Неонацисты проникли в миллионы ПК
Спам все шире используется не только в коммерческих целях, но и для пропаганды экстремальных, экстравагантных, а то и фашистских взглядов, а также в политической борьбе вообще. Это в очередной раз доказали неонацисты.

Новый червь разослал в минувшие выходные праворадикальные призывы немецко-фашистского толка на миллионы компьютеров. По мнению экспертов в области компьютерной безопасности, этот факт свидетельствует о том, что спам становится орудием не только мошенников, но и пропагандистов радикальных идей.

"Мы наблюдаем тенденцию, в рамках которой авторы червей во все большей степени используют спам не для «впаривания» товаров, но как средство политической пропаганды", — заявил Скотт Чейзин (Scott Chasin), ведущий специалист по технологиям антивирусной компании MX Logic.

Chasin и другие эксперты указывают, что сообщения рассылались компьютерами, зараженными новым вариантом червя Sober и превратившимися в платформу для осуществления атак. Объем спама, генерируемого таким образом, оценивается экспертами как «ошеломляющий».

«Нас буквально завалило сообщениями от подвергшихся атакам небольших сетей», — заявил Скотт Фендли (Scott Fendley), сотрудник компании Internet Storm Center — службы, отслеживающей онлайновые угрозы.

Как сообщает Reuters, в строке «тема» рассылаемых червем сообщений содержится текст на немецком языке, гласящий: «мультикультура = мультикриминал». Само сообщение содержит ссылки на немецкие сайты расистского толка, а также новостные сообщения, отражающие точку зрения противников иммиграции и иммигрантов.

Время атак совпало с двумя событиями в политической жизни Германии: выборами в земле Северный Рейн — Вестфалия, а также 60-й годовщиной завершения второй мировой войны в Европе. Незадолго до этого аналогичным образом был разослан спам, содержащий предложение о приобретении билетов на чемпионат мира по футболу — эксперты подозревают, что это стало генеральное репетицией «нацистского вторжения». Вероятно, автор червя сам придерживается неонацистских взглядов и действовал из идеологических соображений, а не ради денег.

«Складывается впечатление, что автор вируса сам себя спамером не считал», — полагает Дмитрий Алперович (Dmitri Alperovich), сотрудник антивирусной компании CipherTrust. Тем не менее, считает г-н Чейзин, впоследствии он сможет использовать сеть зараженных им компьютеров для рассылки очередного спама, а также для осуществления атак на сайты.

Источник: Cnews.ru

Задержан самый опасный для США хакер
 

В Лондоне задержан гражданин Великобритании, которого власти Соединенных Штатов считают самым опасным хакером, взламывающим информационные системы Пентагона.
39-летний лондонский системный администратор Гари МакКиннон, в отношении которого сегодня начнется процедура экстрадиции, обвиняется в том, что в 2001 и 2002гг. он получил нелегальный доступ и привел в неисправность 53 компьютера американского Минобороны и Национального управления по аэронавтике и исследованию космического пространства США (NASA).

Военные и космические сети США являются излюбленной мишенью хакеров, которых достаточно часто отлавливают, но подобные дела обычно не принято предавать огласке. Однако в данном случае, по оценкам Вашингтона, общий ущерб от действия лондонского сисадмина превышает 1 млн долл. В 2002г. Г.МакКиннон был уличен во взломе 92 компьютерных сетей Пентагона и NASA. Самое же циничное по меркам властей США преступление было совершено им в 2001г., когда сразу после 11 сентября Г.МакКиннон нарушил работу сети военно-морской базы Эрл в Колтс-Неке, являющейся хранилищем вооружения всего Атлантического флота США. Хакеру будут предъявлены 9 обвинений в совершении преступлений в информационной сфере, передает AFP.

Также много шума наделал весной 2004г. взлом сетей Пентагона, NASA и Сisco Systems. Следствие выяснило, что все эти деяния – дело рук 16-летнего шведского юноши, пойманного на взломе университетской сети в шведском г.Уппсала.

Между тем, в настоящее время в Калифорнии идет процесс над 21-летним хакером Робертом Литтлом - виновником в незаконном вторжении в правительственные компьютеры и изменении материалов на государственных веб-сайтах. Литтл, действуя в составе хакерской группы произвел незаконное вторжение в компьютерные системы информационной службы управлений логистики и здравоохранения Министерства обороны США, а также исследовательского центра NASА им. Эймса. Р.Литтл признал себя виновным по каждому из пяти предъявленных пунктов обвинения. Дело находится на стадии рассмотрения, приговор Р.Литтлу огласят 24 июня.

Число сетевых преступников растет, и не только в Европе. Больше всего хакеров на сегодняшний день в Китае: 20% всех вирусных атак и рассылок спама производится с компьютеров, которые находятся в этой стране

_http://www.securitylab.ru/55053.html

Хакеры могли похитить ядерные секреты Израиля
Израильские власти подозревают, что с помощью специальной компьютерной программы неизвестным удалось похитить некоторые секреты, связанные с атомным реактором в Димоне, сообщает в четверг газета Edioth Aharanoth.
По ее сведениям, для этого использовалась программа - троян. Она позволила проникнуть через интернет в файлы израильской компании, специализирующейся на обработке воды, в том числе тяжелой. Эта технология используется в атомных реакторах и была разработана специально для центра в Димоне. Добытая информация, отмечает газета, видимо, передана конкурирующей компании.

Соответствующую жалобу подал директор фирмы, где было совершено хищение, передает "Интерфакс".

Деятельность реактора в Димоне является наиболее тщательно охраняемым секретом в Израиле. Эта страна, как принято считать, обладает ядерным оружием, но официально этого не признает.

Полиция задержала 12 сотрудников частных сыскных агентств, которые, как предполагают, замешаны в этой истории. Один из них в среду будто бы предпринял попытку самоубийства.

Источник _newsru.com

Британский хакер раскрывает тайны NASA
39-летний британец Гари Маккиннон (Gary McKinnon), подозреваемый во взломе сетей 53 американских правительственных структур, рассказал о том, что ему удалось обнаружить в сети Национального управления по аэронавтике и исследованию космического пространства (NASA).
«Я обнаружил список сотрудников под заголовком "Неназемные сотрудники". Я думаю, то, что за этим скрывается, находится не на Земле. Я обнаружил список названий трансферов между техническими подразделениями и список названий кораблей. Это были не названия кораблей ВМС США. То, что я увидел, мне кажется, было названиями космических кораблей», — рассказал Маккиннон в интервью газете Guardian. В то же время он признался, что не может сообщить о проекте дополнительных деталей потому, что плохо их помнит. По признанию хакера, в момент взлома сети NASA он активно курил легкие наркотики.

39-летний хакер рассказал, что заинтересовался взломом сетей для того, чтобы отыскать доказательства существования НЛО. Маккиннон утверждает, что в конечном результате сумел добраться до американского центра управления космическими полетами и обнаружил там свидетельства подготовки межпланетной миссии.

Маккиннон отказывается признавать то, что его действия могли вывести американскую компьютерную систему из строя. При этом хакер согласился, что мог удалить несколько файлов из правительственных сетей, случайно нажав не ту кнопку.

«В то время, как вы находитесь в сети, можно выполнить команду NetStat — Network Status. С ее помощью можно увидеть все соединения с машиной, к которой подсоединены и вы. В числе подсоединившихся были хакеры из Дании, Италии, Германии, Таиланда... Я делал это каждую ночь в течение 5-7 лет», — рассказал Маккиннон, которому грозит лишение свободы на срок до 70 лет.


Источник:viruslist.com

Интернет-пейджеры опасны

Как показали результаты онлайнового опроса, проведенного компанией Infowatch среди российских пользователей интернета, не пользуются на работе интернет-пейджерами лишь 13% респондентов. 45% опрошенных используют их постоянно, а 42% - время от времени. Предпочтения распределились следующим образом: программа ICQ оказалась лидером - ее поклонниками являются 78% участников опроса, 16% общаются с помощью MSN, 4% пользуются одновременно обоими пейджерами и только 2% выбрали альтернативные программы.

Почти половина опрошенных (46%) признали, что обмениваются через интернет-пейджеры конфиденциальной информацией. При этом 19% опрошенных ИТ-профессионалов присвоили интернет-пейджерам низкий уровень опасности, 43% - средний, еще 33% - высокий и 5% - чрезвычайно высокий. Лишь 17% организаций, согласно опросу Infowatch, не принимают никаких мер для предотвращения угроз, которые таят в себе интернет-пейджеры, 44% - ограничивают их использование и 39% - вовсе запрещают.

