Новости о Вирусах

[SwiridenkoYura]

Антивирус Касперского и Kaspersky Internet Security признаны лучшими защитными продуктами 2011 года

Антивирус Касперского и Kaspersky Internet Security получили награду «Продукт года» независимой тестовой лаборатории AV-Comparatives. Такое звание было присуждено решениям «Лаборатории Касперского» для домашних пользователей по результатам девяти сравнительных тестирований, проведенных в 2011 году среди 20 ведущих мировых производителей. «Лаборатория Касперского» оказалась единственной компанией, получившей высшую оценку «Advanced+» во всех тестах.
Выбирая победителя в номинации «Продукт года», эксперты AV-Comparatives оценивали уровень детектирования вредоносных программ, эффективность эвристических алгоритмов, количество ложных срабатываний, производительность решения, качество лечения зараженной системы и эффективность работы с реальными сценариями пользовательского поведения. Каждый из этих параметров оценивался объективно посредством соответствующих тестов. В результате, уже в третий раз продукты «Лаборатории Касперского» получили наивысшую оценку AV-Comparatives по итогам года.
В течение 2011 года продукты «Лаборатории Касперского» участвовали в девяти сравнительных тестированиях антивирусных решений, в каждом из которых оценивались различные особенности функционирования программ для защиты компьютера от современных угроз. Во всех тестах решения «Лаборатории Касперского» получили наивысшую оценку, показав высокие результаты по эффективности детектирования вредоносных программ, с минимальным количеством ложных срабатываний. Кроме того, в AV-Comparatives отметили высокое качество лечения зараженной системы, а также высокую производительность продуктов.
Особое внимание в итоговом отчете AV-Comparatives уделено решению Kaspersky Internet Security 2012. В обзоре продукта отмечена простота в установке и использовании, полная работоспособность программы в режиме «Безопасной загрузки» Windows и качество онлайн-поддержки пользователей. Представители тестовой лаборатории также высоко оценили обновленный интерфейс программы и подробную техническую документацию.

[SwiridenkoYura]

Самый известный троян для Facebook был создан в России

Создатели Koobface, самой известной троянской программы в социальной сети Facebook - пятеро жителей Санкт-Петербурга, утверждает New York Times со ссылкой на немецкий телеканал SWR. Помимо факта гражданской принадлежности хакеров газета приводит имена и ники возможных киберпреступников.
По мнению издания, ответственность за работу червя Koobface несет хакерская группа «Али-Баба & 4», состоящая из Антона Коротченко (ник KrotReal), Станислава Авдейко (leDed), Святослава Полищука (PsViat и PsycoMan), Романа Котурбаша (PoMuc) и Александра Колтышева (Floppy).
Стоит заметить, что CNews о российской принадлежности авторов Koobface писал еще более года назад. Тогда главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев сообщил изданию, что «за Koobface стоят русскоязычные киберпреступники».
Нынешний всплеск интереса к Koobface обусловлен действиями немецкого блоггера Яна Дремера (Jan Droemer), который, пользуясь только открытыми данными, еще в начале 2010 г. сумел вычислить имена и ники владельцев Koobface. Собранные сведения, включая имена, адреса, телефоны и фотографии потенциальных злоумышленников Дремер передал в правоохранительные органы Германии и США, а также в телеканал SWR, который на днях и опубликовал информацию в эфире.
New York Times сообщает, что несмотря на известность хозяев Koobface, они до сих пор находятся на свободе, поскольку сотрудничество между западными и российскими правоохранителями в сфере кибепреступности затруднено.
Газета пишет, что Koobface, специализировавшийся на публикации рекламных ссылок в соцсетях, приносил своим владельцам до $2 млн в год. Ссылаясь на оценку «Лабораторию Касперского», газета сообщает о бот-сети Koobface, включавшей в себя в 2010 г. от 400 тыс. до 800 тыс. зараженных компьютеров по всему миру.

В ноябре 2010 г. три управляющих сервера ботнета были обнаружены и остановлены усилиями британской полиции, после чего активность Koobface пошла на спад.
Между тем, червь Koobface, известный с 2008 г., остается одним из самых знаменитых троянов, распространявшихся в соцсетях. Он примечателен тем, что стал первым ботнетом, активно использующим для заражения компьютеров Facebook, и само его имя представляет собой анаграмму названия крупнейшей в мире социальной сети.
Для вовлечения пользовательских компьютеров во вредоносную сеть ботнет рассылает по контактам уже зараженных компьютеров предложение кликнуть на смешной видеоролик, для чего пользователю требуется обновить flash-плеер. После перехода по ссылке на компьютер жертвы устанавливается вредоносное Java-приложение. Помимо Facebook, Koobface распространяется через MySpace, Twitter и другие соцсети.
В силу природы заражения Koobface, которая требует от пользователя согласия на загрузку вредоносного ПО, его действию подвержены все операционные системы, включая вирусоустойчивые Linux и OS X.

