Перейти к содержимому


* * * * * 2 Голосов

Актуальные угрозы


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 39

#21 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 24 Ноябрь 2008 - 13:06

Гы, а дураков то много, оказывается:
http://yandex.ru/yan.....mp;stpar4=/s1

см. предыдущий пост.

#22 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 12 Декабрь 2008 - 14:56

Анализ уязвимости «нулевого дня» в Microsoft Internet Explorer

Эта неделя выдалась для компании Microsoft сложной. Помимо выпуска 8 плановых бюллетеней безопасности, которые устранили 28 уязвимостей, стало известно еще о 3-х уязвимостях, исправления к которым отсутствуют на настоящий момент.

В этой статье мы рассмотрим полученный нами образец вредоносного кода, эксплуатирующий уязвимость «нулевого дня» (0-day) при обработке XML тегов в Microsoft Internet Explorer.

Речь идет о новой уязвимости, которая не была устранена в вышедшем вчера исправлении MS08-073. Корректная работа эксплоита подтверждена на системах Windows XP и Windows Server 2003 с установленными последними обновлениями. В связи со спецификой экплойта, вероятность успешной экплуатции составляет 1 к 3.

Каковы последствия?

Поскольку иформация об уязвимости и о методах её экплутации широко известна, высока вероятность использования её в ближайшее время для массового заражения компьютеров. Наиболее вероятными векторами является размещение экплойта на взломанных сайтах, а также массовая рассылка писем со ссылкой на уязвимый код с использованием СПАМа.

В результате возможно массовое заражение компьютеров агентами бот-сетей и руткитами домашних пользователей, а также рабочих станций в корпоративных сетях, использующих Internet Explorer 7.

Как работает эксплоит?

Уязвимость существует из-за переполнения динамической памяти в обработчике XML. Эксплоит, после приведения в порядок динамической памяти, выделяет 159 массивов, содержащих исполняемый код. Перед выполнением кода, эксплоит осуществляет проверку на наличие Internet Explorer 7 и Windows XP или Windows 2003.


Если браузер соответствует этим требованиям, создается XML тег. Затем происходит обращение к Web серверу, расположенному в Китае, и на систему скачивается файл ko.exe, который начинает установку компонентов руткита.

В данный момент эксплоит скачивает файл ko.exe с IP адреса 59.34.216.222.

По данным VirusTotal файл ko.exe обнаруживается следующими антивирусами:

Цитата

AhnLab-V3
2008.12.10.0
2008.12.10
-

AntiVir
7.9.0.43
2008.12.09
TR/Spy.Gen

Authentium
5.1.0.4
2008.12.10
W32/Busky.B.gen!Eldorado

Avast
4.8.1281.0
2008.12.10
Win32:Runner-Z

AVG
8.0.0.199
2008.12.09
-

BitDefender
7.2
2008.12.10
Rootkit.Agent.AIWN

CAT-QuickHeal
10.00
2008.12.09
-

ClamAV
0.94.1
2008.12.10
-

Comodo
713
2008.12.09
-

DrWeb
4.44.0.09170
2008.12.10
DLOADER.Trojan

eSafe
7.0.17.0
2008.12.09
Suspicious File

eTrust-Vet
31.6.6253
2008.12.10
-

Ewido
4.0
2008.12.09
-

F-Prot
4.4.4.56
2008.12.09
W32/Busky.B.gen!Eldorado

F-Secure
8.0.14332.0
2008.12.10
Suspicious:W32/Malware!Gemini

Fortinet
3.117.0.0
2008.12.10
-

GData
19
2008.12.10
Rootkit.Agent.AIWN

Ikarus
T3.1.1.45.0
2008.12.10
Trojan-Dropper.Win32.Agent

K7AntiVirus
7.10.549
2008.12.09
-

Kaspersky
7.0.0.125
2008.12.10
-

McAfee
5459
2008.12.09
Downloader-BLE

McAfee+Artemis
5459
2008.12.09
Generic!Artemis

Microsoft
1.4205
2008.12.09
TrojanDownloader:Win32/Small.gen!AO

NOD32
3680
2008.12.10
probably a variant of Win32/TrojanDownloader.Agent.ONB

Norman
5.80.02
2008.12.09
-

Panda
9.0.0.4
2008.12.09
Suspicious file

PCTools
4.4.2.0
2008.12.09
-

Prevx1
V2
2008.12.10
-

Rising
21.07.20.00
2008.12.10
Trojan.Win32.Edog.bh

SecureWeb-Gateway
6.7.6
2008.12.10
Trojan.Spy.Gen

Sophos
4.36.0
2008.12.10
Mal/Behav-009

Sunbelt
3.1.1832.2
2008.12.01
-

Symantec
10
2008.12.10
Trojan.Dropper

TheHacker
6.3.1.2.182
2008.12.10
-

TrendMicro
8.700.0.1004
2008.12.10
PAK_Generic.001

VBA32
3.12.8.10
2008.12.09
-

ViRobot
2008.12.9.1509
2008.12.09
-

VirusBuster
4.5.11.0
2008.12.09
Trojan.Runner.Gen

Каким образом защититься?

В качестве временного решения SecurityLab рекомендует отключить в браузере Active Scripting. Также рекомендуем запретить доступ к IP адресу 59.34.216.222, с которого в настоящий момент происходит загрузка файла.

Использование средств фильтрации содержимого уровня предприятия представляется малоэффективной, поскольку высока вероятность использования методов кодирования экплойта с помощью Javascript. Но пренебрегать этой возможностью не стоит. Рекомендуется связаться с поставщиком используемых средств защиты уровня узла (антивируса, end-point security) для уточнения наличия в продукте методов предотвращения использования данной уязвимости.

securitylab.ru



#23 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 15 Декабрь 2008 - 11:25

Как страшно жить...

подробности:
http://www.viruslist...pubid=204007635

ай да братский народ! Оправдывают свое название вместе с нами:
http://www.securityl...news/364776.php

#24 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 28 Январь 2009 - 15:20

Возвращение блудного Сассера, ныне Kido

Кто-то, конечно, помнит те незапамятные времена, когда в локалке свирепствовали такие черви, как Sasser или Lovesan и их многочисленные переработки. Тогда еще редко у кого была установлена версия Windows XP SP2, а персональными файрволами пользовались лишь единицы. На тот момент для заражения через уязвимости в службах RPC и LSASS достаточно было лишь вставить сетевой кабель в свой компьютер и произвести настройки, после чего червь сам приходил от зараженных соседей по сети без приглашения и прописывался в компьютере. Прошло почти 2.5 года и что мы видим? Вышеописанные уязвимости давно закрыты, зато относительно недавно обнаружилась новая дыра в службе Server, да еще какая... Под залет попали почти все операционные системы мелкомягких, в т.ч. бета версия Windows 7  :lol:
О подробностях этой самой уязвимости можно почитать здесь:
http://www.microsoft...76-2067b73d6a03

Разница лишь в том, что на данных системах:

  • Microsoft Windows 2000 с пакетом обновления 4 (SP4)
  • Windows XP с пакетом обновления 2 (SP2)
  • Windows XP с пакетом обновления 3 (SP3)
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)
  • Windows Server 2003 с пакетом обновления 1 (SP1)
  • Windows Server 2003 с пакетом обновления 2 (SP2)
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)
  • Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium
  • Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium
пользователей могут поиметь без лишних сложностей и вопросов, а на системах из списка ниже:

  • Windows Vista и Windows Vista с пакетом обновления 1 (SP1)
  • Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1)
  • Windows Server 2008 для 32-разрядных систем *
  • Windows Server 2008 для 64-разрядных систем *
  • Windows Server 2008 для платформы Itanium
  • Windows 7 (бета-версия) для 32-разрядных систем
  • Windows 7 (бета-версия) для 64-разрядных систем
  • Windows 7 (бета-версия) для платформы Itanium
злоумышленнику или его троянскому творению нужно сначала аутентифицироваться в атакуемой системе

О как! Иначе говоря, тем, у кого стоит необновляющийся Windows из красного списка, грозит серьезная опасность, а пользователям систем из оранжевого списка - опасность менее серьезная.

