Вирусы и борьба с ними ..., ВСЕ О ВИРУСАХ. Опции

[Гость_ФЕНИКС_*]

Компания «Доктор Веб» сообщила о появлении новой модификации полиморфного сетевого червя Win32.HLLW.Shadow.based (также известного под именами Kido/Conficker), обеспечивающего основной функционал бот-сети Shadow. По прогнозам «Доктор Веб», с 1 апреля бот-сеть перейдет на новый режим работы.

Как пояснили в антивирусной компании, на компьютерах, зараженных ранее различными модификациями полиморфного червя Win32.HLLW.Shadow.based, появившимися в феврале и марте этого года, будет произведено обновление вредоносного ПО, в результате чего будет запущен генератор адресов к заранее подготовленным сайтам для получения с них инструкций по дальнейшей работе. Каждые сутки будет генерироваться 50 000 адресов, среди которых будет выбираться 500 адресов, через которые будут происходить попытки обновления вредоносного ПО. При этом процесс обновления будет тщательно регулироваться таким образом, чтобы не создавать значительную нагрузку на хостинг-серверы, на которых расположены данные вредоносные серверы. Такой работе бот-сети воспрепятствовать будет значительно сложнее, считают в «Доктор Веб».

Напомним, что Win32.HLLW.Shadow.based для своего распространения использует сразу несколько каналов, среди которых выделяются съёмные носители и сетевые диски. Червь также может распространяться с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067.

Компания Eset сообщила о том, что с 1 апреля возможно резкое увеличение DDoS- и спам-атак с использованием крупнейшей в истории интернета бот-сети, состоящей из компьютеров, зараженных семейством червей Conficker.

По данным Eset, новая версия червя – Сonficker.X – взаимодействует с управляющим пулом из 50 тыс. доменов. Это существенно усложняет борьбу с угрозой, поскольку при таком количестве постоянно обновляемых url-адресов отследить и блокировать команды от владельцев бот-сети компьютерам-зомби будет практически невозможно. Эксперты предполагают, что 1 апреля станет датой начала широкомасштабных атак на ПК пользователей. Это могут быть DDoS-атаки, рассылка спама, действия, направленные на заражение новых компьютеров и увеличение бот-нета.

Червь Conficker.X (также известный как Conficker.C или Conficker.D) был детектирован с помощью технологии компании Eset – ThreatSense. Вредоносная программа быстро распространяется по интернету и представляет собой еще большую угрозу, нежели ее предыдущие версии, отмечают в Eset.

Первая версия червя - Conficker.A – была зафиксирована специалистами Eset в ноябре 2008 г. С тех пор принцип действия вредоносной программы не изменился — заражая компьютеры, червь объединяет их в бот-нет. Conficker блокирует антивирусное ПО и доступ к сайтам производителей антивирусов, вносит изменения в работу локальной службы DNS. Помимо собственной вредоносной функции, червь выступает плацдармом для последующих атак, дополнительно скачивая и устанавливая другое вредоносное ПО.

По информации Eset, Conficker.X использует уязвимость MS08-067 в операционной системе MS Windows, распространяется с помощью внешних носителей, через p2p-сети и общие папки внутри локальных сетей.

Чтобы избежать заражения, специалисты Eset советуют использовать лицензионное антивирусное ПО, детектирующее данную угрозу, и следить за тем, чтобы на компьютере было установлены актуальные обновления операционной системы Windows. Антивирусные системы Eset NOD32 проактивно детектируют Conficker во всех его вариациях. С уже зараженного компьютера червь удаляется с помощью специальной утилиты.

«Аналитики Eset внимательно отслеживают распространение червя. Антивирусные решения Eset NOD32 успешно детектируют новую версию Conficker с помощью технологии проактивной защиты, гарантируя 100%-ое предотвращение заражения, – заявил Юрай Малчо, глава вирусной лаборатории Eset. – Способность Conficker заражать огромное количество компьютеров единовременно делает его одной из наиболее опасных сетевых угроз в истории. Главной задачей авторов червя является создание глобального бот-нета, позволяющего проводить массивные атаки на интернет-инфраструктуру».

[Evron]

Интересная вещь: захожу через "хром" на страницу "Юмор" (картинки), а мине тут же "выбрасывает" со следующей информацией:

"..на этой странице было введено содержимое от bygaga.com.ua, которое известно распространением вирусов. При посещении этой страницы есть опасность заражения вирусами.."

Через "Лиса" идёт нормально....

У меня такое не выбрасывает

[Frocus]

Я удалил картинки с бугага.ком.уа.

