Загрузка...

Вернуться   Другой Форум про антивирусы и софт - Norton, Касперский, ESET, Windows > Безопасность системы > Обсуждение антивирусов и файерволов
Войти через профиль в соц. сети
Регистрация Справка Правила Помощь форуму Пользователи Календарь Статистика Все разделы прочитаны
Обсуждение антивирусов и файерволов Обсуждения и сравнения антивирусных программ и файерволов, раздел допускает наличие флуда и свободного общения в рамках приличия

Ответ
Старый 03.11.2010, 22:07   #171
"СЧАСТЬЕ ДЛЯ ВСЕХ, ДАРОМ, И ПУСТЬ НИКТО НЕ УЙДЕТ ОБИЖЕННЫЙ!"
 
Аватар для ole44

 
Регистрация: 18.08.2009
Сообщений: 4 404

ole44 вне форума

IT-безопасность-свежие новости.


Хакеры завлекают пользователей поддельными апдейтами

"Лаборатория Касперского" опубликовала ежемесячный отчет о развитии вредоносных программ в октябре 2010 года. Согласно данным мониторинга, абсолютным лидером по количеству заражений в Интернете в этом месяце стал размещаемый на порно-сайтах скрипт из семейства FakeUpdate - Trojan.JS.FakeUpdate.bp. Он предлагает скачать видео соответствующего содержания, однако для его просмотра требуется установить новый плеер, дистрибутив которого содержит еще и троянец, модифицирующий файл hosts. Этот вирус перенаправляет пользователя с популярных сайтов на страницу с требованием отправить СМС-сообщение на премиум-номер для продолжения работы в Интернете.

К очевидным тенденциям месяца можно также отнести рост популярности поддельных архивов: для получения их содержимого пользователю предлагается отправить СМС-сообщение на премиум-номер. В большинстве случаев после отправки СМС-ки на экране компьютера появляется инструкция по использованию торрент-трекера и/или ссылка на него. "Возможных вариантов развития ситуации много, но результат всегда один - пользователь теряет деньги, так и не получив искомый файл. Такого рода мошенничество появилось несколько месяцев назад, и с тех пор интерес к нему со стороны злоумышленников не угасает", - комментирует автор отчета, старший вирусный аналитик "Лаборатории Касперского", Вячеслав Закоржевский. В период с июля по октябрь 2010 года эксперты компании каждый месяц фиксировали более миллиона попыток заражения вредоносными программами этого класса.

Особенным отчетный период выдался для компании Microsoft. Она побила свой рекорд, выпустив в октябре 16 бюллетеней по безопасности, закрывающих 49 различных уязвимостей. Предыдущий рекорд был установлен в августе, но тогда было исправлено только 34 "узких мест". Такое положение дел может говорить о том, что киберпреступники активно используют недоработки в продуктах софтверного гиганта.

Несмотря на недавние аресты части группировки, причастной к ботнету Zeus, продолжают появляться вредоносные программы, поддерживающие его распространение. Благодаря тому, что конфигурация троянских программ семейства Zeus несложна и их легко использовать с целью кражи информации, этот троян стал одной из самых распространенных и продаваемых программ-шпионов на черном рынке интернета.

Из интересных событий можно также отметить обнаружение в начале месяца Virus.Win32.Murofet, который генерирует доменные имена для последующего распространения с них бота Zeus. Его основная особенность заключается в генерировании ссылок для загрузки и исполнения ехе-файлов Zeus из Интернета с помощью специального алгоритма, который основывается на использовании текущих времени и даты инфицированного компьютера. "Virus.Win32.Murofet демонстрирует изобретательность и рвение, с которым разработчики Zeus пытаются распространить своё творение по всему миру", - отмечает Вячеслав Закоржевский.


[url]http://www.cybersecurity.ru/
  Ответить с цитированием
Загрузка...
Re: IT-безопасность-свежие новости.
Старый 03.11.2010, 23:25   #172
Форумчанин
 
Аватар для Vaza

 
Регистрация: 21.02.2009
Сообщений: 785

Vaza вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Результаты исследования безопасности и качества открытого кода

Компания Coverity, разработчик инструмента для автоматического исследования безопасности и качества программного обеспечения на основе сканирования и анализа исходного кода, опубликовала первые результаты за 2010 год в документе под названием "Отчёт о корректности Open Souce ПО". Последнее подобное исследование состоялось в 2008 году. Стоит напомнить, что программа Coverity Scan была начата в 2006 году как инициатива Министерства национальной безопасности США по обеспечению и усилению безопасности информационной инфраструктуры Соединенных Штатов, работающей на основе Open Source ПО.

В рамках исследования в этом году был проанализирован 61 миллион строк исходного кода 291 самых популярных и важных Open Source проектов, включая такие известные продукты как Android, Samba, Linux и Apache. Результаты этого года привели к следующим наблюдениям и выводам:

* В общей массе 45% обнаруженных дефектов в Open Source считаются очень опасными.
* Практически не изменился характер найденных ошибок и частота, с которой они встречаются. Это означает, что процесс тестирования в процессе разработки также не изменился. Результаты также демонстрируют факт того, что человеческий фактор легко позволяет просочиться подобным ошибкам в разработке.
* Ответственность за Open Source сильно фрагментирована. Учитывая высокие темпы в увеличении использования Open Source в цепочке поставок коммерческого ПО, исследователи из Coverity наблюдают увеличивающийся спрос на достижение прозрачности при развёртывании Open Source проектов.