Вирусописатели недолго чесали репу и выкатили интересный червячОк, который размножается в лучших традициях современности, а именно:
1. Через рассмотренную нами выше дырку в службе Server
2. Через особую фичу проводника, отвечающую за автозапуск сменных носителей информации (пламенный привет троянам на флешках!).
Червячок, надо сказать, получился неплохой и постоянно прогрессирует в отношении новых версий и функциональности. Даже Касперские забоялись и вывесили средний уровень опасности, чего не случалось довольно давно:
http://www.viruslist...ertid=203698715

Цитата

Net-Worm.Win32.Kido
13.01.2009 20:32, GMT +0300, Москва , обновлено   23.01.2009 13:52, GMT +0300, Москва  
Статус : средняя опасность


«Лаборатория Касперского» предупреждает о существенном росте числа заражений несколькими версиями полиморфного сетевого червя Kido.
Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации.
Червь отключает функцию System Restore, блокирует доступ к сайтам, посвящённым информационной безопасности, и скачивает на заражённые компьютеры дополнительные вредоносные программы.
«Лаборатория Касперского» рекомендует пользователям убедиться в том, что их антивирус использует новейшие базы данных. Для устранения критической уязвимости компания Microsoft выпустила необходимые патчи для ОС Windows.
На нашем сайте опубликованы подробные описания Kido.bt, Kido.dv и Kido.fx, включающие инструкции по удалению этих вредоносных программ.

Одно из их описаний можно вывесить здесь:

Цитата

Net-Worm.Win32.Kido.fx
Другие модификации: .bt, .dv
Детектирование добавлено 06 янв 2009
Обновление выпущено 07 янв 2009 01:05 MSK
Описание опубликовано 21 янв 2009


Net-Worm_Win32_Kido.fx использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации.

Эта разновидность червя является файлом Windows PE DLL. Размер файла составляет 158110 байт. Файл упакован с использованием UPX-технологии.
Инсталляция

Червь копирует свой исполняемый файл в следующие папки со случайными именами вида:
%System%\<rnd>dir.dll
%Program Files%\Internet Explorer\<rnd>.dll
%Program Files%\Movie Maker\<rnd>.dll
%All Users Application Data%\<rnd>.dll
%Temp%\<rnd>.dll
%System%\<rnd>tmp
%Temp%\<rnd>.tmp

где <rnd> — случайная последовательность символов.

Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

Имя службы является комбинацией следующих слов:
Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows

Также червь изменяет значение следующего ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" = "<original value> %System%\<rnd>.dll"

Изменяет следующие значения реестра с целью скрыть свои файлы в «Проводнике»:
[HKCR\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "dword: 0x00000002"
"SuperHidden" = "dword: 0x00000000"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "dword: 0x00000000"

Для определения своего присутствия в системе червь создает следующий уникальный идентификатор:
Global\%rnd%-%rnd%
Распространение по сети

Для обеспечения быстрого распространения в сети червь использует функционал системного драйвера tcpip.sys, увеличивая возможное число сетевых соединений в системе.

С целью определения внешнего IP адреса зараженной системы червь соединяется со следующими серверами:
http://www.getmyip.org
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org

После чего червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Копии червя имеют следующие расширения:
.bmp
.gif
.jpeg
.png

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com/technet/security/Bulletin/MS08-067.mspx). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос на TCP порты 139 (NetBIOS) и 445 (Direct hosted SMB), который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

После успешной атаки червь устанавливает ловушку на API вызов NetpwPathCanonicalize (библиотека netapi32.dll), предотвращая переполнение буфера, вследствие отсутствия проверки размера входящих строк, тем самым делая повторное использование уязвимости невозможным.

Чтобы ускорить свое распространение червь изменяет следующее значение реестра:
[HKLM\ SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpNumConnections" = "dword:0x00FFFFFE"

Для того, что бы воспользоваться выше указанной уязвимостью червь должен подключиться к удаленной машине под учетной записью администратора. Для этого червь осуществляет поиск подходящего компьютера в сети и получает для него список имен пользователей. Для каждого имени учетной записи пользователя червь последовательно перебирает следующие пароли:99999999
9999999
999999
99999
9999
999
99
9
88888888
8888888
888888
88888
8888
888
88
8
77777777
7777777
777777
77777
7777
777
77
7
66666666
6666666
666666
66666
6666
666
66
6
55555555
5555555
555555
55555
5555
555
55
5
44444444
4444444
444444
44444
4444
444
44
4
33333333
3333333
333333
33333
3333
333
33
3
22222222
2222222
222222
22222
2222
222
22
2 11111111
1111111
111111
11111
1111
111
11
1
00000000
0000000
00000
0000
000
00
0987654321
987654321
87654321
7654321
654321
54321
4321
321
21
12
fuck
zzzzz
zzzz
zzz
xxxxx
xxxx
xxx
qqqqq
qqqq
qqq
aaaaa
aaaa
aaa
sql
file
web
foo
job
home
work
intranet
controller
killer
games
private
market
coffee
cookie
forever
freedom
student
account
academia
files
windows
monitor unknown
anything
letitbe
letmein
domain
access
money
campus
explorer
exchange
customer
cluster
nobody
codeword
codename
changeme
desktop
security
secure
public
system
shadow
office
supervisor
superuser
share
super
secret
server
computer
owner
backup
database
lotus
oracle
business
manager
temporary
ihavenopass
nothing
nopassword
nopass
Internet
internet
example
sample
love123
boss123
work123
home123
mypc123
temp123
test123
qwe123
abc123
pw123
root123
pass123
pass12
pass1
admin123
admin12
admin1 password123
password12
password1
default
foobar
foofoo
temptemp
temp
testtest
test
rootroot
root
adminadmin
mypassword
mypass
pass