[Evron]

Худший компьютерный вирус за историю IT шифрует файлы пользователей и требует выкупа в Bitcoin

На протяжении нескольких последних месяцев пользователи компьютеров по всему миру столкнулись с новой серьёзной угрозой – либо заплатить 300 долларов хакеру, установившему в их систему вирус, либо потерять доступ к своим файлам навсегда. И при этом они получали в своё распоряжение тикающие виртуальные часы, которые сообщали, что у них есть всего лишь 100 часов, чтобы заплатить деньги.

Этот вирус называется CryptoLocker. И хотя его шантажирующие сообщения поначалу кажутся пустой угрозой, отказ от оплаты приводит к тому, что файлы на диске компьютера криптографически шифруются и становятся фактически недоступными.

После скачивания CryptoLocker устанавливает себя в папку Documents and Settings пользователя. Затем он сканирует винчестер на наличие целого семейства различных файлов – от семейных фотографий до документов Word и Adobe Photoshop – и шифрует их.

Как только шифрование закончено, CryptoLocker выдаёт поп-ап окно, сообщающее, что у пользователя есть ровно 100 часов, чтобы заплатить выкуп. Если деньги поступят, программа выдаст пользователю ключ. Если нет – ключ будет уничтожен.

По словам экспертов по компьютерной безопасности, после уничтожения ключа с зашифрованными файлами уже мало что можно поделать. В программу, судя по результатам исследования, не заложено задних дверей или шорткатов – зашифрованные файлы можно расшифровать только с помощью приватного ключа.

CryptoLocker проникает на компьютеры через емейл, который выглядит как письмо, отправленное уважаемой организацией, или уведомление об отслеживании посылки от курьерской службы вроде FedEx или UPS.

Платежи от жертв принимаются либо через систему пополняемых дебитных карт Green Dot MoneyPak, либо в виде анонимной цифровой валюты Bitcoin.

CryptoLocker – это самый экстремальный пример так называемого «рэнсомвера». Как правило, все вредоносные программы такого типа либо полностью фальшивые, либо просто завешивают заражённый компьютер – что поддаётся устранению компьютерными экспертами. Однако CryptoLocker – это первый пример рэнсомверной программы, получившей широкую огласку, которая действительно идёт до того, что навсегда лишает свою жертву доступа к файлам на её компьютере.

[sergej1]

Создан первый вирус для Firefox OS


Создан первый вирус для Firefox OS

Молодой программист из Индии создал первую в мире вредоносную программу для Firefox OS. Пока что её совершенно невозможно обнаружить.

Автором первого в мире вируса для Firefox OS стал 17-летний хакер Шантану Гауде (Shantanu Gawde). Свою программу юное дарование представит в ходе конференции The Ground Zero 2013, которая состоится 7-10 ноября в Нью-Дели, Индия.

Созданный молодым умельцем PoC-код способен инфицировать смартфон ZTE One в удалённом режиме, и получить доступ к нему с любого ботнета.

Через вирус хакер может удалённо отдавать команды на доступ к SD-карте, копировать контакты, загружать и выгружать фотографии, музыку и видео, отслеживать координаты пользователя, и даже управлять FM-радио.


Cмартфон под управлением Firefox OS пока что беззащитен

Хакер отмечает, что вмешательство при помощи его программы может привести к серьёзным проблемам для пользователей Firefox OS, потому как на данный момент ещё не существует способа засечь подобную атаку, или блокировать её.

Шантану Гауде пообещал, что на презентации покажет работу вредоносной программы, и попробует портировать Firefox OS на смартфон Nexus, чтобы поискать новые векторы атаки. В случае успеха он их тоже добавит в презентацию.

http://go2load.com/18078-sozdan-pervyy-vir...firefox-os.html

[sergej1]

Мы все под колпаком



Известный журналист Киви Бёрд сообщил нам на сайте 3dnews.ru чудесное:

Примерно года три назад, когда известный канадский консультант по инфозащите Драгош Руйу (Dragos Ruiu) занимался текущими делами в своей лаборатории, он вдруг заметил нечто в высшей степени необычное. Один из множества его компьютеров, на который он только что установил новый релиз операционной системы, вдруг сам по себе — без команды хозяина — обновил прошивку микрокода, обеспечивающего начальную загрузку системы.

Что не менее странно, когда Руйу попытался загрузить эту машину не с внутреннего диска, а с внешнего привода CD-ROM, компьютер наотрез отказался это делать. Ну а затем чередой последовали и другие неприятные открытия, свидетельствующие, что его машина начала жить собственной жизнью. То есть она могла, к примеру, сама уничтожать файлы с данными. Или, скажем, возвращаться к таким установкам параметров в конфигурации системы, которые хозяин уже было пытался поменять.