[SwiridenkoYura]

Пользователи "ВКонтакте" вновь попали под прицел злоумышленников



Компания "Доктор Веб" информирует о распространении очередной схемы мошенничества, направленной против участников социальной сети "ВКонтакте", пользующихся сотовыми телефонами с поддержкой платформы Java ME.

Суть используемой злоумышленниками техники заключается в рассылке посредством ICQ спам-сообщений, призывающих интернет-пользователей во что бы то ни стало скачать мобильное Java-приложение, якобы являющееся удобным и функциональным клиентом для социальной сети "ВКонтакте". В процессе установки программа отсылает SMS на один из платных номеров и просит владельца устройства ввести в соответствующей форме на сайте киберпреступников полученный в ответном сообщении код. Таким образом пользователь соглашается стать подписчиком некой услуги, за использование которой с его счета мобильного оператора будет ежемесячно списываться некоторая сумма. Программа представляет собой файл в формате .jar, способный запуститься практически на любом портативном устройстве, поддерживающем Java ME. Справедливости ради эксперты "Доктор Веб" отмечают, что на распространяющей вредоносное ПО площадке опубликовано написанное с огромным количеством орфографических ошибок "соглашение", в котором явно сказано, что создатели продукта не несут никакой ответственности за последствия его использования, нанесенный пользователю ущерб, а также указывается, что приложение в процессе установки будет отсылать SMS на платные номера.
Специалисты по информационной безопасности рекомендуют пользователям быть предельно внимательными и осторожными при работе в глобальной сети, а также призывают проявлять бдительность и ни в коем случае не вестись на уловки хитроумных злоумышленников.


[Ссылки могут видеть только зарегистрированные пользователи. Зарегистрироваться...]

[SwiridenkoYura]

Код Norton Antivirus мог быть вскрыт



В своем твиттере хакер под псевдонимом "Жесткий Яма" (Yama Tough) угрожал на этой неделе опубликовать полный исходный код, на который опирается работа флагманского антивирусного продукта корпорации Symantec. В своем таком же злобном сообщении Яма утверждает, что в ближайший вторник он выложит на общественный обзор полную версию кода системы Norton Antivirus, причем объем архива SRC составит целые 1,7 Гбайт.

И это еще не все. Оказывается, 1,7 Гбайт — еще цветочки, и история продолжится. Хакер доказал свои возможности выкладывать фрагменты кода еще на прошлой неделе, последние были опубликованы совместно с кешем писем. Откуда хакер вытащил секретные данные?
Яма объясняет, что ему подвернулась возможность "копнуть" и вытянуть исходный код из серверов индийского правительства. Почему именно оттуда и каким образом могли производиться противоправные действия, конечно же, не известно, равно как и то, какое применение "злобный хакер" может найти своей находке. Опубликованные данные, а также обещанный Ямой "весом" 1,7 Гбайт архив, не подкреплены информацией о том, какие именно фрагменты кода применены в антивирусе.
[Ссылки могут видеть только зарегистрированные пользователи. Зарегистрироваться...]

[SwiridenkoYura]

Пользователи «В Контакте» с телефонами, поддерживающими Java, под ударом мошенников

Заходите в "Контакт" с телефона? Берегитесь!




Компания «Доктор Веб» предупреждает о распространении очередной схемы мошенничества, направленной против пользователей социальной сети «В Контакте», являющихся владельцами мобильных телефонов с поддержкой Java.
Пользователи «В Контакте» с телефонами, поддерживающими Java, под ударом мошенников
После новогодних праздников участились случаи массового распространения спама в использующих протокол ICQ клиентах для обмена сообщениями. Злоумышленники предлагают пользователям скачать приложение для мобильного телефона, якобы являющееся клиентом для социальной сети «В Контакте». В рассылке сообщается, что с помощью данной программы можно с большим комфортом пользоваться возможностями данной социальной сети.
Программа представляет собой файл в формате .jar, способный запуститься практически на любом мобильном устройстве с поддержкой Java. Справедливости ради следует отметить, что на сайте, распространяющем эту программу, размещено написанное с огромным количеством орфографических ошибок «соглашение», в котором явно сказано, что создатели программы не несут никакой ответственности за последствия ее использования, нанесенный пользователю ущерб, а также указывается, что программа в процессе установки будет отсылать СМС-сообщения на платные номера.
Как и следовало ожидать, в процессе установки приложение отсылает СМС-сообщение на один из платных номеров и просит пользователя ввести в соответствующей форме на сайте злоумышленников полученный в ответном СМС код. Таким образом пользователь соглашается стать подписчиком некой услуги, за использование которой с его счета мобильного оператора будет ежемесячно списываться некоторая сумма.
Данное приложение и адреса распространявших его сайтов уже добавлены в базы Dr.Web. Компания «Доктор Веб» призывает пользователей проявлять внимательность и всегда читать текст лицензии или пользовательского соглашения перед установкой любого загруженного из Интернета ПО.

