ответили, что просто хотели зайти на тот или иной сайт, а каждый третий заявил, что просмотр сайтов - ”мое личное дело, которое никого не касается". Использование неавторизованных приложений. Семь из десяти опрошенных ИТ-специалистов заявили, что половина случаев потери данных происходит из-за того, что сотрудники получают доступ к неавторизованным приложениям и Web-сайтам (например, к несанкционированным социальным сетям, программным средствам для загрузки музыки, онлайновым торговым порталам). Это особенно характерно для США (74 процента случаев) и Индии (79 процентов). Доступ к несанкционированным сетям и системам. В прошлом году двое из каждых пяти ИТ-специалистов имели дело с сотрудниками, получавшими доступ к несанкционированным сетям или системам. Особенно часто это наблюдалось в Китае, где с подобными проблемами сталкивались две трети опрошенных. Среди тех, кто имел с этим дело в прошлом году, две трети сталкивались с такого рода проблемами неоднократно, а 14 процентов - ежемесячно. Разглашение важной корпоративной информации. Выяснилось, что корпоративные секреты не так секретны, как кажутся. Каждый четвертый сотрудник (24 процента) признался, что в устной форме делится важной корпоративной информацией с друзьями, родственниками и даже незнакомцами. В объяснение причин такого поведения чаще всего можно услышать: ”хотелось увидеть реакцию собеседника”, ”больше не мог скрывать то, что знаю” и ”не вижу в этом ничего плохого”. Совместное использование корпоративных устройств. Данные не всегда находятся у того, кому они предназначены. Доказательством этого служит тот факт, что почти половина опрошенных (44 процента) использует корпоративные устройства вместе с посторонними людьми, в том числе передает им корпоративные устройства в пользование без какого-либо контроля или надзора. Размывание границ между рабочими и бытовыми устройствами и средствами связи. Почти две трети опрошенных сотрудников признались в ежедневном использовании служебных компьютеров в личных целях (для загрузки музыки, совершения покупок, связи с банками, участия в блогах, чатах и т.д.). Половина сотрудников использует персональную электронную почту для связи с заказчиками и коллегами, но лишь 40 процентов делает это с согласия корпоративного ИТ-отдела. Оставление устройств без присмотра. Не менее трети сотрудников, уходя с рабочего места, оставляет включенные и незаблокированные компьютеры без присмотра. Эти сотрудники оставляют мобильные компьютеры на рабочем столе даже ночью, иногда не выходя при этом из корпоративной сети и тем самым создавая условия для кражи корпоративных и личных данных. Неправильное хранение имен и паролей. Каждый пятый сотрудник хранит системные имена (логины) и пароли на бумажках, наклеивая их на свой компьютер либо оставляя без присмотра на рабочем столе или в незапираемом ящике стола. В Китае 28 процентов сотрудников хранят имена и пароли личных финансовых счетов на рабочих устройствах, что создает опасность потери персональных данных и личных денежных средств. Этот риск усугубляется тем, что владельцы рабочих устройств часто оставляют их без присмотра. Потеря портативных рабочих устройств. Почти четверть (22 процента) сотрудников выносят корпоративные данные на портативных устройствах за пределы офиса. Такое поведение особенно характерно для Китая (41 процент) и может привести к тяжелым последствиям в случае потери или кражи устройства. Несанкционированный вход на предприятие и хождение по территории без присмотра. Каждый пятый сотрудник германских компаний (22 процента) разрешает работникам других компаний ходить без присмотра по своему предприятию. В среднем же так поступает 13 процентов опрошенных. Кроме того, 18 процентов респондентов признались в том, что позволяют неизвестным людям проходить за собой через турникет. Источник Изменено 3 октября, 2008 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 14 октября, 2008 Жалоба Поделиться Опубликовано 14 октября, 2008 (изменено) Уровень спама в Рунете в сентябре составил 82,2% от всего объема электронных писем "Лаборатория Касперского" опубликовала очередной отчет по спам-активности за прошедший месяц. Доля спама в почтовом трафике по сравнению с августом повысилась на 1,9% и составила в среднем 82,2%. Самый низкий показатель отмечен 15 сентября – 71,6%, больше всего спама зафиксировано 13 числа – 95%. Доля графического спама осталась неизменной в сравнении с прошлыми месяцами - 9%. Вредоносные файлы содержались в 1,09% всех почтовых сообщений - это на 3% больше, чем в прошлом месяце. Ссылки на фишинговые сайты находились в 0,62% всех электронных писем. Самыми атакуемыми со стороны фишеров организациями стали платежная система PayPal, на которую было нацелено 36% всех фишинговых атак, и интернет-аукцион eBay (18%). Российские фишеры продолжали атаковать пользователей популярных сервисов Рунета – почтовых систем Mail.ru, Rambler и платежной системы "Яндекс.