Короче говоря, Руйу обнаружил у себя не просто новый, невиданный прежде комплекс взаимосвязанных программ, но и кое-что похуже. Постепенно вредоносы этого семейства — получившего имя badBIOS — расползлись чуть ли не по всем машинам его лаборатории. Причем засели они в компьютерах настолько прочно, что вычистить эту заразу оказалось практически невозможно даже для специалиста.

Три года безуспешной борьбы с инфекцией badBIOS привели Руйу к такому заключению, которое для многих выглядит совершенно неправдоподобным. Судя по всему, это вредоносное ПО является гибким и полиморфным до такой степени, что оно способно распространяться по компьютерам тотально, заражая на своем пути буквально все. Начиная с системы BIOS/UEFI и далее всюду, вне зависимости от сложности подсистем: сетевые, видео- и аудио-компоненты, PCI-платы расширения, жесткие диск, DVD/CD-приводы и тому подобное.

Исследования показали, что заражение машин инфекцией badBIOS происходит не только по сети, но и в тех случаях, когда компьютеры отгорожены от любых сетевых коммуникаций с помощью, как выражаются специалисты, airgap, или «воздушного зазора». То есть, попросту говоря, когда машина для связи с другими компьютерами не имеет других каналов, кроме внешних накопителей типа USB-флешки. При этом любые USB-модули памяти, вставленные в зараженную систему, не просто оказываются инфицированными переносчиками badBIOS , но и не несут в своей памяти никаких файлов с признаками заражения.

Всё это не случайно, умнейшие давно в курсе ситуации - еще в 1998 году была стандартизирована HPA (область на жестком диске, аппаратно закрытая от пользовательского доступа, но открытая для доступа специальными средствами - например, с уровня BIOS), затем в 2004 году в БИОСы начали вшивать законный бэкдор Computrace (якобы для поиска украденных компьютеров, однако на самом деле он позволяет получить доступ к любым файлам на компьютере, дистанционно их выкачать, стереть и так далее). Начиная с этого момента иллюзий не осталось. Но, как вы понимаете - все эти подробности публично не афишировались.

Например, на хакерской конференции Black Hat в Лас-Вегасе летом 2009 года Джоанна Рутковска намеревалась сделать доклад о BIOS-руткитах на материнских платах Intel. Однако сначала с сайта Black Hat по-тихому исчезла анонс-информация об этом докладе, а затем рассосалось и собственно выступление. Одновременно появился пресс-релиз Intel, в котором фирма выразила благодарность "за помощь в разработке" сотрудникам Invisible Things Lab, то есть фирме Джоанны Рутковской.

Умному - достаточно, ну а остальные продолжали думать о "приватности" и верить в свои компьютеры и антивирусы.

Но сейчас, похоже, дерьма накопилось столько, что оно начало переливаться через край. Вот и статейки пошли.

Источник - http://www.3dnews.ru/777783

[sergej1]

Дивный новый мир пришел к вам



Observer

Знаете ли Вы, что дистанционно подключиться к вашему компьютеру можно без использования не только сетевых драйверов операционной системы, но и вообще без самой ОС? Даже можно зайти в BIOS удалённо, и вообще сделать с компьютером всё, что угодно - в том числе скачать содержимое винчестеров, стереть их, и наглухо отключить компьютер навсегда, превратив его в бесполезный кусок железа.

Технология эта вполне официальна, она называется Intel vPro и реализована аппаратно в процессорах Intel Sandy Bridge и Ivy Bridge. На самом деле кроме процессора требуется еще и соответствующий чипсет - но в этом нет проблемы, ибо чипсеты давно поставляет сам Интел, ха-ха. В идеале в материнскую плату должна быть встроена гигабитная сетевая карта и видеоадаптер, которые способны на низкоуровневую работу (а еще более в идеале - и такой же WiFi). И опять же не волнуйтесь - Intel всё это реализовал и сделал стандартом де-факто. Наиболее дальновидных ребят давно удивляло, зачем в десктопной материнке встроен WiFi интерфейс, не нужный в 99% десктопов - так вот он встроен для дела, чтобы можно было получить доступ к компьютеру, даже не подключаясь к локальной сети, и даже к компьютеру, который стоит в отдельной комнате ни к какой сети не подключенный.

Разумеется, то, что вы там в БИОСе выключили этот вайфай - никак доступу не помешает. Для Intel vPro все интерфейсы всегда работают. Более того - "выключенный" компьютер для Intel vPro тоже работает (хоть и не светит лампочками об этом). Единственный способ отрубить компьютер от Intel vPro - это обесточить его, удалив шнур питания из розетки (но по понятным причинам этот номер не пройдет с ноутбуками - батареи-то на большинстве современных аппаратов несъемные, и это не просто так сделано).

Сеанс связи шифруется, а доступ к компьютеру можно получить через консоль (serial over LAN), web-интерфейс или VNC. Web-интерфейс обладает неприметным рабочим дизайном (который при этом отлично отображается на планшетах) и позволяет получать статистику о железе, его состоянии и перезапускать компьютер, настраивать сетевой интерфейс и политики доступа к AMT, смотреть историю событий – например, узнать, почему же у секретарши не грузится система, не подходя к её компьютеру:



При подключении через консоль и VNC можно делать уже совсем всё: vPro предоставляет полноценный KVM с локальной машины на удалённую с поддержкой разрешения экрана до 1920х1200 и возможностью посмотреть, как загружается система от инициализации BIOS до непосредственной загрузки ОС. При этом даже при перезагрузке системы не происходит отключения! Единственное что для доступа в BIOS не получится просто зажать Delete при старте системы и надо будет выбрать специальный пункт «boot to BIOS». После чего в самом деле загружается BIOS:



Можно подключиться к удалённой машине по VNC даже в том случае, если там слетели драйвера сетевой карты (ведь vPro работает на более низком уровне чем ОС) и прямо через VNC поставить все драйверы.

Еще одна интересная возможность под название IDE-R позволяет загружаться с внешнего источника - как будто это внутренний жёсткий диск. То есть можно подключиться по VNC, указать образ для загрузки, и загрузиться в собственной операционной системе - так что владелец компьютера и не узнает, что его включали.

При помощи vPro работает технология Intel Anti-Theft. Если у вас украли компьютер или ноутбук, то вы можете связаться с Intel и они заброкируют его. Компьютер просто перестанет загружаться, показывая черный экран с надписью - мол, заблокировано Intel Anti-Theft, верните компьютер владельцу.

Совсем скоро, когда поколение компьютеров в очередной раз сменится даже у самых нетребовательных пользователей, а у прогрессивных компаний и того раньше - дивный новый мир абсолютной прозрачности для спецслужб придет повсюду.

PS. Тут товарищ спросил - мол получается, что выключенные компы можно пинговать?

Объясняю: в рамках Intel vPro cетевая карта слушает линию всегда, даже если компьютер "выключен". Но не всегда отвечает. То есть на вопрос «можно ли пинговать» — ответ да, можно, если это разрешить в настройках BIOS. Если не разрешить, то выключенный комп на пинг отзываться не будет, но свой порт (в общем случае это 16992) слушать будет и с Intel vPro работать будет.

Проверялось на чипсете Q45 - работает.

PPS. Cтарые чипсеты Intel и их CPU без GPU поддерживают только Serial-over-LAN часть технологии Intel vPro (то есть текстовая консоль управления работает, файлы можно скачивать, работает дистанционная загрузка операционки с удаленного диска и так далее, но не работает слежение за экраном пользователя и графическая консоль).

Для любопытных - IDE-R/SOL over TCP порт = 16994, IDE-R/SOL over TLS порт = 16995. Можете поснифить трафик в линии и посмотреть.

Ну и помните, что AMT fireware аппаратно перехватывает трафик с сетевой карты и не передает в ОС то, что касается работы vPro (порты 16992, 16993, 16994, 16995). То есть на компе с этой технологией никакие пакеты на порты 16992, 16993 и так далее вы из ОС не получите и не обнаружите. Чтобы их надежно найти - нужен старый комп со старыми сетевухами, реализующий прозрачный повторитель Stay-In-Middle и снифящий трафик.

И да, разумеется:

(а) Интел хранит возможность доступа к любой машине
(б) Может узнать, где она, и может с ней связаться в любой момент
(в) Может полностью ее заблокировать (при этом она будет продолжать подавать сигналы с координатами)

Ну и чтобы не было лишних иллюзий - про Интел я говорю только потому, что у него эта технология совершенно открыта и официально описана. Intel повел себя очень грамотно - бэкдор для спецуры не скрывается и не отрицается, а выдается за дополнительный сервис для пользователя и администратора. Аналогичные решения есть и у AMD, и у всех остальных крупных игроков на рынке микропроцессоров - просто они не столь честны, как Intel, и предпочитают играть в умолчание.

[sergej1]

А Вы доверяете своему технику по ремонту ПК?



Многие приходят в ужас от слов "хакер" или "вирус". Все они бояться данных представителей. А боитесь ли Вы своих техников по ремонту ПК?? Почему бояться?? Да потому что, Вы доверяете свой компьютер человеку, который знает компьютер на уровне первого (хакера) и спокойно может оставить Вам в придачу второго (вирус)!!
Мотивов достаточно: от личных до финансовых! Рассмотрим пару ситуаций?