Login
login
Password
password
passwd
zxcvbn
zxcvb
zxccxz
zxcxz
qazwsxedc
qazwsx
q1w2e3
qweasdzxc
asdfgh
asdzxc
asddsa
asdsa
qweasd
qwerty
qweewq
qwewq
nimda
administrator
Admin
admin
a1b2c3
1q2w3e
1234qwer
1234abcd
123asd
123qwe
123abc
123321
12321
123123
1234567890
123456789
12345678
1234567
123456
12345
1234
123


При получении доступа с правами Администратора, червь копирует себя в следующие папки общего доступа:
\\*<name of host>\ADMIN$\System32\<rnd>.<rnd>
\\<name of host>\IPC$\<rnd>.<rnd>

После чего файл червя может быть запущен или запланирован на запуск удаленно с помощью следующей команды:
rundll32.exe <path to worm file>, <rnd>
Распространение при помощи сменных носителей

Червь копирует свой исполняемый файл на все съемные диски со следующим именем:
<X>:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-
%d%>-%d%>\<rnd>.vmx, rnd is a string of random lower case letters; d is a random number; X
is the disk

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
<X>:\autorun.inf

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".Деструктивная активность


При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe" (также червь может производить запись своего кода в процессы "explorer.exe", "services.exe"). Внедренный код выполняет основной деструктивный функционал червя:
отключает следующие службы:
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Security Center Service (wscsvc)
Windows Defender Service (WinDefend, WinDefender)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)
блокирует доступ к адресам, содержащим следующие строки:
nai
ca
avp
avg
vet
bit9
sans
cert
windowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus

Для Windows Vista червь отключает автонастройку стека TCP/IP с целью ускорить свое распросранение по сетевым каналам, используя фиксированный размер окна для TCP пакета:
netsh interface tcp set global autotuning=disabled

Также червь устанавливает ловушки на следующие API вызовы (из библиотеки dnsrslvr.dll) с целью заблокироавть доступ к списку пользовательских доменов:
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto

Также червь может скачивать файлы по ссылкам вида:
http://<URL>/search?q=<%rnd2%>

где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:
http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com
http://www.myspace.com
http://www.msn.com
http://www.ebay.com
http://www.cnn.com
http://www.aol.com

Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.

Что мы видим из описания? Да, собсно, ничего нового. Если верить описанию, то червь в текущих версиях не подтыривает пароли и даже не рассылает спам. Они лишь глушит штатные защитные средства ОС и блокирует доступ к антивирусным сайтам, а также закрывает за собой дверь, в которую вошел! (видимо, для того, чтобы через эту же дыру больше не пришли конкуренты) Ну и, помимо всего прочего, является средством загрузки в систему других вредоносных программ, которые уже и будут рассылать спам, шпионить и тырить пароли, удаленно управлять и творить другие мерзости с зараженной системой. А они это непременно будут делать...

Кому следует бояться червя?

Если рассматривать заражение по сети, то в первую очередь пользователям необновляемых операционных систем из списка ниже:

  • Microsoft Windows 2000 с пакетом обновления 4 (SP4)
  • Windows XP с пакетом обновления 2 (SP2)
  • Windows XP с пакетом обновления 3 (SP3)
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)
  • Windows Server 2003 с пакетом обновления 1 (SP1)
  • Windows Server 2003 с пакетом обновления 2 (SP2)
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)
им в срочном порядке следует установить у себя обновление отсюда:
http://www.microsoft...76-2067b73d6a03
или же хороший файрвол (например, мой любимый бесплатный comodo firewall)

необновляющимся пользователям:

  • Windows Vista и Windows Vista с пакетом обновления 1 (SP1)
  • Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1)
  • Windows Server 2008 для 32-разрядных систем *
  • Windows Server 2008 для 64-разрядных систем *
  • Windows Server 2008 для платформы Itanium
  • Windows 7 (бета-версия) для 32-разрядных систем
  • Windows 7 (бета-версия) для 64-разрядных систем

обновление тоже рекомендуется:
http://www.microsoft...76-2067b73d6a03
или же следует усилить пароль администратора, чтобы червь его не подобрал самостоятельно и в итоге не совершил аутентификацию с последующим заражением. Ну и файрвол тоже будет нелишним, ибо мало ли что нас дальше ждет...