Деньги". Пятерку лидирующих спам-тематик в сентябре составили рубрики "Спам для взрослых" (28%), "Медикаменты; товары и услуги для здоровья" (19%), "Образование" (12%), "Реплики элитных товаров" (6%), "Отдых и путешествия" (6%). Тематика "Медикаменты; товары и услуги для здоровья", которая возглавляла рейтинг с апреля 2007 года, уступила первое место рубрике "Спам для взрослых", вырвавшейся вперед со значительным отрывом в 9%. В этой рубрике подавляющее большинство писем представляет собой русскоязычную рекламу порносайтов. В последнее время рассылка порноспама проводится настолько агрессивно, что он может составлять более половины всех писем, приходящих на адреса, попавшие в спамерские базы. Спам продолжают использовать как инструмент черного PR. Инициаторы рассылок, якобы желая предупредить получателей о ненадежности компрометируемого объекта, пытаются распространить информацию о не угодивших им чем-либо людях или организациях. Начавшись в середине лета, поток подобных посланий не иссякает, что вынуждает еще раз напомнить: доверяя информации в спамовых письмах, человек позволяет совершенно неизвестным людям влиять на собственное мнение. В сентябре спамеры не придумали никаких принципиально новых технических приемов. Чтобы "спрятать" рекламные тексты при контекстной фильтрации они использовали html-теги, "невидимый" текст (белые буквы на белом фоне), а в рассылках с рекламой сайтов для взрослых «рисовали» адреса рекламируемых сайтов с помощью различных символов, написанных через определенное количество пробелов и абзацев. Чтобы привлечь внимание получателей к своим сообщениям и добиться доверия к содержанию письма со стороны пользователей, спамеры активно используют методы социальной инженерии. Особенно активно - при распространении вредоносных программ. В сентябре в одной из рассылок пользователям предлагалось скачать новый антивирус, который якобы рассылался для тестирования на 100 случайно выбранных адресов. В письме содержалась рекомендация отключить антивирусную защиту компьютера перед загрузкой "Antivirus Raptor". На самом деле при попытке скачать новое средство для борьбы с вредоносными объектами на компьютер начинала загружаться вредоносная программа Trojan-PSW.Win32.LdPinch. Еще в одном письме, разосланном от имени соскучившегося по однокашникам бывшего студента, предлагалось посмотреть вложенный в письмо полный список выпускников. Однако вместо перечня экс-студентов вложение содержало вредоносную программу Trojan-Dropper.MSWord.1Table.gm. В сентябре одним из характерных спамерских приемов стала рассылка писем-подделок, имитирующих легитимные сообщения с популярных сетевых ресурсов. Большая часть писем-имитаций рассылалась в ходе фишинг-атак, однако использовали такой прием не только фишеры, но и мошенники, которые в очередной раз пытались выманить у пользователей деньги с помощью платных SMS, отправленных на короткие номера. В некоторых случаях спамеры прибегали к маскировке своих посланий под автоответы почтовых роботов. А письма "для взрослых" часто маскировались под приглашения с сайтов или личные сообщения. Методы социальной инженерии спамеры используют умело, поэтому прежде, чем откликнуться на спамерское предложение, стоит «семь раз отмерить» последствия такого отклика. Источник Изменено 22 октября, 2008 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 15 октября, 2008 Жалоба Поделиться Опубликовано 15 октября, 2008 (изменено) Популярный хакерский сайт работал под контролем ФБР Сайт DarkMarket.ws, популярный среди сетевого криминалитета (и прекративший работу в начале этого месяца), в течение двух лет перед закрытием находился под контролем отдела по борьбе с киберпреступлениями ФБР. Об этом стало известно из документов, оказавшихся в распоряжении немецкой полиции. На сайте кибермошенники могли обзавестись логинами для проникновения в системы электронного банкинга, номерами кредитных карточек, анкетными данными граждан, а также данными, необходимыми для изготовления дубликатов пластиковых карт. Агент ФБР, "курировавший" DarkMarket.ws, в документах значится как Джей Кит Муларски, сотрудник некоммерческой организации National Cyber Forensics Training Alliance (NCFTA), находящейся в Питтсбурге. Он зарегистрировался на сайте под ником Master Splynter и с ноября 2006 года контролировал его деятельность, разрешая преступникам выставлять свои "товары" на продажу. В сентябре Master Splynter заявил, что 4 октября сайт прекратит свою работу. Из документов также следует, что ФБР использовало ресурс для сбора данных о его посетителях, включая IP-адреса и производимые ими действия. Кроме того, к участию в "разведке" была привлечена платежная система E-gold. Стоит отметить, что Джей Кит Муларски чуть было не провалился в конце 2006 года, когда хакер Макс Рей Батлер, взломавший сервер DarkMarket.ws, объявил о том, что Master Splynter заходит на сайт с адреса NCFTA. Однако сообщество ему не поверило - даже после того, как Батлера арестовали за мошенничество с кредитными картами и предали суду. Интересно, что антиспамерская организация SpamHaus до недавнего времени считала Муларски известным спамером из Восточной Европы по имени Павел Камински. В спамерах он ходил и в то время, когда стал администратором DarkMarket.ws. antispy.zx6.ru Изменено 22 октября, 2008 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 23 октября, 2008 Жалоба Поделиться Опубликовано 23 октября, 2008 (изменено) Открыт способ дальнего перехвата данных с клавиатур Исследователи из Высшей федеральной политехнической школы в Лозанне (Ecole Polytechnique Federale de Lausanne) обнаружили возможность перехвата текстов, набираемых на проводной клавиатуре, с расстояния до 20 метров, в том числе через стены. Эксперимент основывался на том, что проводные клавиатуры излучают электромагнитные волны, так как содержат электронные компоненты. Исследователи измерили излучение при нажатии отдельных клавиш, а затем настраивали приемник на определенную частоту и анализировали электромагнитный спектр, пытаясь обнаружить знакомые нажатия. В ходе эксперимента было протестировано 11 различных моделей проводных клавиатур, в том числе PS/2, USB и ноутбучные. Исследователи опробовали четыре метода полного или частичного перехвата данных. Все проверенные клавиатуры оказались уязвимы для как минимум одного из этих методов. Авторы эксперимента отмечают, что британец Маркус Кун (Markus Kuhn) в своей статье, посвященной анализу электромагнитных излучений от электронных приборов уже помещал клавиатуры в "группу риска", однако практических подтверждений этому не было. Сайт исследователей Источник Изменено 23 октября, 2008 