Одна история была вчера

Дальше опишу свою историю. Точнее историю друга, которому некий техник поставил Windows и программы(в общем, подготовил новый компьютер). У друга была уверенность, что Windows лицензионная. И программы тоже. Неплохой чек вроде как подтверждал это! Обновления, проверка подлинности все работала как часы. Я сам думал что это лицензия. Пока не наткнулся в настройках антивируса на некий файл, который лежал в исключениях для проверки антивирусом. Там же был и адрес файла. А файл был неплохо замаскирован: вдобавок к скрытому режиму, он был еще и системным. Что обеспечивало его спокойную жизнь подальше от глаз хозяина. Да Бог с ним с файлам, да только весит он больше 50 ГБ. Это был отпечаток всей системы, благодаря которой и поддерживалась активация. Другу стало обидно, но 50 ГБ не сильно жалко для нормальной активации))

Дальше, знаю друга, у которого начал неплохо тормозить компьютер. Пришел техник, сказал что у него целый букет вирусов и забрал компьютер. На следующий день принес, компьютер работал хорошо. Вроде бы техник неплохо справился с задачей. Но описания проблемы, кроме общих страшных слов для пользователя, не было. А это дает технику полное право на самоличное заполнения чека для оплаты! Ведь обычные пользователи, никак не смогут опровергнут слова техника. И тут вопрос: доверяете ли Вы технику?

Так же, встречаются уникумы, которые во время настройки компьютера, оставляют крота. Который проснется через месяц или через два, и разнесет систему. А пользователь, естественно, позовет того человека, который неплохо справился в прошлой ситуации. И который довольно быстро исправит новую ситуацию, так как знает в чем проблема. И так можно до бесконечности: пришел, настроил, поставил крота, крот проснулся и снес систему. И по новой. Постоянное наличие пользователей, которые будут обеспечивать Вас деньгами!

В общем, вариантов для получения любой прибыли много. Лишь бы работала фантазия!

http://about-windows.livejournal.com/48508.html

[Ярик]

Фрокус читал про такое?Что думаеш?Это сейчас обсуждается на форуме поддержки моего движка и взято оттуда.

недавнем времени сообщество вебмастеров обнаружили проблему на своих сайтах связанную с редиректом на некий сайт «recseek .com» у пользователей мобильных устройств с операционной системой Android. В настоящий момент об этом очень мало где упоминается, но проблема очень серьезная (может повлиять на поисковую выдачу) и связана она с монетизацией сайта через Google AdSense. Пока специалисты Google не дали нам утешительных ответов. Представитель Google заявляет, что дело может быть, в роутере Вредоносные рекламные блоки в AdSense (Группы Google).

Лично я впервые обнаружив редирект, решил что неисправность в моем устройстве и полностью сбросил его до заводских настроек, но как и большинству пользователей это мне не помогло. Источник бед нашел на своем сайте, то были рекламные блоки AdSense (протестировал этот недуг, убирал прочую рекламу со страниц сайта).

Технически взлома нет, считается что среди подключенных рекламных сетей к Adwords разрешено использовать JavaScript код, вида:

Код

window.top.location.href

Предлагаемое временное решение — перевод своих рекламных блоков AdSense в текстовый режим, дабы не позволять выполняться яваскрипту.



P.S. Уже поднималась такая тема на форуме searchengines.guru и один из пользователей этого форума просит донести эту информацию до общественности через Хабр Adwords взломан. Ваш мобильный трафик воруют прямо сейчас.

[giann]

Фрокус читал про такое?Что думаеш?Это сейчас обсуждается на форуме поддержки моего движка и взято оттуда.

я уже боролся с ADS-ами, как грибок, удаляешь, при новом запуске снова появляются. стенка не спасла, пришлось антивирус ставить. да и надо потом со всех браузеров удалить,хотя я одним пользуюсь, другие так, для вида. если где-то останется, снова всплывет. у меня пронесло..до нового формата не дошло, отделался антивирусом(AVG)

[Ярик]

я уже боролся с ADS-ами, как грибок, удаляешь, при новом запуске снова появляются. стенка не спасла, пришлось антивирус ставить. да и надо потом со всех браузеров удалить,хотя я одним пользуюсь, другие так, для вида. если где-то останется, снова всплывет. у меня пронесло..до нового формата не дошло, отделался антивирусом(AVG)

Неа,это не совсем не то...Это уже на совсем другом масштабе.У кого есть сайт и реклама Адсенс тот поймёт.