И пользователи, и специалисты признают, что благодаря этим компьютерным программам компании могут заразить корпоративную сеть вирусами или столкнуться с утечкой информации. Аналитики Infowatch считают, что интернет-пейджеры надо защищать также, как и электронную почту. Вероятно, вскоре получат распространение специальные средства защиты для мгновенного обмена текстовыми сообщениями. К примеру, специальные серверы, которые проверяют входящий трафик на наличие вирусов, а исходящий - на утечки конфиденциальной информации. По прогнозам Infowatch, через три года продажи таких решений в мире превысят 20 млрд. долларов США.

В российских компаниях к интернет-пейджерам относятся без особого энтузиазма, пишет газета "Ведомости". Так, в МТС они не запрещены, но считается, что это сервис, снижающий производительность труда. А в "Вымпелкоме" ICQ и ее конкуренты запрещены официально. По словам пресс-секретаря "Вымпелкома" в московском регионе Евгении Деминой, в первую очередь запрет был введен для того, чтобы сотрудники не тратили рабочее время на онлайновое общение.

iDefense опубликовал программу для поиска дыр в JPEG и GIF картинках
Компания iDefense выпустила программу с открытым кодом для поиска уязвимостей в популярных файловых форматах, например, JPEG и GIF. Версии для Windows и Linux «портят» файл бит за битом и открывают его в приложении для просмотра, запоминая состояние системы в случае ошибки.

Строго говоря, речь идет не об уязвимости форматов, а о «дырах» в приложениях для обработки файлов, которые могут не справиться со специально подставленным злоумышленником атрибутом или кодом. Возможности «завесить» систему и даже выполнить произвольный код, внедренный в изображение, при просмотре популярными средствами Windows уже были открыты для BMP и JPEG.

Программу представили на хакерской конференции Black Hat. Программа, которую назвали FileFuzz для Windows, и SpikeFile и NotSpikeFile — для Linux, предназначена для специалистов. Что касается использования программы злоумышленниками, то оно возможно, но, надеются разработчики, пользы от нее будет больше, так как, по их словам, «хороших людей больше».

<h3 align="center">Взломана защита проверки подлинности Windows</h3>
Не успела компания Microsoft ввести тотальную проверку на подлинность операционных систем, как хакеры нашли способ обойти ее. Теперь для загрузки обновления для ОС Windows совершенно не обязательно доказывать, что на вашем компьютере установлена лицензионная копия ОС.

Напомним, что на прошлой неделе в Microsoft объявили о введении обязательного использования программы Genuine Advantage 1.0, которая проверяет, пиратская или лицензионная копия Windows установлена на вашем компьютере.

Системы, успешно прошедшие проверку, должны допускаться к загрузке обновлений через Windows Update, Microsoft Update for Windows и Microsoft Download Center. В противном случае будет разрешено загружать только некоторые патчи безопасности, закрывающие постоянно обнаруживаемые уязвимости в операционной системе. Программа начинает работу при активации указанных сервисов обновлений.

В систему обновлений Microsoft Windows Update уже встроена функция проверки легитимности используемой ОС. Сейчас на сайте Microsoft можно проверить, пиратскую ли копию вы используете.

Однако, как оказалось, проверки можно легко избежать. Хакеры уже написали специальный скрипт для браузера Internet Explorer, который, по их словам, устраняет необходимость верификации операционной системы. Программа подтверждения не запускается, и можно сразу перейти к загрузке.

В Microsoft уверяют, что возможность обойти проверку на подлинность не является уязвимостью ОС Windows. Хакерский скрипт работает только тогда, когда пользователь пытается загрузить программное обеспечение через службу Windows Update.

Некоторые приложения, как, например, AntiSpyware beta, недоступны в Windows Update, но их все равно можно найти в другом месте на Microsoft.com. Однако, чтобы их загрузить, также требуется подтверждение подлинности операционной системы. В этом случае хакерский скрипт не работает. В пятницу попытки загрузить программу Antispyware приводили к ошибке сервера («ваш активационный сервер неправильно функционирует»).
(c)Cnews.ru

Хакеры готовятся ко взлому RDP
Корпорация Microsoft подтвердила, что очередная уязвимость, которая позволяет злоумышленникам вывести систему из строя, существует не только в Windows XP. Windows 2000, Windows XP и Windows Server 2003 уязвимы для атак, которые могут вызвать критический сбой в работе системы, используя проблему в Remote Desktop Protocol (протоколе дистанционного управления рабочим столом). Представители Microsoft официально предупредили об этом пользователей в субботу.

RDP – это протокол, который позволяет осуществлять удалённое управление операционной системой Windows. Хакеры могут использовать особенности того, как Windows обрабатывает запросы с удалённого компьютера. Послав особый запрос можно вызвать критический сбой в работе системы другого компьютера. Microsoft предупредила пользователей о наличии "дырки" после того, как исследователь, обнаруживший эту брешь в системе безопасности системы, отметил уязвимость Windows XP. В пятницу Microsoft подтвердила, что проблема существует, и в выходные выступила с официальным предупреждением. Компания заявляет, что ведутся активные работы над патчем, который устранит возможность проведения атаки. В том же заявлении сказано, что пока Microsoft не известны случаи использования данной ошибки хакерами. Тем не менее, по данным SANS Institute, случаи сканирования сетевых портов, используемых RDP, заметно участились. Это может говорить о том, что хакеры ищут себе жертв. В то время как в большинство версий Windows RDP по умолчанию отключён, в Windows XP эта функция включена. Согласно заявлениям Microsoft только компьютеры с включённым RDP уязвимы для злоумышленников.

Сервисы, использующие этот протокол – это Terminal Services в Windows 2000 и Windows Server 2003, а также Remote Desktop Sharing и Remote Assistance в Windows XP. Пока патч не будет выпущен, компания Microsoft рекомендует пользователям блокировать TCP порт 3389 (порт, который используется RDP), отключить Terminal Services или Remote Desktop, если их использование не необходимо, либо защитить свои подключения к удалённым компьютерам через RDP посредством или Internet Protocol Security, или подключения к частной виртуальной сети.

Спамеров снова будут DoSить
Калифорнийская компания Blue Security предлагает новый способ борьбы со спамом. Впрочем, его новизна сугубо относительная, ибо речь снова идёт о подобии DoS-атак на спамерские сайты. Суть состоит в следующем. Владельцу почтового ящика, который регулярно засоряют спамеры, предлагается вступить в сообщество Blue Community, зарегистрироваться в реестре Do Not Intrude (дословно переводится "Не влезай") и скачать клиентскую программу Blue Frog. Пока всё бесплатно. При подписке Blue Security выделяет ещё несколько почтовых ящиков, которые работают как honeypots - "приманки" для спама. Если в эти приманки попадает спам, Blue Security пытается предупредить спамеров и владельцев сайтов, на которых продаются рекламируемые таким образом товары. Кроме того, может быть отправлена жалоба провайдерам, у которых хостятся эти сайты. Если спамеры и их провайдеры не внимают предупреждениям, и на honeypots и основной ящик продолжает сыпаться мусор, в дело вступает штат Blue Security. Сотрудники фирмы анализируют содержание спамерского послания, удостоверяются, что это сообщение нарушает федеральный закон CAN-SPAM Act, выискивают сайт, который рекламируется с помощью спама и находят формы для ввода текста. В эти формы программа Blue Frog автоматически заливает текст жалобы, требование исключить тот или иной почтовый адрес из списка, по которому рассылается спам. Такое происходит только после получения сообщения от спамеров, но зато после каждого такого сообщения. И если Blue Community вырастет до приличных размеров (пока Blue Security - лишь начинающая компания), то сайтам, рекламируемым через спам, угрожает перегрузка не хуже той, что возникает при распределённой DoS-атаке. Именно с DoS-атаками подобную политику и сравнивают сторонние наблюдатели.

(c)xakep.ru

На Дефконе прошло соревнование по взлому беспроводных сетей
Многие пользователи беспроводных сетей даже не подозревают, насколько легко злоумышленнику перехватить данные, которыми их компьютер обменивается с провайдером.
Тайное прослушивание WiFi-соединения является настолько простым делом, что хакеры устраивают целые соревнования между собой, передает Reuters.

На недавней конференции в Лас-Вегасе специалисты по беспроводным сетям (известные также, как wardrivers), устроили состязание, в рамках которого им, в частности, нужно было обнаружить 1000 беспроводных сетей за два часа.