Ну и тем, у кого Windows регулярно обновляется, можно ничего из рекомендаций выше не делать  :)

Если с предотвращением сетевого заражения все более или менее ясно, то перейдем к заражению со сменных носителей (флешки, фотоаппараты, телефоны и пр.)
Уж не знаю, какой гений из МС придумал возможность запуска содержимого autorun.inf при открытии любой папки с ним через проводник, но советую всем вместе пожелать ему три недели сильнейшей диареи!

Единcтвенным более-менее нормальным способом предотвращения этой напасти можно считать рекомендации здесь:
http://forum.kaspers...m...st&p=585899
Если резюмировать материал по ссылке выше, то решить проблему автозапуска можно, импортировав в реестр готовый reg файл (приложил его в архиве к сообщению)

Всем удачи и безопасного интернета!

Прикрепленные файлы



#25 DvoRik

DvoRik

    Свой человек

  • Members
  • PipPipPipPipPipPip
  • 917 сообщений
  • Пол:Мужчина
  • Город:NeW Himki

Отправлено 25 Февраль 2009 - 23:15

стоит опосатся этих атак?? седня вот асю сперли 6 знак) :blink:

Прикрепленные файлы



#26 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 28 Февраль 2009 - 18:37

Просмотр сообщенияDvoRik (25.02.2009, 23:15) писал:

стоит опосатся этих атак?? седня вот асю сперли 6 знак) B)

Если все обновления ОС на данный момент установлены, то можно не опасаться. В противном случае выключать Firewall подобно смерти.

#27 DvoRik

DvoRik

    Свой человек

  • Members
  • PipPipPipPipPipPip
  • 917 сообщений
  • Пол:Мужчина
  • Город:NeW Himki

Отправлено 02 Март 2009 - 15:26

спасиб ;)

#28 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 11 Март 2009 - 15:33

"Лаборатория Касперского" предупреждает о появлении новой версии вредоносной программы Kido

11 марта, 2009


"Лаборатория Касперского" обнаружила новую версию полиморфного сетевого червя Kido, которая отличается от предыдущих разновидностей усиленным вредоносным функционалом.

Новая модификация вредоносной программы Kido, представленная Net-Worm.Win32.Kido.ip, Net-Worm.Win32.Kido.iq и другими вариантами, способна противодействовать работе антивирусных программ, запущенных на зараженном компьютере. В новой версии существенно возросло количество сайтов, к которым вредоносная программа обращается за регулярными обновлениями: с 250 до 50 000 уникальных доменных имен в день.

По словам ведущего антивирусного эксперта "Лаборатории Касперского" Виталия Камлюка, угрозы возникновения вирусной эпидемии новой разновидности Kido пока нет. Однако если обновленный Kido сможет собой заменить ранее установленные на зараженных компьютерах модификации, то это может вызвать серьезные проблемы в противодействии создателям вредоносной программы.

Напомним, что Kido представляет собой червя с функционалом типа Trojan-Downloader, то есть он осуществляет доставку других вредоносных программ на зараженный компьютер пользователя. Первые случаи заражения этой вредоносной программой были зафиксированы в ноябре 2008 года.

"Лаборатория Касперского" рекомендует всем пользователям установить обновление MS08-067 для Microsoft Windows, поскольку вредоносная программа использует критическую уязвимость операционной системы для распространения через локальные сети и съёмные носители информации. Антивирусное решение с актуальными сигнатурными базами и настроенный сетевой экран также могут предотвратить заражение.

securitylab.ru

#29 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 29 Апрель 2009 - 12:21

Интересная информация о современных технологиях заражения ПК через Интернет:
http://www.viruslist...pubid=204007649

#30 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 12 Май 2009 - 13:06

12 мая, 2009

"Лаборатория Касперского" обезвредила уникальный MBR-руткит

Компания "Лаборатория Касперского" сообщает о детектировании и лечении нового варианта уникального MBR-руткита.