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 24 октября, 2008 Жалоба Поделиться Опубликовано 24 октября, 2008 Microsoft закрыла серьезную уязвимость в Windows "Лаборатория Касперского" распространила для пользователей предупреждение о необходимости установки обновления MS08-067 (http://www.microsoft.com/technet/sec.../MS08-067.mspx) для операционной системы Microsoft Windows. Уязвимость, которую исправляет последнее обновление, представляет серьезную угрозу для многочисленных пользователей ПК. Компания Microsoft объявила о выходе внеочередного обновления для операционных систем Microsoft Windows 2000, XP, Vista, Server 2003 и 2008. Для Microsoft Windows 2000, XP и Server 2003 обновление носит критический характер. Необходимо отметить, что факт выхода внеочередного патча сам по себе уникален - последнее подобное обновление было весной 2007 года. В этот раз оно призвано избежать распространения через обнаруженную уязвимость потенциальных вредоносных червей, которые могут быть созданы злоумышленниками в ближайшие дни, а также исключить риск хакерских атак, связанных с уязвимостью. По сведениям "Лаборатории Касперского", эта брешь схожа с критическими уязвимостями Microsoft Windows, обнаруженными в 2003-2004 гг., приведшими к массовым вирусным эпидемиям таких опасных сетевых червей, как LoveSan, Sasser и Rbot. Уже известно, что существует вредоносная программа Trojan-Spy.Win32.Gimmiv.a, которая распространяется благодаря описанной уязвимости. Этот троянец был добавлен в антивирусные базы "Лаборатории Касперского" в ночь на 24 октября, и представляет собой программу-шпиона, нацеленную на кражу паролей пользователей. По данным экспертов "Лаборатории Касперского", оперативно осуществивших анализ данной троянской программы, она имеет китайское происхождение. Кроме того, обнаруженная уязвимость в операционной системе Microsoft Windows позволяет злоумышленникам удаленно получать полный контроль над компьютером пользователя. Источник Ответный удар Microsoft 20 октября Microsoft выпустила два новых патча – специально для китайских товарищей. Патчи эти загружаются на компьютеры стандартно, с помощью системы автоматических обновлений, и представляют собой техническое средство борьбы с пиратами. Первый патч пытается проверить, не пиратская ли копия операционной системы установлена на компьютере. При обнаружении пиратской копии Windows XP ее пользователь увидит перед собой вместо привычного рабочего стола черное пространство. Смена фона рабочего стола поможет решить проблему, но через каждый новый час черный экран будет возникать заново. Второе антипиратское обновление защищает от пиратов Microsoft Office. Благодаря ему на панели инструментов будет появляться дополнительная кнопка. Пользователь обязательно нажмет ее – из любопытства. И попадет на веб-страницу с информацией о том, как ему проще всего перейти на лицензионное ПО. Такая вот рекламная акция. "У Microsoft в данный момент нет планов запуска этой программы в России, так как на российском рынке уровень осведомленности о пиратстве ПО, как о проблеме, и без того достаточно высок. Положительная динамика снижения уровня пиратства в нашей стране свидетельствует о том, что все больше и больше пользователей со временем делает осознанный выбор в пользу лицензионного ПО", - говорит руководителя отдела по продвижению лицензионного ПО ООО "Майкрософт Рус" Денис Гуз. Подробнее Источник Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 6 ноября, 2008 Автор Жалоба Поделиться Опубликовано 6 ноября, 2008 Уволеный админ-наркоман жестоко отомстил работодателю IT-менеджер одной из американских компаний, являющийся по совместительству наркоманом-кокаинистом, после увольнения запустил спамеров на корпоративный сервер бывших работодателей. За такие проделки хулигана приговорили к лишению свободы сроком на один год и один день. Стивен Барнс, житель штата Калифорния, в период с сентября 2002 по апрель 2003 года работал IT-менеджером в вещательной компании Blue Falcon Networks (в настоящий момент - Akimbo Systems). После того, как из компании его уволили, он совершил две атаки на её сервера - 30 сентября и 1 октября 2003 года. Во время первой атаки Барнс поменял почтовый сервер BFN на открытый сервер, дав возможность всем желающим интернет-пользователям обмениваться через него электронными письмами. Очень скоро сервером компании стали пользоваться спамеры, и почтовый трафик компании был помещен в черный список, от чего сотрудники не могли общаться как между собой, так и с клиентами. Кроме того, Барнс удалил базу данных электронной корреспонденции компании. На этом злоумышленные действия бывшего работника не закончились, и атаки возобновились. В ходе второй атаки он поменял доменные имена электронного сервера, заблокировав таким образом возможность получать письма. Затем хакер снова стер базу данных. По словам самого преступника, к таким действиям его подтолкнуло обращение с ним бывших коллег: один из работников Blue Falcon приехал к нему вместе со своим сыном, и, угрожая бейсбольной битой, запретил двигаться, вынес все его компьютеры (включая два персональных), и потребовал подписать документ об увольнении. Источник Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 28 ноября, 2008 Автор Жалоба Поделиться Опубликовано 28 ноября, 2008 Ботнет Srizbi возобновил работу Ботнет Srizbi, ответственный за рассылку около половины мирового спама, снова заработал. Рассылка спама с компьютеров, входящих в Srizbi, прекратилась две недели назад. Ботнет Srizbi контролировался спамерами через серверы хостинг-провайдера McColo. После того, как последний был отключен от интернета, компьютеры, входящие в Srizbi, не смогли получить новые инструкции по отправке спама. Эксперты из компании FireEye обнаружили, что код Srizbi был модернизирован спамерами. Теперь