"Интересности"

[akoK]

Рейтинг вредоносных программ, январь 2009

По итогам работы Kaspersky Security Network (KSN) в январе 2009 года мы сформировали две вирусные двадцатки.

Напомним, что первая таблица рейтинга вредоносных программ формируется на основе данных, собранных в ходе работы нашего антивирусного продукта версии 2009. В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.

За первый месяц нового года в составе первой двадцатки не произошло серьезных изменений.

Появившиеся в декабрьском рейтинге Trojan.HTML.Agent.ai и Trojan-Downloader.JS.Agent.czm в этом месяце нашли себе замену в виде Exploit.JS.Agent.aak. Исчезнувшего из рейтинга червя AutoRun.eee заменяет теперь Worm.Win32.AutoRun.vnq. Это вполне закономерно, так как частые смены модификаций характерны для этих классов зловредных программ.

Выбывший из рейтинга в ноябре Trojan-Downloader.WMA.Wimad.n вернулся в игру. Таким образом, в рейтинге мы имеем сразу три нестандартных загрузчика, что свидетельствует о массовом распространении такого типа троянских программ и доверии пользователей файлам мультимедиа. Более того, описанная в прошлом выпуске схема распространения зловредных программ с использованием пиринговой сети и мультимедийных загрузчиков оказалась весьма эффективной. Это подтверждается скачком Trojan-Downloader.WMA.GetCodec.r сразу на 10 пунктов вверх.

Помимо стабильно лидирующей версии .aa вируса Sality, активизировалась его версия .z, что делает Sality одним из самых распространенных и опасных семейств последнего времени.

В рейтинге пристутсвует также представитель яркого и нашумевшего семейства сетевых червей Kido, использующего критическую уязвимость в Microsoft Windows. Нынешняя эпидемия и попадание представителя этого семейства в рейтинг были ожидаемы, учитывая способ распространения и отличные количественные и динамические показатели этого червя, а также число потенциально уязвимых компьютеров.

Все вредоносные, рекламные и потенциально опасные программы, представленные в первом рейтинге, можно сгруппировать по основным классам детектируемых нами угроз. Саморазмножающиеся программы вновь преобладают над троянскими, что согласуется с тенденцией к увеличению популярности первых.

Всего в январе на компьютерах пользователей было зафиксировано 46014 уникальных вредоносных, рекламных и потенциально опасных программ. Таким образом, можно отметить, что праздничный период не повлек снижения числа угроз в среде «in-the-wild», а даже наоборот: в январе их стало на 7800 образцов больше, чем мы зафиксировали в декабре (38190).

Вторая таблица рейтинга представляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. В основном сюда попадают различные вредоносные программы, способные заражать файлы.

В первой двадцатке новым представителем Virus.Win32.Sality стал Sality.z, а здесь мы видим появление Sality.y, что в очередной раз доказывает высокую активность данного семейства саморазмножающихся программ.

Интересный новичок второго рейтинга – P2P-Worm.Win32.Deecee.a. Этот червь распространяется через пиринговую сеть DC++, а в качестве полезной нагрузки несет в себе способность загружать зловредные файлы. В состав второй двадцатки он попал потому, что при установке многократно копирует себя - то есть берет не столько числом зараженных машин, сколько числом копий на каждом инфицированном компьютере. После установки червь открывает общий доступ к своим вредоносным копиям. Имена распространяющихся таким образом исполняемых файлов имеют следующую структуру: сначала префикс, например «(CRACK)», «(PATCH)», затем имена различных популярных программных продуктов: «ADOBE ILLUSTRATOR (All Versions)», «GTA SAN ANDREAS ACTION 1 DVD» и тому подобные.

Вернувшийся в ноябре Worm.VBS.Headtail.a снова выпал из рейтинга, что подтверждает гипотезу о нестабильности его поведения.

Источник

[ТроПа]

Компьютерная система ЦИК подверглась массированной хакерской атаке

Председатель ЦИК РФ Владимир Чуров сообщил, что более 270 тысяч хакерских атак зафиксировано в пяти субъектах РФ, где проходили экспериментальные электронные опросы избирателей. "В том числе эти атаки были и из-за рубежа, но никаких нарушений в работе системы не было", - сказал Чуров. По его словам, 21 случай хакерских атак представлялся потенциально опасным. При этом зафиксировано 746 атак на местные серверы, из них 18 - потенциально опасных. Одна атака была совершена на мобильную сеть.

Кроме того, Чуров сообщил, что в сервере Центризбиркома произошел сбой, касающийся результатов голосования по сотовому телефону в Радужном Владимирской области. "Несовершенство программного обеспечения ЦИК РФ привело к циклическому изменению названий партий в протоколе путем сдвига", - сказал он, пояснив, что в таблице результатов опроса названия партий оказались сдвинутыми на одну строку. "Путем сравнения с данными сервера в Радужном, ошибка была исправлена", - отметил глава ЦИК.

Эксперимент по электронному голосованию прошел 1 марта в пяти регионах России: Владимирской, Волгоградской, Вологодской и Томской областях, а также в Ханты-Мансийском автономном округе. Помимо традиционной формы голосования, граждане могли выразить свое мнение при помощи специального компакт-диска, мобильных телефонов или социальных карт.

Источник

[Downloader]

Результаты теста проактивной антивирусной защиты (март 2009)

Основные результаты тестирования (детектирование - ложные срабатывания)

Gold Proactive Protection Award

Kaspersky Anti-Virus 2009 (61% - 0.01%)

Eset Nod32 Anti-Virus 3.0 (61% - 0.02%)

BitDefender Antivirus 2009 (60% - 0.04%)

Silver Proactive Protection Award

Avira AntiVir Premium 8.2 (71% - 0.13%)

Dr.Web 5.0 (61% - 0.2%)

AVG Anti-Virus 8.0 (58% - 0.02%)

Avast! Professional Edition 4.8 (53% - 0.03%)

Norton Anti-Virus 2009 (52% - 0%)

VBA32 Antivirus 3.12 (45% - 0.07%)

F-Secure Anti-Virus 2009 (44% - 0.03%)

Bronze Proactive Protection Award

Panda Antivirus 2009 (38% - 0.02%)

Trend Micro Internet Security 2009 (37% - 0.04%)

Agnitum Outpost Anti-Virus Pro 2009 (33% - 0.07%)

Тест провален

Sophos Anti-Virus 7.0 (61% - 2.24%)

[ТроПа]

Новый троянец атакует пользователей MS Excel

Антивирусная компания Eset сообщила об обнаружении троянских программ X97M/Exploit.CVE-2009-0238.Gen и X97M/TrojanDropper.Agent.NAI, использующих уязвимость Microsoft Excel, которая присутствует в версиях Excel 2000, 2002, 2003, 2007, Excel for Mac 2004, 2008, а также в Excel-Viewer и Excel Viewer 2003.

Уязвимость возникла в связи с ошибкой при обработке Excel-файлов. При открытии зараженного файла на компьютере пользователя, чей антивирусный продукт не детектирует данные вредоносные программы, происходит активация вредоносного кода, создающего бэкдор в операционной системе (Win32/Agent.NVV). Он позволяет злоумышленнику получить полный контроль над компьютером. Чтобы избежать заражения, пользователям рекомендуется воздержаться от открытия файлов с расширением .xls от неизвестных отправителей.

Источник

[akoK]

ЛК: Рейтинг вредоносных программ, февраль 2009

Евгений Асеев

По итогам работы Kaspersky Security Network (KSN) в феврале 2009 года мы сформировали две вирусные двадцатки.

Напомним, что первая таблица рейтинга вредоносных программ формируется на основе данных, собранных в ходе работы нашего антивирусного продукта версии 2009. В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.

Можно выделить несколько важных изменений, произошедших с первой двадцаткой в феврале.

Во-первых, это резкий рост показателей сетевого червя Kido, эпидемия которого началась в январе и продолжается до сих пор. Так как детектирование всех версий этого зловреда было добавлено только в середине января, основная масса обнаруженных инфицированных файлов пришлась на февраль.

Во-вторых, мы видим трех интересных новичков: Packed.Win32.Krap.g, Packed.Win32.Klone.bj и Packed.Win32.Tdss.c, каждый из которых является соответственно детектированием:

• одной из версий упаковщика троянцев очень популярного семейства Magania - похитителей паролей к онлайн-играм;
  
• определенного типа обфускации AutoIt-скриптов, причем функционал исходных скриптов ограничивается только рамками самого скриптового языка;
  
• целого класса программ, зашифрованных с помощью нового вредоносного упаковщика TDSS.
  

Последний зловред примечателен тем, что функционал исходных незашифрованных программ - произвольный: это может быть как троянец, так и червь, или, к примеру, руткит.

Стремительно набравший 10 позиций в январе Trojan-Downloader.WMA.GetCodec.r в феврале сменился аналогичным мультимедийным загрузчиком GetCodec.u, а новичок прошлого рейтинга Exploit.JS.Agent.aak – двумя скриптовыми загрузчиками, использующими разнообразные уязвимости в Flash Player: SWFlash.aj и SWFlash.ak.

Все вредоносные, рекламные и потенциально-опасные программы, представленные в первом рейтинге, можно сгруппировать по основным классам детектируемых нами угроз. С января их соотношение почти не изменилось. Исходя из статистических данных последних месяцев, стоит заметить, что число саморазмножающихся программ остается стабильно высоким.

Всего в феврале на компьютерах пользователей было зафиксировано 45396 уникальных вредоносных, рекламных и потенциально опасных программ. Эта цифра практически не отличается от показателя предыдущего месяца.

Вторая таблица рейтинга представляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. В основном сюда попадают различные вредоносные программы, способные заражать файлы.

Во второй двадцатке есть важный новичок: это новая версия сложного полиморфного вируса Virut – Virus.Win32.Virut.ce. В функционал этой модификации входит в том числе и заражение HTML-файлов, обнаруженных на компьютере пользователя, зловредным iframe-блоком. Такие страницы обнаруживаются нашим антивирусом как Trojan-Clicker.HTML.IFrame.acy, и число зараженных таким образом файлов в феврале весьма велико. В результате своего симбиоза пара Virus.Win32.Virut.ce и Trojan-Clicker.HTML.IFrame.acy занимает соответственно 4 и 9 места.

Следует отметить также, что несмотря на по-прежнему высокие позиции семейства Sality, новых версий этого опасного зловреда не было обнаружено, чего не скажешь о вышеупомянутом семействе Virut.

Источник

Изменено 12 марта, 2009 пользователем akoK

[akoK]

Преступники извлекают пользу из шумихи вокруг Kido / Conficker

Как уже сообщалось в веблоге F-Secure, преступники используют шумиху вокруг вредоносной программы Kido / Conficker для распространения своего лжеантивируса. Их «решение» зачастую выдает на незараженных системах сообщения о якобы обнаруженных вредоносных программах, цель которых — раскрутить жертву на покупку лжеантивируса ценой $39,95. Вопреки заявлению преступников remove-conficker.org (этот сайт уже закрыт), их «решение» не обнаруживает Kido:

Смотрим

Но эти злоумышленники — не единственные, кто делает деньги на страхе людей перед якобы могущественным новым червем. Некоторые, например, пытаются продавать свои услуги по очистке компьютеров от Kido через вебсайт:

Не сообщайте этим людям своих реальных данных. Существуют бесплатные утилиты, которые помогут вам избавиться от вредоносной программы:

• «Лаборатория Касперского» предлагает бесплатную утилиту для удаления Kido с компьютера. Для удаления Kido достаточно загрузить эту утилиту на зараженную машину и запустить файл на исполнение.
  
• Феликс Ледер (Felix Leder) и Тиллман Вернер (Tillman Werner) из Боннского университета разработали удаленный сканер, способный определить, заражена ли система, используя порт 445. На работу системы сканер никак не влияет.
  

Кроме того, на сайте Рабочей группы по Conficker (the Conficker Working Group) можно найти список сайтов, возможно, являющихся вредоносными и использующих в своих целях неразбериху с вредоносными программами Kido / Conficker.

Источник

[akoK]

Drive-by загрузки. Интернет в осаде

Райан Нарейн

Специалист по компьютерной безопасности, «Лаборатория Касперского»

Введение

Развитие способов распространения компьютерных вирусов и другого вредоносного ПО неразрывно связано с развитием способов передачи информации в целом. На заре компьютерной эры данные переносили с одного компьютера на другой на физических носителях. В начале 80-х информация передавалась по каналам дорогостоящих частных сетей. И лишь после того как правительство США стало оказывать давление на компании, предоставлявшие услуги сетевого доступа, с тем чтобы они унифицировали способы передачи и формат передаваемых данных, началось интенсивное развитие интернета. С его появлением как крупные, так и мелкие компании получили возможность пересылать информацию по «бесплатной» сети, чаще всего по электронной почте, в том числе и во вложенных файлах. К концу 90-х годов самые известные вредоносные программы шли в ногу со временем — они распространялись по электронной почте, нанося вред компаниям и частным пользователям по всему миру.

Тем временем Всемирная паутина быстро приобретала популярность как среда для обмена информацией, площадка для международной торговли и средство повышения эффективности работы. Постепенно все поняли, насколько удобней отправлять короткое сообщение со ссылкой на информацию (существующую в единственном экземпляре и доступную в Сети), чем рассылать по электронной почте саму информацию всем, кому она может пригодиться. И сегодня многие все еще полагают, что использование веб-браузера это практически то же, что разглядывание витрин или поход в библиотеку в реальном мире — ничто не происходит без вашего ведома (эта идея заложена в самом слове «браузер», или «обозреватель»: англ. browse — «просматривать»). Однако в процессе работы с браузером происходит много такого, о чем люди не догадываются, просто потому, что не видят этого. Не только домашние пользователи, но и большинство специалистов (конечно, не связанных со сферой информационных технологий) были бы сильно удивлены, если бы узнали, как активно происходит невидимый обмен информацией между веб-бруазером и компьютером, на котором хранятся данные, а также приложениями, установленными на нем, и веб-серверами.

К сожалению, востребованность интернета и сложность технологий, задействованных в нем, привлекли внимание хорошо организованных киберпреступников, которые стремятся максимально использовать всемирную компьютерную сеть для распространения вирусов, шпионских и троянских программ, руткитов, фальшивого ПО для защиты данных и утилит для создания бот-сетей. Метод, который предполагает загрузку вредоносного ПО с веб-сайтов без ведома пользователя, разработчики антивирусных решений называют «загрузки drive-by». В этой статье мы расскажем о том, что происходит во время drive-by атак: как пользователей завлекают на зараженные сайты, какие технологии применяются для организации атак, как с помощью загрузки drive-by злоумышленники крадут личные данные и захватывают компьютеры пользователей.

Чем привлекательно распространение вредоносного ПО через веб

Прежде чем мы приступим к изучению drive-by загрузок, было бы полезно разобраться, почему именно этот вид атаки стал таким популярным в последние годы. Важно также понять, что одно и то же вредоносное ПО (вирусы, шпионские и троянские программы, руткиты, утилиты для создания бот-сетей, фальшивое ПО для защиты данных) может распространяться и зачастую распространяется разными способами: по электронной почте, при посещении пользователем веб-страниц и другими методами.

Доставка вредоносного ПО методом drive-by загрузок привлекает киберпреступников просто потому, что представляет собой наиболее незаметную форму заражения и, соответственно, позволяет чаще добиваться успеха при проведении атаки. На рисунке 1 приведены данные компании ScanSafe, занимающейся отслеживанием вредоносного ПО в интернете. Хорошо видно, что за 1996-2006 гг. лидерство по негативному влиянию на работу компаний перешло от распространения вредоносных программ по электронной почте к интернету и сервисам мгновенного обмена сообщениями.

Рисунок 1 — Развитие методов доставки вредоносного ПО

Согласно последним данным ScanSafe, 74% всего вредоносного ПО, обнаруженного в третьем квартале 2008 года, было размещено на зараженных веб-сайтах.

Теперь, когда мы в полной мере представили себе масштаб проблемы, приступим к изучению механизмов атаки, способов привлечения пользователей на зараженные веб-сайты, сложных эксплойтов и приложений, на которые они нацелены, запутанной системы переадресации веб-запросов, а также кода, используемого для кражи личной информации и захвата пользовательских компьютеров.

Браузер атакует

Чтобы понять, насколько стремительно произошел переход к использованию веб-браузеров в качестве инструмента атаки, полезно обратиться к истории наиболее «успешных» интернет-атак на компьютеры. Во время «эры интернет-червей», когда Code Red, Blaster, Slammer и Sasser наносили непоправимый ущерб корпоративным сетям, хакеры применяли удаленные эксплойты в отношении уязвимостей операционной системы Windows (под «удаленным» понимается такой эксплойт, при котором вредоносное ПО находится на сетевом сервере, использует уязвимость в легальном коде на компьютере пользователя и не нуждается в доступе к компьютеру до момента использования уязвимости). Исполняемые вредоносные файлы, как, например, Melissa, распространялись также в виде вложений в электронных письмах, через сервисы мгновенного обмена сообщениям и клиенты одноранговых сетей.

В компании Microsoft на атаки червей среагировали должным образом. В операционную систему был встроен сетевой экран, который в Windows XP SP2 был активирован по умолчанию; было реализовано несколько механизмов для борьбы с червями. Благодаря системе автоматических обновлений Windows, конечные пользователи получили поддержку в виде регулярно устанавливаемых патчей для ОС. Многие пользователи, как корпоративные, так и домашние, тоже осознали, что необходимо с осторожностью обращаться с вложениями электронной почты и нельзя запускать незнакомые приложения. Оба эти фактора вынудили злоумышленников изменить тактику — заставили их сконцентрироваться на стороннем ПО и совершенствоваться в искусстве социальной инженерии.

Это спровоцировало появление новой «скрытой» технологии — drive-by загрузки, использующей браузер для соединения с серверами, на которых хранятся эксплойты. При drive-by атаке вредоносная программа автоматически загружается на компьютер без вашего ведома и согласия. Атака осуществляется в два этапа. Сначала пользователь попадает на сайт, содержащий код, который перенаправляет запрос на сторонний сервер, на котором хранится эксплойт.

На рис. 2 показана общая схема атаки с использованием drive-by загрузки (источник: Google Anti-Malware Team). Эксплойты, используемые при drive-by атаках, могут быть нацелены на уязвимости веб-браузера, его незащищенные встраиваемые модули (плагины), уязвимости элементов управления ActiveX или бреши в защите стороннего ПО.

Рисунок 2 — Схема атаки с использованием drive-by загрузки

Как показано на рисунке, прежде чем эксплойт будет загружен, может произойти любое количество переадресаций на другие сайты.

Согласно данным «Лаборатории Касперского» и других компаний, занимающихся вопросами компьютерной безопасности, мы переживаем широкомасштабную эпидемию drive-by загрузок. За последние десять месяцев Google Anti-Malware Team проанализировала миллиарды страниц в поисках вредоносной активности и обнаружила более трех миллионов URL-адресов, по которым хранились эксплойты, использующие drive-by загрузку.

«Гораздо более тревожным фактом является то, что приблизительно 1,3% поисковых запросов в Google дает по меньшей мере один URL-адрес, помеченный как «опасный» на странице результатов поиска», — сообщается в исследовании, опубликованном Google.

Рис. 3, взятый из этого исследования, демонстрирует в рамках изучаемого периода тревожную тенденцию: процент зараженных сайтов в результатах поисковых запросов постоянно увеличивается.

Рисунок 3 — Результаты поисков, содержащих вредоносный URL

Первое время злоумышленники, применявшие drive-by загрузки, создавали вредоносные сайты и, чтобы привлечь на них посетителей, использовали социальную инженерию. Такие web-страницы до сих пор остаются важнейшим источником вредоносной сетевой активности. Однако в последнее время хакеры стали заражать вполне законопослушные сайты, размещая на них скриптовые эксплойты или код для переадресации запросов, что позволяет им незаметно для пользователя запускать атаки через браузер.

Механизм drive-by атаки

Один получивший широкую огласку случай заражения сайта, произошедший в 2007 году, дает представление о том, как организуются drive-by атаки. За несколько недель до проведения Суперкубка Национальной футбольной лиги США сайт стадиона Miami’s Dolphin был взломан, и на нем был размещен фрагмент JavaScript кода (см. рис. 4).

Рисунок 4 — JavaScript код на сайте стадиона Miami’s Dolphin

При посещении пользователем этого сайта браузер компьютера, на котором не был установлен необходимый патч, осуществлял скрытое подключение к удаленному стороннему серверу, который пытался воспользоваться уязвимостью, описанной компанией Microsoft в бюллетенях по безопасности MS06-014 и MS07-004. В случае успешной атаки на компьютере незаметно для пользователя устанавливалась троянская программа, что предоставляло злоумышленникам полный контроль над зараженным компьютером. Впоследствии они получали доступ к конфиденциальным данным на таком компьютере и возможность осуществлять с него DoS-атаки.

В том же 2007 году, но несколько позже, сайт «Bank of India», отличающийся высоким уровнем посещаемости, подвергся сложной хакерской атаке, в которой использовались многочисленные переадресации на сервер, содержащий почтового червя, два руткита, два троянца-загрузчика и три троянца-бэкдора. Метод заражения сайта включал в себя механизм обфускации с использованием JavaScript, большое количество iFrame-переадресаций и fast-flux технологий для того, чтобы избежать обнаружения и обеспечить доступность вредоносного интернет-сервера во время атаки. На рис. 5 представлен скриншот взломанного сайта «Bank of India», на котором виден также вредоносный скрипт, использовавшийся для запуска атаки методом drive-by загрузки.

Рисунок 5 — Сайт «Bank of India» и вредоносный код

Это только два из множества примеров, которые наглядно демонстрируют масштабы рассматриваемой проблемы для легальных веб-сайтов. Компания ScanSafe опубликовала результаты своего исследования веб-угроз, где сообщалось, что к середине 2008 года подавляющее большинство вредоносного ПО размещалось на легитимных сайтах. Ниже приведены наиболее интересные данные из отчета ScanSafe за третий квартал 2008 года:

• в третьем квартале 2008 года объем вредоносного ПО, распространяемого через интернет, вырос по отношению к первому кварталу того же года на 338% и на 553% в сравнении с четвертым кварталом 2007 года;
  
• в сентябре 2008 года приблизительно 31% всех связанных с вредоносным ПО угроз были zero-day угрозами (то есть защита от них на тот момент еще не была создана);
  
• по сравнению с январем 2008 года в сентябре 2008 года количество бэкдоров и троянцев, ворующих пароли, выросло на 267%.
  

Злоумышленники использовали также подмену данных на сторонних рекламных серверах для переадресации пользователей Windows на серверы мошенников, откуда происходила drive-by загрузка. Такая «вредоносная реклама» работает обычно с использованием flash-технологий и использует уязвимости в приложениях, установленных на пользовательских компьютерах.

Наборы эксплойтов (exploit kits)

Злоумышленники, крадущие конфиденциальную информацию, и другие вирусописатели приобретают «набор» эксплойтов и устанавливают его на вредоносном сервере.

Наборы эксплойтов служат «локомотивом» drive-by загрузок. По сути это совокупность программных компонентов, написанных профессионалами и хранящихся на сервере с СУБД. В состав таких наборов, которые продаются на нелегальных хакерских сайтах, входят эксплойты, использующие уязвимости в целом ряде популярных пользовательских приложений, в числе которых медиа-проигрыватель QuickTime, Adobe Flash Player, Adobe Reader, RealPlayer и программа-архиватор WinZip.

Используются также эксплойты, предназначенные для атак на конкретные браузеры: Internet Explorer, Firefox, Apple Safari и Opera. Существуют также специализированные наборы эксплойтов, рассчитанных на атаки с использованием уязвимостей Adobe PDF или известных брешей в защите кода элементов управления ActiveX.

Злоумышленники, специализирующиеся на краже конфиденциальной информации пользователей, и другие вирусописатели приобретают наборы эксплойтов и устанавливают их на вредоносном сервере. Код, предназначенный для переадресации соединений на такой сервер, размещается на веб-сайте, куда посетители заманиваются с помощью спам-объявлений, распространяемых по электронной почте или размещаемых на доске объявлений в Сети.

Сервер, на котором размещены наборы эксплойтов, может использовать данные из заголовка HTTP-запроса браузера посетителя для того, чтобы определить тип браузера, его версию, а также используемую операционную систему. Как только операционная система жертвы определена, активируется соответствующий эксплойт из набора.

В некоторых случаях могут быть активированы одновременно несколько эксплойтов, пытающихся заразить компьютер, используя уязвимости в приложениях сторонних производителей. Некоторые наиболее сложные наборы эксплойтов поддерживаются в актуальном состоянии и даже ежемесячно обновляются. Такие наборы поставляются с продуманным пользовательским интерфейсом, содержащим подробный отчет об успешных атаках, включающий, например, версию операционной системы компьютера-жертвы, место его нахождения, использованный эксплойт и эффективность эксплойтов, определяемую по объему трафика к вредоносному сайту.

В таблице 6 приведен список эксплойтов, содержащихся в одном из таких наборов, обнаруженном во время атаки с использованием JavaScript-переадресации. Этот пример доказывает популярность эксплойтов для программных продуктов Microsoft. В то же время для того чтобы увеличить ценность такого набора для киберпреступников, используются и эксплойты для ПО других производителей.

Монокультура без обновлений

За небольшим исключением эксплойты используют те уязвимости, которые уже известны, и «заплаты» для которых доступны

Эпидемию drive-by загрузок связывают преимущественно с тем, что на многих компьютерах не установлены обновления Windows. За редким исключением, большинство эксплойтов использует известные уязвимости, патчи для которых доступны. Тем не менее по ряду причин конечные пользователи не спешат устанавливать необходимые обновления.

Microsoft предлагает конечным пользователям возможность устанавливать обновления автоматически, закрывая таким образом обнаруженные уязвимости, чего нельзя сказать о производителях сторонних приложений. По оценке Secunia — компании, занимающейся исследованием уязвимостей программного обеспечения, — около трети установленных на компьютере приложений содержат известные уязвимости, для которых уже выпущены патчи.

В существующих наборах можно найти несколько эксплойтов, нацеленных на довольно старые уязвимости, такие как MS06-014 и MS05-052, которые остаются незакрытыми на многих компьютерах на протяжении нескольких лет после того, как опубликовано исправляющее их обновление (третий и четвертый символы означают год выпуска бюллетеня по безопасности).

Например, эксплойты, «специализирующиеся» только на уязвимостях Adobe PDF Reader, до сих пор успешно используются, несмотря на значительные улучшения в системе обновлений Adobe. Другой популярной мишенью является Adobe Flash Player, установленный практически на всех подключенных к интернету компьютерах, равно как и RealPlayer (разработанный компанией RealNetworks).

Заключение. Как избежать атаки

В заключение необходимо отметить, что в современных веб-браузерах, в том числе Internet Explorer, Firefox и Opera, пользователь предупреждается о возможной опасности при попытке посетить зараженный веб-сайт. Такая система полезна, но поскольку в ее основе лежат черные списки, она не может гарантировать 100%-ную защиту для активного пользователя интернета.

Наиболее действенным подходом к защите от drive-by загрузок является своевременная и полная установка выпускаемых производителями ПО обновлений. В особенности, пользователю стоит:

• Использовать специальные решения для управления патчами, которые помогают находить и устанавливать обновления для всех сторонних приложений. Secunia предлагает сразу два таких инструмента: Personal Software Inspector и Network Security Inspector. Они помогают определить приложения, для которых обновления еще не установлены.
  
• Пользоваться веб-браузерами, обеспечивающими блокирование фишинговых и вредоносных сайтов (Internet Explorer, Mozilla Firefox и Opera).
  
• Активировать сетевой экран и установить все обновления операционной системы от Microsoft. Избегать использования пиратского ПО, чье обновление будет запрещено сервисом WGA (Windows Genuine Advantage).
  
• Установить антивирусное ПО и поддерживать антивирусные базы в актуальном состоянии. При этом важно, чтобы антивирусный продукт проверял интернет-трафик, что позволит вовремя обнаружить попытки проведения атаки методом drive-by загрузки.
  

Эти меры, направленные на решение проблемы уязвимостей программного обеспечения, по-прежнему остаются лучшим, наиболее эффективным средством защиты против атак с использованием drive-by загрузок.

Источник

[akoK]

Наблюдения за P2P-сетью Kido/Conficker

Георг

Анализ поведения сети Kido позволил нам создать утилиту, с помощью которой мы смогли заглянуть внутрь использовавшихся всю прошлую неделю для «обновления» зараженных машин механизмов файлообменных процессов червя. За 24 часа наблюдений мы идентифицировали 200'652 уникальных IP участников сети, что гораздо меньше предварительных оценок числа зараженных Kido компьютеров.

Во многом так получилось потому, что в файлообменном процессе участвуют лишь самые последние версии Kido, до которых «обновилась» только незначительная часть машин, зараженных более ранними версиями зловреда.

Что касается распределения зараженных компьютеров, то мы наблюдаем картину, которая была изначально прогнозируема. По количеству участников сети «отличились» Бразилия и Чили:

Но, похоже, что в мире нет ни одного региона, который не был бы затронут эпидемией Kido. (Количество точек на карте не является показателем степени зараженности той или иной страны, поскольку в используемой нами базе данных GeoLocation точность определения географического расположения IP-адреса отличается для разных стран и регионов планеты.)

Более подробный взгляд на карту США показывает, что восточные области страны имеют больше действующих файлообменных узлов, чем западные:

Интересно, что наблюдая за сетью можно быстро идентифицировать (плотно взаимосвязанное) ядро сети, благодаря присутствию в каждом узле большого кэша клиентов. За первые 20 минут мы обнаружили, что 10,4% от общего количества участников сети не демонстрируют экспоненциального роста числа подключенных клиентов, которого следовало бы ожидать от участников с небольшими кэшами:

Следовательно, можно утверждать, что, как только один узел находит другой подключенный к сети инфицированный узел, между ними создается устойчивое соединение, которое вряд ли может распасться. Однако для некоторых хостов поиск первого инфицированного узла может оказаться весьма трудной задачей: мы видели несколько узлов, которые не имели соединений ни с какими другими узлами сети.

Источник

[Matias]

Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.

Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.

Мне стало интересно, всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний. После ряда опытов обнаружился очень простой алгоритм:

1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.

2. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE.

3. После запуска IE можно загружать из него любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.

Источник

[Matias]

В Интернете появился копьютерный вирус для операционной системы Windows, который взламывает аккаунты пользователей социальной сети "ВКонтакте".

Троян работает по следующему принципу: он модифицирует файл hosts (расположен по адресу C:\WINDOWS\system32\drivers\etc\) таким образом, что при попытке пользователя зайти в любимую социальную сеть браузер его компьютера открывает сайт-двойник; в результате адрес электропочты и пароль сразу же после введения на поддельном ресурсе добавляются в базу ворованных аккаунтов.

В 4,2-мегабайтном файле содержатся несколько десятков тысяч действующих адресов и паролей. Изначально сообщалось о 130 или даже 150 тысячах взломанных аккаунтов, однако путем отброса повторяющихся комбинаций мы выяснили, что их там в два-два с половиной раза меньше. (Что, впрочем, тоже впечатляет.) Известно также, что в ближайшее время под удар могут попасть пользователи сети "Одноклассники": хакеры уже создали соответствующий файл для их данных, однако в настоящее время он пуст.

Новость полностью.

От себя рекомендую запретить запись в файл hosts, установив на него атрибут "только чтение".

Изменено 2 августа, 2009 пользователем Matias

[Matias]

Как известно, компания Microsoft при использовании пользователем браузера Firefox принудительно устанавливает собственные расширения, при попытке обновить .NET Framework через систему Windows Update. В одном из таких расширений "Windows Presentation Foundation" найдена серьезная уязвимость, позволяющая злоумышленнику выполнить свой код при открытии специально подготовленной страницы, сообщает opennet.ru. Радует то, что плагин "Windows Presentation Foundation" можно легко отключить через стандартный менеджер дополнений, что не сделаешь с другим навязываемым дополнением 'Microsoft .NET Framework Assistant'. Стандартными средствами Firefox из списка дополнений данное расширение не удаляется, избавиться от расширения можно только через ручную правку реестра Windows и удаление файлов с диска. Интересно, что несколько недель назад Microsoft подняла волну недовольства против выпущенного компанией Google расширения Google Chrome Frame для Internet Explorer, позволяющего интегрировать в IE движок браузера Google Chrome с целью поддержки элементов спецификации HTML5. Тогда основная причина претензий была связана с возможным понижением безопасности. По иронии судьбы компания Microsoft дала при этом повод для анализа уязвимостей в собственных расширениях для сторонних браузеров, проблемы безопасности в которых не заставили себя долго ждать. Разработчики Mozilla внесли дополнения "Windows Presentation Foundation" и 'Microsoft .NET Framework" в черный список небезопасных расширений, работа которых отныне автоматически блокируется. Компания Microsoft выпустила обновление с исправлением уязвимости - MS09-054.

Источник.

[Matias]

Компания Microsoft помогла обнаружить уязвимость в плагине Google Chome Frame, предназначенном для пользователей Internet Explorer.

Этот плагин позволяет браузеру Internet Explorer отображать интернет-страницы с помощью движка для рендеринга Google Chrome. Однако, специалисты корпорации из Редмонда еще с сентября этого года утверждали, что установка плагина делает браузер менее безопасным. Теперь эти предостережения подтверждены обнаружением уязвимости, связанной с обходом системы защиты в плагине Google Chome Frame.

По данным Microsoft и исследовательской группы Lostmon, успешная эксплуатация дыры дает хакеру возможность обойти средства контроля безопасности, хотя и не позволяет ему заразить систему вредоносными программами.

В Google признали наличие уязвимости и призвали пользователей обновить плагин до версии 4.0.245.1. Помимо устранения бага, это исправление помогает также избавиться от ряда проблем со стабильностью и производительностью, по большей частью вызванных обработкой iFrame. Ознакомиться с полным описанием патча можно здесь.

Источник.

[Matias]

Поддельные агенты Одноклассников и Вконтакте.