Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 10.07.2011, 10:42   #365
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума

IT-безопасность-свежие новости.


Развитие киберугроз в июне 2011 года: новые мошеннические схемы в Сети и первый бэкдор для Mac OS
"Лаборатория Касперского" подвела итоги развития киберугроз в июне 2011 года: традиционное затишье деловой активности эксперты отметили и среди вирусописателей, которые в начале лета решили не удивлять пользователей своими новыми поделками. В результате минувший месяц не был отмечен значимыми инцидентами, а общий киберкриминальный фон можно назвать "классическим". Среди наиболее популярных вредоносных программ в лидерах остаются зловреды, которые используются для осуществления drive-by атак, когда заражение компьютера происходит без ведома пользователя.

В июне были отмечены первые попытки мошенников использовать возможность получения денег "из воздуха" с помощью системы виртуальных денег BitCoins. В этой системе для процесса эмиссии необходимо всего лишь на определённое время задействовать мощности процессора. Эксперты "Лаборатории Касперского" обнаружили зловред, который для начала генерации кибервалюты запускает на компьютере жертвы легальный файл системы BitCoins "bcm.exe". Судя по тому, что администрация сервиса быстро заблокировала аккаунт злоумышленника, на который зачислялся "заработок", всерьез поживиться мошеннику не удалось.



Растущая популярность Mac OS привлекает все больше внимание киберпреступников к платформе. Минувший месяц не стал исключением в этой тенденции. Если в мае были обнаружены поддельные антивирусы, то теперь мошенники распространяют бэкдор - вредоносную программу, предназначенную для удаленного управления компьютером на базе Mac OS. Злоумышленники смогли использовать заражённую систему, например, для скачивания других зловредов или запуска программ.



В то же время, июнь порадовал успехами в области борьбы с киберпреступниками. Так, благодаря сотрудничеству правоохранительных органов многих стран в США была пресечена криминальная деятельность двух международных группировок, наживавшихся на продажах лжеантивирусов. По предварительным оценкам, ущерб от их деятельности составил 74 млн долларов.

С полной версией отчета о развитии киберугроз в июне 2011 года можно ознакомиться на сайте http://www.securelist.com/ru/analysi...osti_iyun_2011.

В России очень популярны платные антивирусы
Немецкий производитель антивирусных программ G Data провел исследование , по результатам которого Россия получила наивысший показатель популярности платного антивирусного ПО. Из 1085 опрошенных пользователей, 47,83% установили на свои компьютеры платные антивирусы. Второе и третье место заняли Великобритания (47.29%) и Нидерланды (47.23%). Исследование проводилось в период с апреля по май текущего года, и охватило девять стран Европы, а также Россию и США.

Исследование G Data включает статистический опрос на предмет компьютерной грамотности населения, где Россия показала самый худший результат. Из предложенных 11 «мифов» о компьютерной безопасности отечественный потребитель максимально доверяет четырем. По мнению большинства россиян, заражение вирусом непременно должно заметно ухудшить работу ПК, опасное программное обеспечение чаще всего распространяется через порносайты, компьютер невозможно заразить, если не открывать зараженные файлы, а также пользователи считают, что основной метод распространения вирусов – это USB накопители.

Стоит отметить, что исследование встретило жесткую критику со стороны российской компании Agnitum, ведущего производителя бесплатных антивирусов. Коммерческий директор Agnitum Виталий Янко сказал: «Вероятно, вопросы формировали таким образом, чтобы увеличить долю пользователей, недовольных бесплатными антивирусами. Это объяснимо: в отличие от большинства известных разработчиков, G Data не выпускает бесплатных продуктов».

Backdoor.Win32. Ruskill.y
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 143872 байта. Написана на С++.
Инсталляция

После запуска вредонос перемещает свое оригинальное тело и сохраняет под следующим именем:

%Documents and Settings%\%Current User%\Application Data\<rnd>.exe

где rnd – случайных 6 латинских букв. Для автоматического запуска при каждом следующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd>"="%Documents and Settings%\%Current User%\
Application Data\<rnd>.exe"


Деструктивная активность

Далее вредонос, для контроля уникальности своего процесса в системе, создает уникальный идентификатор с именем "aciCty21CAjoSS8o". Также выполняет внедрение своего вредоносного кода в адресное пространство процесса "explorer.exe" и всех запущенных системных процессов. Для скрытия своей вредоносной активности, а также для предотвращения своего удаления из системы бэкдор устанавливает системные перехватчики для следующих функций:

NtEnumerateValueKey
NtQueryDirectoryFile
CopyFileA
CopyFileW
DeleteFileA
DeleteFileW
MoveFileA
MoveFileW
CreateFileA
CreateFileW
Send
GetAddrInfoW
HttpSendRequestA
HttpSendRequestW
InternetWriteFile
DnsQuery_A
DnsQuery_W
PR_Write
URLDownloadToFileA
URLDownloadToFileW
RegCreateKeyExA
RegCreateKeyExW

Вредонос блокирует доступ к вэб-ресурсам доменные адреса которых содержат в себе строки:

webroot.
fortinet.
virusbuster.nprotect.
gdatasoftware.
virus.
precisesecurity.
lavasoft.
heck.tc
emsisoft.
onlinemalwarescanner.
onecare.live.
f-secure.
bullguard.
clamav.
pandasecurity.
sophos.
malwarebytes.
sunbeltsoftware.
norton.
norman.
mcafee.
Symantec
comodo.
avast.
avira.
avg.
bitdefender.
eset.
kaspersky.
trendmicro.
iseclab.
virscan.
garyshood.
viruschief.
jotti.
threatexpert.
novirusthanks.
virustotal.

Далее бэкдор подключается к IRC-серверу злоумышленника для получения дополнительных команд. Вредонос выполняет подключение к управляющему серверу со следующими параметрами: IP-адрес:

173.***.103.19

Порт:

8888

Ник:

n{US|XPa}<rnd>

Пользователь:

<rnd>

Канал:

#DarkSons#

где rnd – случайные латинские буквы. После подключения, бэкдор сразу получает команду загрузки обновленной версии вредоноса и ссылки, по которым будет производиться загрузка. На момент создания описания вредонос загружал файлы по следующим ссылкам:

http://pictur***eave.com/67cf27c1deb...13390b3c2c.exe
http://img1***erosh.com/2011/05/09/134130792.gif
http://movie***boost.in/install.52161.exe

которые сохраняются соответственно под следующими именами:

%Documents and Settings%\%Current User%\Application Data\
<rnd>.exe –обновленная версия вредоноса, имеет размер 188416
байт и детектируется антивирусом Касперского как
Trojan.Win32.Powp.pwt.
%Documents and Settings%\%Current User%\Application Data\1.tmp –
имеет размер 84480 байт и детектируется антивирусом Касперского
как Trojan.Win32.Jorik.Skor.acz.

%Documents and Settings%\%Current User%\Application Data\2.tmp –
имеет размер 71168 байт.

Далее загруженные файлы запускаются на выполнение. Вредонос собирает системную информацию, а именно:

IP адрес и месторасположение зараженной системы;
Локаль;
Тип ОС;
Уровень привилегий текущего пользователя.

IP-адрес и месторасположение системы троянец определяет путем обращения к следующему URL:

http://api.wi***ania.com/

Для приема и передачи параметров создает именованный канал с именем:

\\.\pipe\OgarD_ipc

Пытается выполнить подключение по следующим URL:

haso***tlgg.com
tama**anslate-google-cache.com
mate***ukatlgg.com
magazin***voddebila.com
ngrbck***adi-ga-van.info
fant***ervebeer.com
ngrbc***uristicka-agencija-reality.co.cc
ngrbck***aintgroup.co.za

Также, в зависимости от полученных команд с сервера злоумышленника, бэкдор может выполнять следующий деструктивный функционал:

Модифицировать системные файлы:

regsvr32.exe
cmd.exe
rundll32.exe
regedit.exe
verclsid.exe
ipconfig.exe

Похищать конфиденциальную информацию пользователя, которая сохраняется в браузерах "Firefox" и "MS Internet Explorer". Похищать логины и пароли пользователя для доступа к следующим вэб-ресурсам:

OfficeBanking
LogMeIn
Megaupload
FileServe
Twitter
cPanel
AlertPay
Moneybookers
Runescape
DynDNS
NoIP
Steam
Hackforums
Facebook
Yahoo
Microsoft Live
GMX
Gmail
Fastmail
BigString
AOL
YouTube
PayPal

Выполнять атаку типа отказ от обслуживания DDoS (Distributed Denial of Service) используя следующие методы:

HTTP - флуд
UDP – флуд
SYN – флуд

Тип атаки и адрес жертвы задается злоумышленником.
Посещать заданные злоумышленником веб-ресурсы.
Загружать по заданным ссылкам файлы и запускать их на выполнение. Загруженные файлы сохраняются под именем:

%Documents and Settings%\%Current User%\Application
Data\<имя_временного_файла>.tmp

Заражать вэб-страницы на FTP и HTTP сервере пользователя, добавляя в страницы скрытый фрейм (iframe).
Выполнять манипуляции с DNS запросами для перенаправления и блокировки доступа к заданным сайтам.
Создавать SOCKS-прокси сервер на случайном TCP порте.
Распространятся на съемные носители, а также через IM клиенты.

Распространение

После подключения съемного носителя вредонос перехватывает сообщение системы о нахождении нового устройства и выполняет заражение съемного носителя – копирует свой исполняемый файл под именем:

<X>:\Recycler\9fddc8d5.exe

где X – буква логического диска съемного носителя. Также помещает в корень диска сопровождающий файл:

<X>:\autorun.inf

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Файлам устанавливается атрибут "Скрытый".

Также вредонос выполняет распространение вредоносных файлов, используя программы мгновенного обмена сообщениями - MSN, Pidgin, Xchat, mIRC. Вредонос получает от злоумышленника ссылку на вредоносный файл, а также сообщение, которое будет рассылаться всем контактам пользователя. Бэкдор получает сообщение такого вида:

hehhe!
http://my***book-album.tk/profile-pic001634.jpg
По материалам:Новотека.ру
__________________
http://avfor.ru/images/help.gif
  Ответить с цитированием
 
Яндекс.Метрика