компьютеры, входящие в этот ботнет, обращаются за инструкциями не к определенным серверам, а к случайным доменным адресам, которые генерируются специальным алгоритмом. С них боты получают дальнейшие инструкции по рассылке спама. По данным FireEye, спамеры покупают у регистраторов из России случайно сгенерированные компьютером доменные имена, например, auaopagr.com. Новые серверы, контролирующие работу Srizbi, находятся в Эстонии и Германии. Когда ботнет Srizbi управлялся с серверов хостинг-провайдера McColo, он объединял 450 тысяч компьютеров. Сколько из них получили новые инструкции и вошли в обновленный ботнет Srizbi, пока неизвестно. Источник Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 3 декабря, 2008 Автор Жалоба Поделиться Опубликовано 3 декабря, 2008 ЛК: Рейтинг вредоносных программ за ноябрь 2008 Компания «Лаборатория Касперского» опубликовала рейтинг вредоносных программ за ноябрь 2008 г. По итогам работы Kaspersky Security Network (KSN) в прошлом месяце были сформированы две вирусные двадцатки. Первая таблица рейтинга сформирована на основе данных, собранных в ходе работы антивирусного продукта «Лаборатории Касперского» версии 2009. В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей: 1. 3 inf:Virus.Win32.Sality.aa 2. 0 inf:Packed.Win32.Krap.b 3. New inf:Trojan-Downloader.WMA.GetCodec.c 4. -1 inf:Worm.Win32.AutoRun.dui 5. 3 inf:Trojan-Downloader.Win32.VB.eql 6. New inf:Worm.Win32.AutoRun.rja 7. 0 inf:Packed.Win32.Black.a 8. New inf:Exploit.JS.RealPlr.nn 9. New inf:Trojan-Downloader.JS.Tabletka.a 10. -5 inf:Trojan-Downloader.JS.IstBar.cx 11. -1 inf:Trojan.Win32.Agent.abt 12. New inf:Trojan-Downloader.Win32.Agent.anje 13. 2 inf:Virus.Win32.VB.bu 14. New inf:Worm.Win32.Mabezat.b 15. New inf:Worm.Win32.AutoRun.eee 16. 0 inf:Email-Worm.Win32.Brontok.q 17. -8 inf:Virus.Win32.Alman.b 18. -7 inf:Worm.VBS.Autorun.r 19. New inf:Trojan-Downloader.JS.Iframe.yp 20. New inf:Trojan.Win32.Autoit.ci В ноябре двадцатку возглавил вирус Sality.aa. Число зараженных им компьютеров резко возросло за последние два месяца, новые версии кода появляются несколько раз в неделю. Роль нестандартного мультимедийного трояна Wimad.n в ноябре исполняет троян GetCodec.c, также использующий документированную, но малоизвестную возможность формата ASF. В связи с тем, что в наши дни мультимедиа становится неотъемлемой частью электронного мира, есть все основания ожидать появления других образцов подобных зловредов. В двадцатке появились два новых скриптовых загрузчика - Trojan-Downloader.JS.Tabletka.a и Trojan-Downloader.JS.Iframe.yp, а также три червя, два из которых являются представителями одного из самых динамично пополняющихся семейств - Worm.Win32.Autorun. Учитывая легкий и эффективный способ размножения Autorun-червей, количество зараженных ими машин в перспективе будет только увеличиваться. Что касается третьего нового червя - Mabezat.b, - то он стал лидером второй двадцатки. В целом, доля троянских программ упала еще на 10%, зато доля саморазмножающихся программ выросла с 30 до 45%, что является весьма тревожным фактом. Всего в ноябре на компьютерах пользователей было зафиксировано 45690 уникальных вредоносных, рекламных и потенциально опасных программ. Таким образом, наблюдается стабильный рост числа угроз в среде «in-the-wild». В этом месяце обнаружено 6,5 тыс. новых образцов. Вторая таблица рейтинга представляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. В основном сюда попадают различные вредоносные программы, способные заражать файлы: 1. 0 inf:Worm.Win32.Mabezat.b 2. 1 inf:Virus.Win32.Sality.aa 3. 1 inf:Net-Worm.Win32.Nimda 4. -2 inf:Virus.Win32.Xorer.du 5. 1 inf:Virus.Win32.Parite.b 6. 1 inf:Virus.Win32.Virut.n 7. -2 inf:Virus.Win32.Alman.b 8. 0 inf:Virus.Win32.Sality.z 9. 1 inf:Virus.Win32.Small.l 10. 2 inf:Email-Worm.Win32.Runouce.b 11. -2 inf:Virus.Win32.Virut.q 12. 3 inf:Virus.Win32.Parite.a 13. 4 inf:Worm.Win32.Fujack.k 14. -1 inf:Worm.Win32.Otwycal.g 15. -1 inf:Virus.Win32.Hidrag.a 16. New inf:P2P-Worm.Win32.Bacteraloh.h 17. Return inf:Worm.VBS.Headtail.a 18. -2 inf:Trojan.Win32.Obfuscated.gen 19. 1 inf:Virus.Win32.Neshta.a 20. -2 inf:Trojan-Downloader.WMA.GetCodec.b За месяц в этом списке произошло совсем мало изменений – один новичок и один вернувшийся в двадцатку. Новичок второго рейтинга – червь Bacteraloh.h – был обнаружен аналитиками «Лаборатории Касперского» еще в январе 2007 г. Примечательно, что данный зловред является составной частью некоторых модификаций вируса Sality. Это еще один факт, свидетельствующий о повышенной активности этого семейства. Выпавший из рейтинга в сентябре Worm.VBS.Headtail.a вновь вернулся двадцатку. В последние месяцы этот червь неоднократно появлялся в рейтинге и исчезал из него, и эксперты «Лаборатории Касперского» предполагают, что его очередное возвращение не пройдет бесследно. Источник Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 8 декабря, 2008 Автор Жалоба Поделиться Опубликовано 8 декабря, 2008 (изменено) Очередная угроза: ПО для подмены DHCP серверов и смены настроек DNS Symantec опубликовал технические подробности интересного образца хорошо известного вредоносного ПО DNSChanger. DNSChanger активно распространяется некоторое время. Он обратил на себя внимание, когда начал атаковать ADSL модемы. Как следует из названия – это программное обеспечение, которое меняет настройки для DNS серверов. Это приложение эволюционировало со смены настроек для DNS серверов в операционных системах (Windows и Mac) до смены настроек DNS на ADSL модемах/маршрутизатора. Вредоносное ПО, описанное Symantec – следующий шаг в развитии DNSChanger: установка поддельного DHCP сервера в сети. Это ПО устанавливает на системе легитимный драйвер NDISProt, что позволяет отправку и прием Ethernet фреймов. После установки драйвера, злонамеренное ПО эмулирует DHCP сервер. Приложение прослушивает сетевой трафик и при получении DHCP Discoverу пакета, отправляет свой DHCP Offer пакет. Предложенная аренда подобным DHCP сервером содержит вредоносные DNS сервера: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\"NextInstance" = "1" - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\"Service" = "Ndisprot" - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\"Legacy" = "1" - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\"ConfigFlags" = "0" - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\"Class" = "LegacyDriver" - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}" - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\"DeviceDesc" = "ArcNet NDIS Protocol Driver" - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\Control\"*NewlyCreated*" = "0" - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\Control\"ActiveService" = "Ndisprot" - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\Enum\"Count" = "1" - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\Enum\"NextInstance" = "1" - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\TimestampMode" = "0" - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\"Type" = "1" - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\"Start" = "3" - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\"ErrorControl" = "1" Троян создает новую службу на системе со следующими характеристиками: Имя службы: \??\C:\WINDOWS\system32\drivers\Ndisprot.sys Отображаемое имя: ArcNet NDIS Protocol Driver Тип запуска: Автоматический Источник Изменено 8 декабря, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Downloader Опубликовано 12 декабря, 2008 Жалоба Поделиться Опубликовано 12 декабря, 2008 Надеюсь в тему. Если нет, ткните пальцем куда надо, пожалуйста. Источник "Лаборатория Касперского", ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает об итогах ретроспективного тестирования, проведенного независимой исследовательской лабораторией AV-Сomparatives (Австрия). Проактивные технологии «Лаборатории Касперского» продемонстрировали свой лучший результат обнаружения вредоносных программ за всю историю ретроспективных тестов AV-Сomparatives, по уровню детектирования превзойдя 14 из 15 участников тестирования. По уровню детектирования вредоносного кода Антивирус Касперского 2009 оказался лучше абсолютного большинства решений компаний-производителей антивирусного ПО, таких как Symantec (44%), McAfee (29%), ESET (51%), F-Secure (9%), Sophos (26%) и BitDefender (46%). Используя только эвристические технологии, Антивирус Касперского 2009 обнаружил 71% из более чем 11 000 новых вредоносных программ, появившихся в ходе первой недели тестирования, а также показал 60% результат по итогам четырех недель тестирования, в котором было использовано около 46 000 вредоносных программ. Напомним, что в ноябрьском тестировании AV-comparatives не проводилась проверка на наличие ложных срабатываний, поэтому для оценки данного показателя специалисты экспертной лаборатории использовали результаты предыдущего теста (август 2008). И хотя эти данные не имели отношения к оценке эвристических и проактивных технологий в рамках текущего теста, по совокупности обоих показателей продукту «Лаборатории Касперского» был присвоен рейтинг Advanced. «Результаты этого теста показывают, что даже если пользователь месяц не обновлял антивирусные базы продукта и отключил большинство защитных функций, Антивирус Касперского, тем не менее, будет способен обнаружить как минимум 60% всех вредоносных программ. При этом следует учитывать, что в исследовании AV-Comparatives не тестировался новейший компонент защиты - уникальный модуль контроля приложений. Важно отметить, что уровень безопасности в реальных условиях, когда работают все компоненты комплексной многослойной защиты продуктов «Лаборатории Касперского», гораздо выше. Это позволяет обеспечить практически 100% защиты от современных компьютерных угроз», – комментирует Николай Гребенников, директор департамента исследований и разработки «Лаборатории Касперского». Независимые тесты, в том числе, и AV-Comparatives, наглядно демонстрируют тенденцию последних нескольких лет: результаты проактивных технологии продуктов «Лаборатории Касперского» становятся лучше от теста к тесту на общем фоне снижающегося уровня аналогичных показателей продуктов ряда конкурентов. «Быстрое время реакции на появление новых угроз и высокий уровень сигнатурного детектирования всегда были сильной стороной решений, предлагаемых «Лабораторией Касперского». В 2008 году мы усовершенствовали компоненты эвристического и поведенческого детектирования, что позволило компании совершить фантастический рывок в области борьбы с новыми угрозами», - добавил Николай Гребенников. Ретроспективные тесты регулярно проводятся экспертами антивирусного ПО, в том числе AV-comparatives, одной из наиболее авторитетных независимых исследовательских лабораторий. Эффективность данного метода проверяется на вирусах, появившихся в течение одного месяца, при этом тестируемый антивирус использует базу сигнатур, актуальную на начало месяца. Таким образом, программе приходится противостоять угрозам, о существовании которых она не знает. Ознакомиться с полной версией отчета по итогам ноябрьского тестирования проактивных технологий AV-comparatives можно на официальном сайте организации. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 декабря, 2008 Автор Жалоба Поделиться Опубликовано 17 декабря, 2008 (изменено) «Доктор Веб»: Обзор вирусной активности в 2008 году Компания «Доктор Веб» подвела итоги анализа вирусной активности в Интернете в уходящем году. Согласно представленным данным, число вредоносных программ в общем объеме просканированных файлов на компьютерах интернет-пользователей за год выросло в два раза. В то же время объем вредоносных писем в общем почтовом трафике к концу года значительно уменьшился в связи с активным противодействием спам-хостерам. Основным инструментом для передачи вирусов были почтовые сообщения, специально созданные сайты, а также съёмные диски. В 2008 году также участились случаи фишинга и SMS-мошенничества. Статистика распространения различных вредоносных программ в 2008 году С начала 2008 года процент вредоносных программ в общем количестве просканированных объектов постоянно возрастал и достиг в апреле отметки, превышающей в 4 раза уровень начала года. Такая ситуация сохранилась до июля, после чего доля вредоносных файлов сократилась вдвое и составила к августу около 0,01% от числа проверенных объектов. До конца года данное процентное соотношение практически не менялось. Таким образом, на данный момент каждый 10 000-ый просканированный файл является инфицированным. В течение 2008 года содержание вредоносных программ среди всех проверяемых почтовых сообщений находилось на уровне 0,2-0,25 % (каждое 500-ое письмо содержало в себе вредоносное вложение или вредоносный скрипт). К концу года в связи с жесткими мерами, применяемыми в отношении спам-хостеров, уровень содержания вредоносных сообщений в почтовом трафике снизился до 0,02% (т.е. в настоящий момент каждое 5 000-ое сканируемое письмо содержит в себе вредоносный код). «Громкие» вирусы В уходящем году наиболее заметными вредоносными программами были BackDoor.MaosBoot, Win32.Ntldrbot (Rustock.C) и различные модификации Trojan.Encoder. BackDoor.MaosBoot запомнился тем, что прописывает себя в загрузочный сектор жёсткого диска и использует руткит-технологии для своего сокрытия в инфицированной системе. С января по март 2008 года были обнаружены несколько различных модификаций данного вируса. Win32.Ntldrbot отличился тем, что использует одновременно множество методов своего сокрытия в системе, что позволяло оставаться ему незамеченным на протяжении нескольких месяцев. В частности, некоторые антивирусные разработчики считали этот вирус выдуманным и несуществующим. Win32.Ntldrbot имеет мощный полиморфный протектор, реализованный в виде драйвера уровня ядра, а также функцию самозащиты. Кроме того, он противодействует отладке собственного кода, работает как файловый вирус, фильтрует обращения к заражённому файлу, внедряется в системные процессы, после чего начинает рассылку спама. Разработчики компании «Доктор Веб» оперативно дорабатывали необходимые компоненты для эффективного противодействия BackDoor.MaosBoot и Win32.Ntldrbot, в результате чего Dr.Web оказался первым антивирусом, способным справляться с этими вредоносными программами штатными средствами без использования дополнительных утилит. Известность в текущем году приобрел и троянец, получивший по классификации Dr.Web название Trojan.Encoder. При попадании в систему он шифрует документы пользователя, после чего предлагает заплатить автору вируса за утилиту дешифровки. В 2008 году распространялись сразу несколько модификаций данного троянца, отличающихся требуемыми суммами денег (в одном случае требовалось заплатить 10$, в другом — 89$), визуальными проявлениями в системе, а также длиной ключа, который применялся для шифрования файлов. Вирусные аналитики компании «Доктор Веб» оперативно добавляли новые модификации этого троянца в вирусную базу, а также разработали бесплатную утилиту, позволяющую расшифровать зашифрованные файлы. Данная утилита доступна для скачивания на официальном сайте компании «Доктор Веб». Вредоносные почтовые рассылки Наиболее заметными почтовыми рассылками 2008-го года, связанными с распространением вредоносных программ, стали рассылки различных модификаций Trojan.DownLoad.4419 и Trojan.PWS.GoldSpy. Для распространения Trojan.DownLoad.4419 использовались письма со ссылками на якобы порно-ролики. При открытии по ссылке страницы браузера, предлагалось скачать и установить «кодек» для просмотра ролика. В этом «кодеке» и содержался вредоносный код. Авторы Trojan.DownLoad.4419 практически при каждой рассылке модифицировали исполняемый файл. Не намного реже менялся упаковщик, который применялся к исполняемому файлу, что усложняло определение данного троянца антивирусными программами. Вирусные аналитики компании «Доктор Веб» оперативно добавляли записи Trojan.Packed, позволявшие определять множество различных модификаций Trojan.DownLoad.4419, в том числе неизвестные на момент обнаружения. Для распространения различных модификаций Trojan.PWS.GoldSpy использовались более разнообразные методы – данный троянец распространялся как в виде электронных открыток, так и в виде писем, направленных на устрашение получателей. В частности, в них говорилось о блокировании интернет-аккаунта из-за нелегальных действий пользователя в Интернете. Благодаря широкому распространению Trojan.PWS.GoldSpy в течение последних месяцев, в почтовом трафике значительно возрос процент троянцев, в функционал которых входит воровство пользовательских паролей. Социальные сети Популярность российских социальных сетей за 2008 год резко возросла, что привлекло внимание вирусописателей. В личных сообщениях и страницах профилей выдуманных пользователей содержались ссылки на сайты с разнообразными вредоносными программами. Также были замечены рассылки якобы от имени администрации социальных сетей, которые на деле никакого отношения к ним не имели. Ссылки, указанные в них, вели обычно на подставные сайты, распространяющие вредоносный код. Для снижения риска заражения, владельцы социальных сетей в последнее время применяют различные инструменты борьбы с подобными угрозами. В некоторых социальных сетях ссылки, публикуемые, в личных сообщениях, отображаются простым текстом. В результате этого перейти по ссылки можно только в случае ручного копирования адреса в соответствующую строку браузера. Другой вариант - при щелчке по внешней ссылке, присутствующей в сообщении, осуществляется переход на страницу, которая объясняет опасность, которую может таить подобная ссылка. Впрочем, эти меры пока не могут полностью локализовать проблему распространения вредоносных программ через социальные сети. Компания «Доктор Веб» рекомендует многочисленным пользователям социальных сетей применять лицензионные антивирусные продукты, либо бесплатную утилиту Dr.Web LinkChecker, позволяющую проверить содержимое ссылки до её открытия. ICQ как инструмент рассылки вредоносных сообщений В течение 2008 года возросло число вредоносных рассылок, осуществляющихся посредством ICQ – программы для мгновенного обмена сообщениями. Для распространения спам-сообщений и ссылок на вредоносные программы использовались как специально заведённые аккаунты, так и аккаунты, которым доверяет пользователь. Последнее возможно, когда компьютер пользователя, использующего ICQ-клиент, заражается вирусом, способным распространять сообщения по его контактному листу. В этом случае пользователь может узнать о том, что его ICQ-клиент рассылает спам, от другого пользователя, который получил это спам-сообщение. Съёмные диски Наряду с почтовыми рассылками, широкое распространение съёмных устройств привело к тому, что именно они стали одним из основных инструментов распространения вредоносных программ, в частности и для корпоративных пользователей. В базу Dr.Web они, как правило, заносятся под названием Win32.HLLW.Autoruner, т.к. для запуска вредоносных файлов используется механизм автозапуска программ, расположенных на съёмных устройствах, встроенный в операционные системы семейства Windows. Широкое распространение вирусов, которые переносятся на съёмных устройствах, вынуждает руководство многих предприятий и госучреждений применять радикальные меры противодействия им – от использования специализированного ПО, призванного разграничивать доступ к съёмным устройствам различных групп сотрудников, до введения полного запрета на использование съёмных устройств. Win32.Sector Данный файловый вирус выделен в отдельный раздел, так как за 2008 год он причинил пользователям Интернета множество хлопот. В арсенал Win32.Sector входит заражение большинства исполняемых файлов, внедрение в системные процессы, загрузка и установка других вредоносных программ из Интернета, отключение компонента UAC, входящего в состав Windows Vista. SMS-мошенничество В связи с тем, что распространять вредоносные программы становится сложнее, интернет-мошенники всё чаще применяют более простые и, одновременно, более эффективные методы получения прибыли. Один из них — рассылка сообщений с предложением отправить платное SMS. Для того, чтобы убедить пользователя сделать это, в ход идут различные приёмы — от уговоров от якобы его друзей до сообщений о бесплатных или очень выгодных услугах и рекламных акциях известных компаний. Рассылки подобных сообщений осуществляются посредством ICQ, социальных сетей, электронной почты, а также с помощью установки плагина в интернет-бразуере, для удаления которого предлагается отправить всё то же SMS. Для данного типа плагинов вирусные аналитики компании «Доктор Веб» разработали специальную запись Trojan.Blackmailer.origin, которая позволяет обнаруживать даже их неизвестные варианты. Стоимость каждой такой SMS ки зачастую достигает нескольких сотен рублей, хотя в исходном сообщении речь может идти о гораздо меньшей сумме. Фишинг В последние месяцы также активизировались фишинг-мошенники. Они рассылают сообщения от имени известных финансовых структур (в частности банков) и, с помощью различных ухищрений, завлекают пользователей перейти по ссылке, указанной в письме. Она в свою очередь приводит их на подставной интернет-ресурс, похожий на официальный сайт компании, клиентом которой они являются. На подставном сайте пользователям под различным предлогом предлагается ввести свои приватные данные – параметры доступа к банковскому счёту, параметры аккаунта платного интернет-сервиса и пр. В последнее время фишинг-атакам подвергались клиенты JPMorgan Chase Bank, RBC Royal Bank, Google AdWords, PayPal, eBay и др. В 2009 году можно ожидать продолжение роста распространения вредоносных программ через каналы, альтернативные почтовым рассылкам — системы мгновенного обмена сообщениями, съёмные устройства, социальные сети и пр. Авторы вредоносных программ будут совершенствовать свои методики, в частности вероятно появление всё более сложных полиморфных упаковщиков и других способов затруднения анализа вредоносных файлов. Как и прежде, злоумышленники будут эксплуатировать уязвимости операционных систем и другого популярного ПО. Также прогнозируется постепенное увеличение содержания вредоносных программ, равно как и спама, в почтовом трафике в течение первых нескольких месяцев 2009 года. В связи с тем, что антивирусные компании также постоянно совершенствуют технологии обнаружения и устранения последствий заражений вредоносными программами, некоторые кибер-преступники вынуждены менять свой род деятельности. К примеру, те, кто ранее ограничивался распространением писем с содержащимися в них ссылками на сайты (в частности с Trojan.DownLoad.4419), переходят на рассылку писем со ссылками на рекламные сайты. Источник Изменено 17 декабря, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 декабря, 2008 Автор Жалоба Поделиться Опубликовано 17 декабря, 2008 (изменено) Microsoft выпустит внеплановый патч для "дыры" в Internet Explorer Сегодня, 17 декабря, корпорация Microsoft выпустит внеплановый патч для критически опасной «дыры» в браузере Internet explorer. Уязвимость, о которой идет речь, была обнаружена около недели назад. Данная уязвимость может использоваться злоумышленниками с целью несанкционированного проникновения на удаленный компьютер и выполнения на нем произвольного программного кода. Для организации атаки необходимо заманить пользователя на сформированный специальным образом веб-сайт. Данной проблеме подвержены все версии Internet Explorer, причем злоумышленники по всему миру уже активно эксплуатируют уязвимость. По некоторым данным, на сегодня с помощью «дыры» в IE взломано около двух миллионов компьютеров. Вредоносный код встроен уже в тысячи веб-страниц. Пользователи с активированной системой Windows Update получат обновление автоматически. Кроме того, «заплатку» для браузера можно будет загрузить вручную с веб-сайта корпорации Microsoft. Источник В данный момент доступно обновление KB960714 Изменено 17 декабря, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 31 декабря, 2008 Жалоба Поделиться Опубликовано 31 декабря, 2008 CastleCops, добровольная организация, занимавшаяся вопросами безопасности, посчитала свое дело законченным. В течение шести лет в CastleCops боролись с сетевым мошенничеством, проводя расследования, связанные с вредоносным ПО и фишинговыми кампаниями, а также акции по прекращению деятельности киберпреступников. Проводились и добровольные обучающие программы, а также предоставлялся ряд других услуг, включая помощь в очистке компьютеров от вирусов для рядовых пользователей. С момента основания организации в 2002 году ей удалось наладить тесное взаимодействие с другими членами антивирусного сообщества и органами правопорядка, чтобы вместе делать Интернет еще более чистым и безопасным местом. В ходе работы CastleCops часто сталкивалась с дефицитом финансирования, а также с нападениями киберпреступников. Например, сайту CastleCops приходилось иметь дело с DoS-атаками и попытками дискредитации ресурса. В течение трех лет главным в CastleCops был Пол Лаудански, однако впоследствии он перешел на постоянную работу в Microsoft. Это стало началом конца ресурса, и его кончина была вполне предсказуемой. В CastleCops сообщили, что все оставшиеся пожертвования, перечисленные через систему PalPal, будут возвращены обратно. А вот вернуть пожертвования, сделанные через чеки, не так просто и они будут перенаправлены в Internet Storm Centre к середине марта. Источник На главной странице Castlecops уже больше недели висит объявление о закрытии. Я еще в прошлую субботу его заметил, но тогда не вчитывался в текст, решил, что речь идет о временных технических проблемах. Ссылка на комментарий Поделиться на другие сайты Поделиться
THE OLD VERMIN Опубликовано 16 января, 2009 Жалоба Поделиться Опубликовано 16 января, 2009 Новый интернет-червь заразил 3,5 миллиона компьютеров Новый интернет-червь Downadup, известный также как Conficker, передал под контроль неизвестных хакеров 3,5 миллиона зараженных компьютеров, говорится на сайте компании F-Secure, занимающейся IT-безопасностью и разработкой антивирусов. Оценка в 3,5 миллиона компьютеров является, по словам аналитиков F-Secure, консервативной. С 13 по 14 января число зараженных компьютеров выросло более чем на миллион. Для сравнения, именно миллион машин было в знаменитом ботнете Storm во время его расцвета. Россия занимает третье место по числу зараженных IP после Китая и Бразилии. За каждым IP может скрываться множество компьютеров. Для проникновения на компьютер пользователя червю нужно быть загруженным с сайта злоумышленника. Обычно в качестве площадки используется определенный сайт, который борцам с вредоносными программами удается закрыть. Отличие Downadup в том, что он ежедневно создает множество вариантов новых доменов. На следующий день регистрируется только один из вариантов. F-Secure пытается опередить злоумышленников, регистрируя возможные домены заранее. Как отмечает в своем блоге русскоязычный сотрудник F-Secure, Downadup использует уязвимость: http://www.microsoft.com/technet/security/...n/MS08-067.mspx в реализации протокола RPC Microsoft. Проверить, заражен ли компьютер, можно, попытавшись зайти на сайт F-Secure: http://www.f-secure.ru/ или Лаборатории Касперского: http://kaspersky.ru/ Червь их блокирует, и на зараженных компьютерах они не открываются. Убрать червя с компьютера можно, скачав специальную программу: Removal Tools: http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 26 января, 2009 Автор Жалоба Поделиться Опубликовано 26 января, 2009 ЛК назвала главные зловреды декабря Ведущий антивирусный аналитик Лаборатории Касперского Юрий Машевский представил ежемесячный отчет самых-самых угроз в разных категориях, выявив "победителей" по итогам декабря. * Самый жадный зловред по отношению к банкам - Trojan.Win32.Qhost.gn. Перенаправляет на фишинговый сайт клиентов 39 банков * Самый жадный зловред по отношению к системам электронных денег и пластиковым картам - Trojan.Win32.Agent.eii. Атакует пользователей трех систем электронных денег и четырех систем пластиковых карт * Самый упакованный зловред - Trojan-PSW.Win32.LdPinch.auv – десятикратно упакован разными программами-упаковщиками * Самый маленький зловред - Trojan.BAT.Shutdown.g – 20 байт. Перезагружает персональный компьютер пользователя * Самый большой зловред - Trojan-Banker.Win32.Banbra.bby – 27 МБ * Самый популярный используемый эксплойт на web'е - Эксплойты для SWF-уязвимости. На долю SWF-эксплойтов пришлось 12% вредоносного контента за месяц *Самый распространенный зловред на вебе - Trojan-Downloader.HTML.IFrame.wf. На его долю пришлось почти 8% вредоносного трафика *Самое многочисленное семейство среди троянских программ - Backdoor.Win32.Hupigon – 1499 ранее не встречавшихся модификаций *Самое многочисленное семейство среди вирусов и червей - Worm.Win32.AutoRun с его – 312 новых модификации Источник Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения