Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 04.05.2011, 00:05   #301
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума

IT-безопасность-свежие новости.


Обзор вирусной активности — апрель 2011
В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского»:

отражено 221 305 841 сетевых атак;
заблокировано 73 211 764 попыток заражения через Web;
обнаружено и обезврежено 189 999 451 вредоносных программ (попытки локального заражения);
отмечено 86 630 158 срабатываний эвристических вердиктов.

В апреле компания Microsoft выпустила 17 бюллетеней, закрывающих уязвимости в различных продуктах Windows. Среди 63 уязвимостей, исправленных Microsoft, есть и патч для критической «дыры» MS11-020. Опасная брешь, открывающая возможность удаленного исполнения произвольного кода в нулевом кольце, была обнаружена в SMB Server. Данная уязвимость может эксплуатироваться с использованием специально сформированного SMB-пакета, отправляемого на уязвимую систему. Уязвимость представляет серьезную опасность: в прошлом обнаружение подобной уязвимости повлекло за собой появление такого червя, как Kido. Поэтому мы настоятельно рекомендуем всем пользователям как можно быстрее обновить свои системы.

В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского»:

отражено 221 305 841 сетевых атак;
заблокировано 73 211 764 попыток заражения через Web;
обнаружено и обезврежено 189 999 451 вредоносных программ (попытки локального заражения);
отмечено 86 630 158 срабатываний эвристических вердиктов.

DDoS-атаки на LiveJournal

Начавшиеся в самом конце марта и продолжившиеся в начале апреля DDoS-атаки на блог-хостинг LiveJournal.com стали заметным событием в России. Один из ботнетов, ответственных за атаку, находится под нашим наблюдением, что позволило выявить некоторые подробности атаки.

До начала апреля практически каждый день все компьютеры, входящие в состав этого ботнета, получали в качестве мишени для DDoS-атаки одну-две ссылки. Однако 4 апреля все боты получили список из 36 ссылок. В число атакованных попали главные страницы LiveJournal: http://livejournal.com и http://livejournal.ru. Остальные ссылки в списке вели на популярные странички российских блогеров-«тысячников». Атакованные страницы периодически были недоступны 30 марта, 4 и 6 апреля. Атаки прекратились после 6 апреля.

Использованный злоумышленниками ботнет построен на основе популярного бота Optima, который появился в продаже в конце 2010 года. По некоторым косвенным признакам можно сказать, что зомби-сеть, объединяющая зараженные Optima машины и принимавшая участие в DDoS-атаке, cостоит из десятков тысяч зараженных компьютеров.
PDF-эксплойты

В очередной раз мы фиксируем рост активности эксплойтов, использующих уязвимости в продуктах Adobe. Один из таких экспойтов — Exploit.JS.Pdfka.dmg — оказался на 9-м месте среди 20 наиболее распространенных программ в интернете. Количество пользователей, подвергшихся в апреле атакам различными модификациями Exploit.JS.Pdfka, исчисляется уже сотнями тысяч. Рисунок ниже иллюстрирует это.


Злоумышленники уже в который раз используют одну и ту же тактику: на взломанном легальном ресурсе размещается вредоносный JavaScript, который эксплуатирует критическую уязвимость в одном из популярных легальных продуктов. Если пользователь, использующий уязвимое ПО, попадает на легальный взломанный ресурс, то практически сразу же в результате срабатывания эксплойта на его компьютер незаметно загружается одна или несколько вредоносных программ. То есть в очередной раз мы имеем дело с уже ставшими классическими drive-by-download атаками.

В апреле компания Adobe закрыла очередной набор уязвимостей в своих продуктах Adobe Reader и Adobe Acrobat. Уровень опасности уязвимостей был обозначен как «Critical». Мы настоятельно рекомендуем всем пользователям обновить эти приложения. Патчи для конкретных версий продукта можно найти здесь.
Уязвимость MS11-020

В апреле компания Microsoft выпустила 17 бюллетеней, закрывающих уязвимости в различных продуктах Windows. Среди 63 уязвимостей, исправленных Microsoft, есть и патч для критической «дыры» MS11-020. Опасная брешь, открывающая возможность удаленного исполнения произвольного кода в нулевом кольце, была обнаружена в SMB Server. Данная уязвимость может эксплуатироваться с использованием специально сформированного SMB-пакета, отправляемого на уязвимую систему. Уязвимость представляет серьезную опасность: в прошлом обнаружение подобной уязвимости повлекло за собой появление такого червя, как Kido. Поэтому мы настоятельно рекомендуем всем пользователям как можно быстрее обновить свои системы.
SMS-троянцы

В апреле продолжилось активное распространение SMS-троянцев (в основном, на территории России). Одним из каналов распространения по-прежнему был SMS-спам. В течение месяца мы регулярно получали жалобы пользователей на спамовые SMS-рассылки.

Некоторые рассылки обладали общими признаками:

рассылки осуществлялись примерно в одно и то же время (в 4 или 5 утра по московскому времени);
сообщения в подавляющем большинстве случаев имели следующий вид: ‘Poluchen MMS dlya abonenta <телефонный номер получателя>. Posmotret: http://******.do.am/имя_файла.jar’;
во вредоносных ссылках использовались имена файлов YaZ.jar либо 606.jar.


Пример одного из спамовых SMS-сообщений

На момент осуществления всех зафиксированных нами рассылок файлы, на которые вели ссылки, детектировались «Лабораторией Касперского» как Trojan-SMS.J2ME.Smmer.f.

И еще одна деталь: судя по всему, вредоносные сайты, на которые вели ссылки в спам-сообщениях, на самом деле создавались с помощью одного из популярных бесплатных онлайн-конструкторов сайтов. Владельцы данного конструктора предоставляют в том числе и услуги хостинга, которыми и воспользовались злоумышленники, разместив вредоносные страницы на домене второго уровня .do.am.
Закрытие ботнета Coreflood

Наступление на бот-сети продолжается. Вслед за закрытием ботнета Rustock, о котором мы писали в мартовском обзоре, в апреле были закрыты командные центры еще одного немаленького (порядка 2 миллионов зомби-машин) ботнета Coreflood. Большинство зараженных ботами машин располагалось на территории США.

В данном случае инициатором закрытия стало министерство юстиции США, которое получило разрешение на перехват управления ботнетом. После перехвата управления бот-сетью всем ботам была разослана команда на прекращение работы.

Уже не в первый раз государственные органы принимают активное участие в нейтрализации бот-сетей. Напомним, что ботнет Rustock был закрыт в результате совместной операции компании Microsoft и властей США, ботнет Bredolab был ликвидирован (а его предполагаемый владелец и создатель задержан) полицией Нидерландов.

Надеемся, что усилия государственных органов по закрытию ботнетов продолжатся, и в будущем мы еще не раз узнаем об успешном проведении подобных операций.


По-прежнему нет информации о том, когда игроки смогут вновь воспользоваться PSN. Пользователям PSN настоятельно рекомендуется сменить пароль к учетной записи игрового сервиса, а также к другим сервисам (если использовался один и тот же пароль). Также необходимо следить за своей кредитной картой, и в случае появления признаков мошенничества, сразу же ее блокировать.


TOP 20 вредоносных программ в интернете
Позиция Изменение позиции Вредоносная программа Количество атак*
1 2 AdWare.Win32.HotBar.dh 855838
2 4 Trojan.JS.Popupper.aw 622035
3 New AdWare.Win32.Zwangi.fip 356671
4 New AdWare.Win32.Agent.uxx 300287
5 New AdWare.Win32.Gaba.eng 254277
6 New AdWare.Win32.FunWeb.jp 200347
7 New AdWare.Win32.FunWeb.kd 170909
8 New AdWare.Win32.Zwangi.fmz 161067
9 New Exploit.JS.Pdfka.dmg 140543
10 New Trojan.JS.Redirector.oy 138316
11 New Trojan-Ransom.Win32.Digitala.bpk 133301
12 0 Trojan.JS.Agent.uo 109770
13 0 Trojan-Downloader.JS.Iframe.cdh 104438
14 New AdWare.Win32.Gaba.enc 96553
15 -11 Trojan.HTML.Iframe.dl 95299
16 -14 Hoax.Win32.ArchSMS.pxm 94255
17 New Trojan-Downloader.Win32.Zlob.aces 88092
18 New Trojan-Ransom.JS.SMSer.hi 83885
19 New Trojan.JS.Iframe.ku 77796
20 New AdWare.Win32.FunWeb.jt 65895

* Общее число уникальных инцидентов, зафиксированных веб-антивирусом на компьютерах пользователей.
TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей
Позиция Изменение позиции Вредоносная программа Кол-во уникальных пользователей*
1 0 Net-Worm.Win32.Kido.ir 428587
2 1 Net-Worm.Win32.Kido.ih 176792
3 -1 Virus.Win32.Sality.aa 176171
4 Returned Virus.Win32.Virut.ce 130140
5 0 Virus.Win32.Sality.bh 121389
6 3 Trojan.Win32.Starter.yy 113815
7 -3 Hoax.Win32.ArchSMS.pxm 86908
8 -2 HackTool.Win32.Kiser.zv 80900
9 5 Trojan-Downloader.Win32.Geral.cnh 79573
10 2 HackTool.Win32.Kiser.il 78526
11 -4 Hoax.Win32.Screensaver.b 73664
12 -1 Worm.Win32.FlyStudio.cu 71405
13 -5 AdWare.Win32.HotBar.dh 68923
14 -1 Trojan.JS.Agent.bhr 67435
15 New AdWare.Win32.FunWeb.kd 62858
16 New Virus.Win32.Sality.ag 55573
17 1 Trojan-Downloader.Win32.VB.eql 53055
18 1 Worm.Win32.Mabezat.b 52385
19 -2 Trojan.Win32.AutoRun.azq 47865
20 New Virus.Win32.Nimnul.a 47765

* Число уникальных пользователей, на компьютерах которых антивирус детектировал данный объект.
По материалам Лаборатории Касперского
Ps.Сообщение сокращено,так как превышает кол-во допустимых символов
__________________
http://avfor.ru/images/help.gif
  Ответить с цитированием
 
Яндекс.Метрика