Новый вариант вредоносной программы Sinowal, обладающей функционалом скрытия своего присутствия в системе при помощи заражения главной загрузочной записи (MBR, Master Boot Record) жесткого диска, был обнаружен экспертами компании в конце марта 2009 года.

По заявлениям исследователей, новый вариант руткита стал для них настоящим сюрпризом. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств — самом «глубоком» уровне работы операционной системы. Никогда ранее злоумышленники не обращались к таким продвинутым технологиям. Из-за этого ни один из существовавших антивирусных продуктов на момент появления новой модификации Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но и даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их различных аккаунтов.

По данным "Лаборатории Касперского", буткит активно распространяется на протяжении последнего месяца с ряда вредоносных сайтов, использующих набор уязвимостей Neosploit. Одним из основных способов проникновения в систему является использование уязвимости в Adobe Acrobat Reader, вызывающей исполнение вредоносного PDF-файла, загруженного без ведома пользователя.

Обнаружение и лечение данного буткита, который до сих пор распространяется в Интернете, является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. "Лаборатория Касперского" одной из первых среди ведущих антивирусных компаний реализовала в своих существующих персональных антивирусных решениях не только детектирование, но и успешное лечение данного варианта Sinowal.

Для того чтобы проверить компьютер на наличие заражения, пользователям персональных продуктов необходимо обновить антивирусные базы и провести полную проверку системы. В случае обнаружения буткита в ходе лечения потребуется перезагрузка компьютера.

Также эксперты "Лаборатории Касперского" рекомендуют всем пользователям установить необходимые патчи, закрывающие уязвимости в Acrobat Reader и используемых браузерах.

securitylab.ru



#31 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 14 Май 2009 - 11:39

Неплохая современная аналитика не тему "откуда берутся вирусы":
http://www.3dnews.ru...ication/botnet/

#32 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 29 Май 2009 - 14:13

Критическая уязвимость в Microsoft DirectX

29 мая, 2009


Microsoft выпустила бюллетень безопасности для уязвимости «нулевого дня» в DirectShow. Уязвимость существует из-за ошибки в QuickTime Movie Parser Filter (quartz.dll) при обработке QuickTime файлов.

Уязвимость существует в Microsoft DirectX 7.0, 8.1, 9.0, 9.0a, 9.0b и 9.0c на платформах Microsoft Windows 2000, XP и 2003.
Windows Vista, Windows Server 2008 и более поздние версии Windows не подвержены этой уязвимости, так как на этих системах отсутствует уязвимый компонент.


На уязвимости не влияет наличие Apple QuickTime на системе.


Злоумышленник может с помощью Web сайта заставить браузер пользователя использовать плагин для просмотра специально сформированных QuickTime файлов, и таким образом, получить возможность эксплуатации уязвимости в библиотеке quartz.dll.
Внимание, атака может быть произведена с помощью любого браузера, не только Internet explorer.

Также, злоумышленник может обманом заставить пользователя проиграть специально сформированный файл в Windows Media Player и воспользоваться уязвимостью.

Варианты защиты:

Microsoft рекомендует следующие временные решения:

1. Отключить обработку QuickTime файлов в quartz.dll. Для этого необходимо удалить ключ:

HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}

Эта самое лучшее временное решение, т.к. оно позволяет полностью отключить обработку QuickTime файлов в DirectShow и не затрагивает другой функционал компонента.

2. Установить Kill-bit для Windows Media Player ActiveX компонента.

Это решение позволит защититься от вектора атаки, используемого злоумышленниками в настоящее время. Для этого, установите Kill-bit для следующего ключа:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BF52A52-394A-11D3-B153-00C04F79FAA6}]
"Compatibility Flags"=dword:00000400

Преимущество этого варианта заключается в том, что вы сможете использовать Windows Media Player для просмотра QuickTime файлов через DirectShow. Недостаток – этот вариант защищает вас только от эксплуатации уязвимости через Internet Explorer. Другие векторы атаки, включая атаки через другие браузеры все еще возможны.

3. Отключить библиотеку quartz.dll

Для этого следует выполнить команду:

Regsvr32.exe –u %WINDIR%\system32\quartz.dll

Этот вариант может существенно повлиять на работу других приложений на системе.