[SwiridenkoYura]

Раскрыты доходы злоумышленников от сетевых мошенничеств с «платными архивами»

Вся правда о "платных архивах"

Распространение "платных архивов" приносит десятки тысяч долларов в месяц. Компания «Доктор Веб» готова поделиться с пользователями эксклюзивной информацией о том, как работает этот механизм, а также расскажет, как избежать финансовых потерь от действий злоумышленников.
Количество так называемых «платных архивов», детектируемых антивирусным ПО Dr.Web как Trojan.SmsSend, с каждым месяцем неуклонно растет. Что, впрочем, неудивительно: для создания подобного рода вредоносных программ злоумышленникам не нужно обладать навыками программистов, поскольку многочисленные сайты, предлагающие так называемые «партнерские программы», заботливо предоставляют всем желающим уже готовые решения — специальные «конструкторы», с помощью которых можно собрать собственный Trojan.SmsSend за несколько минут.

Традиционно Trojan.SmsSend представляет собой исполняемый архив, имитирующий установщик какой-либо полезной программы. При попытке открыть такой архив на экране компьютера демонстрируется процесс инсталляции соответствующего приложения, после чего для продолжения установки программа просит отправить платное СМС-сообщение на указанный злоумышленниками номер. В некоторых случаях, якобы в целях активации программы, от пользователя требуют ввести номер мобильного телефона, а затем — полученный в ответном СМС-сообщении код. Таким образом, жертва соглашается с условиями подписки на некую платную услугу, за которую с ее счета ежемесячно будут списываться средства. Фокус заключается в том, что подобные «платные архивы» либо вовсе не содержат обещанное приложение, либо его можно загрузить совершенно бесплатно с официального сайта разработчика.

Несмотря на кажущуюся простоту и очевидность данной мошеннической схемы, рынок подобных «услуг» поистине огромен. На предложения сетевых жуликов откликается большое число неискушенных пользователей, отправляя платные СМС за то, что они могли бы получить бесплатно. Специалистам компании «Доктор Веб» удалось выяснить объемы прибыли, которую получают распространители подобного вредоносного ПО. Так, в рамках одной из партнерских программ, активно рекламирующейся на различных подпольных форумах и сайтах, откуда она постоянно привлекает новых членов, средний доход распространителя троянцев семейства Trojan.SmsSend, однократно отправляющих платные сообщения на премиум-номера, может достигать до 200 долларов в день. Лидеры этого незаконного рынка, входящие в десятку наиболее активных распространителей троянцев, получают от 850 до 7740 долларов в месяц, в среднем — 2678,5 долларов США.

Доходы от подписки жертв сетевых мошенников на платные услуги значительно выше, они могут достигать от 3000 до 22 000 долларов США на злоумышленника в месяц, в среднем — 8295,5 долларов США. Следует понимать, что для сетевых мошенников, зарабатывающих подобные суммы на обмане пользователей Интернета, эта деятельность является основным источником дохода, она отнимает все их свободное время. К тому же, они прекрасно осознают, что распространение подобного ПО является преступлением.

Пути распространения троянцев Trojan.SmsSend также отличаются завидным разнообразием: это поддельные сайты файлового обмена, специально созданные странички, имитирующие интерфейс интернет-ресурсов официальных разработчиков различных программ, спам по каналам электронной почты, в тематических форумах, массовая рассылка сообщений с использованием протокола ICQ. Кроме того, сетевые мошенники активно используют рекламные сети Яндекс.Директ и Google AdSense, размещают контекстную рекламу в социальных сетях и не гнушаются отправлять ссылки на вредоносное ПО с заранее взломанных аккаунтов.

