Вирусы и борьба с ними ..., ВСЕ О ВИРУСАХ. Опции

[Гость_ФЕНИКС_*]

Компания «Доктор Веб» сообщила о появлении новой модификации полиморфного сетевого червя Win32.HLLW.Shadow.based (также известного под именами Kido/Conficker), обеспечивающего основной функционал бот-сети Shadow. По прогнозам «Доктор Веб», с 1 апреля бот-сеть перейдет на новый режим работы.

Как пояснили в антивирусной компании, на компьютерах, зараженных ранее различными модификациями полиморфного червя Win32.HLLW.Shadow.based, появившимися в феврале и марте этого года, будет произведено обновление вредоносного ПО, в результате чего будет запущен генератор адресов к заранее подготовленным сайтам для получения с них инструкций по дальнейшей работе. Каждые сутки будет генерироваться 50 000 адресов, среди которых будет выбираться 500 адресов, через которые будут происходить попытки обновления вредоносного ПО. При этом процесс обновления будет тщательно регулироваться таким образом, чтобы не создавать значительную нагрузку на хостинг-серверы, на которых расположены данные вредоносные серверы. Такой работе бот-сети воспрепятствовать будет значительно сложнее, считают в «Доктор Веб».

Напомним, что Win32.HLLW.Shadow.based для своего распространения использует сразу несколько каналов, среди которых выделяются съёмные носители и сетевые диски. Червь также может распространяться с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067.

Компания Eset сообщила о том, что с 1 апреля возможно резкое увеличение DDoS- и спам-атак с использованием крупнейшей в истории интернета бот-сети, состоящей из компьютеров, зараженных семейством червей Conficker.

По данным Eset, новая версия червя – Сonficker.X – взаимодействует с управляющим пулом из 50 тыс. доменов. Это существенно усложняет борьбу с угрозой, поскольку при таком количестве постоянно обновляемых url-адресов отследить и блокировать команды от владельцев бот-сети компьютерам-зомби будет практически невозможно. Эксперты предполагают, что 1 апреля станет датой начала широкомасштабных атак на ПК пользователей. Это могут быть DDoS-атаки, рассылка спама, действия, направленные на заражение новых компьютеров и увеличение бот-нета.

Червь Conficker.X (также известный как Conficker.C или Conficker.D) был детектирован с помощью технологии компании Eset – ThreatSense. Вредоносная программа быстро распространяется по интернету и представляет собой еще большую угрозу, нежели ее предыдущие версии, отмечают в Eset.

Первая версия червя - Conficker.A – была зафиксирована специалистами Eset в ноябре 2008 г. С тех пор принцип действия вредоносной программы не изменился — заражая компьютеры, червь объединяет их в бот-нет. Conficker блокирует антивирусное ПО и доступ к сайтам производителей антивирусов, вносит изменения в работу локальной службы DNS. Помимо собственной вредоносной функции, червь выступает плацдармом для последующих атак, дополнительно скачивая и устанавливая другое вредоносное ПО.

По информации Eset, Conficker.X использует уязвимость MS08-067 в операционной системе MS Windows, распространяется с помощью внешних носителей, через p2p-сети и общие папки внутри локальных сетей.

Чтобы избежать заражения, специалисты Eset советуют использовать лицензионное антивирусное ПО, детектирующее данную угрозу, и следить за тем, чтобы на компьютере было установлены актуальные обновления операционной системы Windows. Антивирусные системы Eset NOD32 проактивно детектируют Conficker во всех его вариациях. С уже зараженного компьютера червь удаляется с помощью специальной утилиты.

«Аналитики Eset внимательно отслеживают распространение червя. Антивирусные решения Eset NOD32 успешно детектируют новую версию Conficker с помощью технологии проактивной защиты, гарантируя 100%-ое предотвращение заражения, – заявил Юрай Малчо, глава вирусной лаборатории Eset. – Способность Conficker заражать огромное количество компьютеров единовременно делает его одной из наиболее опасных сетевых угроз в истории. Главной задачей авторов червя является создание глобального бот-нета, позволяющего проводить массивные атаки на интернет-инфраструктуру».

[Гость_Moshkin_*]

Рейтинг вредоносных программ за июнь .

CODE

1. Рейтинг вредоносных программ за июнь: ожидаемое и неожиданное

Третью строчку в июньском списке самых распространенных в Интернете
вредоносных программ занял Trojan-Downloader.JS.Pegel.b, неожиданно
вернувшийся в рейтинг после некоторого затишья. Напомним, что этот
скриптовый загрузчик заражает легитимные веб-сайты. При обращении
пользователя к зараженной странице Pegel перенаправляет его на ресурс
злоумышленников, с которого незаметно загружаются вредоносные программы.
Для этого в связке с Pegel.b были использованы различные PDF-эксплойты,
а также эксплойт Java CVE-2010-0886.

В отличие от Pegel.b, присутствие в рейтинге семейства Exploit.JS.Pdfka
не стало неожиданностью. В последнее время выходы обновлений от компании
Adobe постоянно сопровождаются появлением новых разновидностей этого
эксплойта, которые неизменно попадают в TOP 20 вредоносных программ. В
июне три его новых модификации заняли 6, 8 и 14 позиции в рейтинге
наиболее распространенных в интернете зловредов.

Стоит отметить, что всего в июне в TOP 20 "Лаборатории
Касперского" попали 6 эксплойтов. К сожалению, пользователи
по-прежнему пренебрегают обновлениями операционной системы и
используемых программ, оставляя многочисленные лазейки для вредоносного
ПО. Об этом свидетельствует и появление на втором месте в рейтинге
эксплойта Agent.bab. Он загружает на компьютер-жертву различные
вредоносные программы, используя Windows-уязвимость CVE-2010-0806,
обнаруженную еще в марте 2010 года. Количество уникальных попыток
загрузить этот зловред с веб-страниц составило 340 000.

Отметим, что эксплойт Agent.bab попал и в рейтинг вредоносных программ,
обнаруженных и обезвреженных на компьютерах пользователей при первом
обращении к ним (5-е место). Это единственное изменение в первой десятке
данного рейтинга, в котором по-прежнему лидируют три модификации
сетевого червя Kido (1, 3 и 4 место) и вирус Sality (2 место).

Конфиденциальные данные по-прежнему представляют собой лакомый кусочек
для большинства мошенников. Новая модификация популярного
P2P-Worm.Palevo (11 место в рейтинге) охотится за конфиденциальной
информацией, вводимой пользователем в окно браузера. Один из основных
способов распространения этого червя - использование программ,
позволяющих обмениваться файлами "Peer-to-Peer".

Вот небольшой список используемых червем программ: BearShare, iMesh,
Shareaza, eMule и т.д. Многократно копируя себя в папки, предназначенные
для хранения скачиваемых файлов, он дает своим копиям броские,
привлекающие внимание названия, в надежде заинтересовать потенциальных
жертв. Множественное копирование в сетевые папки и общие сетевые
ресурсы, отправка ссылок на скачивание через онлайн-мессенджеры,
заражение всевозможных съемных носителей с использованием
Trojan.Win32.Autorun - все это способы распространения
P2P-Worm.Win32.Palevo.fuc.

Программное обеспечение, ворующее пользовательские данные, присутствует
и в рейтинге вредоносных и нежелательных программ, обнаруженных в
Интернете. Там на 12-ой позиции появилась новая модификация
AdWare.Win32.FunWeb.ds. Целью данного программного продукта является
сбор информации о поисковых запросах пользователя. Чаще всего эти данные
используются системой показа баннеров, часто всплывающих в процессе
веб-серфинга.

Полная версия июньских рейтингов вредоносного ПО доступна на сайте
http://www.securelist.com/ru/

++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Спутниковая навигация под защитой «Лаборатории Касперского»

«Лаборатория Касперского» сообщает о поставке разработчику программных комплексов для GPS/ГЛОНАСС-мониторинга «АНТОР Бизнес Решения» продукта для централизованной защиты рабочих станций и файловых серверов — Kaspersky Business Space Security.
http://www.kaspersky.ru/news?id=207733278

+++++++++++++++++++++++++++++++++++++++++++++++++++++

Что такое «фишинг» ?

Наиболее частые жертвы фишинга — банки, электронные платежные системы, аукционы. То есть мошенников интересуют те персональные данные, которые дают доступ к деньгам. Но не только. Также популярна кража личных данных от электронной почты — эти данные могут пригодиться тем, кто рассылает вирусы или создает зомби-сети.
http://www.securelist.com/ru/threats/spam?chapter=164