Хакеры использовали специальное радиооборудование, которое засекало беспроводные сети на многие километры вокруг. Эти точки, также именуемые хотспотами, тут же заносились на карту, размещенную на сайте Wigle.Net.

Беспроводная сеть самой конференции Defcon также пользовалась огромной популярностью у собравшихся. Как сообщили представители Defcon, было зафиксировано 1200 попыток взлома сети.

«Вардрайверы» утверждают, что цель таких соревнований не в том, чтобы воспользоваться чужим каналом и не в том, чтобы следить за пользователями оного. Wardrives осуждают тех, кто использует свои знания в подобных целях. Их цель заключается в том, чтобы выявить дыры в беспроводных протоколах и сообщить о них разработчикам, чтобы те устранили уязвимости.

Пользователи хотспотов также имеют возможности самостоятельно защитить себя. Для этого им нужно пользоваться паролями, шифровать трафик и ограничивать доступ к каналу неизвестным компьютерам.

Так, например, исследование, проведенное в июне 2004, выявило, что из 230 000 хотспотов в Америке 62% не использую шифрование.

_http://www.securityLab.ru/56422.html

Исследователи раскрыли канал распространения spyware

Исследователи изучили одну из самых печально известных spyware-программ, которая заразила миллионы компьютеров по всему миру.

В результате тщательного изучения программы CoolWebSearch обнаружилось, что она не только шпионит за зараженным компьютером, но и превращает его в зомби, с которым злоумышленник может сделать практически все, что угодно, передает eWEEK.

Обычно злоумышленникам бывает угодно распространять через зомби спам или использовать из для DDoS-аттак.

Исследователи установили CoolWebSearch на тестовый компьютер, и тут же было обнаружено, что компьютер превратился в спам-зомби. Программа также предприняла попытку подключиться к удаленному серверу.

Зайдя на данный сервер, исследователи с удивлением обнаружили там базу данных о миллионах компьютеров со всего мира.

Там были клавиатурные логи, логи чатов, логины и пароли, а также различные хакерские программы.
(с)webplanet.ru

Специалисты сообщают об уязвимости сайта Министерства обороны Украины

Специалисты Ukrainian PHP Group предупреждают об узвимости сайта Министерства обороны Украины, которая дает возможность осуществить дефейс главной страницы.


Дело в том, что на сайте Минобороны обнаружили SQL – уязвимость, суть которой заключается в том, что в данный момент входящие данные на сайте или не проверяются совсем, или же проверка происходит неправильно.

Потому абсолютно возможным есть не только взлом сайта, редактирование баз данных сайту Минобороны, но и полное уничтожение базы.

Администрация сайта, Департамент специальных телекомуникационных систем и защиты информации Службы безопасности Украины никак не отреагировали на письма, которые сотрудники Ukrainian PHP Group отсылали уже несколько раз, дабы предупредить об опасности.
Оригинал

Отсебятина - если бы только у силовиков такие проблемы были. :)

Инфляция..Everquest II... сломали, а они радуются

Sony утверждает, что группа хакеров в течении недели незаконно создала большой количество валюты в игре "Everquest II", и в результате игроки вызвали 20-ти процентную инфляцию за 24 часа, прежде чем проблема была решена.

Согласно Крису Крамеру, директору общественных отношений в EQ2 Sony Online Entertainment, в субботу игроки начали использовать так называемый «дюпинг баг» для создания большого количества платины, игровой валюты. (Дюпинг баг – это ошибка, использующая слабость в онлайн коде игры для эффективного создания поддельных денег или другого добра)

Игроки тогда начали пытаться продать нелегальную валюту на Станции Обмена, официальном аукционе EQ2 для обмена оружием, броней, деньгами и другими виртуальными благами. "Количество денег в игре выросло примерно на одну пятую за 24 часа", говорит Крамер. «Мы имели много тревожных сообщений по этому поводу».

В любом случае, говорит Крамер, после раскрытия бага, на сервере Станции обмена, был быстро выключен клиентский сервис для прекращения продажи искусственной платины. После обнаружения «нечестных инфляторов»(не русские ли ;-) ) их аккаунты были немедленно закрыты. Sony не раскрывает имена погиб… э.. этих игроков.

Крамер так же сказал, что SOE имеет программы для отслеживания всей дюп-платины и устранения её. Также, он говорит, что пока экономика EQ2 претерпевала высокую инфляцию, команда клиентского обслуживания работала сверхурочно и проблема в большей степени была решена к воскресенью.

Безусловно, дюпинг(обман) не уникален в онлайн играх и даже в EQ2, история показывает, что несколько человек могли сделать более $70,000, используя нелегальную валюту.

Однако, Крамер сказал, что это был первый раз поражения сервера Станции Обмена.

«Это было клева, хороший тест для нас», говорит он, «и того, как быстро мы можем реагировать на подобные ситуации»
(c)hwp.ru

На сайте Verizon обнаружили дыру

Зарегистрированные пользователи сайтa Verizon Wireless могли получить доступ к информации с аккаунтов других пользователей.

Как передает Associated Press, это ошибка была устранена на этой неделе.

Например, если в своем аккаунте ввести номер телефона другого пользователя, то можно было увидеть, сколько у этого пользователя осталось неиспользованных минут на счету. Любопытствующий также мог узнать модель аппарата другого пользователя онлайнового сервиса.

До последнего времени, пока дыра не была устранена, таки сведения мог узнать любой пользователь о любом пользователе.

Представители Verizon заверили общественность, что никакая важная информация, как, например, финансовая справка или адрес абонента, не могла быть узнана посредством использования этой бреши.
(c)webplanet.ru

Появление нового интернет-червя Zotob
Антивирусная компания F-Secure сообщает об обнаружение нового интернет-червя Zotob.A. Появившейся "червь" является клоном известного ранее интернет-червя Mytob, отличительной же особенностью нового "червя" является способ проникновения на удаленый компьютер, в данном случае применяется недавно закрытая уязвимость в службе Plug and Play (MS05-039). После заражения компьютера "червь" копирует себя в каталог %SYSTEM% под именем "botzor.exe" и делает соответствующую запись в системном реестре для последующего своего автозапуска.
(c)uinc.ru

Изощренная атака троянца SpamNet.A

Лаборатория PandaLabs компании Panda Software сообщает об усложненной "цепной" атаке, выполняемой с помощью недавно обнаруженного троянца SpamNet.A. Троянец был обнаружен на веб-странице, размещенной на сервере в США, с доменом, зарегистрированным на адрес в Москве. Атака отличается высокой сложностью, использующей структуру "дерева" для внедрения на компьютеры до 19-ти видов вредоносного ПО. Ее основной целью является рассылка спама, и, используя данную структуру, на настоящий момент троянцем собрано более 3 миллионов электронных адресов по всему миру.

Цепочка заражения начинается, когда пользователь посещает веб-страницу, упомянутую выше. Эта веб-страница использует тэг Iframe для попытки открытия двух новых страниц. Что запускает два параллельных процесса, каждый ассоциированный с одной из двух страниц:

Когда открывается первая из двух страниц, она в свою очередь открывает шесть других страниц, которые перенаправляют пользователя на несколько страниц с порнографическим содержимым. Они также открывают седьмую страницу, которая начинает основной процесс атаки. Эта страница пытается эксплуатировать две уязвимости для выполнения своих действий: Ani/anr и Htmredir. При успешной эксплуатации любой из них, страница устанавливает и запускает один из двух идентичных файлов (Web.exe или Win32.exe) на компьютере.

При запуске эти файлы создают семь файлов на компьютере, один из которых является собственной копией. Другие шесть файлов следующие:

- Первые два – бинарно-идентичные копии троянца Downloader.DQY, и оба создают в операционной системе файл под названием svchost.exe, который в действительности является троянцем Downloader.DQW. Он регистрируется как системная служба, которая каждые десять минут пытается скачать и запустить файлы с четырех различных веб-адресов, два из которых были недоступны на время написания, и другие два это:

1. Троянец Multidropper.ARW
2. Троянец Sapilayr.A

- Третий из шестерки файлов - рекламная программа Adware/SpySheriff

- Четвертый - троянец Downloader.DYB, который пытается определить ID компьютера. Если компьютер находится в Великобритании, он скачивает и запускает дозвонщика Dialer.CHG. Если он не в Великобритании, он скачивает другой файл, идентифицированный как Dialer.CBZ. Эти типы файлов перенаправляют dialup-подключения пользователей на дорогостоящие телефонные номера.

- Пятый файл - Downloader.CRY, создает два файла. Первый из них svchost.exe, создается в c:windowssystem. Второй был идентифицирован как Lowzones.FO.

- Шестой, Downloader.EBY, создает, в свою очередь, другие шесть файлов:

1. Первый из них - троянец Downloader.DLH, который использует стороннее приложение для сбора электронных адресов и отправки их на удаленный адрес по FTP. На время написания, им было собрано 3 миллиона адресов.

2. Второй, троянец Agent.EY, устанавливает себя на систему и запускается при каждой загрузке, заходя на веб-страницу, которая используется для сбора IP-адресов пораженных компьютеров, тем самым, предоставляя статистическую информацию о заражениях.

3. Третий файл, Clicker.HA, ждет десять минут после запуска и затем открывает порнографическую веб-страницу каждые 40 секунд.

4. Четвертый файл - дозвонщик Dialer.CBZ

5. Пятый – рекламная программа Adware/Adsmart

6. Шестой - троянец Downloader.DSV скачивает backdoor-троянца Galapoper.C с определенного адреса. Galapoper.C выполняет основную задачу атаки: рассылает спам. Он проверяет, есть ли открытое Интернет-соединение, при положительном результате посещает три веб-страницы, указанные в его коде, и, в зависимости от зараженного компьютера, скачивает определенный файл. Этот файл позволяет выполнять персонализированные атаки, и даже может содержать другие инструкции или обновления для Galapoper.C.

Galapoper.C также создает основной и два вторичных процесса: с помощью первого он периодически проверяет доступность контента на трех страницах, упомянутых выше. Он использует вторичные для рассылки спама (с зараженного компьютера) и компиляции информации с сервера (электронные адреса, темы, текст сообщений) для спамовых сообщений, каждые 10 минут или 70 тысяч спамовых писем.

Вторая страница перенаправляет пользователя на другую, которая пытается использовать уязвимость ByteVerify для запуска файла, расположенного на URL. Она также открывает новую страницу, используя HTML тэг – эта страница была недоступна на время написания статьи.

Она также открывает другую страницу, чей код маскируется функцией Javascript, которая использует функцию ADODB.Stream для перезаписи проигрывателя Windows Media Player файлом, расположенным на другой странице.

Сложность этой атаки беспрецедентна.

Чтобы предотвратить заражение SpamNet.A или другим вредоносных кодом, пользователям рекомендуется регулярно обновлять свои решения безопасности.
(c)itnews.com.ua

Недавно обнаруженная уязвимость в MS Windows - уже в «эксплуатации»

Служба вирусного мониторинга компании «Доктор Веб» сообщает о распространении еще одного семейства Интернет-червей, эксплуатирующих уязвимость в самом распространенном в мире ПО - операционной системе Windows. Информация об уязвимости была обнародована компанией Microsoft в бюллетене MS05-039 от 9 августа и всего 5 дней понадобилось вирусописателям для создания червя, реально ее эксплуатирующего.

Уязвимости подвержены компьютеры под управлением Windows 2000. Таким образом, незащищенные межсетевыми экранами компьютеры, на которых установлена непропатченная Windows 2000, при условии переполнения буфера в Plug-and-Play, рискуют быть атакованными извне и на них может быть запущен любой код в режиме удаленного доступа.

Объектов для атак нового червя в мире довольно много. По оценкам зарубежных экспертов, компьютерный парк 50% крупных корпораций состоит из машин, работающих под управлением этой операционной системы. В результате, как сообщают многие СМИ, зафиксировано большое количество отказов в работе таких компьютеров, в том числе в телекомпании CNN и в редакции газеты The New York Times.

Семейство новых червей (на данный момент известны как минимум четыре его модификации) классифицируется антивирусными компаниями как W32/Zotob.worm, W32.Zotob.*, Zotob.* (название составлено из «перевернутого» имени файла, под которым пилотный экземпляр этого семейства прописывал себя в системный реестр). В вирусную базу компании «Доктор Веб» червь занесен под именем Win32.HLLW.Stamin (размер файла этого конкретного варианта червя - 10366 байт).

Для проникновения на компьютеры пользователей червь сканирует сеть по порту TCP 445 (как правило блокируемому сетевыми экранами) в поисках уязвимого хоста. Поникнув в систему благодаря уязвимости в Plug-and-Play, червь самозапускается и создает в системной директории Windows файл (в разных вариантах наименования исполняемого файла червя pnpsrv.exe, winpnp.exe, csm.exe, wintbp.exe, windrg32.exe). При этом отдельные варианты червя уничтожают исходный исполняемый файл, из которого они были запущены.

Свой автоматический запуск при последующих рестартах системы червь обеспечивает путем внесения своих данных в ключи реестра


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Найдя подходящий (уязвимый) компьютер и поселившись в нем, червь открывает «люк», который служит его средством общения с внешним миром, и устанавливает соединение с IRC - сервером. Соединившись со своим оператором, робот может принимать команды на закачку и запуск кода, его установку, получение обновлений своих версий или самоудаление. Проникнувший на компьютер шпион собирает различную системную информацию, включая данные об установленной операционной системе, логин пользователя, объем системной памяти и другую важную информацию.

Чтобы продлить как можно больше свое существование на зараженном компьютере, червь блокирует доступ к серверам обновлений антивирусных компаний, что делает пользователя беззащитным перед лицом новой угрозы. Для этого червь блокирует системный сервис SharedAccess путем внесения изменения в ветку реестра


HKLM\System\CurrentControlSet\Services\SharedAccess

Последняя версия червя содержит также и деструктивные функции удаления файлов, ключей реестра и остановки процессов.

Появление данного червя стало еще одним напоминанием о несовершенстве любого, пусть даже самого распространенного, а значит признанного мировым компьютерным сообществом ПО, и вновь обострило извечную проблему своевременной установки «заплаток» к используемому на компьютерах софту. Для данной уязвимости патч находится здесь - _http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx.
(c)info.drweb.com

Увеличивается количество червей, атакующих новую уязвимость Windows

Эксперты SophosLabs, сети центров анализа вирусов, шпионского ПО и спама, входящей в компанию Sophos, предупредили, что хакеры выпустили в Интернет еще два новых червя, использующих недавно обнаруженные уязвимости в Windows.
Черви W32/Zotob-C и W32/Tilebot-F появись следом за червями W32/Zotob-A и W32/Zotob-B, которые были запущены в интернет в прошедшие выходные дни. Все эти черви используют уязвимость систем Plug and Play, о которой компания Microsoft объявила на прошлой неделе в бюллетене MS05-039. Есть риск, что многие пользователи не обновили свои ОС и не закрыли серьезную брешь в безопасности ПК.
Новая версия червя Zotob идет на шаг впереди своих предшественников, распространяясь и через вложения в электронные письма, а не только через сеть по "переполнению буфера". При распространении через почту червь Zotob-C прибегает к целому ряду маскировок, включая, к примеру, "прикид" под фотографию с веб-камеры.
Червь-шпион Tilebot-F может воровать конфиденциальную информацию пользователей зараженных компьютеров и запускать DDoS-атаки против веб-сайтов.
"Так как Zotob-C распространяется и через почту, потенциально он может заразить большее число ПК, чем предыдущие версии этого червя. Хорошей новостью является то, что на настоящий момент он не распространился широко", - сказал Грэм Клули, старший консультант по технологиям компании Sophos.
Пользователи домашних ПК могут посетить сайт windowsupdate.microsoft.com, чтобы обеспечить в автоматическом режиме сканирование своих систем на предмет наличия уязвимостей в используемом ими ПО Microsoft, а также загрузить обновления системы.
(с)itnews.com.ua

MS выпускает средство против Zotob

MS выпускает средство против Zotob
eWeek _http://www.eweek.com/article2/0,1759,1849456,00.asp

Обновленная версия Malicious Software Removal Tool будет удалять десяток модификаций червя, использующего уязвимость в Windows 2000 Plug and Play service.
Чуть ранее червь успешно поразил компьютерные сети CNN, ABC, New York Times, Associated Press, Caterpillar Inc., часть компьютеров международного аэропорта Сан-Франциско и т.п. Замечу, что исправление, закрывающее данную уязвимость, вышло более недели назад. Официальная поддержка Windows 2000 прекращена 30 июня.
(с)bugtraq.ru

OnLine сервис по взлому MD5 хэшей

Уже содержит 12 миллионов уникальных вхождений, а также регулярно пополняется. Среднее время взлома поиска (исправлено ivlad) 5 хешей состовляет 0.4 секунды.
Подробности
(с)linux.org.ru

Информация с сайта www.pcnews.com.ru.Мы часто недооцениваем опастность шпионского ПО,читаем,делаем выводы "Количество шпионских программ удвоилось, а количество сайтов, на которых происходит заражение, учетверилось по сравнению с данными предыдущего квартального отчета. Так, в интернете насчитывается уже более трехсот тысяч сайтов, на которых можно подхватить шпиона.
Эксперты обнаружили. что spyware становится более изощренным, а вред, наносимый им, постоянно увеличивается. Современные шпионские программы проникают на компьютер совершенно незаметно даже для продвинутого пользователя и получают гораздо больше конфиденциальной информации, чем раньше.
Вот список нескольких наиболее распространенных spyware.
CoolWebSearch. Перенаправляет пользователя на страницу собственного поисковика, изменяет настройки IE, создает уязвимость в Java Virtual Machines.
Elite Bar. Следит за тем, какие страницы посещает пользователь и регулярно демонстрирует ему попап-рекламу. Также может менять настройки IE.
PowerScan. Изучает поведение пользователя в сети, показывает попапы. Может скачивать и выполнять произвольные программы без ведома пользователя. Обычно проникает на компьютер через ActiveX.
Look2Me. Следит за поведением пользователя в Сети и докладывает на базовый сервер. Имеет функцию автообновления и загрузки программ, при помощи которых затрудняется его обнаружение и удаление. Проникает на компьютер через ActiveX и дырки в веб-приложениях.
PurityScan. Следит за поведением пользователя в Сети и докладывает на базовый сервер. Его весьма сложно обнаружить и удалить. Может автообновляться и скачивать и запускать программы. Показывает назойливую рекламу и снижает производительность браузера. Попадает на компьютер через файлообменные сервисы, такие как Grokster или Kazaa.
Clkoptimizer. Следит за пользователем, показывает попапы. Может скачивать и запускать программы. Попадает на компьютер через ActiveX.
Также в интернете весьма популярны ISTBar, AbberInternet, 180search и Web Search Toolbar."

В Марокко и Турции арестованы предполагаемые авторы известного вируса Zotob

Правоохранительные органы Марокко и Турции задержали двух молодых людей, которые подозреваются в написании вируса Zotob или его модификаций, сообщает в пятницу газета Washington Post со ссылкой на заявление ФБР США.
Как ранее сообщалось, различные версии Zotob во второй половине августа вызвали глобальную эпидемию, которая, в числе прочего, поразила компьютерные сети крупнейших американских СМИ, таких, как CNN, The New York Times и ABC News. Также известно, что вирус временно нарушил нормальную работу Министерства национальной безопасности США. ФБР начала расследование и вышла на 18-летнего Фарида Эсебара (Farid Essebar) - марокканца, родившегося в России, - и 21-летнего гражданина Турции Атиллу Эткижи (Atilla Ekici). Оба накануне были арестованы по запросам ФБР властями Марокко и Турции.
По данным газеты, оба вирусописателя подозреваются не только в создании вирусов, но и в финансовых махинациях с банковскими данными, украденными с зараженных компьютеров. Также сообщается, что один из задержанных, вероятно, причастен к созданию предшественника Zotob - почтового вируса Mytob, который был впервые обнаружен в феврале и также стал причиной глобальной эпидемии.
(c)lenta.ru

Японского фишера посадили в тюрьму
 

«Диалог-Наука», официальный представитель компании Sophos в России, сообщает, что создатель поддельного веб-сайта Yahoo Japan получил 22 месяца тюрьмы и 4 года условно.

42-летний Казума Ябуно (Kazuma Yabuno) создал сайт-фальшивку в феврале 2005 г. и собирал регистрационные данные и пароли пользователей Yahoo с тем, чтобы иметь незаконный доступ к их личной электронной корреспонденции. Наказание Ябуно, бывшему инженеру по компьютерным системам, вынес судья Митсуаки Такаяма (Mitsuaki Takayama), который сказал, что решение было принято с учетом того, что «Ябуно не использовал похищенную информацию для совершения других преступлений».

«Это важное дело, так как впервые в Японии осудили фишера. Но многих удивит мягкость приговора», — сказал Грэм Клули, главный консультант Sophos по технологиям. По его мнению, суды по всему миру должны быть более строгими в том, как они наказывают фишеров, вирусописателей и хакеров.
CNews.ru

win32.hllw.steal
 

Обнаружен очень неприятный червяк.
Симптомы-всплывающие окна, предлагающие обновить win, сообщения о попытке замены системных файлов. В корневом каталоге пачка steal*.* файлов.
червяк
1 может блокировать обновление антивирей правкой файла hosts
2 может убивать процессы антивирусов
3. Обнаруженный экземпляр все файлы создает в корне диска с:, пути в его коде пробиты жестко
В частности, имена файлов:
stealth.bszip.dll
stealth.dcom.exe
stealth.ddos.exe
stealth.exe
stealth.injector.exe
stealth.pass.bmp
stealth.shared.dll
stealth.spam.exe
stealth.stat.exe
stealth.wm.exe
stealth.worm.exe

Многие антивирусы еще не детектируют.

Ad-Aware v.1.7
 

С сайта www.AVINFO.ru "Сегодня компания Lavasoft с радостью сообщает о выходе новой версии Ad-Aware Enterprise Edition version 1.7

Основным направлением компании LAVASOFT, лидера среди поставщиков решений в области программного обеспечения для предотвращения трассировки информации пользователя, является разработка и распространение решений для защиты вашего компьютера или сети от компрометирующих и шпионских угроз конфиденциальности. Компании любого уровня, а также частные пользователи получают комплексные и эффективные решения для защиты конфиденциальности.

Сегодня компания Lavasoft с радостью сообщает о выходе новой версии Ad-Aware Enterprise Edition version 1.7

В новой версии добавлены следующие функции и исправлены следующие ошибки:
Новые функции:
Файлы сигнатур теперь могут быть переданы клиенту двумя способами: “pushing” и “pulling”.
- Альтернативные методы ведения журналов. Пространство жесткого диска на Сервере и Клиенте может быть увеличено с помощью функции "No detailed logging" (Журнал без детализации).
- При загрузке клиенты автоматически проверяют наличие обновлений на сервере.
- Новый ключ добавлен в реестр для контроля пути, по которому читаются логи сканирования Ad-Aware.
Исправлены ошибки:
Начальное время всегда отображалось в "%" в панели "Server Control".
- Уведомления по почте отправлялись с неверными временными промежутками.
- "Force Update" теперь установлено по умолчанию в обновлении по расписанию.
- Панель статуса не обновлялась вовремя в панели "Client Status".
- Отсутствующие клиенты не идентифицировались верно.
- IP сервера не мог быть размещен в локальном сетевом интерфейсе.
- При запуске "Management Console" шкала процесса установки снова не будет появляться.

Современные исследования показывают, что большинство компьютеров в корпоративных сетях заражено той или иной формой рекламного или шпионского ПО, и, более того, данная проблема становится одной из наиболее распространенных в рамках обеспечения безопасности корпоративной сети.

Доверьте решение данной проблемы компании Lavasoft, которая является основателем отрасли противодействия шпионскому ПО и на протяжении многих лет представляет инновационные решения.

Более подробную информацию о продуктах компании Lavasoft можно найти на сайте http://www.lavasoft.avsoft.ru/."

F-Secure расшифровала алгоритм червя Sober
 

В ноябре последний вариант червя Sober навел хаос, являясь пользователям под личиной писем из ФБР и ЦРУ. Антивирусные компании знали, что червь каким-то образом управляется через веб. Он запрограммирован так, чтобы автор мог контролировать зараженные машины, а если требуется — и изменять поведение самого червя.

В четверг финская антивирусная фирма F-Secure сообщила, что она расшифровала алгоритм, используемый червем, и может вычислить точные адреса URL, которые тот посещает в любой день. Главный специалист F-Secure Микко Хиппонен пояснил, что автор вируса не использует постоянный URL, так как его быстро заблокировали бы.

«Sober создает псевдослучайные адреса URL, которые меняются в зависимости от дат. 99% этих URL просто не существует… Однако автор вируса может рассчитать URL на любую дату, и когда ему нужно сделать что-либо на всех зараженных машинах, он просто регистрирует соответствующий URL, загружает туда свою программу и БАХ! Она выполняется на сотнях тысяч машин во всем мире», — пишет Хиппонен в своем блоге.

По расчетам F-Secure, 5 января 2006 года все компьютеры, зараженные последним вариантом вируса Sober, будут искать обновленные файлы в следующих доменах:


http://people.freenet.de/gixcihnm/

http://scifi.pages.at/agzytvfbybn/

http://home.pages.at/bdalczxpctcb/

http://free.pages.at/ftvuefbumebug/

http://home.arcor.de/ijdsqkkxuwp/

Хиппонен рекомендует администраторам лишить любые зараженные ПК возможности автоматического обновления, заблокировав доступ к этим доменам.

Менеджер Trend Micro Адам Бивиано считает, что блокирование URL, может быть, и полезно, но все же надежнее всего было бы сделать все ПК безопасными. «Блокирование этих URL неплохая идея, но в первую очередь задача администраторов — гарантировать, что их машины не заражены», — прокомментировал он.

securitylab.ru

https дает пользователю чувство ложной безопасности
 

Группа компаний, выпускающих SSL-сертификаты для сайтов с шифрованным соединением (https), планирует в следующем году пересмотреть практику выдачи этих документов, поскольку зачастую они создают у пользователя чувство ложной безопасности и приводят к успеху мошенников.

Самая серьезная проблема значка желтого замка в браузере, обозначающего защищенное соединение, — в невнимательности при выдаче сертификатов. SSL-сертификат включает ключ шифрования, название организации-обладателя и срок годности, подписанные издателем. Несколько лет назад проверка заявителя на принадлежность к указанной организации начала проводиться «спустя рукава». Некоторые издатели довольствовались лишь фактом существования почтового ящика, откуда пришел запрос. Этим воспользовались фишеры. Впрочем, им необязательно выдавать свой сертификат за реальный: попадая на подставной сайт по защищенному соединению, пользователь видит тот же самый желтый замок. Редко кто догадывается посмотреть подробности сертификата и увидеть, что сертификат выдан совсем другой организации. «Проблема с базовым сертификатом — в низком уровне проверки заказчика, а методы подтверждения в браузерах нелегки для среднего пользователя», — сказал Джим Мелони (Jim Maloney), директор по безопасности компании Corillian, предоставляющей технологии онлайновых платежей более чем 100 банкам.

Браузеры — тоже часть проблемы. Желтый замок выглядит всегда одинаково со времен его изобретения Netscape «на заре» всемирной паутины. Microsoft и другие производители браузеров собираются изменить его в Internet Explorer 7. Вместе с издателями сертификатов VeriSign, Comodo, GeoTrust и Cybertrust, объединившимися в CA Forum, компании пересмотрят стандарт и сделают сертификаты более надежными. Ими будут выпускаться сертификаты «высокой надежности». Представители форума уже три раза встречались в этом году по данному вопросу.

Фишеры украли у финансовых организаций как минимум $400 млн. в прошлом году, по данным Financial Insight при IDC. Тем временем объемы онлайновых транзакций растут. К 2010 году их оборот в США составит $329 млрд. против $172 млрд. в этом году, по данным Forrester Research.

securitylab.ru

Ошибка в антивирусном ПО Symantec представляет «высокий» риск
 

В антивирусном ПО Symantec есть уязвимость, которую злоумышленники могут использовать для перехвата контроля над системой, предупредила компания во вторник вечером.

Согласно Symantec, баг, который влияет на целый ряд программных средств безопасности компании, представляет «высокий» риск. Датская секьюрити-фирма Secunia расценивает его как «высококритичный». В рекомендации Secunia говорится, что он проявляется в большинстве продуктов Symantec, включая версии Symantec AntiVirus, Symantec Norton AntiVirus и Symantec Norton Internet Security для корпоративных и индивидуальных пользователей на платформах Windows и Macintosh.

Уязвимость находится в Symantec AntiVirus Library, которая обеспечивает поддержку форматов файлов для анализа вирусов. «При декомпрессии файлов RAR Symantec допускает множество переполнений кучи (heap overflows), что позволяет злоумышленникам получить контроль над защищаемой системой, — говорит консультант по безопасности Алекс Уилер, который первым обнаружил ошибку. — Эти уязвимости могут использоваться дистанционно, без вмешательства пользователя в конфигурациях по умолчанию через обычные протоколы, такие как SMTP».

RAR — это собственный формат программы WinRAR, которая используется для компрессии и декомпрессии данных. Пока уязвимость обнаружена только в версии Dec2Rar.dll 3.2.14.3 и в принципе, по словам Уилера, может затрагивать все продукты Symantec, использующие этот DLL. Полный список затрагиваемых продуктов приведен здесь.

Symantec еще не выпустила поправку для решения этой проблемы. Пока Уилер рекомендует пользователям запретить сканирование RAR-компрессированных файлов.

Это не первая уязвимость, обнаруженная Уилером. В октябре он нашел аналогичную ошибку в антивирусном ПО «Лаборатории Касперского», которую позднее компания признала. А в феврале он обнаружил другую ошибку переполнения кучи в антивирусном ПО Symantec.

ZDNet

В 2005 году было обнаружено на 38% больше уязвимостей по сравнению с 2004 годом
 

US CERT опубликовала отчет, огласно которому в 2005 году было обнаружено на 38% больше уязвимостей по сравнению с 2004 годом.

Согластно US-CERT, 812 уязвимостей было обнаружено в операционной системе Windows и различном ПО для Windows, 2328 уязвимостей в операционных системах Unix/Linux (включая Mac OS) и различные входящие в дистрибутив приложения. Остальные 2058 дыр воздействовали на несколько операционных систем.

securitylab.ru

Trojan.Encoder - не поддавайтесь кибер-шантажу. «Доктор Веб» всегда придет Вам на помощь.

27 января 2006 года

За последние сутки в Службу вирусного мониторинга компании «Доктор Веб» поступило несколько обращений от пользователей, файлы документов которых оказались закодированы неизвестным вирусом. Кроме зашифрованных и поэтому недоступных для прочтения файлов все жертвы вируса обнаружили на своих дисках многочисленные копии файла readme.txt, в котором содержалось сообщение о том, что файлы пользователя зашифрованы и предлагалось обратиться с письмом на указанный адрес электронной почты для расшифровки файлов.

В этой связи компания «Доктор Веб» информирует своих пользователей, что в данном случае речь идет о поражении системы троянской программой, которая детектируется антивирусным ядром Dr.Web как Trojan.Encoder (добавлен в вирусную базу 26 января 2006 года). Троянская программа попадает на компьютеры своих жертв по электронной почте и прописывает себя в ключ реестра

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
services = Filename.exe

Троянец активируется, используя уязвимость операционной системы. Поселившись на компьютере жертвы, программа ищет файлы со следующими расширениями:

"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" ,
"mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar" ,
"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,
"cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" ,
"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" ,
"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"

и шифрует их с помощью алгоритма RSA. В дальнейшем автор вируса требует со своих жертв деньги за дешифровку. Свой адрес шантажист сообщает в файле readme.txt
Some files are coded by RSA method.
To buy decoder mail: ********34@rambler.ru
with subject: RSA 5 68243170728578411

Специалисты антивирусной лаборатории компании «Доктор Веб» оперативно разработали специальную дешифрующую программу, позволяющую вернуть все пораженные троянцем файлы документов в первоначальное состояние. Мы предлагаем всем, кто столкнулся с вышеуказанной проблемой, обращаться в Службу технической поддержки компании «Доктор Веб» - Вам помогут совершенно бесплатно!

Если у вас не очень много пораженных троянцем файлов, Вы можете их дешифровать прямо на нашем сервере. Для этого Вам надо загрузить сюда зашифрованный файл.

Вы также можете сами воспользоваться этой программой, скачав ее с с нашего FTP сервера. Параметры командной строки:

te_decrypt.exe имя_файла_который_требуется_дешифровать

Обращаем внимание, что дешифрованный с помощью этой утилиты файл будет иметь первоначальное имя с добавленным к нему расширением .decr.

Ссылка на страницу - _http://info.drweb.com/show/2746

3-е февраля станет черным днем для любителей порно
31/01/2006 10:03, Сергей Бондаренко
Антивирусные компании сообщают о том, что 3-го февраля пользователи, компьютеры которых заражены вирусом Nyxem, будут очень удивлены, когда не смогут найти свои файлы в форматах DMP, DOC, MDB, MDE, PDF, PPS, PPT, PSD, RAR, XLS и ZIP. Вирус, известный также как Blackmal, MyWife, Kama Sutra, Grew и CME-24, распространяется с 16-го января и за это время уже успел заразить как минимум 300 тысяч компьютеров. В его коде имеется указание на перезаписывание всех файлов названных типов 3-го числа каждого месяца. Nyxem распространяется по почте. Он обычно приходит с такими вариантами тем: Fw: Funny :), Fw: Picturs, *Hot Movie*, Fw: SeX.mpg, Re: Sex Video, Miss Lebanon 2006 или School girl fantasies gone bad. В письме пользователю обещают бесплатные порнографические картинки или видео и просят открыть аттачмент. После заражения компьютера вирус блокирует антивирусные приложения, а также распространяется по адресной книге и локальной сети. Антивирусные компании предупреждают, что угрозе, прежде всего, подвержены домашние пользователи, большинство из которых не следит за обновлениями антивирусных баз.

news.bbc.co.uk

Взято отсюда: http://www.3dnews.ru/software-news/3..._porno-101301/

Трояны используют новую уязвимость Windows
 

«Лаборатория Касперского», российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении целого семейства троянских программ, использующих новую уязвимость в процедуре обработки файлов типа Windows Meta File (WMF).

Семейство получило название Trojan-Downloader.Win32.Agent.acd. Использование данной WMF-уязвимости особенно опасно потому, что она имеет статус критической, а соответствующего исправления программных модулей от компании Microsoft еще не существует.

Уязвимости в обработке WMF-файлов подвержены операционные системы Microsoft Windows XP с пакетами обновлений Service Pack 1 и Service Pack 2, а также Microsoft Windows Server 2003 Service Pack 0 и Service Pack 1. Использование WMF-уязвимости возможно при работе с браузером Internet Explorer, служебной программой Microsoft Windows «Проводник» и, при выполнении ряда дополнительных условий, браузером Firefox.

Заражение троянскими программами семейства Agent.acd производится при посещении пользователем сайтов unionseek.com и iframeurl.biz. Проникая с указанных сайтов в систему, вредоносный код запускается посредством WMF-уязвимости. Затем «Agent.acd» загружает на атакованный компьютер другие троянские программы, характер действий которых определяется злоумышленниками.

«Лаборатория Касперского» предупреждает пользователей о появлении вредоносных программ, использующих новую WMF-уязвимость, и рекомендует не открывать незнакомые файлы с расширением *.wmf, а также, в случае, если работа в интернете осуществляется при помощи браузера Internet Explorer, установить уровень безопасности на максимальную отметку, High. Эксперты не исключают появления новых модификаций троянских программ, использующих WMF-уязвимость, в самое ближайшее время.

Источник

Червивое "яблоко"
Появился первый червь, который распространяется через iChat в операционной системе MacOS X на платформе PowerPC. Этот червь носит имя Leap (CME-4) и распространяется в архиве latestpics.tgz, маскируясь под jpeg. Будучи разархивирован и запущен этот червь сканирует операционную систему в поиске наиболее используемых в последнее время приложений, подменяет их собой, переименовывая оригинальный исполнимый файл. В результате, каждый раз перед запуском приложения исполняется тело червя. Кроме того, червь захватывает несколько функций системы мгновенных сообщений iChat. Как только внешние пользователи изменяют свой статус в iChat, червь инициирует передачу им своего тела latestpics.tgz. Причем сам процесс передачи файла скрыт от пользователя зараженного компьютера. Пока распространение этого червя не очень большое, однако ему в спину уже дышит второй червь Inqtana, который написан на Java и распространяется при помощи ошибки в реализации системы Bluetooth. Эта ошибка была исправлена Apple в июне 2005 года. Этот червь деактивируется после 24 февраля. Компания Sophos провела опрос пользователей компьютеров и выяснила, что 79% из них считают, что MacOS также подвержена вирусам, но большинство (59%) надеются, что вирусов для этой ОС будет меньше, чем для Windows.
osp.ru

Олимпиада и вирусы
Вирусописатели используют олимпийские игры для распространения своих продуктов. В частности, червь Bagle.FY, который начал распространяться 13 февраля, использовал Олимпийские игры в Турине для того, чтобы проникнуть на компьютеры пользователей. Червь распространялся как приложение к письму, где предлагалось сыграть в лотерею, чтобы выиграть бесплатный билет на Олимпийские игры. Заманчивое предложение содержалось в теле письма, а за подробностями предлагалось обращаться в приложенный архив. Однако в архиве собственно и содержался червь. В тот же день по Internet начало распространяться письмо-шутка, которое вируса не содержало, но предупреждало, что в приглашениях на Олимпиаду может содержаться страшный вирус, который уничтожает нулевой сектор дискового накопителя. Поэтому в течении какого-то времени не рекомендуется открывать почтовые сообщения с темой "Invitation". Тем же, кто получил письмо-предупреждение, советовалось разослать его всем знакомым. Возможно, эти два события совпали случайно, поскольку были привязаны к Олимпийским играм. Однако нельзя исключать, что вирусописатели использовали новую технологию - посеять панику, а потом атаковать с неожиданной стороны.
osp.ru

Новые черви для MacOS
Появились еще два варианта червя Inqtana, которые нацелены на операционную систему MacOS X. Новые версии червя могут поражать также и более старую версию операционной системы 10.3, для которой Apple не выпустила исправлений той ошибки, которая используется для заражения. В этих червях также убрано ограничение на размножение после 24 февраля 2006 года, которое существовало в первом варианте Inqtana. Оба червя, в отличие от первого его варианта, не были найдены в "живом" виде, но получены исследовательскими компаниями по электронной почте. Причем компания Sophos поторопилась выпустить обновления своей базы, в результате чего на некоторых компьютерах были зарегистрированы ложные срабатывания антивируса с сообщением, что он заражен OSX/Inqtana-B. На самом деле никакого заражения не было, но лишь некорректная формулировка сигнатур. Спустя два часа компания выпустила исправления к своим сигнатурам, и ложные срабатывания прекратились.
osp.ru

В 2005 году число dDoS-атак на web сайты возросло на 679%



02 марта, 2006
Атаки хакеров на коммерческие сайты становятся все более частыми и разрушительными по своим последствиям. Зачастую злоумышленники бомбардируют сайты громадными потоками данных, что полностью блокирует легальный трафик. Специалисты компании Symantec отмечают, что количество dDoS-атак на web сайты в 2005 году выросло на 679%.

Для большинства атак использовались компьютеры, превращенные злоумышленниками в так называемых "ботов", которые они могут контролировать через интернет после установки шпионящего ПО.

По информации Symantec, для некоторых атак хакеры использовали сотни и даже тысячи ботов. Такие разрушительные атаки отразить практически невозможно.

"Если собирается горстка людей, намеренных выбить вас из сети, защитить себя бывает очень сложно", - сообщил USA Today Дэйв Коул (Dave Cole), директор отдела Symantec по разработке защитного ПО.

В последнее время зафиксировано большое количество атак на сайты крупных компаний, имеющих большие доли на своих рынках. Многие эксперты по безопасности, основываясь на некоторых данных, подозревают, что за многими из этих атак могут стоять более мелкие компании-конкуренты, пытающиеся таким образом улучшить свои позиции.
_http://www.securitylab.ru/news/263410.php

Можно взломать и принтер

Компания Hewlett-Packard предупредила владельцев выпускаемых ею изделий о том, что ошибка в программном обеспечении, установленном на ряде ее лазерных принтеров, делает их уязвимыми для хакерской атаки.

Речь, как пишет The Register, идет о программе Toolbox, устанавливаемой на принтеры HP Color LaserJet серий 2500 и 4600. Если пользователь оставит все установки программы на заводских умолчаниях, то у хакера появится возможность получить доступ к файлам подключенного к такому принтеру компьютера, работающего под управлением Windows.

Компания Hewlett-Packard настоятельно рекомендует обновить уязвимую версию Toolbox на версию 3,1, где эта уязвимость устранена.
Internet.ru

Первый вирус для StarOffice
Макровирус Stardust, заражающий документы офисного пакета StarOffice, обнаружен специалистами "Лаборатории Касперского". Макровирусы, основная масса которых была создана для Microsoft Word, в последнее время редкость, поскольку от них относительно легко защититься, отключив соответствующие функции в Word. Как правило, такие вирусы инфицируют шаблон, в результате чего при открытии документов те тоже оказываются зараженными. Аналогично действует Stardust, который распространяется в документе с макросами и заражает глобальный шаблон, вследствие чего все впоследствии открываемые документы тоже инфицируются. При открытии зараженного документа происходит вывод на экран порноизображения, размещенного на бесплатном хостинге tripod.com. По мнению сотрудников "Лаборатории Касперского", риск заражения Stardust, созданного, по-видимому, в целях проверки концепции, низок. Специалисты также отмечают, что при небольшой модификации кода вируса его можно заставить заражать и документы OpenOffice 2.0, аналога StarOffice с открытым кодом.
osp.ru

Дождались...
Необычного троянца обнаружили в Сети исследователи компании Websense. Троянец отправляет краденую информацию не традиционными способами, уязвимыми для брандмауэров – по электронной почте или HTTP пакетами - а через «невинный» протокол ICMP (Internet Control Message Protocol), который используется в технологии ping – проверке работоспособности и времени отклика удаленных компьютеров путем обмена пробными пакетами.

Троянец, которому еще не присвоили имя, устанавливается в систему как вспомогательный объект браузера Internet Explorer (Browser Helper Object, BHO), и ждет, когда пользователь зайдет на определенные сайты, в основном, банковские. Затем вредоносный код перехватывает пароли, другую конфиденциальную информацию, и отправляет их удаленному хакеру. Данные, перенаправляющиеся с помощью ICMP, достаточно примитивно шифруются алгоритмом XOR («исключающее "или"»).

В Websense проверили работоспособность нового троянца, заразив им тестовый компьютер и введя данные в форму на сайте Deutsche Bank, использующем защищенный протокол SSL. Как и ожидалось, троянец перехватил информацию, и передал ее через ICMP на удаленный сервер

Новый червь на подходе...
 

В августе вышла дюжина обновлений от Microsoft.
9 критических и 3 важных обновления.
Важные - удаленное исполнение кода в Windows Explorer, повышение привилегий из-за уязвимости в ядре, удаленное исполнение кода из-за уязвимостей в Hyperlink Object Library.
Все критические нацелены на исправление ошибок, также приводящих к удаленному исполнению кода - кумулятивное обновление для IE, исправление Outlook Express, уязвимость в службе Server, ошибка при работе с DNS, уязвимости в Microsoft Management Console, HTML Help, Visual Basic for Applications, PowerPoint, и еще несколько уязвимостей в ядре.
В течение нескольких часов после выхода критического патча для службы Server было продемонстрировано использование этой уязвимости - причем на этот раз источником послужил анализ самого патча. Gartner Research предлагает готовиться к худшему - уязвимость слишком легко использовать, и атакующий код уже доступен всем желающим, так что это попахивает новым Blaster'ом.

Источник

Критические уязвимости от Microsoft и новый червь
 

Microsoft выпустила десять бюллетеней безопасности для пользователей. Они исправляют уязвимости, опасность которых оценена как "критическая" (шесть), "серьезная" (одна), "умеренная" (две) и "низкая" (одна):

MS06-056: Исправляет уязвимость (кросс-сайтовый скриптинг) на серверах с .Net Framework 2.0. Опасность этой бреши была оценена как "умеренная".

MS06-057: Обновляет Windows Shell с целью помешать удаленному запуску кода. Обнаружена в Windows 2000, XP и Server 2003. Серьезность расценивается как "критическая".

MS06-058: Исправляет шесть уязвимостей в PowerPoint и расценивается как "критическая".
MS06-059: Исправляет четыре уязвимости в Microsoft Excel, также названные "критическими".

MS06-060: Обновление для исправления критической уязвимости в Microsoft Word.

MS06-061: Содержит обновление, исправляющее две уязвимости Microsoft XLM Core Services. Майкрософт назвала этот бюллетень "критическим". Он применим к Windows NT4 SP6, 2000, XP и Server 2003.

MS06-062: Обновление для исправления уязвимостей Microsoft Office. Влияет на Microsoft Office, Project и Visio. Уязвимости названы "критическими".

MS06-063: Исправляет две уязвимости в службе Windows Server. Бюллетень, которому была присвоена оценка "важный", предназначен для Windows 2000, Server 2003 и XP.

MS06-064: Исправляет три уязвимости отказа в обслуживании на системах TCP/IP IPv6. Майкрософт присвоила этому бюллетеню "низкую" степень серьезности. Он предназначен для систем Windows XP и Server 2003.

MS06-065: Исправляет уязвимость, влияющую на утилиту Windows Object Packager в Windows XP и Server 2003. Ее серьезность оценена как "умеренная".
Первый вредоносный код в отчете прошедшей недели - червь W32/Nedro.B.worm, разработанный для заражения операционных систем Windows. Он распространяется по IRC и через Yahoo! messenger.

Чтобы остаться незамеченным и избежать обнаружения и уничтожения, Nedro.B выполняет ряд действий:

Блокирует доступ к реестру Windows.
Вносит модификации в систему для запуска кода червя при любом запуске файла с одним из следующих расширений: art, dat, avi, ini и pif.
Назначает иконку Microsoft Word файлам .scr (хранители экрана) для того, чтобы сделать их менее подозрительными для пользователей.
Скрывает файлы .bat, .com, .exe и .scr (все эти файлы являются исполняемыми, и поэтому потенциально опасны).
Удаляет опцию "Выполнить" из меню "Пуск".
Запрещает просмотр пользователем содержимого жесткого диска через Проводник Windows.
Завершает множество приложений безопасности.
Эти действия не только позволяют Nedro.B скрывать себя, но также оставляют систему уязвимой для других вредоносных кодов.

Haxdoor.NJ - это бэкдор-троян, собирающий различные виды паролей с зараженного компьютера, например таких, как пароли начала сеанса работы, а также почтовых клиентов Outlook и The Bat. Haxdoor.NJ также пытается украсть пароли для систем eBay, e-gold и paypal. Если он находит эту информацию, то отправляет ее своему создателю, используя руткит Rootkit/Haxdoor.NJ.

В распространении Haxdoor.NJ полагается на злоумышленника, поскольку не способен к автоматическому распространению. Этот руткит также открывает три произвольно выбираемых порта, чтобы позволить своему автору получить данные.

Для распространения, Haxdoor.NJ внедряет свой код в процесс explorer.exe, тем самым, обеспечивая свой запуск при каждой загрузке системы. Он предотвращает работу брандмауэра Windows XP SP2, изменяя его настройки таким образом, чтобы считаться авторизованным приложением.

Источник

Microsoft выпустила Windows Defender
 

Финальная версия программы для борьбы со spyware теперь бесплатно доступна всем англоязычным пользователям XP, на подходе и другие языки. Windows Defender войдет в состав выходящей в ближайшее время MS Vista, но до недавнего времени еще оставались сомнения, будет ли он доступен пользователям старых систем.

Источник

Panda Antivirus for Linux

Бесплатный антивирус для серверов и РС, работающих под Linux, а также под ОС Windows или DOS, но имеющих подключение к Linux-серверам. Надежная защита от вирусов. Управляется через командную строку или консоль.
Источник http://www.pandasoftware.com/download/linux.htm?sitepanda=particulares

14 ноября выйдет "заплатка" для устранения уязвимости в XML
Как сообщает информационный ресурс BetaNews, компания Microsoft в четверг объявила о том, что в рамках грядущего "вторника патчей", который в этом месяце придется на 14 ноября, будет выпущена "заплатка" для недавно обнаруженной уязвимости в компоненте ОС Windows – XML Core Services. Помимо XML уязвимости будут исправлены еще пять других "дыр" в продуктах софтверного гиганта, самая опасная из которых была классифицирована как "критическая".

Проблема с компонентом XML Core Services, охватывает элемент управления COM известный как XMLHTTP, позволяющий скрипту делать запросы и получать XML данные посредствам HTTP протокола с любого web-сайта, который представляет XML данные. Софтверный гигант в следующий вторник также выпустит два не связанных с безопасностью обновления для ОС Windows через системы Microsoft Update и Windows Update. Как и обычно, в тот же день выйдет и обновленная версия инструмента для удаления различных червей и вирусов Malicious Software Removal Tool.

_securitylab.ru

Новый троян устанавливает на компьютер антивирус
 

Компании, специализирующиеся на вопросах компьютерной безопасности, предупреждают о появлении новой вредоносной программы, получившей название SpamThru.

Троян SpamThru используется злоумышленниками с целью организации массовых рассылок по электронной почте. При этом вредоносная программа имеет несколько характерных особенностей. После проникновения на ПК и активации SpamThru загружает из интернета пиратскую копию антивируса Касперского, который затем используется для поиска в системе конкурирующих вирусов и троянов. Обнаруженные файлы затем уничтожаются.

Другая особенность SpamThru заключается в использовании специального протокола Р2Р для обмена информацией между инфицированными узлами и центральным сервером. В случае если управляющий сервер по каким-либо причинам будет отключен от сети, злоумышленники могут быстро установить новый.

Вредоносная программа SpamThru способна поражать компьютеры, работающие под управлением операционных систем Windows. Ведущие антивирусные компании уже добавили процедуры защиты от этой программы в базы данных своих продуктов.

Источник