Пользователи могут без труда избежать подобных опасностей и не попасться на удочку сетевых мошенников, если, потратив чуть больше времени, поищут в Интернете официальный сайт производителя программы, которую они планируют скачать. В большинстве случаев они смогут получить ее совершенно бесплатно и уж точно не заплатят ни копейки за архив, не содержащий ничего полезного. Ну а в случае, если вы стали жертвой сетевых злоумышленников, ничто не мешает вам написать соответствующее заявление в милицию.

[SwiridenkoYura]

Прогноз-2012: кибермошенники осваивают интернет-банкинг

Компания «Доктор Веб» представляет обзор вирусных событий 2011 года. Одной из ключевых тенденций в ушедшем году стал рост угроз для мобильной платформы Android: возможность отправки платных СМС без ведома пользователей остается прекрасной приманкой для вирусописателей. Совершенствуются и мошеннические схемы, применяемые в отношении пользователей социальных сетей. К сожалению, эта тенденция будет еще более актуальной в 2012 году. Среди угроз для настольных системных платформ выделялись новые модификации программ-вымогателей семейства Trojan.Winlock, MBR-локи и троянцы-шифровальщики. Кардинально возросло число новых вредоносных программ, связанных с интернет-банкингом.


Число угроз для Android выросло в 2011 году в 20 раз

Количество угроз для мобильной платформы Android выросло в прошедшем году в 20 раз, причем подавляющее большинство подобных вредоносных программ относится к семейству Android.SmsSend. Эти приложения обычно представляют собой инсталлятор, якобы содержащий нужную пользователю программу, для установки которой необходимо отправить одно или несколько платных СМС-сообщений. Суть мошенничества заключается в том, что, если бы пользователь изначально обратился не на веб-страницу злоумышленников, а на сайт разработчиков соответствующего ПО, то он мог бы скачать это приложение совершенно бесплатно.
В начале 2011 года в вирусных базах Dr.Web числилось всего шесть записей для троянцев семейства Android.SmsSend, к декабрю число этих угроз увеличилось практически в 45 раз.
Значительный успех в борьбе с данным типом угроз отчасти обусловлен применением уникальной технологии Origins Tracing, разработанной компанией «Доктор Веб». Традиционный метод детектирования угроз основывается на принципе создания для каждого вредоносного файла уникальной сигнатуры, по которой он в дальнейшем может быть опознан антивирусной программой. С использованием в продуктах Dr.Web технологии Origins Tracing для каждой вредоносной программы создается специальная запись, описывающая алгоритм поведения данного образца, которая затем добавляется в вирусную базу. Одной такой записи вполне достаточно для целого семейства вредоносных приложений, за счет чего можно обеспечить оперативное детектирование новых модификаций такого семейства, а также заметно сократить объем вирусных баз.
Всего в вирусных базах Dr.Web на конец 2011 года числится около 630 записей, соответствующих вредоносным программам для Android, в то время как на начало года их насчитывалось всего 30. Таким образом, можно сказать, что за последние 12 месяцев общее число угроз для мобильной платформы Android увеличилось в 20 раз.
В качестве сравнения следует отметить, что для Symbian OS на сегодняшний день известно 212 вредоносных программ, для Windows Mobile — 30, а троянцев, способных работать на любой мобильной платформе с поддержкой Java, насчитывается 923. Основываясь на этих цифрах, можно сделать вывод о том, что по числу специализированных угроз операционная система Android только за 2011 год уверенно опередила своих ближайших конкурентов.

Руткиты

Как известно, к категории руткитов относят вредоносные программы, способные скрывать следы своего присутствия в операционной системе. По сравнению с прошлым годом активность распространения данного типа угроз осталась на прежнем уровне. По мере роста популярности среди пользователей 64-разрядных операционных систем вирусописатели вынуждены адаптировать свои творения, в связи с чем несколько увеличилось число модификаций руткитов, работающих в пользовательском режиме. Наиболее популярными угрозами данного типа по-прежнему остаются BackDoor.Tdss и BackDoor.Maxplus.
В 2011 году специалистами «Доктор Веб» был зафиксирован уникальный в своем роде руткит, получивший название Trojan.Bioskit.1, особенность которого заключается в том, что он инфицирует BIOS персональных компьютеров — причем только в том случае, если на ПК установлен BIOS производства компании Award Software. Позже были зафиксированы попытки распространения еще одной модификации Trojan.Bioskit, однако из-за ошибок в коде эта версия троянца не представляет серьезной угрозы для пользователей.

Файловые вирусы

К категории файловых вирусов традиционно относят вредоносные программы, поражающие в числе прочего исполняемые файлы и обладающие способностью к саморепликации (размножению без участия пользователя). Лидером среди файловых вирусов исходя из количества заражений по итогам года является Win32.Rmnet.12. Этот вирус был обнаружен на компьютерах пользователей 165 286 935 раз, что составляет 11,22% от всех случаев инфицирования вредоносным ПО. На втором месте — Win32.HLLP.Neshta, обнаруженный в течение года 94 777 924 раза (6,44% случаев заражения), замыкает тройку Win32.HLLP.Whboy.45 (52 610 974 случая заражения, что составляет 3,57% от общего числа).
В 2011 году семейство файловых вирусов пополнилось новыми вредоносными экземплярами: это и лидер списка — Win32.Rmnet.12, и Win32.HLLP.Novosel, и Win32.Sector.22, а также многие другие.

Винлоки

Программы-вымогатели, блокирующие запуск операционной системы, — напасть давно известная, и потому за истекшие двенадцать месяцев число модификаций угроз семейства Trojan.Winlock вполне ожидаемо росло. Не обошлось и без сюрпризов: в 2011 году винлоки добрались не только до ближнего зарубежья (были зафиксированы модификации программ-вымогателей, специально ориентированные на пользователей из Казахстана, Украины и Белоруссии), но и до европейских государств. В частности, обнаруженный в сентябре 2011 года Trojan.Winlock.3260 содержит многоязычный текст блокирующих систему сообщений, оформленных в виде послания от управления полиции страны, в которой проживает жертва: для Германии это Bundespolizei, для Великобритании — The Mertopolitan Police, для Испании — La Policìa Española. Во всех случаях за разблокировку системы жертве предлагается внести плату с использованием одной из распространенных в данной стране платежных систем. Вскоре число подобных троянцев стало стремительно расти. Вероятнее всего это объясняется тем, что в Интернете стали все чаще появляться партнерские программы, организованные создателями подобных программ-вымогателей: злоумышленники активно ищут на специализированных форумах специалистов по распространению вредоносного ПО.
Всего с начала года был зафиксирован более чем двукратный рост числа новых модификаций Trojan.Winlock. При этом из общего количества обращений в службу технической поддержки «Доктор Веб» на долю пострадавших от программ-блокировщиков приходится 29,37%.

MBR-локи

Заметно выросло и число программ-вымогателей, инфицирующих загрузочную запись компьютера (Master Boot Record, MBR). Первые образцы вымогателей, инфицирующих загрузочную запись жесткого диска, поступили в антивирусную лабораторию еще в ноябре 2010 года, и на сегодняшний день их насчитывается уже более 300. С начала 2011 года число вредоносных программ семейства Trojan.MBRlock выросло в 52 раза, увеличившись с 6 до 316 выявленных модификаций. Наметилась очевидная тенденция и к изменению функционала подобных троянцев — он становится все более изощренным и вредоносным: если первые модификации Trojan.MBRlock автоматически обезвреживались спустя некоторое время, то последние версии не только не содержат подобного механизма, но даже не хранят в открытом виде код разблокировки, что несколько затрудняет лечение. Так, появившийся в ноябре 2011 года Trojan.MBRlock.17 отличается от предшественников еще и тем, что записывает свои компоненты в случайные секторы жесткого диска, а ключ разблокировки создается динамически на основе ряда параметров. На сегодняшний день это — одна из самых опасных модификаций среди троянцев — блокировщиков загрузочной записи.

Энкодеры

Программы-энкодеры, или, как их еще иногда называют, шифровальщики, попадая на персональный компьютер, шифруют хранящиеся на жестких дисках файлы с помощью специального алгоритма и требуют от пользователя заплатить определенную сумму за возможность получить доступ к этой информации. Примерно в сентябре 2011 года разразилась самая настоящая эпидемия распространения вредоносных программ семейства Trojan.Encoder и Trojan.FolderLock, от действий которых пострадало огромное количество пользователей. Расширился и ассортимент версий подобных угроз: с начала 2011 года количество записей в базах для различных типов энкодеров увеличилось на 60%.