Следить за уязвимостью можно через уведомление по адресу:
http://www.securityl...lity/380517.php

securitylab.ru



#33 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 23 Июль 2009 - 10:19

Выполнение произвольного кода в Adobe Flash Player

23 июля, 2009

Программа:
Adobe Flash Player 9.0.159.0, возможно другие версии.
Adobe Flash Player 10.0.22.87, возможно более ранние версии.
+

Цитата

This issue affects Adobe Flash versions 9 and 10. Adobe Reader and Acrobat 9 are affected, and other Adobe products with Flash support may be affected.

Опасность: Критическая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может с помощью специально сформированного Web сайта или с помощью PDF файла, открытого в Adobe Reader/Acrobat, выполнить произвольный код на целевой системе.

Примечание: уязвимость активно эксплуатируется злоумышленниками в настоящее время.

URL производителя: www.adobe.com

Решение: Способов устранения уязвимости не существует в настоящее время.  :)  :)

P.S. кроме отключения flash плагина в браузере.

#34 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 04 Август 2009 - 08:54

Рейтинг вредоносных программ, июль 2009


Пробежавшись по рейтингу, мы видим сразу трех представителей скриптовых эксплойтов под именем DireсtShow. Об уязвимости в браузере Internet Explorer, которую использует этот вредоносный скрипт, мы писали в начале месяца в нашем блоге. Учитывая то, что у большинства интернет-пользователей установлен именно Internet Explorer, неудивительно, что эксплуатация данной уязвимости сразу же стала популярным приемом у злоумышленников.

В последнее время у киберпреступников появилась тенденция разбивать вредоносный скрипт на несколько частей: так, в вышеупомянутом DireсtShow на основной странице с эксплуатацией уязвимости msvidctl содержится ссылка на еще один скрипт, из которого подгружается шелл-код с собственно зловредной функциональностью. Находящийся на восьмом месте Trojan-Downloader.JS.ShellCode.i как раз является наиболее распространенным шелл-кодом, который использовался при атаках с эксплуатацией этой уязвимости. В этом приеме нет ничего сложного, однако для злоумышленника он очень выгоден: скрипт с шелл-кодом можно в любой момент подменить, при этом ссылка на основную страницу остается прежней. Кроме того, такая структура усложняет, а в случае с некоторыми автоматическими системами делает невозможным анализ и дальнейшее детектированию подобных зловредов.

Известно, что для упрощения распространения псевдоантивирусных программ-вымогателей зачастую используется один и тот же шаблон для веб-сайта. В этом смысле примечателен еще один новичок июля –Trojan-Downloader.HTML.FraudLoad.a. Данный зловред как раз является детектированием одного из таких типичных шаблонов. Троянцы-вымогатели становятся все более популярными в киберпреступном мире, следовательно, появляется огромное количество подобных веб-сайтов, с которых под предлогом того, что у пользователя заражен компьютер, загружаются не только назойливые, но зачастую и опасные зловреды. Одним из скриптов, с помощью которого вредоносные программы скачиваются с таких сайтов, является Trojan-Downloader.JS.Iframe.bew - обладатель последнего места в июльском рейтинге.

В итоге во второй двадцатке мы видим целостную картину актуальных угроз веба, а также тенденции их развития. В первую очередь, злоумышленники делают упор на поиск новых уязвимостей в наиболее популярных программных продуктах и всячески стараются их эксплуатировать для достижения конечного результата – заражения пользовательских компьютеров одной, а чаще всего - несколькими вредоносными программами. Во-вторых, киберпреступники пытаются замаскировать свои действия так, чтобы они были либо совершенно незаметными, либо казались не наносящими явного вреда зараженному компьютеру.

Все это серьезно усложняет жизнь даже опытному пользователю, который, выходя сегодня в интернет без обновлений ОС и антивируса, попадает прямо в бассейн с пираньями.

http://www.securelis...gramm_iyul_2009



#35 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 04 Август 2009 - 22:00

Просмотр сообщенияFa11en (4.08.2009, 21:41) писал:

По-прежнему нет никаких способов избавления от вышеупомянутого вируса?
это какого-такого?

#36 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 10 Ноябрь 2009 - 17:48

Firefox - самый уязвимый браузер

09 ноября, 2009

Поставщик решений для безопасности Cenzic сегодня опубликовал отчет с основными тенденциями в области безопасности софта за первое полугодие 2009 года. Согласно представленным данным, браузер Mozilla Firefox является лидером по числу уязвимостей среди всех остальных популярных браузеров.

По данным компании Cenzic, на долю Firefox пришлось 44% всех выявленных в популярных браузерах уязвимостей в первом полугодии 2009 года. Еще 35% пришлись на долю Apple Safari, а вот на долю браузеров Internet Explorer и Opera пришлось 15% и 6% уязвимостей соответственно.

Аналитики отмечают, что нынешние данные сильно отличаются от прошлогодних, когда на долю IE приходилось сразу 43% уязвимостей, далее с 39% следовал Firefox.

Причину наличия множества уязвимостей в Firefox авторы отчета видят в комбинации нескольких факторов. "Браузер Firefox становится все более популярным, растет внимание к нему как со стороны пользователей, так и со стороны злоумышленников. С другой стороны, чем больше багов устраняется, тем меньше их остается. Кроме того, многие уязвимости кроются не в браузере как таковом, а в многочисленных популярных плагинах для него", - говорит Ларс Ив, технический директор Cenzic.

Исследователи советуют разработчикам Firefox несколько изменить подход к архитектуре плагинов, сделав ее, возможно, не столь лояльной и не столь гибкой. Сейчас многие аспекты безопасности, связанной с уязвимостями в плагинах, кроются в невозможности контроля уровня безопасности приложений, работающих с Firefox.

securitylab.ru



#37 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 16 Ноябрь 2009 - 14:43

Flash снова продырявился

В популярном мультимедийном плагине Adobe Flash вновь найдена критически опасная уязвимость, открывающая для хакеров новую возможность проникновения на компьютеры пользователей.

Исследователи информационной безопасности из компании Foreground Security говорят, что в сети уже есть ролики и сайты, эксплуатирующие новую уязвимость.

В последней уязвимости Adobe не одинока, схожую проблему исcледователи нашли в приложениях Google, таких как Gmail. Эксперты говорят, что в случае с Gmail эксплоита для использования новой проблемы пока не найдено. Сообщается, что оба производителя программного обеспечения уже проинформированы о проблемах в своих решениях.

На данный момент заплаток нет ни от Adobe, ни от Google. Использование найденной проблемы в случае с Gmail представляется затруднительным, поскольку атакующий должен обладать данными об идентификаторах пользователя, чтобы создать условия атаки. В Foreground Security сообщают, что на практике они пока не наблюдали случаев атак при помощи новых уязвимостей.

Тем не менее найденная уязвимость носит концептуальный характер и может затрагивать и другие интерактивные контентные технологии, такие как JavaScript.

securitylab.ru


техданные на инглише: http://www.foregroun...icy-issues.html

#38 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 16 Декабрь 2009 - 12:55

В очередной раз продырявился Adobe Acrobat Reader

Цитата

Выполнение произвольного кода в Adobe Reader и Acrobat

Программа:
Adobe Reader 9.2, возможно другие версии
Adobe Acrobat 9.2, возможно другие версии

Опасность: Критическая

Наличие эксплоита: да

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки использования после освобождения в JavaScript методе Doc.media.newPlayer(). Удаленный пользователь может с помощью специально сформированного PDF файла скомпрометировать целевую систему.

Уязвимость активно эксплуатируется злоумышленниками в настоящее время.

Решение: Способов устранения уязвимости не существует в настоящее время.  :o

Можно, правда, отрубить pdf плагин в браузере. Совсем и никогда его больше не включать.

securitylab.ru



#39 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 25 Январь 2010 - 15:48

В России эпидемия Trojan.Winlock. Заражены миллионы компьютеров

24 января 2010 года г. Москва


Компания «Доктор Веб» – российский разработчик средств информационной безопасности – предупреждает о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты. В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей.

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении c 300-600 рублями).

С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код. Только за первые 2 дня работы этого проекта, его посетили сотни тысяч пользователей.
Компания «Доктор Веб» считает необходимым привлечь внимание официальных властей к этой проблеме. Их помощь в обнаружении людей, регистрирующих номера, на которые злоумышленники требуют отправлять платные SMS-сообщения, могла бы уменьшить число потенциальных жертв. Кроме того, мы призываем операторов сотовой связи блокировать эти номера по первым же жалобам абонентов.

drweb.ru


Похожий сервис деактиваци от Касперских и Ко:
http://support.kaspe...ruses/deblocker

#40 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 03 Февраль 2010 - 12:18

Тенденции на антивирусном фронте января:
http://news.drweb.co...show/?i=898&c=5




Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных