#Восставший #дух #дорог

#Внимание! #розыск #Ищу #девушку #нарисовавшую #этот #рисунок #байкер #мотоциклист #рокер #Иван #Воропаев #Ivan #Voropaev #mefisto13 @13mefisto13 @bonolga2

#Внимание! #розыск #Ищу #девушку #нарисовавшую #этот #рисунок #байкер #мотоциклист #рокер #Иван #Воропаев #Ivan #Voropaev #mefisto13 @13mefisto13 @bonolga2

Американка сдала в утиль самый первый компьютер Apple

Пункт приема вторсырья Clean Bay Area в Сан-Франциско разыскивает женщину, которая, вероятно, по ошибке привезла туда самую первую, редчайшую модель компьютера Apple, выпущенную в середине 70-х годов прошлого века.

Помимо уникальной ЭВМ женщина привезла в утиль другие компьютеры и компьютерные компоненты, оставшиеся ей после смерти мужа.

Первая партия компьютеров Apple состояла лишь из 200 единиц.

В Clean Bay Area определили истинную ценность ретро-компьютера и продали его частному коллекционеру за 200 тыс. долларов.

Компания начала активный поиск женщины через СМИ, чтобы отдать ей половину полученной от продажи суммы.

Был создан видеоролик, в котором пользователей просят распространить его, чтобы помочь найти бывшую обладательницу редкого компьютера.

4 КБ оперативной памяти

В блоге Clean Bay Area говорится, что женщина привезла коробки с компьютерами в конце апреля. На вид ей было 60-70 лет.

В сообщении компании не приводятся данные о том, как конкретно выглядела женщина, но отмечается, что в случае ее появления работники ее узнают.

Вице-президент Clean Bay Area Виктор Гичун сказал, что женщине не нужна была квитанция о сдаче оборудования в утиль. Он сказал, что узнает ее, если она решит приехать за причитающейся ей суммой.

Коробки с электроникой открыли лишь две недели спустя. Один из менеджеров пункта увидел старый компьютер под кучей кабелей и клавиатур и сразу понял, что это.

Первые ЭВМ Apple были сконструированы и собраны одним из основателей компании Стивом Возняком. Они поступили в продажу в 1976 году по цене 666,66 долларов. Оперативная память компьютера составляла лишь 4 КБ.

На сегодняшний день сохранилось лишь 63 таких компьютера.

Борьба с вредоносными программами

Утилиты для борьбы с вирусами

Уважаемые пользователи,

Ниже в таблице вы найдёте статус по последним обновлениями утилит для борьбы с вредоносными программи от Лаборатории Касперского за Неделю #53 (30 Декабря 2013):

Название утилиты	Версия	Статус
TDSSKiller	3.0.0.19	18 Ноября 2013
XoristDecryptor	2.3.22.0	19 Ноября 2013
RectorDecryptor	2.6.14.0	23 Декабря 2013
RakhniDecryptor	1.4.0.0	3 Декабря2013
CapperKiller	1.0.10.0	10 Июня 2013
KidoKiller	3.4.14	25 Мая 2010
FippKiller	1.0.2	23 Июля 2012
RannohDecryptor	1.1.0.0	30 Апреля 2012
SalityKiller	1.3.6.0	12 Ноября 2010
VirutKiller	1.0.11.0	19 Ноября 2011
XpajKiller	1.6.6.0	25 Февраля 2013
ZbotKiller	1.3.0.0	27 Августа 2010
RadminerFlashRestorer	1.0.0	08 Февраля 2013
klwk	12.0.0.20	08 Февраля 2013
KatesKiller	1.2.2	21 Декабря 2009
PMaxKiller	1.0.1	08 Февраля 2013
DigitaCure	1.3	08 Февраля 2013
CleanAutoRun	1.2.0.0	03 Февраля 2013
Kaspersky Virus Removal Tool	11.0.0.1245	11 Марта 2013
Kaspersky Rescue Disk + WindowsUnlocker	10.0.32.17	20 Марта 2013
Flashfake Removal Tool	1.1	13 Апреля 2012

Подробную информацию вы можете найти на Портале технической поддержки.

---

Если вы хотите подписаться на другие новостные блоки технической поддержки «Лаборатории Касперского» или отменить подписку на данный новостной блок, вы можете сделать это на сайте технической поддержки «Лаборатории Касперского» по следующему адресу: http://support.kaspersky.ru/subscribe

Что делать в случае возникновения трудностей с получением новостей
Вы можете связаться с нами по адресу webmaster@kaspersky.com и мы постараемся разрешить возникшие проблемы.

---

Информационная служба Лаборатории Касперского
Россия, 125212, Москва, Ленинградское шоссе, д.39А, стр.3 БЦ «Олимпия Парк»
Тел./факс: +7 (495) 797 87 00
www.kaspersky.ru

Борьба с вредоносными программами

Утилиты для борьбы с вирусами: Неделя #50 (9 декабря 2013)

Уважаемые пользователи,

Ниже в таблице вы найдёте статус по последним обновлениями утилит для борьбы с вредоносными программи от Лаборатории Касперского за Неделю #50 (9 Декабря 2013):

Название утилиты	Версия	Статус
TDSSKiller	3.0.0.19	18 Ноября 2013
XoristDecryptor	2.3.22.0	19 Ноября 2013
RectorDecryptor	2.6.10.0	25 Ноября 2013
RakhniDecryptor	1.4.0.0	Обновлена (Последнее обновление — 3 Декабря2013)
CapperKiller	1.0.10.0	10 Июня 2013
KidoKiller	3.4.14	25 Мая 2010
FippKiller	1.0.2	23 Июля 2012
RannohDecryptor	1.1.0.0	30 Апреля 2012
SalityKiller	1.3.6.0	12 Ноября 2010
VirutKiller	1.0.11.0	19 Ноября 2011
XpajKiller	1.6.6.0	25 Февраля 2013
ZbotKiller	1.3.0.0	27 Августа 2010
RadminerFlashRestorer	1.0.0	08 Февраля 2013
klwk	12.0.0.20	08 Февраля 2013
KatesKiller	1.2.2	21 Декабря 2009
PMaxKiller	1.0.1	08 Февраля 2013
DigitaCure	1.3	08 Февраля 2013
CleanAutoRun	1.2.0.0	03 Февраля 2013
Kaspersky Virus Removal Tool	11.0.0.1245	11 Марта 2013
Kaspersky Rescue Disk + WindowsUnlocker	10.0.32.17	20 Марта 2013
Flashfake Removal Tool	1.1	13 Апреля 2012

Подробную информацию вы можете найти на Портале технической поддержки.

Обнаружен вирус, имитирующий страницы «ВКонтакте» и «Одноклассников»

 Троянец Trojan.Zekos блокирует доступ к сайтам социальных сетей и подменяет их фальшивыми страницами, имитирующими настоящие.

Вместо страницы своего профиля «ВКонтакте» или в «Одноклассниках» пользователь видит поддельную веб-страницу, похожую по дизайну на оригинальную, с сообщением о том, что профиль заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. На поддельной странице даже указано настоящее имя ее владельца. Вот примеры текстов таких сообщений, которые приводят специалисты антивирусной компании Doctor Web:

«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».

«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».

После выполнения инструкций компьютер пользователя заражают вирусом, который перехватывает DNS-запросы и вместо запрошенных пользователем сайтов показывает сайты, принадлежащие злоумышленникам. При этом адрес сайта остается правильным.

Источник

Не нравится: под видом программы для взлома «ВКонтакте» распространяется зловред с кросс-платформенными возможностями

Эксперты «Лаборатории Касперского» обнаружили образец вредоносного ПО, написанный с использованием кроссплатформенной среды для запуска приложений Adobe AIR. В одном из выявленных случаев этот зловред, обладающий функционалом бэкдора и содержащий компоненты для проведения DDoS-атак, был выложен на файлообменном ресурсе под видом программы для взлома популярной социальной сети «ВКонтакте». Одной из целей разработчиков этого ПО было создание ботнета, а использование технологий Adobe AIR делает его угрозой для всех популярных платформ.

Специалисты «Лаборатории Касперского» предполагают, что у авторов вредоносной программы не возникло проблем с ее распространением: возможно, ссылка на выложенный файл с дистрибутивом передавалась по каналам внутри самой социальной сети «ВКонтакте» и предназначалась незащищенным пользователям, интересующимся чужой личной перепиской.