Мошенничество в сети

Не уменьшается и количество случаев мошеннических действий в отношении пользователей Интернета: злоумышленники пускают в ход любые доступные методы, чтобы заставить пользователя отправить платное СМС-сообщение или подписать его на какие-либо услуги с ежемесячной абонентской платой. Фантазия сетевых мошенников поистине неисчерпаема: в ход идут и липовые розыгрыши призов, и поддельные файлообменные сети, жулики предлагают доверчивым пользователям доступ к телефонным и генеалогическим базам, поиск двойников и родственников, гадания по линиям ладони, звездам и картами Таро, составление индивидуальных гороскопов и диет…
Не прекращается и «охота» на пользователей социальных сетей. В 2011 году жулики активно изобретали новые мошеннические схемы. Всего за 2011 год было выявлено множество поддельных сайтов, имитирующих своим оформлением интерфейс популярных социальных сетей, адреса подобных ресурсов были добавлены в базы Dr.Web.

Банковские троянцы

За истекший год специалистами компании «Доктор Веб» было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к системам «Банк-Клиент» и электронным кошелькам.
Среди них особый интерес представляет семейство обладающих широким функционалом троянцев Trojan.Winspy, новые модификации которых появлялись в первой половине 2011 года. Еще одно вредоносное приложение подобного типа было добавлено в вирусные базы под именем Trojan.Carberp.1. Как и некоторые другие троянские программы, Trojan.Carberp.1 обладает встроенными средствами защиты от анализа с помощью отладчика. Характерной особенностью данного троянца является то, что он работает частями внутри инфицированных системных процессов, а также активно использует хеширование различных данных. Trojan.Carberp.1 ищет и передает злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана и т. д. Троянец имеет встроенный модуль, позволяющий обрабатывать поступающие от удаленного командного центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять злоумышленникам возможность анонимного посещения различных сайтов, превратив компьютер жертвы в прокси-сервер, загружать и запускать различные файлы, отправлять на удаленный узел снимки экрана и даже уничтожить операционную систему.
Весьма распространены и троянцы семейства Trojan.PWS.Ibank, предназначенные для кражи данных доступа к ДБО и способные объединяться в ботнеты. Безусловно, нельзя обойти вниманием такой знаменитый троянец, как Trojan.PWS.Panda, известный также под именами Zeus и Zbot. Основной его функционал заключается в краже пользовательских паролей, хотя этот троянец обладает достаточно обширными возможностями. Zeus получил очень широкое распространение и в течение длительного времени представлял серьезную угрозу для пользователей банковских систем. Еще один троянец, созданный со схожими целями, — Trojan.PWS.SpySweep, также известный под именем SpyEye. Кроме того, в этом году появился и первый банковский троянец для платформы Android: это Android.SpyEye.1. Риску заражения вредоносной программой Android.SpyEye.1 подвержены в первую очередь пользователи, компьютеры которых уже инфицированы троянской программой SpyEye. При обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва загружает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «Банк-Клиент», а также предложение загрузить на мобильный телефон специальное приложение, содержащее троянскую программу.
После загрузки и инсталляции на мобильном устройстве Android.SpyEye.1 перехватывает и отправляет злоумышленникам все входящие СМС-сообщения. Android.SpyEye.1 может представлять опасность для владельцев мобильных устройств, поскольку способен передавать в руки вирусописателей конфиденциальную информацию.

Наиболее интересные угрозы 2011 года

В феврале-марте 2011 года злоумышленниками была предпринята атака на терминалы одной из российских платежных систем, осуществленная с использованием троянской программы Trojan.PWS.OSMP. Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают напрямую к злоумышленникам.
Trojan.PWS.OSMP — одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Другая модификация этой вредоносной программы крала из терминалов конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.
Еще одна небезынтересная троянская программа — BackDoor.Dande. Этот троянец предназначен для кражи данных клиентских приложений семейства «Системы электронного заказа», позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. Среди таких приложений специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. В числе собираемых данных — сведения об установленном на компьютере программном обеспечении, пароли учетных записей и т. д. Можно предположить, что интерес для злоумышленников представляют в основном данные о ценах и объемах заказа медикаментов. Вся похищенная информация передается на их сервер в зашифрованном виде. Иными словами, в данном случае мы имеем дело с редким представителем узкоспециализированных троянских программ, ориентированных на кражу информации в строго определенной сфере бизнеса.
В течение года появилось и несколько весьма любопытных вредоносных программ для мобильной платформы Android. Среди них можно отметить троянца Android.Gone.1, за 60 секунд «угоняющего» всю хранящуюся на работающем под управлением Android мобильном телефоне информацию, включая контакты, сообщения, последние звонки, историю браузера и т. д. Украденные данные загружаются на специально созданный вирусописателями сайт. Получить доступ к похищенной информации можно за 5 долларов. Еще одной интересной «угрозой года» для этой мобильной платформы можно назвать троянца Android.DreamExploid — он без ведома пользователя пытался произвести повышение привилегий программного окружения смартфона. То есть вместо стандартных ограниченных возможностей пользователь получал систему с правами администратора. Кроме того, Android.DreamExploid имеет возможность загрузки программ из Интернета и их установки, а также обладает функционалом для сбора информации об инфицированном устройстве и ее отправки злоумышленникам.