Отдельным пунктом данного исследования, как уже было сказано ранее, является платформа Android. Поскольку различные вендоры используют разные версии Android, исследователи из Coverity остановились на Android, который поставляется вместе с HTC Droid Incredible. Android в этом устройстве использует Linux-ядро версии 2.6.32, а также дополнительные драйверы для обеспечения работы беспроводной сети, сенсорного экрана и фотокамеры. Исследование показало, что:

* Ядро Android в HTC Droid Incredible содержит в два раза меньше ошибок, чем другой средний продукт с таким же объёмом исходного кода.
* Ядро Android имеет лучший показатель числа ошибок на 1000 строк кода (LIC), однако исследование всё равно обнаружило 359 ошибок. Исследователи считают, что другие продукты на основе Android имеют схожее количество ошибок.
* Исследователи нашли 88 очень серьёзных ошибок в Android, или 25% от всех обнаруженных ошибок, включая порчу памяти, неправильное обращение к памяти, утечка ресурсов - все эти типы ошибок являются критическими и могут привести к проблемам в безопасности, потере данных, нестабильности в работе и ухудшению качества. Обычно подобные ошибки пользователи Coverity исправляют до выхода продукта на рынок.
* Ответственность за Android сильно фрагментирована, ибо Android состоит из множества программных продуктов, за которые отвечают тысячи никак несвязанных друг с другом людей. Немаловажную роль в этой проблеме играет и наличие ПО от самого производителя - ведь практически ни один вендор не поставляет немодифицированный Android.

Полный отчёт о найденных ошибках компания Coverity уже отправила ответственным лицам и заинтересованным сторонам. Остаётся надеяться, что ошибки будут исправлены и качество Open Source улучшится.

источник
  Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
Re: IT-безопасность-свежие новости.
Старый 04.11.2010, 08:07   #173
Форумчанин
 
Аватар для Vaza

 
Регистрация: 21.02.2009
Сообщений: 785

Vaza вне форума
По умолчанию Re: IT-безопасность-свежие новости.

В Outpost обнаружена уязвимость

Компания Agnitum сообщает пользователям продуктов Outpost 7.0, 7.0.1 и 7.0.2 о потенциальной уязвимости в соответствующих версиях, которая была выявлена в результате проведенного вчера внутреннего исследования.

Поскольку исследовательская лаборатория Agnitum производит регулярный мониторинг и превентивный анализ решений Outpost, а также критических системных объектов и реестра на предмет возможных уязвимостей, мы может предугадать и предотвратить действия вирусописателей, использующих в корыстных целях скрытые системные дефекты Windows. В результате пристального изучения веток реестра, защищаемых решениями Outpost на данный момент, специалисты Agnitum обнаружили потенциальную системную уязвимость, которая может отразиться на безопасности пользователей Outpost 7.0, 7.0.1 и 7.0.2.

Насколько мы знаем, современное вредоносное ПО не успело взять на вооружение этот ранее не замеченный изъян в системе, однако в наших общих интересах предотвратить угрозу до ее активизации.

Проверив продукты Outpost 7.0.3 и 7.0.4 на наличие той же уязвимости, мы убедились в том, что данные решения ей не подвержены, благодаря иному механизму защиты системных объектов, внедренному в названных версиях. В данный момент мы вынуждены воздержаться от расширенного технического комментария в целях безопасности. Более подробная информация будет доступна по мере исследования сложившейся проблемы.

В качестве превентивной меры мы настоятельно рекомендуем пользователям уязвимых версий перейти на продукты Outpost 7.0.4 и обеспечить новейшую защиту для своих ПК.

источник
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 04.11.2010, 19:11   #174
"СЧАСТЬЕ ДЛЯ ВСЕХ, ДАРОМ, И ПУСТЬ НИКТО НЕ УЙДЕТ ОБИЖЕННЫЙ!"
 
Аватар для ole44

 
Регистрация: 18.08.2009
Сообщений: 4 404

ole44 вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Браузер Microsoft Internet Explorer под ударом хакеров

---------------------------------------------------------------------------------

Корпорация Microsoft сегодня выпустила экстренное предупреждение на сайте Technet, согласно которому в сети зафиксировано распространение нового эксплоита, атакующего ранее неизвестную критическую уязвимость в браузере Internet Explorer. В Microsoft Security Responce Center подтвердили, что уязвимость носит критически опасный характер и ей подвержены все поддерживаемые на данный момент версии браузера, начиная с IE6 и заканчивая бета-версией IE9.

Специалист по анализу уязвимостей в программном обеспечении Microsoft Джонатан Несс говорит, что пока в сети обнаружены эксплоиты для IE6, но они при некоторой доработке могут быть использованы для 7 и 8 версий браузера. По данным специалистов Microsoft Security Responce Center, на сегодня уязвимость имеет "крайне ограниченное" распространение.

Уязвимость позволяет запустить атаку класса Drive-By при посещении злонамеренного сайта и обойти систему защиты Windows. Специалисты говорят, что атака запускается "мгновенно" и без каких-либо оповещений со стороны системы.

Несколько лучше обстоят дела у пользователей IE8 и систем Windows Vista и Windows 7, так как здесь присутствует технология DEP или Data Execution Prevention, которая включена по умолчанию и она не даст злонамеренным кодам начать исполнение в системе без явной на то команды пользователя. Кроме того, в последней версии Windows 7 есть и технология ASLR или Address Space Layout Randomization, которая блокирует подобные атаки за счет рандомизации адресного пространства кодов, попавших в ОЗУ компьютера из интернета.

В компании Symantec заявили, что впервые увидели эксплоит пару дней назад и судя по характеру его распространения, он рассылается некими частными лицами преимущественно по корпоративным email, вероятно с целью промышленного шпионажа. В Symantec говорят, что сами коды эксплоита не рассылаются, в письмах идут ссылки на вредоносные сайты.

"Рассылка писем идет в разные компании, работающие в разных секторах экономики и находящимися в разных странах", - говорит Викрам Такур, технический аналитик Symantec.

На данный момент в Microsoft не говорят, когда точно будет выпущен патч для озвученной уязвимости, говоря лишь, что технические специалисты уже начали работать над исправлением. В качестве временной меры компания советует убедиться в активности технологии DEP, а также в актуальности баз знаний антивирусного программного обеспечения.

http://www.cybersecurity.ru/
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 04.11.2010, 22:48   #175
Форумчанин
 
Аватар для Vaza

 
Регистрация: 21.02.2009
Сообщений: 785

Vaza вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Каждый восьмой компьютер заражается через USB устройство

Такой вывод сделали эксперты AVAST Software в результате проведенного исследования, на предмет обнаружения червя autorun.inf. Только за последнюю неделю октября было зарегистрировано 700000 случаев заражения через USB устройство. Получается, что атаке подвергся каждый восьмой или 13% пользователей, зарегистрированных в сети CommunityIQ.

Как известно, червь “INF:AutoRun-gen2 [Wrm]” (прим. название вредоноса в avast!) проникает в систему при подключении к компьютеру зараженного USB накопителя, коим может оказаться любое устройство хранения данных, как то: флеш - память, PSP, цифровая камера, сотовые телефоны, mp3 плееры и другие устройства. Попав в систему, вирус провоцирует появление широкого спектра вредоносов на компьютере жертвы. Помимо этого, этот червь самостоятельно копируется в ядро и может реплицироваться при каждом запуске операционной системы.

По мнению аналитика вирусной лаборатории AVAST Software Яна Сирмера, функция автозапуска очень полезная, но при этом через нее распространяется более трети известных вредоносов. Он считает, что совокупность таких факторов как естественное желание пользователей поделиться информацией со своими друзьями и достаточно большая емкость существующих USB накопителей являются привлекательным условием для злоумышленников. Кроме этого, сотрудники компаний в работе часто используют личные флешки, что усложняет процесс обнаружения, поскольку пользователи, как правило, не проверяют устройство на наличие вирусов. В лучшем случае будет произведена быстрая проверка, которая может не обнаружить вредонос.

Эксперты считают, что процент распространения вирусов через USB накопители не уменьшится с введением нового стандарта USB 3, поскольку вирусописатели разработают новый адаптированный код и методы сокрытия своей работы. Г-н Сирмер так же добавил, что злоумышленники всегда впереди на один шаг. Однажды, в одном коде он обнаружил фразу ‘y0u c4nt st0p us’ (вы не сможете нас остановить).

С помощью avast! System Shield в момент подключения USB устройства было отражено 84% атак AutoRun-gen2, оставшиеся 16% обезврежено при проверке жесткого диска.
  Ответить с цитированием
Пользователь сказал cпасибо:
Re: IT-безопасность-свежие новости.
Старый 08.11.2010, 15:41   #176
"СЧАСТЬЕ ДЛЯ ВСЕХ, ДАРОМ, И ПУСТЬ НИКТО НЕ УЙДЕТ ОБИЖЕННЫЙ!"
 
Аватар для ole44

 
Регистрация: 18.08.2009
Сообщений: 4 404

ole44 вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Google залатала дюжину "дыр" в Chrome 7


Разработчики Google выпустили порцию заплаток для браузера Chrome, обновив приложение до версии 7.0.517.44.

В новой редакции веб-обозревателя специалисты компании устранили 12 уязвимостей высокой степени опасности. Программисты исправили недоработки в коде, приводившие к повреждению областей памяти обработчика страниц, устранили "дыры" в отвечающей за взаимодействие с SVG-файлами системе, ликвидировали бреши в компоненте libvpx и прочих модулях браузера. Также сообщается о включении в состав обозревателя новой версии Adobe Flash Player, в котором была закрыта критическая уязвимость, позволявшая злоумышленникам выполнить вредоносный код на удаленном компьютере при открытии пользователем специально оформленного SWF- либо PDF-файла. Во избежание проблем с безопасностью, рекомендуется обновить Chrome при первой же возможности.
Седьмая линейка Chrome была представлена 20 октября. При подготовке к выпуску обновленной версии браузера разработчики сосредоточили усилия на совершенствовании механизмов обработки сетевого контента, реализации нового алгоритма парсинга HTML5, поддержке AppleScript и интерфейса FileAPI. Среди прочих нововведений выделяются возможность манипулирования директориями при загрузке данных на удаленный сервер и появление в настройках программы опции, отвечающей за блокирование файлов cookies от определенных сайтов. Также в списке изменений фигурирует увеличенная скорость работы обозревателя.

Загрузить Chrome 7.0 можно с сайта http://www.google.com/chrome либо воспользовавшись функцией автоматического обновления уже установленного браузера. Доступны сборки для Windows, Linux и Mac OS.

http://googlechromereleases.blogspot.com/
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 13.11.2010, 17:00   #177
"СЧАСТЬЕ ДЛЯ ВСЕХ, ДАРОМ, И ПУСТЬ НИКТО НЕ УЙДЕТ ОБИЖЕННЫЙ!"
 
Аватар для ole44

 
Регистрация: 18.08.2009
Сообщений: 4 404

ole44 вне форума
По умолчанию Re: IT-безопасность-свежие новости.

пробелы в системе безопасности в Java.


Онлайн-преступники в последние месяцы пытаются распространять вредоносный код через пробелы в системе безопасности в Java. К такому выводу пришли эксперты лаборатории безопасности компании G Data после проведения анализа результатов предыдущего месяца и отметили впервые с февраля изменения в лидерах Топ 10 вредоносных программ. До этого, наибольшую опасность представляли слабые места в PDF, теперь они сменились на Java эксплойт. Java.Trojan.Exploit.Bytverify.N можно найти на взломанных веб-сайтах и пытается инфицировать ПК с Windows с помощью манипулируемого Java-Applet через Drive-by-Dowload. G Data рекомендует помимо необходимой защиты в режиме реального времени обязательно обновлять любое установленное программное обеспечение.
«Использование слабых мест в системе безопасности компьютерных программ считается одним из самых эффективных методов хакерской индустрии для взятия компьютера под собственный контроль. Одного посещения манипулируемой интернет-страницы с незащищённого компьютера достаточно для того, чтобы инфицировать его вредоносным кодом», заявил Ральф Бенцмюллер, руководитель лаборатории безопасности компании G Data. «В настоящее время мы наблюдаем рост количества атак, для проведения которых используются пробелы в системе безопасности Java-версий. Наибольшей опасности подвержены пользователи, которые не обновляют установленные версии ПО».



Рекомендация эксперта в области безопасности компании G Data: помимо установки высокопроизводительного решения безопасности пользователям ПК необходимо постоянно обновлять операционную систему, установленный браузер и его компоненты. Также необходимо устанавливать программные обновления и заплатки для того, чтобы закрыть имеющиеся пробелы в системе безопасности.

Возможные причины доминирования атак в Java в настоящее время: пробелы в системе безопасности Java открывают для преступников большой технический потенциал, процесс производства и распространения вредоносного кода по сравнению с остальными формами инфицирования стал значительно проще. Предупреждающие сообщения за прошедшие месяцы, касающиеся темы пробелов в PDF, поспособствовали усовершенствованию системы. Благодаря многочисленным обновлениям системы безопасности производителям PDF-Reader удалось значительно усложнить процесс разработки вредоносных программ.


Загрузки с базой JavaScript типа JS:Downloader являются в настоящее время активными и постоянно усовершенствуются авторами вредоносных программ. Три версии троянских программ попали в октябре 2010 в Топ 10 вредоносных программ.


Информация о компьютерных вредителях

Java.Trojan.Exploit.Bytverify.N
Данная угроза использует пробел в системе безопасности в Java Bytecode Verifier, её можно обнаружить в манипулируемых Java-апплетах, например на веб-сайтах. При использовании пробела в системе безопасности может быть исполнен зловредный код, который вызывает, например, загрузку троянской программы. Таким образом, взломщик может взять под свой контроль систему жертвы.

Worm.Autorun.VHG
Червь, который распространяется на операционных системах Windows с помощью функции autorun.inf. Он использует сменные носители информации, такие как, например, USB-носители или мобильные жёсткие диски. Он является интернет-червем и сетевым червем и использует пробел в системе безопасности Windows CVE-2008-4250.

JS:Pdfka-OE [Expl]
Это эксплойт, который пытается атаковать компьютер из слабых мест движков JavaScript PDF программ. Пользователю нужно только лишь открыть PDf для того, чтобы запустить эксплойт. Если атака на компьютер жертвы произведена удачно, вредоносный код загружается в ПК.

WMA:Wimad [Drp]
Данный троянец выдаёт себя за обычный .wma аудиофайл, который может проигрываться только после установки специальных кодеков/декодеров на системах Windows. Если файл исполняется пользователем, взломщик может установить любой вредоносный код на систему. Инфицированные аудиофайлы распространяются преимущественно через P2P-сети.

Application.Keygen.BI
В данном случае речь идёт о генераторе ключей. Данный вид атак используется в P2P файлообменных сетях и на варез-сайтах, так как на них можно получить бесплатно лицензионное ПО. Там можно чаще всего найти такие программы. Данные приложения не только вызывают сомнения, но и скрывают дальнейшие пробелы в системе безопасности.

JS:Downloader-AEY [Trj]
Этот вредитель появляется преимущественно на веб-сайтах. Речь идёт о троянской программе, которая прописывается в JavaScript. Если пользователи серфингует на веб-сайте, который содержит вредоносный JavaScript, код исполняется и загружает дальнейшие файлы на ПК жертвы. Данные файлы могут являться любым видом вредоносного ПО.

Win32.Sality.OG
Полиморфный инфектор файлов, который модифицирует исполняемые файлы (.exe, .scr) и прячется с помощью руткита в инфицированной системе. Sality.OG распространяется через сеть или носители данных, оставляя файл Autorun.inf в Root меню соответствующего носителя.

JS:Downloader-AFR [Trj]
Вредоносная функция данного загрузчика действует как аналог JS:Downloader-AEY [Trj] &.JS:Download – AEU [Trj]. Вредоносная функция и распространение действуют также как JS:Downloader-AEY.

JS:Downloader-AEU [Trj]
Данный вредитель, также как и JS:Downloader-AEY [Trj] и JS:Downloader-AFR [Trj], является троянской программой, которая использует пробелы в системе безопасности в JavaScript для дальнейшей загрузки вредоносного кода.

Методика
Malware Information Initiative (MII) (инициатива по борьбе с вредоносными программами) рассчитывает на силы онлайн-сообщества, и каждый клиент G Data может принять в ней участие. Для этого ему необходимо активировать данную функцию в программе G Data. Если атака компьютерного вредителя отражается, данные анонимно отправляются в лабораторию G Data. В лаборатории безопасности собирается и статистически обрабатывается информация о вредителях.

http://ru.gdatasoftware.com/

[
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 17.11.2010, 19:14   #178
"СЧАСТЬЕ ДЛЯ ВСЕХ, ДАРОМ, И ПУСТЬ НИКТО НЕ УЙДЕТ ОБИЖЕННЫЙ!"
 
Аватар для ole44

 
Регистрация: 18.08.2009
Сообщений: 4 404

ole44 вне форума
По умолчанию Re: IT-безопасность-свежие новости.

"Самый продвинутый" руткит появился под 64-битные версии Windows 7


Компания Prevx сообщила о появлении "самого продвинутого" руткита под 64-битную версию операционной системы Windows 7. Ранее данный руткит существовал только в 32-битном варианте, новая версия нацелена на более современные системы. В Prevx говорят, что руткит TDL, также известный как Alureon, может заражать 64-битные Windows 7, обходя расширенные компоненты защиты, изначально как раз и созданные для того, чтобы блокировать различного рода атаки.

Новое программное обеспечение было опубликовано в понедельник GFI Software. Согласно данным этой компании, руткит TDL4 проникает в 64-битные Windows 7, обходя системы ядра Windows, работающие на основе политик подписи исполняемого низкоуровневого кода. То есть, любой код на уровне ядра Windows, работающий в системе, должен иметь соответствующую подпись, говорящую о том, что данный код (чаще всего это драйвер) происходит из надежного источника.

После проникновения в систему, руткит модифицирует главную загрузочную запись на жестком диске компьютера, изменяя условия загрузки ОС. По словам создателей, руткит меняет MBR на диске и устанавливает специальную политику под названием LoadIntegrityCheckPolicy, которая блокирует процесс валидации загружаемых программ и позволяет запускать на уровне ядра другие неподписанные DLL-библиотеки.

Согласно данным компании Prevx, руткит TDL является "самым продвинутым" набором для удаленного управления компьютером. Использовать его можно как бэкдор для инсталляции клавиатурных шпионов и других видов злонамеренного программного обеспечения.

Разработчики говорят, что одна из наиболее продвинутых систем защиты в Windows - это подпись кода, кроме того в 64-битной версии системы используется также и технология PatchGuard, которая блокирует драйверы, пытающиеся заменить собой некоторые важные функции ядра системы Windows. TDL за счет операций с загрузочным сектором обходит оба этих момента.

http://www.cybersecurity.ru/
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 18.11.2010, 21:39   #179
"СЧАСТЬЕ ДЛЯ ВСЕХ, ДАРОМ, И ПУСТЬ НИКТО НЕ УЙДЕТ ОБИЖЕННЫЙ!"
 
Аватар для ole44

 
Регистрация: 18.08.2009
Сообщений: 4 404

ole44 вне форума
По умолчанию Re: IT-безопасность-свежие новости.

SMS-мошенники предлагают пользователям короткие сообщения за 200 рублей

Специалисты «Лаборатории Касперского» распространили предупреждение об очередном способе SMS-мошенничества, связанном с оплатой активации загруженного контента через короткие номера.

В Интернете набирают популярность сайты, предлагающие пользователю загрузить музыку, фильмы или другой контент за очень скромную сумму. Когда пользователь, заинтересованный выгодным предложением, выбирает товар, сайт начинает имитировать загрузку выбранного фильма или программы на ПК. После «завершения» процедуры, сайт предлагает активировать контент, отправив SMS на короткий номер: при загрузке пакета программ от пользователя могут потребовать платную активацию ПО, а в случае, если речь идет о фильме, — оплатить якобы необходимый набор кодеков и т.д.

Чтобы избавить пользователя от лишних сомнений, ему предлагают перейти по ссылке на абсолютно легальный сайт агрегатора и лично убедиться в минимальной стоимости «активации». Предлагаемый ресурс действительно содержит список сотовых операторов с расценками за отправленную SMS у каждого из них — цена не превышает нескольких рублей.

Однако внимательный пользователь заметит, что короткий номер на сайте агрегатора не соответствует тому, на который мошенники просят отправить SMS-сообщение. Выбрав же правильный номер, пользователь может несколько удивиться той «скромной» сумме, которую с него требуют за псевдо-активацию якобы загруженного контента. У некоторых операторов она превышает 200 рублей.

Антивирусные эксперты призывают пользователей сохранять бдительность при регистрации на любых ресурсах — особенно тех, где просят ввести номер телефона или отправить SMS на короткий номер.



Добавлено через 11 минут
Интернет-мошенники все активнее применяют уязвимости в Java


В последние месяцы специалисты G Data Software отметили увеличение объема вредоносного кода, распространяемого кибер-мошенниками через уязвимости в Java. Об этом свидетельствует ежемесячный отчет, подготовленный экспертами лаборатории безопасности компании G Data Software, в котором впервые за десять месяцев появились новые лидеры в Tоп 10 среди вредоносных программ. До этого наибольшую опасность представляли уязвимости в PDF. Сейчас они сменились на Java эксплойт.

Самой популярной угрозой является Java.Trojan.Exploit.Bytverify.N, которую можно найти на взломанных веб-сайтах. Троян проникает на ПК с операционной системой Windows с помощью манипулируемого Java-Applet через Drive-by-Dowload. G Data Software рекомендует помимо настройки защиты в режиме реального времени обязательно обновлять любое установленное программное обеспечение.

«Использование уязвимостей в системе безопасности компьютерных программ считается одним из самых эффективных методов контроля компьютера в хакерской индустрии. Для инфицирования ПК вредоносным кодом достаточно одного посещения манипулируемой Интернет-страницы с незащищённого компьютера», — рассказывает Ральф Бенцмюллер, руководитель лаборатории безопасности компании G Data Software. — Сейчас мы отмечаем рост числа атак, для проведения которых используются уязвимости в системе безопасности Java-версий. Наибольшей опасности подвержены пользователи, которые не обновляют установленные версии программного обеспечения».

Также помимо установки высокопроизводительного решения безопасности пользователям необходимо постоянно обновлять операционную систему, установленный браузер и его компоненты. Более того, необходимо устанавливать программные обновления и заплатки для того, чтобы закрыть имеющиеся пробелы в системе безопасности.

Пробелы в системе безопасности Java открывают для преступников большой технический потенциал: именно этот процесс производства и распространения вредоносного кода стал значительно проще по сравнению с другими формами инфицирования. Предупреждающие сообщения об уязвимостях в сервисах PDF способствовали усовершенствованию системы. Благодаря многочисленным обновлениям системы безопасности производителям PDF-Reader удалось значительно усложнить процесс разработки вредоносных программ. Этого пока нельзя сказать о разработчиках Java.

Загрузки с базой JavaScript типа JS:Downloader постоянно усовершенствуются авторами вредоносных программ. Три версии троянских программ попали в октябре 2010 в Топ 10 вирусов.



Информация о компьютерных вредителях

Java.Trojan.Exploit.Bytverify.N
 Данная угроза использует пробел в системе безопасности в Java Bytecode Verifier, её можно обнаружить в манипулируемых Java-апплетах, например на веб-сайтах. При использовании пробела в системе безопасности может быть исполнен зловредный код, который вызывает, например, загрузку троянской программы. Таким образом, взломщик может взять под свой контроль систему жертвы.

Worm.Autorun.VHG
 Червь, который распространяется на операционных системах Windows с помощью функции autorun.inf. Он распространяется посредством сменных носителей информации, таких как, USB-носители или мобильные жёсткие диски. Он является Интернет-червем и сетевым червем и использует пробел в системе безопасности Windows CVE-2008-4250.


JS:Pdfka-OE [Expl] Это эксплойт, который пытается атаковать компьютер из слабых мест движков JavaScript PDF программ. Пользователю нужно только лишь открыть PDF для того, чтобы запустить эксплойт. Если атака на компьютер жертвы произведена удачно, вредоносный код загружается в ПК.


WMA:Wimad [Drp] Данный троянец выдаёт себя за обычный .wma аудиофайл, который может проигрываться только после установки специальных кодеков/декодеров на системах Windows. Если файл исполняется пользователем, взломщик может установить любой вредоносный код на систему. Инфицированные аудиофайлы распространяются преимущественно через P2P-сети.


Application.Keygen.BI
 В данном случае речь идёт о генераторе ключей. Данный вид атак используется в P2P файлообменных сетях и на варез-сайтах, так как на них можно получить бесплатно лицензионное ПО. Там можно чаще всего найти такие программы. Данные приложения не только вызывают сомнения, но и скрывают дальнейшие пробелы в системе безопасности.


JS:Downloader-AEY [Trj] Этот вредитель появляется преимущественно на веб-сайтах. Речь идёт о троянской программе, которая прописывается в JavaScript. Если пользователи серфингует на веб-сайте, который содержит вредоносный JavaScript, код исполняется и загружает дальнейшие файлы на ПК жертвы. Данные файлы могут являться любым видом вредоносного программного обеспечения.


Win32.Sality.OG 
Полиморфный инфектор файлов, который модифицирует исполняемые файлы (.exe, .scr) и прячется с помощью руткита в инфицированной системе. Sality.OG распространяется через сеть или носители данных, оставляя файл Autorun.inf в Root меню соответствующего носителя.


JS:Downloader-AFR [Trj] Вредоносная функция данного загрузчика действует как аналог JS:Downloader-AEY [Trj] &.JS:Download – AEU [Trj]. Вредоносная функция и распространение действуют также как JS:Downloader-AEY. 



JS:Downloader-AEU [Trj] Данный вредитель, также как и JS:Downloader-AEY [Trj] и JS:Downloader-AFR [Trj], является троянской программой, которая использует уязвимости в системе безопасности в JavaScript для дальнейшей загрузки вредоносного кода.


[Ссылки могут видеть только зарегистрированные пользователи. ]
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 19.11.2010, 20:19   #180
Форумчанин
 
Аватар для Vaza

 
Регистрация: 21.02.2009
Сообщений: 785

Vaza вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Шпионский ярлык: история трояна Stuxnet

Середина июля была ознаменована кибератакой на промышленный сектор целых государств. Естественно, наш журнал не мог пропустить такого события и подготовил материал об этом инциденте.

Промышленный шпионаж

Мы привыкли, что киберпреступность пытается обмануть, взломать и обворовать несчастных пользователей интернета. Но время всегда заставляет людей двигаться дальше, за новыми результатами и новой прибылью. То же самое происходит и в отношении плохих парней. Можно еще с десяток лет строить ботнеты, воровать номера CC, но ведь есть еще огромная неизведанная ниша — промышленность, ее технологии, секреты и ценные данные. Именно с ней и произошел инцидент в разгар лета — беспрецедентная атака на промышленные системы SCADA, Supervisory Control And Data Acquisition, что переводится как "Диспетчерское Управление и Сбор Данных" (по-нашему это аналог АСУ ТП — Автоматизированная Система Управления Технологическим Процессом). Такие системы контролируют процессы на производстве, нефтяных вышках, атомных электростанциях, газопроводах и т.д. Естественно, такие комплексы имеют свои базы данных, и та информация, что в этих базах, бесценна. Именно на эту информацию и нацелилась свежая вредоносная программа, получившая имя Stuxnet.

Stuxnet

Первыми обнаружили нового зверя братья-славяне из Белоруссии, а именно — антивирусная контора VirusBlokAda. 17 июня ими было найдено тело виря, но лишь к 10 июля они выпустили пресс-релиз (объясняя это тем, что им было необходимо уведомить компании, чье имя было в ходе дела "опорочено", и изучить экземпляр). Компании эти достаточно известны — Microsoft и Realtek. Специалисты VirusBlokAda зафиксировали использование червем 0day-уязвимости при обработке файлов ярлыков (.lnk), и поэтому в дело оказались вмешаны Microsoft (о самой уязвимости поговорим позже). А вот при чем тут Realtek? Дело в том, что устанавливаемые червем драйвера имели действующий сертификат, заверенный Verisign и выданный на имя Realtek. Такой оборот дела сильно усложняет процесс детектирования вредоносного контента различными системами обнаружения и предотвращения вторжения на уровне хоста (HIPS, антируткиты), так как такие системы безгранично доверяют сертификатам, не обращая внимания на суть дела. Я вполне уверен, что доверенный сертификат сильно продлил жизнь "малваре", прежде, чем ее обнаружили. Как бы то ни было, после пресс-релиза белорусов, другие антивирусные компании так же подключились к исследованию, как новой уязвимости, с помощью которой распространялся червь, так и к боевой нагрузке.

Распространение

Механизм размножения червя, казалось бы, не особо-то и оригинальный — через USB-флешки. Но autorun.inf тут уже ни при чем. В дело вступает новая уязвимость, которая позволяет загружать произвольную .DLL-библиотеку, как только флешка будет вставлена, и пользователь откроет ее содержимое. Дело в том, что на флешке лежит .DLL-файл с вредоносным кодом (ну, фактически расширение, в случае с червем, — .TMP) и .LNK-файл. Файл с расширением .LNK является обычным ярлыком. Но в нашей ситуации ярлык не совсем обычный. При отображении ярлычка в стандартной оболочке или Total Commander автоматически выполнится лежащий рядом .DLL-файл со всеми вытекающими отсюда последствиями! Как такое могло произойти?

Как известно, ярлык указывает на исполняемый файл и при двойном щелчке вызывает его. Но тут все без щелчков, да и .DLL-файл так не выполнить. Если рассмотреть ярлык в HEX-редакторе, можно увидеть, что в его середине указан путь до нашей .DLL. Кроме того, это не обычный ярлычок, а ярлычок на элемент панели управления! Эта-то деталь все и объясняет. Любой элемент панели управления — .CPL- апплет. Но CPL — это, по сути, простая .DLL, поэтому ярлык для панели управления особый, он как бы понимает, что имеет дело с .DLL. Кроме того, такой ярлык пытается ВЫТАЩИТЬ иконку из.DLL, чтобы отобразить ее в проводнике. Но для того, чтобы вытащить иконку, надо подгрузить библиотеку. Что, собственно, оболочка и делает с помощью вызова LoadLibraryW().

Справедливости ради стоит отметить, что вызов этой функции автоматически влечет за собой выполнение функции DllMain() из подгружаемой библиотеки. Поэтому, если такой ярлычок будет указывать не на .CPL-апплет, а на злую библиотеку со злым кодом (в функции DllMain()), то код выполнится АВТОМАТИЧЕСКИ при просмотре иконки ярлыка. Кроме того, эту уязвимость можно использовать и с помощью .PIF-ярлыков.

Боевая нагрузка

Кроме интересного метода распространения удивила и боевая нагрузка — никаких ботнетов, краж банковских паролей, номеров CC. Все оказалось куда масштабнее. Уязвимость .LNK провоцирует загрузку скрытого файла с именем ~wtr4141.tmp, лежащего рядом с ярлыком. Файл этот исполняемый, но маленький (всего 25 Кб). Как отметили специалисты из Symantec, очень важно на первых порах скрыть свое присутствие, пока система еще не заражена. С учетом специфики 0day-уязвимости, которая действует, как только пользователь увидит иконки, сработает и ~wtr4141.tmp, который в первую очередь вешает перехваты системных вызовов в kernel32.dll. Перехватываемые вызовы:

* FindFirstFileW
* FindNextFileW
* FindFirstFileExW

Хуки также вешаются и на некоторые функции из ntdll.dll:

* NtQueryDirectoryFile
* ZwQueryDirectoryFile

Все эти функции обрабатываются со следующей логикой — если файл начинается с "~wtr" и заканчивается на ".tmp" (или на ".lnk"), то удалить его из возвращенного оригинальной функцией значения, а затем вернуть, что осталось. Другими словами, скрыть свое присутствие на диске. Поэтому пользователь просто не увидит файлы на флешке. После этого ~wtr4141.tmp подгружает второй файл с диска (~wtr4132.tmp). Делает он это не совсем стандартно, я бы даже сказал, извращенно — установкой хуков в ntdll.dll на вызовы:

* ZwMapViewOfSection
* ZwCreateSection
* ZwOpenFile
* ZwCloseFile
* ZwQueryAttributesFile
* ZwQuerySection

Затем с помощью вызова LoadLibrary он пытается подгрузить несуществующий файл со специальным именем, на это дело срабатывают ранее установленные хуки и грузят второй файл, уже реально существующий — ~wtr4132.tmp, вернее, его незакодированную часть, которая раскодирует вторую часть (по факту — UPX-сжатие). Вторая часть представляет собой некие ресурсы, другие файлы, которые вступают в дело после расшифровки и экспорта (аналогичным извращенным методом с хуками на API функции).

Первым делом устанавливаются два драйвера — mrxcls.sys и mrxnet.sys (именно из-за этих файлов червь получил такое название — Stuxnet). Устанавливаются они в системную директорию, а функционал на них — руткит уровня ядра с той же логикой, что и в первом файле. Это обеспечит защиту червя после перезагрузки и завершения процесса ~wtr4141.tmp.

Драйвера эти, как уже было сказано, имеют легитимный сертификат Realtek, поэтому их установка пройдет без проблем (на данный момент сертификат уже отозван). Кроме руткита распаковываются файлы шаблона ярлыка и ~wtr4141.tmp для организации заражения других USB-устройств. Потом экспортируется код, который инъектится в системные процессы и добавляет в реестр вышеотмеченные .SYS-файлы руткита (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ MRxCls). Далее раскодируются два .DLL-файла, которые заменяют существующие файлы системы SCADA — Siemens Step 7.

Таким образом, все вызовы из системы SCADA переходят в поддельные библиотеки. Там происходит "нужная" обработка, после чего вызовы передаются в оригинальные .DLL (остальную часть функций вирь и вовсе эмулирует самостоятельно). Кроме всего перечисленного, червь блокирует процессы антивирусов и пытается найти сервера СУБД (MSSQL). Найдя таковые, он пробует выполнить вход с учетной записью WinCCConnect и паролем по умолчанию — 2WSXcder. Это учетная запись от БД SCADA типа Siemens Simatic WinCC. Как видно, червь заточен именно под продукт Siemens. Если аутентификация прошла успешно, шпион выкачивает данные о процессах и прочую секретную инфу. Кроме того, он не гнушается поискать в локальных файлах полезную для шпионов информацию. Если удается обнаружить выход в интернет, то червь лезет на один из командных серверов. Имена серваков такие:

* mypremierfutbol.com
* todaysfutbol.com

Туда червь и пытался достучаться и "что-то" слить в зашифрованном виде. Ребята из Symantec разобрались и с этой задачей. Оказалось, что шифрование представляет собой побайтовую операцию XOR с 31-битным ключом, который был прошит в одной из .DLL-библиотек. Ответ с сервера также приходит в XOR-виде, правда, используется уже другой ключ из той же библиотеки. Троян отсылает на сервер общую информацию о зараженной машине (версия винды, имя компьютера, адреса сетевых интерфейсов, а также флаг наличия SCADA). В ответ от командного центра могут приходить вызовы RPC для работы с файлами, создания процессов, внедрения в процесс и загрузки новых библиотек и др.

Что это было?

Именно так… что же это было?! Простые блэкхаты не будут ввязываться в то, что не принесет легких денег. Данные из SCADA-систем интересны лишь конкурентам. Конкурентам в коммерческом или политическом планах. Если взглянуть на карту распространения заразы (по данным лаборатории Касперского), то видно, что эпицентр — Азия (а именно — Индия, Иран и Индонезия). Если взглянуть на описанный функционал червя, то можно ужаснуться — контроль над .DLL и перехват функций SCADA. Разве не круто — управлять индийской атомной электростанцией по инету? Или проникнуть в иранскую ядерную программу? К тому же, мы имеем факт, что драйвера руткита имеют легальный сертификат, который географически принадлежит компании, базирующейся в той же зоне (в Тайланде)!

Этой историей занимаются не только антивирусные компании, но и правительственные структуры (чтобы замести свои следы? :)). В результате "захвата" указанных доменов и командных серверов удалось проанализировать статистику стучащихся туда больных машин. В итоге данные Symantec практически совпадают со сведениями Лаборатории Касперского — все те же страны. Кроме всего этого уже подтвердились факты проникновения и в саму систему SCADA. Пока не так много, около трех фактов (два из Германии и один из Ирана). Но ведь не все будут публично говорить, что их поимели...

Что будет?

После всего случившегося, я думаю, возникнет неслабый интерес к безопасности SCADA. До этого инцидента уже были и исследователи, и фирмы, которые предупреждали о проблемах в безопасности и предлагали свои услуги, но этот конкретный случай может помочь им очень неплохо заработать. Смею полагать, что такая же модель червя годится и для ERP-систем, так как показанная схема применима и для этой модели. ERP-системы отвечают за планирование и управление бизнесом — деньгами, задачами, товарами и т.д., и т.п. (Я бы даже сказал, что написать такого червя под ERP было бы легче, но раз была выбрана SCADA и регионы Азии, то тут скорее попахивает политикой...). Так что все эти бизнес- и промышленные системы еще ждут своих героев (привет Александру Полякову aka sh2kerr). Но вот что касается .LNK-уязвимости, то, например, троянец Zeus уже стал использовать ее для своего размножения. Кроме того, ребята из Rapid7 сделали эксплойт для Metasploit, который способен работать через HTTP с помощью WebDav.

При этом шеллкод забивается в .DLL-файл, и ярлык его подгружает. Патча на момент написания статьи еще не было, а угроза весьма существенная — тут все антивирусные компании говорят, что они прекрасно детектируют виря по сигнатурам, поэтому самое время обратить внимание, что сигнатуры — отстой. Сигнатура DLL нам не так интересна, а вот сигнатура, по которой определяется, что данный ярлык — эксплойт, определенно может хромать. Возьмем ярлык от публичного PoC (suckme.lnk_) и отправим это чудо на virustotal.com. В итоге мы имеем 27 антивирусов, которые его обнаружили. Теперь откроем панель управления и создадим пару ярлыков, один желательно от Java. Далее переименуем эти ярлыки через консоль:

nopy Java.lnk Java.lnk_

Второй ярлык копируем аналогично первому. Теперь мы можем редактировать их в HEX-редакторе. Обычно все ярлыки имеют указатель в виде Unicode-формата, но Java-ярлык — нет. В итоге мы видим две ссылки на CPL-апплеты, причем для Java — не в Unicode-виде. Меняем путь к CPL (DLL) на наш файл, удаляем посередине лишние байты (fa ff ff ff 20) и сохраняем. Копируем обратно с расширением .LNK. Итоги отправляем на virustotal.com. Для Unicode-ярлыка осталось 11 антивирусов, для Java-ярлыка — 8, то есть 70% антивирусов перестали детектить эксплойт, и среди этих антивирусов такие гиганты, как Symantec, Kaspersky, AVG, NOD32. Так что антивирус тут — не панацея.

Это так... пять копеек от меня, чтобы там не расслаблялись, а вообще, антивирусникам надо сказать спасибо за столь тщательную и интересную работу, которую они проделали, чтобы помочь нам разобраться в этой угрозе. Спасибо Вам, бойцам антивирусного фронта: AdBlokAda (первыми обнаружили и изучили), Symantec (за подробный технический анализ в своем блоге), компании ESET и лично Александру Матросову за их работу в московской лаборатории. Также спасибо лаборатории Касперского и их блогу, в котором Александр Гостев делился своими мыслями и красивыми картами :). Ну и спасибо тебе, мой читатель, переваривший этот важный материал.
  Ответить с цитированием
4 пользователя(ей) сказали cпасибо:
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
iSpy (безопасность дома, офиса...) Igoranama Другие программы - free version 111 15.03.2017 13:12
Новости кино DolphinDаrk Кино, Видео и ТВ 265 13.11.2016 08:33
Anvide Flash Lock ( Безопасность / Защита данных ) masteroleg Другие программы - free version 1 17.09.2015 16:23
LockXLS - безопасность Microsoft Excel rekc Офисные программы 2 10.12.2013 12:32
Правила раздела "Безопасность системы" creator Правила раздела 0 18.01.2011 20:49


Часовой пояс GMT +3, время: 11:10.




Загрузка...
Яндекс.Метрика