Дистрибутив вредоносной программы скачивался жертвами с файлообменного ресурса

Для усыпления бдительности пользователя установщик создавал папки, содержащие файлы, которые не несли никакой полезной нагрузки. В то же время в системной директории Windows появлялся рабочий каталог вредоноса с необходимыми для функционирования файлами. После этого запускался скрытый процесс, скачивающий с командного сервера набор дополнительных компонентов, предназначенных для проведения DDoS-атак и увеличения количества просмотров видео на хостинге YouTube, — таким образом зараженный компьютер присоединялся к ботнету злоумышленников.

Особая опасность подобных вредоносных программ, написанных с использованием AIR, заключается в том, что они могут быть запущены на нескольких платформах, для которых компания Adobe и ее партнеры реализуют среду выполнения — Microsoft Windows, Mac OS X, Linux и Android. Несмотря на то что пока специалистам «Лаборатории Касперского» удалось зарегистрировать только реализацию под Windows, не исключена вероятность появления идентичных по функционалу версий, предназначенных для других платформ, что приведет к созданию кросс-платформенного ботнета.

«Чтобы уберечь свой компьютер от этой и других угроз, мы настоятельно рекомендуем помимо использования защитного решения с актуальными антивирусными базами игнорировать ссылки, полученные от неизвестных пользователей, и, по возможности, скачивать файлы только с доверенных ресурсов», — заключил Святослав Торопчанин, антивирусный эксперт «Лаборатории Касперского».

На данный момент все решения «Лаборатории Касперского» детектируют вредоносное ПО и его компоненты как Backdoor.SWF.Airtube.a и Trojan-DDos.SWF.Airtube.a соответственно. Подробное описание особенностей организации ботнета с использованием Adobe AIR доступно по адресу: www.securelist.com/ru/blog/207768971/Airtube_mnimyy_vzlomshchik_VKontakte_na_baze_Adobe_AIR.

Предновогодние хлопоты злоумышленников: «Лаборатория Касперского» предупреждает о возможных атаках с использованием нового банковского троянца

Новый банковский троянец Neverquest может стать причиной волны атак на финансы интернет-пользователей в преддверии праздничного сезона. К такому выводу пришли эксперты «Лаборатории Касперского» после внимательного изучения этого зловреда, еще не успевшего получить большую популярность у киберпреступников, но имеющего широкий вредоносный функционал и готового, по уверениям его создателей, к атаке на «любой банк любой страны».

Вредоносная программа Neverquest содержит модуль для кражи данных, которые пользователь вводит на сайтах онлайн-банков через браузеры Internet Explorer и Mozilla Firefox. Вредоносный код внедряется в страницы банковских сайтов при их загрузке в указанные браузеры. Список сайтов, с которыми «работает» троянец, уже сегодня включает в себя порталы известных банков и платежных систем. Более того, дополнительный функционал Neverquest позволяет злоумышленникам пополнять список атакуемых банков и разрабатывать коды внедрения для новых сайтов, которые изначально не входили в перечень.

Когда пользователь зараженного компьютера заходит на любой веб-сайт из этого списка, Neverquest, контролируя соединение браузера с сервером, дает злоумышленникам возможность модифицировать содержимое загружаемой веб-страницы и перехватить все введенные пользователем данные, включая логин и пароль. Получив таким образом доступ к банковскому счету, киберпреступники переводят деньги пользователя на свои счета или, для запутывания следов, — на счета других жертв.

Neverquest также обладает возможностями самораспространения. Помимо реквизитов доступа к веб-банкингу троянец крадет данные учетных записей от FTP-серверов, с которым работает пользователь. Затем злоумышленники с помощью эксплойтов используют учетные записи для распространения Neverquest другим жертвам. В функционал этой вредоносной программы входит также кража данных от учетных записей электронной почты пользователя, которые впоследствии применяются злоумышленниками для рассылки спама с вложенной программой-установщиком троянца Neverquest. Как правило, подобные сообщения подделываются под официальные уведомления различных сервисов.

Помимо всего прочего, аналитики «Лаборатории Касперского» обнаружили, что широкий функционал Neverquest дает возможность сбора данных для доступа к аккаунтам популярных социальных сервисов: Facebook, ВКонтакте, Flickr, Twitter, MySpace и др. Такая опция предоставляет киберпреступникам дополнительные каналы для распространения троянца. До настоящего времени случаев распространения Neverquest через эти сервисы замечено не было, однако ничто не мешает злоумышленникам воспользоваться такой возможностью.

Еще одной настораживающей особенностью нового зловреда является то, что он поддерживает практически все способы обхода защиты систем онлайн-банкинга. Все эти факторы и продуманные вредоносные возможности Neverquest теоретически могут привести к резкому увеличению числа жертв этой программы.

«Этот зловред появился относительно недавно, и злоумышленники работают с ним еще не в полном объеме. Однако с учетом возможности Neverquest по самораспространению число атакованных пользователей может значительно вырасти за небольшой промежуток времени, — рассказывает Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». — Канун Нового года и Рождества — период традиционной активности злоумышленников, ворующих деньги со счетов пользователей. Уже в ноябре участились случаи появления на хакерских форумах сообщений о покупке баз для доступа к банковским счетам. В свете этой тенденции мы не исключаем, что ближе к концу года могут начаться массовые атаки Neverquest, поэтому пользователям стоит проявлять особую осмотрительность в Сети и непременно обеспечивать безопасность своих финансовых транзакций специальными защитными решениями».

Более подробно о функционале нового банковского троянца Neverquest, способах его распространения и опасностях, которым он может подвергнуть интернет-пользователей, читайте в аналитической статье Сергея Голованова на сайте www.securelist.com/ru/analysis/208050821/Novaya_ugroza_dlya_onlayn_banka.

Kaspersky.com — Вирусные новости — DDoS, доступный каждому

DDoS, доступный каждому

Доступность веб-ресурса является важнейшим фактором при ведении бизнеса:
длительное время отклика и недоступность приводит к прямым убыткам в
виде потерянных потенциальных клиентов. Именно поэтому разработчики и
владельцы веб-приложений уделяют особое внимание процедурам нагрузочного
и стрессового тестирования. В свою очередь, появились сервисы,
осуществляющие проверку веб-ресурсов, имитируя активность посетителей.
Эксперты «Лаборатории Касперского» рассказали о том, как эти
полезные службы могут быть использованы злоумышленниками, а также о
возможных последствиях такой неправомерной эксплуатации.

Стрессовое тестирование — это процедура оценки характеристик
работоспособности системы, проводимая за рамками предельного значения
нагрузки. Стресс-тесты в большинстве случаев ведут к аномальному
поведению системы или ее отказу в обслуживании аналогично DDoS-атакам.
Однако цели у стрессового тестирования и DDoS-атаки совершенно разные. В
первом случае задача — определить показатели предельной нагрузки
системы и проверить устойчивость к некоторым сценариям DDoS-атак, а во
втором — сделать недоступным атакуемый объект любыми эффективными
методами, нарушив тем самым работоспособность целевой инфраструктуры.

С ростом потребности подобных оценок появилось немало онлайн-сервисов,
позволяющих не утруждать себя настройкой сложных систем тестирования и
подготовкой облачной инфраструктуры: достаточно задать параметры
нагрузки и оплатить вычислительные мощности, ожидая затем отчет о
поведении ресурса. При этом некоторые службы для ознакомления бесплатно
предлагают короткий тест без регистрации. (http://www.kaspersky.ru/images/news/otchet.jpg)
Отчет о бесплатном нагрузочном тестировании, проведенном сервисом,
который не требует регистрации

Однако злоумышленники могут воспользоваться этой, на первый взгляд,
безобидной услугой в своих целях. Дело в том, что большинство сервисов
нагрузочного тестирования не требуют подтверждения того, что процедуру
заказывает его владелец — нет никаких дополнительных привязок к
телефонному номеру или кредитной карте. Так, из шести рассмотренных
специалистами «Лаборатории Касперского» сервисов только один
просит разместить на тестируемом ресурсе специальный файл — его
наличие означает гарантию того, что администратор сервера уведомлен о
процедуре. Более того, два сервиса позволили осуществить нагрузочное
тестирование вообще без регистрации — достаточно было ввести URL
ресурса. Эксперты «Лаборатории Касперского» пришли к
неутешительному прогнозу, представив несколько вариантов использования
злоумышленниками одного только бесплатного режима, не говоря уже про
более богатые платные возможности.

«Киберпреступники могут эксплуатировать подобные системы для
нанесения серьезных ударов владельцам некрупных веб-ресурсов. Во
избежание такого сценария каждый сервис нагрузочного тестирования должен
запрашивать согласие от владельца: просить его разместить уникальный код
или баннер на сайте, только после чтения которого будет запущен трафик.
В дополнение следует использовать технологию CAPTCHA при работе с
сервисом. Подобные процедуры верификации помогут избежать неправомерных
действий со стороны злоумышленников и роботов бот-сетей», —
прокомментировал Денис Макрушин, менеджер по техническому
позиционированию «Лаборатории Касперского».

Для ознакомления с возможными последствиями злонамеренного использования
сервисов нагрузочного тестирования пройдите по ссылке
http://www.securelist.com/ru/blog/207768945/Veb_pod_davleniem
(http://www.securelist.com/ru/blog/207768945/Veb_pod_davleniem).

Kaspersky.com — Вирусные новости — Черная дыра стала ближе: «Лаборатория Касперского» изучила распространенный эксплойт-пак BlackHole

Черная дыра стала ближе: «Лаборатория Касперского» изучила распространенный эксплойт-пак BlackHole

Уязвимости в легитимном ПО являются одним из самых популярных у
злоумышленников способов заражения пользовательских устройств и
корпоративных сетей. По статистике «Лаборатории
Касперского», чаще всего компьютеры атакуют эксплойты,
использующие уязвимости в Java. При этом киберпреступники, как правило,
задействуют не один эксплойт, а целые наборы подобных зловредов —
эксплойт-паки. Эксперты «Лаборатории Касперского»
внимательно изучили один из таких наборов — широко
распространенный BlackHole, исследовав как процесс заражения компьютера
с помощью этого эксплойт-пака, так и механизмы защиты от него и подобных
ему зловредов, использующих уязвимости в ПО.

Любовь злоумышленников к эксплойт-пакам объясняется просто: в отличие от
отдельных вредоносных программ такие наборы значительно повышают
результативность атаки, поскольку наличие сразу нескольких разных
эксплойтов увеличивает шансы на то, что подходящая уязвимость в ПО будет
найдена. В частности, в эксплойт-пак BlackHole входят 3 эксплойта для
Oracle Java и 4 для Adobe Flash Player и Adobe Reader. При этом для
поддержания этого «инструмента» в рабочем состоянии
злоумышленники постоянно меняют набор эксплойтов, а также вносят
изменения в код для того, чтобы усложнить детектирование зловредов
антивирусными решениями.

Как правило, эксплойт-пак содержит стартовую страницу, которая
используется для того, чтобы определить параметры компьютера (версию
операционной системы и браузера, наличие плагинов и определенных
программ и т.п.) и подобрать соответствующие эксплойты для атаки. Затем,
если зловред находит подходящую брешь в программном обеспечении,
начинается непосредственный запуск эксплойта.

Эксперты «Лаборатории Касперского» отмечают, что
злоумышленники предпринимают немалые усилия для того, чтобы усложнить
задачу разработчикам защитного ПО. В частности они шифруют программный
код и периодически меняют этот шифр, а также добавляют мелкие,
незначительные изменения в код, которые могут помешать сигнатурному
детектированию.

Но несмотря на все эти уловки современные защитные решения могут
эффективно противостоять атакам с использованием эксплойтов, причем
распознавание угроз и их предупреждение осуществляется на всех этапах
срабатывания эксплойт-пака. К примеру, решения «Лаборатории
Касперского» блокируют возможность перехода на зараженный сайт,
ведущий на стартовую страницу эксплойта, а также распознают зловредов,
сверяя код всех запускаемых программ с обширной базой данных
вредоносного ПО или анализируя поведение программ. Кроме того, отдельная
технология «Защита от эксплойтов», встроенная в продукты
«Лаборатории Касперского», позволяет вовремя распознать
эксплойт среди всех других программ и предотвратить его запуск на
компьютере.

«Эксплойт-паки — это комплексная система проникновения на
компьютер жертвы. И если раньше эксплойты и загружаемые с их помощью
вредоносные программы создавались одними и теми же людьми, то сегодня в
этой киберпреступной индустрии наблюдается распределение труда: кто-то
создает и продает эксплойт-паки, кто-то обеспечивает приход
пользователей на стартовые страницы эксплойтов, кто-то пишет
распространяемые в ходе атак вредоносные программы. Так что теперь
злоумышленнику, желающему заразить компьютеры пользователей, достаточно
просто купить готовый эксплойт-пак и сопутствующие ему
«сервисы». В таких условиях качественное защитное ПО,
обладающее проактивными технологиями защиты, становится жизненно
необходимым», — рассказывает Вячеслав Закоржевский,
руководитель группы исследования уязвимостей «Лаборатории
Касперского».

Подробнее о том, как действуют эксплойт-паки, почему злоумышленники
шифруют код и какие приемы они для этого используют, как происходит
заражение компьютера и каким образом антивирусное ПО может распознать
эксплойт и защитить пользователя, читайте в статье Вячеслава
Закоржевского на сайте
www.securelist.com/ru/analysis/208050809/Kak_zakryt_chernuyu_dyru.

Kaspersky.com — Вирусные новости — Возвращение NetTraveler

Возвращение NetTraveler

Эксперты «Лаборатории Касперского» сообщают о новой волне
кампании кибершпионажа NetTraveler (также известной, как Travnet,
Netfile или Red Star APT), поразившей ранее сотни государственных и

частных организаций в более чем 40 странах мира. Среди выявленных целей
операции NetTraveler были правительственные учреждения, посольства,
политические активисты, военные организации, нефтегазовые компании,
научно-исследовательские центры и университеты, многие из которых
располагались на территории России.

Сразу же после огласки «Лабораторией Касперского» в июне
2013 года действий группы, стоящей за NetTraveler, злоумышленники
отключили свои командные центры и перенесли их на новые серверы в Китае,
Гонконге и Тайване. При этом, как показал анализ текущей ситуации,
киберпреступники продолжили беспрепятственно совершать атаки.

В течение последних нескольких дней были зафиксированы целевые
фишинговые рассылки уйгурским активистам. Использованная
злоумышленниками Java-уязвимость оказалась более эффективной для
заражения компьютеров жертв, так как была закрыта Oracle лишь в июне
этого года, а значит, все еще широко распространена среди пользователей.
Предыдущая серия атак осуществлялась через уязвимости Microsoft Office
(CVE-2012-0158), «заплатки» для которых были выпущены
компанией Microsoft еще в апреле.

В дополнение к фишинговым рассылкам, группа злоумышленников теперь также
применяет технику «Watering Hole», заключающуюся в
веб-перенаправлениях и принудительной загрузке файлов со специально
подготовленных доменов, заражая тем самым посетителей веб-сайтов. За
прошедший месяц специалисты «Лаборатории Касперского»
перехватили и заблокировали ряд таких попыток заражения со стороны
домена wetstock[dot]org, который уже был связан с
кампанией NetTravaler ранее. Перенаправления происходили с различных
уйгурских сайтов, которые были предварительно взломаны и заражены
атакующими.

Эксперты «Лаборатории Касперского» полагают, что
злоумышленники могут использовать и другие средства для достижения своих
целей, поэтому выработали ряд рекомендаций, как оградить себя от
подобных атак:
* Обновите Java до самой актуальной версии. Если вы не
пользуйтесь Java, деинсталлируйте это приложение;
* Установите самые
свежие обновления Microsoft Windows и Microsoft Office;
* Обновите все
стороннее программное обеспечение, например Adobe Reader;

* Используйте безопасный интернет-браузер, например Google Chrome,
цикл разработки и обновления которого быстрее, чем у штатного
Windows-браузера Internet Explorer;
* Не спешите переходить по ссылкам
и открывать вложения в письмах от неизвестных лиц.

«К счастью, на данный момент мы не обнаружили случаев
использования уязвимостей нулевого дня хакерами, стоящими за
NetTraveler. В этом случае даже постоянное применение обновлений не
может гарантировать полной защищенности, однако ее можно обеспечить
такими технологиями как «Запрет по умолчанию» и
«Автоматическая защита от эксплойтов», которые входят в
состав современных защитных решений», — прокомментировал Костин
Раю, руководитель центра глобальных исследований и анализа угроз
«Лаборатории Касперского».

Более подробная информация о расследовании операции NetTraveler доступна
на
www.securelist.com/ru/blog/207768921/NetTraveler_vozvrashchaetsya_kiberprestupniki_ispolzuyut_novye_priemy_CVE_2013_2465.

Kaspersky.com — Вирусные новости — Самый свежий троянец для вашего Android

Сегодня уже никого не удивишь таким способом кражи денег у владельцев
Android-смартфонов, как отправка коротких сообщений на платные номера.
Многие пользователи хорошо проинформированы о таких угрозах и привыкли
следить за своим мобильным счетом. Однако специалисты ‘Лаборатории
Касперского обнаружили принципиально новую схему работы мобильных
зловредов, которая позволяет злоумышленникам быстро и незаметно украсть
у ничего не подозревающей жертвы значительную сумму денег.

Особенность текущей схемы работы SMS-троянцев, рассылающих сообщения на
премиум-номера, заключается в том, что при монетизации украденных
средств, значительная часть денег уходит ‘посредникам’, зачастую ни о
чем не подозревающим: оператору сотовой связи, контент-провайдеру и
организаторам партнерской программы. Поэтому чаще всего зловред
старается отправить сразу 2-3 дорогих сообщения на весомую сумму,
например, 1000 рублей, что привлекает внимание жертвы. В такой ситуации
появление новых способов отъема денег у населения было лишь вопросом
времени.

В июле эксперты ‘Лаборатории Касперского обнаружили троянец, задачей
которого было выполнение инструкций, поступающих с удаленного командного
сервера. Это характерное поведение для вредоносов такого класса, однако,
дальнейшее расследование показало, что новый SMS-зловред предоставлял
своим владельцам возможность хищения денег не с мобильного, а c
банковского счета жертвы.

Данный троянец лишен самостоятельности и, связываясь с управляющим
сервером, только транслирует команды злоумышленника, пересылая обратно
результат. Специалистам ‘Лаборатории Касперского’ удалось перехватить
несколько поступивших команд. В ходе выполнения одной из них троянец
отправил SMS со словом ‘BALANCE’ на номер сервиса ‘Мобильного Банка’
Сбербанка России. Получив ответ от банка с информацией о подключенном
счете и его балансе, зловред передавал его преступникам. Ответ
мобильного банка на запрос троянца

Такое поведение троянца позволяет предположить, что следующим шагом
будет перевод любой доступной в ‘Мобильном банке’ суммы на мобильный
номер злоумышленников. Далее украденные деньги могут быть использованы
или обналичены. Например, большая тройка операторов сотовой связи
позволяет переводить деньги с мобильного счета на QIWI кошелек, откуда
впоследствии их можно вывести на банковскую карту и обналичить. А для
того чтобы жертва как можно дольше оставалась в неведении, троянец
тщательно заметает следы своей деятельности, перехватывая SMS и звонки
со стороны банка.

‘Мы хотим напомнить, что мобильные зловреды постоянно эволюционируют,
реализовывая принципиально новые схемы атак, — комментирует появление
новой схемы кражи денежных средств Виктор Чебышев, ведущий антивирусный
эксперт ‘Лаборатории Касперского’. — Быть готовым к новым угрозам можно
только в случае если ваше Android-устройство защищено антивирусным
приложением с регулярно обновляемыми базами — таким, как Kaspersky
Internet Security для Android’.

Ознакомиться с полной версией статьи можно по адресу
www.securelist.com/ru/blog/207768886/Grabitel_s_ruchnym_upravleniem.

Развитие информационных угроз в первом квартале 2013 года

• Цифры квартала
• Обзор ситуации
  • Кибершпионаж и кибероружие
  • Целевые атаки
  • Мобильные зловреды
  • Отзыв сертификатов TurkTrust
• Статистика
  • Угрозы в интернете
  • Локальные угрозы
• Уязвимости

Цифры квартала

• По данным KSN, в первом квартале 2013 года продукты «Лаборатории Касперского» обнаружили и обезвредили 1 345 570 352 вредоносных объектов.
• Обнаружено 22750 новых модификаций вредоносных программ для мобильных устройств — это более половины от общего числа модификаций, обнаруженных за весь 2012 год.
• 40% отраженных в первом квартале эксплойтов используют уязвимости в продуктах компании Adobe.
• Почти 60% всех вредоносных хостов расположено в трех странах: в США, России и в Нидерландах.

Обзор ситуации

Первый квартал 2013 года оказался весьма богат на различные инциденты в области информационной безопасности. В рамках данного отчета мы расскажем о наиболее значимых из этих инцидентов.

Кибершпионаж и кибероружие

Red October

В самом начале 2013 года «Лаборатория Касперского» опубликовала большой отчет с результатами исследования глобальной операции по кибершпионажу, получившей название Red October. Целями этой атаки стали различные государственные структуры, дипломатические организации и компании в разных странах мира. Анализ файлов и восстановление схемы атаки заняли не один месяц, но в результате этого трудоемкого исследования нам удалось выявить немало любопытных фактов.

Атакующие были активны на протяжении последних пяти лет. Используемая ими многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации. Для контроля и управления зараженными системами они создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах. Инфраструктура серверов управления представляет собой цепочку прокси-серверов.

Помимо традиционных целей атак (рабочие станции) Red October способен воровать данные с мобильных устройств; собирать информацию с сетевого оборудования; осуществлять сбор файлов с USB-дисков; красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.

MiniDuke

В феврале компания FireEye опубликовала анализ новой вредоносной программы, проникавшей в систему с использованием 0-day уязвимости в Adobe Reader (CVE-2013-0640). Эксплуатирующий эту уязвимость эксплойт стал первым эксплойтом, способным обходить «песочницу» Acrobat Reader. Он загружал бэкдор, основным назначением которого была кража информации с зараженной системы. После получения образцов данного вредоносного ПО для анализа, мы назвали зловред «ItaDuke».

Через некоторое время мы обнаружили еще несколько похожих инцидентов, в которых использовалась та же уязвимость, однако зловреды были уже другими. Используемая злоумышленниками вредоносная программа получила имя «MiniDuke». Расследование этих инцидентов было проведено совместно с венгерской компанией CrySys Lab. Среди жертв MiniDuke оказались государственные учреждения Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии, исследовательский фонд в Венгрии, а также исследовательский институт, два научно-исследовательских центра и медицинское учреждение в США. Всего нам удалось обнаружить 59 жертв в 23 странах мира.

Одной из самых любопытных характеристик атак MiniDuke стало сочетание зловреда, код которого был написан с использованием нетривиального и сложного подхода «старой школы», и относительно новых, но уже зарекомендовавших себя технологий эксплуатации уязвимостей в Adobe Reader.

Атакующие рассылали вредоносные PDF-документы с эксплойтами для 9-й, 10-й и 11-й версий Adobe Reader. Документы содержали информацию о семинаре по правам человека (ASEM), данные о внешней политике Украины, а также планы стран-участниц НАТО. В случае удачной отработки эксплойта, на компьютер жертвы попадал уникальный для каждой системы бэкдор размером всего 20 Кб, написанный на Assembler.

В этой атаке злоумышленники использовали Twitter: для получения адреса C&C-сервера и последующей загрузки новых вредоносных модулей бэкдор искал специальные твиты от заранее созданных аккаунтов. Как только заражённая система устанавливала соединение с сервером управления, она начинала получать зашифрованные модули (бэкдоры) в составе GIF-файлов. Эти модули обладали достаточно тривиальным функционалом: копирование, перемещение и удаление файлов, создание директорий, загрузка новых вредоносных программ.

APT1

В феврале компания Mandiant опубликовала большой PDF-отчет об атаках некой группы китайских хакеров, получившей название APT1. Термин APT (Advanced Persistent Threat по-прежнему у всех на слуху. Иногда им характеризуют угрозы или атаки, которые «продвинутыми» можно назвать с очень большой натяжкой. Однако в случае атак группы APT1 данное определение более чем уместно — развернутая китайскими хакерами кампания была весьма масштабной и серьезной.

В начале отчета Mandiant заявляет, что APT1 предположительно является одним из подразделений армии КНР. Компания даже приводит возможный физический адрес подразделения, строит предположения о его численности и используемой инфраструктуре. Mandiant предполагает, что группа APT1 действует с 2006 года и за 6 лет ей удалось украсть терабайты данных, как минимум, из 141 организации. Пострадавшие организации расположены, по большей части, в англоязычных странах. Безусловно, такой масштаб атак невозможен без ощутимой поддержки сотен человек и развитой современной инфраструктуры.

Далеко не в первый раз на разных уровнях появляются обвинения Китая в осуществлении кибератак на государственные органы и организации разных стран мира. Нет ничего удивительного в том, что китайское правительство в достаточно резкой форме отвергло все предположения компании Mandiant.

Отметим, что до настоящего времени еще ни одна страна не взяла на себя ответственность за какую-либо шпионскую кибератаку или не призналась под давлением общественности и весомых доказательств в осуществлении кибершпионажа.

TeamSpy

В марте 2013 года была опубликована информация об очередной сложной атаке, целями которой стали политики самого высокого уровня и борцы за права человека в странах СНГ и Восточной Европы. Операция получила название «TeamSpy», так как для контроля компьютеров жертв атакующая сторона использовала программу TeamViewer, предназначенную для удаленного администрирования. Основной целью атакующих был сбор информации на компьютере пользователя, начиная от снятия скриншотов и заканчивая копированием файлов с расширением .pgp, в том числе паролей и ключей шифрования.

Хотя используемый в ходе операции TeamSpy набор инструментов, да и в целом сама операция, выглядят менее изощренными и профессиональными по сравнению с вышеупомянутой операцией Red October, атаки TeamSpy были небезуспешны.

Stuxnet 0.5

Инциденты, исследование которых занимает несколько месяцев упорного труда, в антивирусной индустрии происходят не так часто. И еще реже случаются события, интерес к которым не утихает и по прошествии почти трех лет — такие, как обнаружение Stuxnet. Несмотря на то, что этот червь исследовали многие антивирусные компании, по-прежнему остается немало модулей, которые изучены слабо или не исследованы вовсе. Не стоит также забывать о том, что у Stuxnet было несколько версий, самая ранняя из которых появилась в 2009 году. Эксперты не раз высказывали предположение о том, что существовали (или существуют) более ранние версии червя, однако до определенного времени доказательств этого ни у кого не было.

Но в итоге эти предположения подтвердились. В конце февраля компания Symantec опубликовала исследование новой «старой» версии червя: Stuxnet 0.5. Эта версия оказалась наиболее ранней из известных модификаций Stuxnet: она была активна между 2007 и 2009 годами. Помимо этого, данная версия обладает очень любопытными характеристиками:

• Во-первых, она была создана на той же платформе, что и Flame — но не на Tilded, как последующие модификации Stuxnet.
• Во-вторых, червь распространялся с помощью заражения файлов, создаваемых с помощью ПО Simatic Step 7 и не содержал никаких эксплойтов для продуктов Microsoft.
• В-третьих, Stuxnet 0.5 перестал распространяться после 4 июля 2009 года.
• И, наконец, именно в Stuxnet 0.5 присутствует полноценная реализация работы с ПЛК Siemens 417 (в последующих версиях червя данный функционал не был полным).

Результаты исследования версии Stuxnet 0.5 дополнили информацию об этой вредоносной программе. Скорее всего, эта информация будет пополняться и в дальнейшем. То же самое можно сказать и об обнаруженных после Stuxnet образцах кибероружия или средств для кибершпионажа — мы знаем о них далеко не всё.

Целевые атаки

Атаки на тибетских и уйгурских активистов

В первом квартале 2013 года продолжились целевые атаки на тибетских и уйгурских активистов. Для достижения своих целей атакующие использовали все возможные средства — были атакованы пользователи Mac OS X, Windows и Android.

В январе-феврале мы обнаружили существенное увеличение числа целевых атак на уйгуров — пользователей Mac OS X. Все эти атаки использовали уязвимость CVE-2009-0563, которая была закрыта компанией Microsoft почти 4 года назад. Эксплойт к этой уязвимости рассылался в документах MS Office, которые легко распознать благодаря обозначенному в свойствах автору — «captain». В случае успешного исполнения эксплойт осуществляет загрузку бэкдора для Mac OS X в виде Mach-O файла. Это маленький бэкдор, который имеет очень ограниченные функциональные возможности: он устанавливает другой бэкдор и программу для кражи личных данных (контактов).

Атаки на тех же тибетских активистов были зафиксированы нами и в середине марта 2013 года. На этот раз атакующие использовали упомянутый выше эксплойт CVE-2013-0640 (ранее использованный в атаках ItaDuke) для обхода «песочницы» в Acrobat Reader X и заражения целевых компьютеров.

В конце марта 2013 года в данную волну попали также и пользователи Android-устройств. После взлома электронного ящика известного тибетского активиста, от его имени началась рассылка писем с вложениями в виде APK-файла, который оказался вредоносной программой для Android (продукты «Лаборатории Касперского» распознают ее как Backdoor.AndroidOS.Chuli.a). Зловред тайно сообщает на командный сервер об успешном заражении, а затем начинает собирать хранящуюся на устройстве информацию: контакты, журналы вызовов, SMS-сообщения, данные GPS, информацию об устройстве. Потом зловред шифрует украденные данные при помощи системы Base64 и загружает их на командный сервер. Проведенное нами исследование командного сервера указывает как минимум на то, что атакующие говорят по-китайски.

Буквально через несколько дней после публикации результатов нашего расследования исследовательская организация The Citizen Lab опубликовала материалы своего исследования похожего инцидента. Целью атаки также были лица, так или иначе связанные с Тибетом и тибетскими активистами, а используемая вредоносная программа имела схожий функционал (кража персональной информации), но являлась зараженной версией мессенджера Kakao Talk.

Взломы корпоративных сетей

Первый квартал оказался, к сожалению, богатым на взломы корпоративной инфраструктуры и утечки паролей. Среди пострадавших компаний — Apple, Facebook, Twitter, Evernote и другие.

В начале февраля Twitter официально заявил, что злоумышленникам удалось украсть данные (в том числе, и хэши паролей) о 250 000 пользователей социальной сети. Через две недели сотрудники Facebook сообщили в блоге, что компьютеры нескольких сотрудников компании при посещении сайта для мобильных разработчиков были заражены с помощью эксплойтов. Компания заявляет, что это была не обычная атака, а именно целевая, и ее задачей являлось проникновение в корпоративную сеть Facebook. К счастью, по словам представителей компании, Facebook удалось избежать утечек какой-либо пользовательской информации.

Буквально через несколько дней корпорация Apple заявила, что на нескольких сотрудников компании была произведена точно такая же атака при посещении сайта для мобильных разработчиков. По информации Apple никаких утечек данных при этом не произошло.

А в начале марта компания Evernote заявила, что 50 млн. паролей будут сброшены для защиты данных пользователей. К такому решению Evernote подтолкнул взлом их внутренней сети и попытки злоумышленников получить доступ к хранящимся там данным.

В 2011 году мы стали свидетелями массовых взломов сетей различных компаний и массовых утечек пользовательских данных. Кому-то могло показаться, что подобные атаки сошли на нет, но это не так: злоумышленники по-прежнему заинтересованы во взломе крупных компаний и получении конфиденциальных (в том числе пользовательских) данных.

Мобильные зловреды

Отчет, посвященный развитию угроз для смартфонов, планшетов и прочих мобильных устройств в 2012 году, мы опубликовали в феврале 2013 года. По нашим данным, в 2012 году Android стал основной целью вирусописателей, а число угроз в течение года стремительно росло. Продолжился ли рост числа мобильных зловредов в первом квартале 2013 года? Да, безусловно.

Немного статистики

Январь, по традиции, стал месяцем затишья у мобильных вирусописателей — «всего лишь» 1263 новых вариантов зловредов. Но в течение двух последующих месяцев мы обнаружили более 20 тысяч новых образцов вредоносного ПО для мобильных устройств. В феврале было обнаружено 12 044 модификации мобильных зловредов; в марте — 9443. Для сравнения: за весь 2012 год нами было найдено 40 059 самплов вредоносных программ для мобильных устройств.

SMS-троянцы, занимающиеся несанкционированной отправкой SMS-сообщений на короткие платные номера, по-прежнему остаются наиболее распространенной категорией мобильного вредоносного ПО — на их долю приходится 63,6% от всех атак.

99,9% обнаруженных новых мобильных зловредов нацелены на Android.

По данным KSN TOP 20 популярных у злоумышленников мобильных вредоносных и потенциально нежелательных программ для Android выглядит следующим образом.

Место	Название	% от всех атак
1	Trojan-SMS.AndroidOS.FakeInst.a	29,45%
2	Trojan.AndroidOS.Plangton.a	18,78%
3	Trojan-SMS.AndroidOS.Opfake.a	12,23%
4	Trojan-SMS.AndroidOS.Opfake.bo	11,49%
5	Trojan-SMS.AndroidOS.Agent.a	3,43%
6	Trojan-SMS.AndroidOS.Agent.u	2,54%
7	RiskTool.AndroidOS.AveaSMS.a	1,79%
8	Monitor.AndroidOS.Walien.a	1,60%
9	Trojan-SMS.AndroidOS.FakeInst.ei	1,24%
10	Trojan-SMS.AndroidOS.Agent.aq	1,10%
11	Trojan-SMS.AndroidOS.Agent.ay	1,08%
12	Trojan.AndroidOS.Fakerun.a	0,78%
13	Monitor.AndroidOS.Trackplus.a	0,75%
14	Adware.AndroidOS.Copycat.a	0,69%
15	Trojan-Downloader.AndroidOS.Fav.a	0,66%
16	Trojan-SMS.AndroidOS.FakeInst.ee	0,55%
17	HackTool.AndroidOS.Penetho.a	0,54%
18	RiskTool.AndroidOS.SMSreg.b	0,52%
19	Trojan-SMS.AndroidOS.Agent.aa	0,48%
20	HackTool.AndroidOS.FaceNiff.a	0,43%

Первую строчку занимает Trojan-SMS.AndroidOS.FakeInst.a (29,45%). Этот зловред нацелен в основном на русскоговорящих пользователей, пытающихся скачать с сомнительных сайтов какое-либо ПО для своих Android-устройств. Часто на таких сайтах под видом полезного софта злоумышленники распространяют вредоносные программы.

Второе место занимает рекламный троянец Trojan.AndroidOS.Plangton.a (18,78%). Основной ареал его распространения — европейские страны, где он используется разработчиками бесплатного ПО для монетизации продукта за счет показа рекламы.

Третью и четвертую позиции заняли SMS-троянцы из семейства Opfake: Trojan-SMS.AndroidOS.Opfake.a (12,23%) и Trojan-SMS.AndroidOS.Opfake.bo (11,49%). Первые модификации зловредов семейства Opfake маскировались под новую версию популярного мобильного браузера Opera. Сегодня вредоносные программы из этого семейства выдают себя за различные новые версии популярного софта (Skype, Angry Birds и т.д.).

Инциденты

В мобильном сегменте среди наиболее интересных вирусных инцидентов в первом квартале 2013 года хотелось бы остановиться на двух:

• новый зловред под названием Perkele или Perkel, охотящийся за mTAN,
• ботнет MTK.

О еще одном важном инциденте — целевых атаках на пользователей Android — мы рассказали выше.

Perkel

В первой половине марта известный журналист Брайан Кребс (Brian Krebs) обнаружил на русскоязычных андерграундных форумах информацию о новом банковском троянце для мобильных устройств, якобы нацеленном на пользователей из 69 стран и уже заразившем немалое количество устройств по всему миру. Кребс предположил, что этот троянец создан русскоговорящими вирусописателями, поскольку набор инструментов для его создания распространяется через русскоязычные форумы.

Такие новости, безусловно, привлекают внимание и специалистов из антивирусных компаний, но до определенного момента самих образцов вредоносного ПО ни у кого не было.

Через несколько дней первые модификации Perkel были обнаружены. После проведенного нами анализа выяснилось, что в группе вредоносных программ, основной целью которых является кража содержащих mTAN банковских SMS, действительно произошло пополнение. Функционал Perkel обычен для программ этой группы, за двумя исключениями:

1. Для коммуникаций с командным сервером и загрузки украденной информации (помимо SMS с mTAN зловред также собирает информацию о самом устройстве) Perkel, как правило, использует не SMS, а HTTP.
2. Зловред способен самообновляться, загружая новую копию себя с удаленного сервера.

Ботнет MTK

В середине января появились сообщения о существовании миллионного ботнета, созданного на базе Android-устройств, принадлежащих, в основном, китайским пользователям. Оказалось, что за ботнет ответственна распространенная в Китае вредоносная программа («Лаборатория Касперского» детектирует ее как Trojan.AndroidOS.MTK). Распространяется она через неофициальные китайские магазины приложений в комплекте со взломанными популярными играми. Помимо кражи информации о смартфоне, пользовательских контактов и сообщений, зловреды данного семейства занимаются накруткой популярности различных приложений. Для этого троянцы осуществляют скрытую загрузку и установку приложений на мобильное устройство жертвы, а также ставят максимальную оценку этому ПО на сайте магазина. После этого они сообщают о проделанных действиях на удаленный сервер. Приложений для Android становится все больше, и зачастую им сложно завоевывать популярность у пользователей. Именно поэтому такие нелегальные способы накрутки становятся все более распространенными.

Отзыв сертификатов TurkTrust

В первом квартале 2013 года произошел очередной инцидент с корневыми сертификатами. Компании Microsoft, Mozilla и Google одновременно объявили об отзыве двух корневых сертификатов удостоверяющего центра TurkTrust из базы, поставляемой в составе их веб-браузеров.

Как оказалось, удостоверяющий центр TurkTrust еще в августе прошлого года выписал двум организациям вместо обычных SSL-сертификатов вторичные корневые сертификаты. Их можно использовать для создания SSL-сертификатов для любого веб-ресурса в интернете, причем браузеры посетителей ресурса будут воспринимать эти сертификаты как доверенные.

В декабре корпорация Google обнаружила, что один из выписанных от лица сервиса TurkTrust SSL- сертификатов для *.google.com был задействован в атаках типа «man-in-the middle» («человек посередине»). Естественно, факт атаки на сервисы Google не исключает того, что другие сертификаты, выписанные этим же путем, могли быть задействованы в атаках на сервисы других компаний.

Очередной серьезный инцидент, связанный с корневыми сертификатами и вопросами доверия к ним, показал, что проблема вредоносного использования легальных сертификатов по-прежнему актуальна. Но на данный момент вредоносное использование таких сертификатов выявляется уже после атаки, потому что эффективных способов предотвращать подобные инциденты пока нет.

Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Угрозы в интернете

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, веб-ресурсы, контент которых создается пользователями (например, форумы), и взломанные легитимные ресурсы.

Детектируемые объекты в интернете

В первом квартале 2013 года решения «Лаборатории Касперского» отразили 821 379 647 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира.

TOP 20 детектируемых объектов в интернете

Место	Название*	% от всех атак**
1	Malicious URL	91,44%
2	Trojan.Script.Generic	2,79%
3	AdWare.Win32.Bromngr.b	1,91%
4	Trojan.Script.Iframer	0,73%
5	Exploit.Script.Blocker	0,70%
6	Trojan.JS.Redirector.xa	0,33%
7	Hoax.SWF.FakeAntivirus.i	0,22%
8	Trojan.Win32.Generic	0,17%
9	AdWare.Win32.MegaSearch.am	0,13%
10	Trojan-Downloader.Win32.Generic	0,09%
11	Exploit.Script.Blocker.u	0,07%
12	AdWare.Win32.IBryte.heur	0,05%
13	Exploit.JS.Retkid.a	0,05%
14	Exploit.Script.Generic	0,05%
15	Hoax.HTML.FraudLoad.i	0,04%
16	Exploit.Win32.CVE-2011-3402.c	0,04%
17	Packed.Multi.MultiPacked.gen	0,04%
18	Trojan-Clicker.HTML.Agent.bt	0,04%
19	WebToolbar.Win32.BetterInstaller.gen	0,03%
20	Trojan.JS.Redirector.xb	0,03%

*Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
**Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

Первое место в TOP 20 детектируемых объектов вновь заняли вредоносные ссылки из черного списка. По сравнению с четвертым кварталом 2012 года их доля выросла на 0,5%, и в итоге на такие ссылки приходится 91,4% всех срабатываний веб-антивируса. Также заметим, что использование средств KSN для доставки моментальных апдейтов на компьютеры пользователей через «облако» позволило нам заблокировать 6,6% вредоносных ссылок. Эти ссылки вели на недавно взломанные или созданные злоумышленниками сайты, на которые уже стали переходить пользователи.

По-прежнему в первой пятерке детектируемых объектов вердикты Trojan.Script.Generic (2-е место) и Trojan.Script.Iframer (4-е место). Эти вредоносные объекты блокируются при попытках осуществления drive-by атак, которые сегодня являются одним из наиболее распространенных методов заражения компьютеров пользователей.

Седьмое место занимает Hoax.SWF.FakeAntivirus.i. По сути, это фальшивый антивирус, который размещается на различных сайтах сомнительного содержания. При посещении таких сайтов в окне пользовательского браузера проигрывается флэш-анимация, имитирующая работу антивирусного программного обеспечения. По итогам «проверки» компьютер пользователя оказывается «заражен» огромным количеством опаснейших вредоносных программ. Для избавления от них злоумышленники тут же предлагают специальное защитное решение, жертве обмана нужно только отправить SMS на короткий номер и получить в ответ ссылку, по которой они якобы могут скачать ПО.

Уже несколько месяцев подряд в TOP 20 оказывается Hoax.HTML.FraudLoad.i — в первом квартале он занял 15-ое место. С этой угрозой сталкиваются в основном любители скачивать фильмы, сериалы и программное обеспечение с сомнительных ресурсов. Как Hoax.HTML.FraudLoad детектируются веб-страницы, на которых пользователи якобы могут скачать нужный контент, но для этого им необходимо предварительно отправить платное SMS-сообщение или ввести номер своего мобильного телефона для оформления платной подписки. Если пользователь выполняет указанные требования, то вместо искомого контента он получает либо текстовый файл c инструкцией по использованию поисковиков, либо, что еще хуже, вредоносную программу.

На 16-е место попал эксплойт Exploit.Win32.CVE-2011-3402.c. Он эксплуатирует уязвимость в библиотеке win32k.sys (TrueType Font Parsing Vulnerability). Отметим, что эта же уязвимость использовалась для распространения червя Duqu.

Страны, на ресурсах которых размещены вредоносные программы

Данная статистика показывает, в каких странах мира физически расположены сайты, с которых загружаются вредоносные программы. Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).

81% веб-ресурсов, используемых для распространения вредоносных программ, расположены в десяти странах мира. За последние полгода этот показатель уменьшился на 5% пунктов: на 3% в первом квартале 2013 года и на 2% — в четвертом квартале 2012 года.

 
Распределение по странам веб-ресурсов, на которых размещены
вредоносные программы, первый квартал 2013 г.

В рейтинге стран по количеству вредоносных хостингов Россия (19%, -6%) и США (25%, +3%) вновь поменялись местами — США вернули утраченную ранее первую позицию. Доли остальных стран по сравнению с четвертым кварталом практически не изменились.

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение квартала пользователи продуктов «Лаборатории Касперского» в каждой стране сталкивались со срабатыванием веб-антивируса.

 
20 стран*, в которых отмечен наибольший риск заражения компьютеров через интернет**, первый квартал 2013 г.

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
**Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

По сравнению с четвертым кварталом 2012 года первая десятка стран, жители которых чаще других сталкиваются с вредоносными программами, практически не изменилась — она по-прежнему состоит из стран, ранее входивших в состав СССР. Россия (57%) занимает третье место в этом списке. Однако некоторые изменения произошли во второй десятке: в первом квартале 2013 года в рейтинг вошли Тунис (43,1%), Алжир (39%). Единственная западноевропейская страна, которая попала в TOP 20, — Италия (39,9%, 16-е место).

Все страны можно разбить на несколько групп.

1. Группа максимального риска — страны, где более 60% пользователей по крайней мере один раз столкнулись со зловредами в интернете. В первом квартале 2013 года в эту категорию стран с показателем 60,4% попал только Таджикистан.
2. Группа повышенного риска. В эту группу с результатом 41-60% вошли 13 стран из TOP 20 (столько же, сколько и в четвертом квартале 2012). За исключением Вьетнама, Туниса и Шри-Ланки, замыкающих список группы, в нее входят страны постсоветского пространства, в частности, Армения (59,5%), Россия (57%), Казахстан (56,8%) Азербайджан (56,7%), Белоруссия (49,9%) и Украина (49%).
3. Группа риска. В эту группу с показателями 21-40% попали 102 страны, в том числе Италия (39,9%), Германия (36,6%), Франция (35,8%), Бельгия (33,8%), Судан (33,1%), Испания (32,5%), Катар (31,9%), США (31,6%), Ирландия (31,5%), Англия (30,2%), ОАЭ (28,7%) и Нидерланды (26,9%).
4. Группа самых безопасных при серфинге в интернете стран. В эту группу в первом квартале 2013 года вошли 28 стран с показателями 12,5-21%. Меньше всего (менее 20%) процент пользователей, атакованных при просмотре страниц в интернете, в африканских странах, где интернет слабо развит. Исключением являются Япония (15,6%) и Словакия (19,9%).

Риск заражения через интернет компьютеров пользователей в разных странах, первый квартал 2013 года

В среднем 39,1% компьютеров всех пользователей KSN в течение квартала хотя бы раз подвергались атаке во время серфинга в интернете. Отметим, что средняя доля атакованных машин по сравнению с четвертым кварталом 2012 года увеличилась на 1,5%.

Локальные угрозы

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.

Детектируемые объекты, обнаруженные на компьютерах пользователей

В первом квартале 2013 года наши антивирусные решения успешно заблокировали 490 966 403 попыток локального заражения компьютеров пользователей, участвующих в Kaspersky Security Network.

Детектируемые объекты, обнаруженные на компьютерах пользователей: TOP 20

Место	Название	% уникальных атакованных пользователей*
1	DangerousObject.Multi.Generic	18,51%
2	Trojan.Win32.Generic	16,04%
3	Trojan.Win32.AutoRun.gen	13,60%
4	Virus.Win32.Sality.gen	8,43%
5	Exploit.Win32.CVE-2010-2568.gen	6,93%
6	Trojan.Win32.Starter.yy	5,11%
7	Net-Worm.Win32.Kido.ih	3,46%
8	HiddenObject.Multi.Generic	3,25%
9	Trojan.Win32.Hosts2.gen	3,17%
10	Virus.Win32.Nimnul.a	3,13%
11	Virus.Win32.Generic	3,09%
12	Net-Worm.Win32.Kido.ir	2,85%
13	Trojan.Script.Generic	2,54%
14	AdWare.Win32.Bromngr.b	2,51%
15	Exploit.Java.CVE-2012-1723.gen	2,38%
16	Trojan.Win32.Starter.lgb	2,38%
17	Trojan-Downloader.Win32.Generic	2,13%
18	AdWare.Win32.Bromngr.h	2,11%
19	Hoax.Win32.ArchSMS.gen	2,09%
20	Trojan-Dropper.VBS.Agent.bp	1,97%

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

В этом рейтинге, как и прежде, с большим отрывом лидируют три вердикта.

Вредоносные программы DangerousObject.Multi.Generic, обнаруженные с помощью «облачных» технологий, оказались в первом квартале 2013 года на 1-м месте с показателем 18,51% — это на 1,8% больше, чем в четвертом квартале 2012 года. «Облачные» технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке «Лаборатории Касперского» уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

На втором месте Trojan.Win32.Generic (16%) — вердикт, выдаваемый эвристическим анализатором при проактивном детектирования множества вредоносных программ. На третьем — Trojan.Win32.AutoRun.gen (13,6%). Так детектируются вредоносные программы, использующие автозапуск.

Рекламные программы семейства AdWare.Win32.Bromngr дебютировали в рейтинге в 4-м квартале 2012 года на 8-м месте. В первом квартале 2013 года они заняли сразу две позиции в TOP 20 (14-е и 18-е места). Все модификации данных рекламных модулей представляют собой библиотеки DLL, которые являются надстройками к популярным браузерам (Internet Explorer, Mozilla Firefox, Google Chrome). Как и подавляющее большинство подобных программ, этот модуль изменяет поисковые настройки пользователя, стартовую страницу, а также периодически показывает во всплывающих окнах различную рекламу.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Приведенные ниже цифры отражают, насколько в среднем заражены компьютеры в той или иной стране мира. У пользователей KSN, предоставляющих нам информацию, вредоносный файл по крайней мере один раз был найден на каждом третьем (31,4%) компьютере — на жестком диске или на съемном носителе, подключенном к нему. Это на 0,8% меньше, чем в прошлом квартале.

 
TOP 20 стран* по уровню зараженности компьютеров**, первый квартал 2013 г.

* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Уже четыре квартала подряд первые двадцать позиций в этом рейтинге занимают страны Африки, Ближнего Востока и Юго-Восточной Азии. Доля компьютеров с заблокированным вредоносным кодом у лидера — Бангладеш — вновь уменьшилась, на этот раз на 11,8%, и составила 67,8%. (По итогам третьего квартала 2012 года этот показатель составлял 90,9%.)

В случае с локальными заражениями мы также можем сгруппировать все страны по уровню зараженности:

1. Максимальный уровень заражения (более 60%): по итогам первого квартала 2013 года данная группа теперь состоит всего лишь из двух стран: Бангладеш (67,8%) и Вьетнам (60,2%).
2. Высокий уровень заражения (41-60%): 41 страна мира, в том числе Ирак (50,9%), Сирия (45,5%), Мьянма (44,5%), Ангола (42,3%) и Армения (41,4%).
3. Средний уровень заражения (21-40%): 60 стран, в том числе Китай (37,6%), Катар (34,6%), Россия (34,3%) Украина (33,6%), Ливан (32,4%), Хорватия (26,1%), Испания (26%), Италия (23,8%), Франция (23,4%), Кипр (23,3%).
4. Наименьший уровень заражения (до 21%): 31 страна, среди которых Бельгия (19,3%), США (19%), Великобритания (18,6%), Австралия (17,5%), Германия (17,7%), Эстония (17,8%), Нидерланды (16,2%), Швеция (14,6%), Дания (12,1%) и Япония (9,1%).

Риск локального заражения компьютеров в разных странах, первый квартал 2013 г.

В десятку самых безопасных по уровню локального заражения стран попали:

Япония	9,10%
Дания	12,10%
Финляндия	13,60%
Швеция	14,60%
Чехия	14,80%
Швейцария	15,10%
Ирландия	15,20%
Нидерланды	16,20%
Новая Зеландия	16,60%
Норвегия	16,80%

По сравнению с четвертым кварталом 2012 года в этом списке появилось две новых страны — Нидерланды и Норвегия, которые вытеснили Люксембург и Пуэрто-Рико.

Уязвимости

В первом квартале 2013 года на компьютерах пользователей KSN было обнаружено 30 901 713 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере мы обнаруживали 8 различных уязвимостей.

Десять наиболее распространенных уязвимостей представлены в таблице ниже.

№	Secunia ID	Название	Последствия эксплуатации	Процент пользова-телей, у которых обнаружена уязвимость*	Дата публикации	Уровень опасности
1	SA 50949	Oracle Java Multiple Vulnerabilities	DoS-атака Доступ к системе Раскрытие конфиденциальных данных Манипулирование данными	45,26%	17.10.2012	Highly Critical
2	SA 51771	Adobe Flash Player / AIR Integer Overflow Vulnerability	Доступ к системе	22,77%	08.01.2013	Highly Critical
3	SA 51090	es Adobe Shockwave Player Multiple Vulnerabiliti	Доступ к системе	18,19%	24.10.2012	Highly Critical
4	SA 51280	Oracle Java Two Code Execution Vulnerabilities	Доступ к системе	17,15%	10.01.2013	Extremely Critical
5	SA 47133	Adobe Reader/Acrobat Multiple Vulnerabilities	Доступ к системе	16,32%	07.12.2011	Extremely Critical
6	SA 51692	VLC Media Player HTML Subtitle Parsing Buffer Overflow Vulnerabilities	Доступ к системе	14,58%	28.12.2012	Highly Critical
7	SA 51226	Apple QuickTime Multiple Vulnerabilities	Доступ к системе	14,16%	08.11.2012	Highly Critical
8	SA 43853	Google Picasa Insecure Library Loading Vulnerability	Доступ к системе	12,85%	25.03.2011	Highly Critical
9	SA 46624	Winamp AVI / IT File Processing Vulnerabilities	Доступ к системе	11,30%	03.08.2012	Highly Critical
10	SA 41917	Adobe Flash Player Multiple Vulnerabilities	«Доступ к системе Раскрытие конфиденциальных данных Обход системы безопасности «	11,21%	28.10.2010	Extremely Critical

*За 100% взяты все пользователи, на компьютерах которых была обнаружена хотя бы одна уязвимость.

Наиболее распространенным оказались уязвимости в Java, которые были обнаружены на 45,26% всех компьютеров. А замкнула рейтинг достаточно старая, но крайне опасная уязвимость в Adobe Flash Player. Хотя эта уязвимость была обнаружена еще в октябре 2010 года, мы до сих пор находим ее на 11,21% уязвимых компьютеров пользователей.

Первые пять позиций занимают уязвимости в продуктах Oracle и Adobe, и, как уже было сказано выше, за Adobe также последняя строчка рейтинга. Позиции с 6-й по 9-ю распределились между уязвимостями в популярных программных продуктах от разных компаний.

Производители продуктов с уязвимостями из TOP 10, первый квартал 2013 года

Эксплуатация любой уязвимости из TOP 10 фактически приводит к исполнению произвольного кода в системе.

Распределение уязвимостей из TOP 10 по типу воздействия на систему, первый квартал 2013 г.

Подобные уязвимости всегда пользуются популярностью у злоумышленников, и использующие их эксплойты стоят на «черном» рынке дороже большинства других.

Источник

55.615854
37.590485

Новая версия троянца угрожает серверам на базе ОС Linux

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает об обнаружении новой версии троянской программы Linux.Sshdkit, представляющей опасность для работающих под управлением ОС Linux серверов. Согласно собранной аналитиками «Доктор Веб» статистике, на сегодняшний день от действий троянцев данного семейства пострадало уже несколько сотен серверов, среди которых имеются серверы крупных хостинг-провайдеров.

О первых версиях вредоносной программы Linux.Sshdkit компания «Доктор Веб» сообщала в феврале 2012 года. Данный троянец представляет собой динамическую библиотеку. При этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.

Специалисты компании «Доктор Веб» перехватили несколько управляющих серверов предыдущей версии Linux.Sshdkit. Кроме того, нам удалось собрать статистику не только по количеству зараженных машин, но и определить их адреса. Всего в течение мая 2013 года троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Обнаруженная специалистами «Доктор Веб» новая версия троянца, получившая название Linux.Sshdkit.6, также представляет собой динамическую библиотеку: в настоящий момент выявлена модификация, предназначенная для 64-битных Linux-систем. В данной реализации Linux.Sshdkit злоумышленники внесли ряд изменений с целью затруднить перехват вирусными аналитиками украденных паролей. Так, вирусописатели изменили метод определения адресов серверов, на которые троянец передает краденую информацию. Теперь для вычисления целевого сервера используется специальная текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 байт. Алгоритм генерации адреса командного сервера показан на приведенной ниже иллюстрации.

Кроме того, вирусописатели изменили алгоритм получения троянцем команд: теперь для их успешного выполнения вредоносной программе передается специальная строка, для которой проверяется значение хеш-функции.

Троянцы семейства Linux.Sshdkit представляют высокую опасность для серверов, работающих под управлением ОС Linux, поскольку позволяют злоумышленникам получить данные для несанкционированного доступа на сервер. Администраторам серверов, работающих под управлением ОС Linux, специалисты «Доктор Веб» рекомендуют проверить операционную систему на наличие данной угрозы.

ИСТОЧНИК

55.615854
37.590485

Тесты о троянцах-шифровальщиках Trojan.Encoder – уже завтра!

С 14 июня 2013 года участникам образовательного некоммерческого проекта ВебIQметр станут доступны тесты, посвящённые опасному семейству троянцев Trojan.Encoder, уже несколько лет терроризирующему пользователей в России и СНГ, а с недавних пор – и жителей остального мира. Эти вредоносные программы шифруют данные на компьютере жертвы, требуя деньги в обмен на расшифровку, которая на самом деле не гарантируется. Первый тест о Trojan.Encoder появится на ВебIQметр уже завтра, а остальные три – в ближайшие дни.

Троянцы семейства стали вестником одной из самых рядовых и даже незаметных эпидемий вредоносных программ, которая имела и, к сожалению, имеет до сих пор самые серьезные последствия для граждан России и стран СНГ. С недавнего времени эти троянцы-шифровальщиками начали охоту и за пользователями других стран мира. В частности, Аргентины, Бразилии, Франции, Бельгии, Швейцарии, Нидерландов, Хорватии, Словении, Венгрии и Румынии.

Первые модификации Trojan.Encoder появились в вирусных базах Dr.Web в самом начале 2006 года. К августу 2008 года было известно уже 19 модификаций этих троянцев. За последующие три года, то есть к августу 2011, их насчитывалось уже более сотни. Интересно изменение алгоритмов шифрования файлов: так, если первые версии Trojan.Encoder использовали технологию RSA, то к 2008 году авторы перешли на более простые алгоритмы, однако в 2011 снова стали популярны RSA-троянцы.

В чём же опасность Trojan.Encoder? Троянцы этого семейства шифруют всё и вся на зараженном компьютере, требуя у его владельца деньги за расшифровку. Способы распространения этой угрозы серьезных изменений не претерпели: Trojan.Encoder традиционно рассылается вместе с сообщениями электронной почты, выкладывается на игровых форумах под видом читов, доступен на торрент-трекерах, где его можно загрузить вместо какой-либо программы. Были случаи, когда пользователи находили этого троянца через поисковые системы.

Расценки на расшифровку пользовательских файлов у злоумышленников самые разнообразные: от пары сотен до нескольких тысяч рублей. Такой уровень цен говорит том, что Trojan.Encoder не рассчитан на применение в таргетированных атаках, когда стоимость информации заранее известна и она велика. Скорее, злоумышленники ориентировались на домашних пользователей либо на пользователей, пренебрегающих элементарными правилами безопасности: троянец может нанести ущерб только в том случае, если заранее не были сделаны резервные копии хранящихся на дисках файлов.

Уже завтра вы сможете попробовать свои силы и ответить на вопросы первого теста о Trojan.Encoder. На следующей неделе вас ждет продолжение – еще три теста об этих троянцах-шифровальщиках появятся на ВебIQметр.

ИСТОЧНИК

55.615854
37.590485