Прогноз на 2012 год

В 2012 году следует ожидать дальнейшего роста количества угроз для мобильной операционной системы Android, а также с определенной долей вероятности можно прогнозировать появление программ-блокировщиков для этой платформы. Обусловлен подобный прогноз, прежде всего, тем, что мобильные ОС значительно облегчают доступ злоумышленников к кошельку жертвы. Если получить прибыль от пользователя ОС для настольных ПК не так-то просто, например, для этого нужно сначала заблокировать Windows, а потом заставить пользователя дойти до терминала оплаты или набрать и отослать СМС, то с мобильного телефона можно отправлять короткие сообщения на платные номера, показывать рекламу, скачивать платные мелодии и прочий контент, понемногу списывая деньги со счета оператора. Емкость этого теневого рынка просто огромна, и в настоящее время он активно осваивается злоумышленниками, а современные мобильные платформы с их обширным функционалом открывают для этого прекрасные возможности.
Можно ожидать распространения узкоспециализированных угроз, ориентированных на системы промышленной автоматики, — в эту категорию входят автоматизированные системы управления производственными процессами, системы контроля доступа, мониторинга, обогрева, кондиционирования и вентиляции, иные компьютеризированные системы промышленных предприятий и производственных организаций. Под угрозой может оказаться инфраструктура управления технологическими процессами (SCADA). Аналитики компании «Доктор Веб» отмечают, что вредоносные программы, эксплуатирующие уязвимости подобных систем, могут представлять особую опасность, поскольку подобные комплексы применяются в ключевых отраслях экономики, таких как производство электроэнергии, транспорт, добыча полезных ископаемых, нефти и газа.
Вполне вероятно появление новых угроз, ориентированных на банковские системы и ДБО, будет совершенствоваться их техническое исполнение. Возможно, злоумышленники не ограничатся пользовательскими ПК и системами «Банк-Клиент», а предпримут атаки на банковские структуры или даже государственные финансовые институты. Будут появляться новые, ранее неизвестные способы мошенничества, как с использованием фишигновых сайтов, так и в отношении пользователей социальных сетей. Динамика возникновения новых мошеннических схем показывает, что злоумышленники используют практически все доступные им технологии, а с появлением на сайтах социальных сетей новых функциональных возможностей они также наверняка будут использованы мошенниками для достижения неблаговидных целей. Так, в 2011 году киберпреступники задействовали для обмана пользователей голосования, встроенные в социальные сети функции обмена файлами, видеоролики и даже дополнения к браузеру Mozilla Firefox. Думается, этим их арсенал в будущем не ограничится, киберпреступники будут и дальше изыскивать новые способы незаконного заработка.

[SwiridenkoYura]

Защита от кражи данных: шифрование

У вас установлен антивирус, обновлен Windows, работает спам-фильтр и даже есть специальная флешка для блокировки ПК? Поздравляем: ваш компьютер защищен от нелегального доступа на 95%. Оставшиеся 5% можно получить путем шифрования всего жесткого диска при помощи программы TrueCrypt.
Программа TrueCrypt – это бесплатне приложение для шифрования данных «на лету»
Программа TrueCrypt – это бесплатное приложение для шифрования данных «на лету». С помощью этой утилиты можно создать виртуальный шифрованный диск внутри файла и монтировать его как обычный диск; зашифровать жесткий диск или флешку; зашифровать раздел или дисковое устройства, на котором установлена Windows (с предзагрузочной аутентификацией).
Программа работает в режиме XTS и использует алгоритмы шифрования AES, Serpent, и Twofish. Раздел TrueCrypt нельзя отличить от обычных данных, а шифровка и расшифровка данных не требуют дополнительной памяти (ОЗУ). Процесс шифрования, в зависимости от размера диска, занимает от 20 до 30 минут.

Более подробную инструкцию по использованию программы TrueCrypt [Ссылки могут видеть только зарегистрированные пользователи. Зарегистрироваться...].
Скачать приложение можно с [Ссылки могут видеть только зарегистрированные пользователи. Зарегистрироваться...].

[SwiridenkoYura]

Cisco: Вирусы и спамы – главные угрозы прошлого года

Cisco опубликовала глобальный отчет об ИТ-угрозах за период с 1 октября по 31 декабря 2011 года.
Данные для отчета, собранные отделом информационной безопасности Cisco Security Intelligence Operations, поступали из системы предотвращения вторжений Cisco Intrusion Prevention System (IPS), систем Cisco IronPort, от исследовательского подразделения Cisco Security Research and Operations (SR&O), а также из систем Cisco ScanSafe.
Вот приводимые в отчете основные данные:
• в 4-м квартале 2011 года корпоративные пользователи сталкивались в Интернете с вредоносными программными кодами в среднем 339 раз в месяц;
• в целом же на протяжении 2011 года они сталкивались в Интернете с такими программами в среднем 362 раза в месяц;
• пик этих инцидентов приходится на сентябрь-октябрь 2011 года (698 и 697 случаев, соответственно, в среднем на предприятие);
• количество уникальных вредоносных хостов, обнаруженных в 2011 году, составило в среднем 20 141 в месяц (для сравнения: в 2010 году – 14 217 в месяц);
• в течение 4-го квартала 2011 года 33 процента обнаруженных в Интернете вредоносных программ представляли собой так называемые "вирусы первого дня", которые невозможно распознать с помощью традиционных сигнатур;
• в отчетный период количество атак типа "SQL injection" оставалось примерно на одном уровне, незначительно снижаясь в течение квартала;
• в 4-м квартале 2011 года количество DoS-атак несколько увеличилось;
• в течение 2011 года объем спама продолжал сокращаться.

Полный текст вышеизложенного документа можно скачать здесь.
Примечание: с этого квартала глобальные отчеты Cisco об ИТ-угрозах (включая отчет за 4-й квартал и предыдущие кварталы), а также ежегодные отчеты Cisco об информационной безопасности (Cisco Annual Security Report) публикуются на портале Cisco Security Intelligence Operations (SIO). На этом портале можно найти актуальную информацию об атаках, анализы угроз и уязвимостей, а также проверенные решения Cisco, которые помогут защитить сеть.

[SwiridenkoYura]

Trojan.Winlock.5490 угрожает французским пользователям

Компания «Доктор Веб» сообщила о появлении новой модификации программы-блокировщика операционной системы, получившей наименование Trojan.Winlock.5490. Данное вредоносное приложение представляет опасность в основном для французских пользователей Microsoft Windows.


Trojan.Winlock.5490, написанный на языке Си, запускается только на персональных компьютерах, операционная система которых имеет французскую локализацию. Троянец обладает встроенными функциями антиотладки: в процессе загрузки он проверяет, не запущен ли его процесс в среде виртуальных машин VirtualBox, QEmu, VMWare и пр., и в случае, если присутствие виртуальной машины обнаруживается, троянец прекращает свою работу. Напомним, что значительная часть винлоков работает автономно. Они содержат код разблокировки системы либо в собственных ресурсах (в открытом или зашифрованном виде), либо вычисляют его на основе ряда параметров, либо не имеют такого кода вовсе. Trojan.Winlock.5490 относится к последней категории программ-вымогателей: троянец автоматически удаляет сам себя через неделю после установки, однако, заблокировав операционную систему, он «отстукивается» на удаленный сервер злоумышленников, передавая туда информацию об инфицированной машине, введенных жертвой номерах платежных карт, и получает в ответ команду «ок».

Оказавшись на компьютере жертвы, Trojan.Winlock.5490 запускает процесс svchost.exe и встраивает в него собственный код, после чего отсылает команду скрытия Панели задач Windows и останавливает все потоки процессов explorer.exe и taskmgr.exe. Затем троянец прописывает себя в ветвь системного реестра, отвечающую за автозагрузку приложений, и демонстрирует на экране окно, содержащее текст на французском языке с требованием заплатить 100 евро с помощью карт оплаты платежных систем Paysafecard или Ukash. Введенный жертвой номер карты отправляется на удаленный командный сервер злоумышленников, а в ответ троянец демонстрирует сообщение приблизительно следующего содержания: «Подождите! Платеж будет обработан в течение 24 часов».

Поскольку данная троянская программа не использует код разблокировки, пострадавшим от ее действий пользователям рекомендуется выполнить проверку компьютера, загрузившись с помощью Dr.Web LiveCD. Также можно попытаться изменить в BIOS компьютера дату (переставив ее на несколько месяцев вперед) и проверить диски с помощью лечащей утилиты Dr.Web CureIt!, либо самостоятельно удалить из ветви реестра Software\Microsoft\Windows\CurrentVersion\Run\ данные о запускаемом модуле троянца.