
#Внимание! #розыск #Ищу #девушку #нарисовавшую #этот #рисунок #байкер #мотоциклист #рокер #Иван #Воропаев #Ivan #Voropaev #mefisto13 @13mefisto13 @bonolga2
#Внимание! #розыск #Ищу #девушку #нарисовавшую #этот #рисунок #байкер #мотоциклист #рокер #Иван #Воропаев #Ivan #Voropaev #mefisto13 @13mefisto13 @bonolga2
Уважаемые пользователи,
Ниже в таблице вы найдёте статус по последним обновлениями утилит для борьбы с вредоносными программи от Лаборатории Касперского за Неделю #53 (30 Декабря 2013):
Название утилиты | Версия | Статус |
---|---|---|
TDSSKiller | 3.0.0.19 | 18 Ноября 2013 |
XoristDecryptor | 2.3.22.0 | 19 Ноября 2013 |
RectorDecryptor | 2.6.14.0 | 23 Декабря 2013 |
RakhniDecryptor | 1.4.0.0 | 3 Декабря2013 |
CapperKiller | 1.0.10.0 | 10 Июня 2013 |
KidoKiller | 3.4.14 | 25 Мая 2010 |
FippKiller | 1.0.2 | 23 Июля 2012 |
RannohDecryptor | 1.1.0.0 | 30 Апреля 2012 |
SalityKiller | 1.3.6.0 | 12 Ноября 2010 |
VirutKiller | 1.0.11.0 | 19 Ноября 2011 |
XpajKiller | 1.6.6.0 | 25 Февраля 2013 |
ZbotKiller | 1.3.0.0 | 27 Августа 2010 |
RadminerFlashRestorer | 1.0.0 | 08 Февраля 2013 |
klwk | 12.0.0.20 | 08 Февраля 2013 |
KatesKiller | 1.2.2 | 21 Декабря 2009 |
PMaxKiller | 1.0.1 | 08 Февраля 2013 |
DigitaCure | 1.3 | 08 Февраля 2013 |
CleanAutoRun | 1.2.0.0 | 03 Февраля 2013 |
Kaspersky Virus Removal Tool | 11.0.0.1245 | 11 Марта 2013 |
Kaspersky Rescue Disk + WindowsUnlocker | 10.0.32.17 | 20 Марта 2013 |
Flashfake Removal Tool | 1.1 | 13 Апреля 2012 |
Подробную информацию вы можете найти на Портале технической поддержки.
Если вы хотите подписаться на другие новостные блоки технической поддержки «Лаборатории Касперского» или отменить подписку на данный новостной блок, вы можете сделать это на сайте технической поддержки «Лаборатории Касперского» по следующему адресу: http://support.kaspersky.ru/subscribe
Что делать в случае возникновения трудностей с получением новостей
Вы можете связаться с нами по адресу webmaster@kaspersky.com и мы постараемся разрешить возникшие проблемы.
Информационная служба Лаборатории Касперского
Россия, 125212, Москва, Ленинградское шоссе, д.39А, стр.3 БЦ «Олимпия Парк»
Тел./факс: +7 (495) 797 87 00
www.kaspersky.ru
Уважаемые пользователи,
Ниже в таблице вы найдёте статус по последним обновлениями утилит для борьбы с вредоносными программи от Лаборатории Касперского за Неделю #50 (9 Декабря 2013):
Название утилиты | Версия | Статус |
---|---|---|
TDSSKiller | 3.0.0.19 | 18 Ноября 2013 |
XoristDecryptor | 2.3.22.0 | 19 Ноября 2013 |
RectorDecryptor | 2.6.10.0 | 25 Ноября 2013 |
RakhniDecryptor | 1.4.0.0 | Обновлена (Последнее обновление — 3 Декабря2013) |
CapperKiller | 1.0.10.0 | 10 Июня 2013 |
KidoKiller | 3.4.14 | 25 Мая 2010 |
FippKiller | 1.0.2 | 23 Июля 2012 |
RannohDecryptor | 1.1.0.0 | 30 Апреля 2012 |
SalityKiller | 1.3.6.0 | 12 Ноября 2010 |
VirutKiller | 1.0.11.0 | 19 Ноября 2011 |
XpajKiller | 1.6.6.0 | 25 Февраля 2013 |
ZbotKiller | 1.3.0.0 | 27 Августа 2010 |
RadminerFlashRestorer | 1.0.0 | 08 Февраля 2013 |
klwk | 12.0.0.20 | 08 Февраля 2013 |
KatesKiller | 1.2.2 | 21 Декабря 2009 |
PMaxKiller | 1.0.1 | 08 Февраля 2013 |
DigitaCure | 1.3 | 08 Февраля 2013 |
CleanAutoRun | 1.2.0.0 | 03 Февраля 2013 |
Kaspersky Virus Removal Tool | 11.0.0.1245 | 11 Марта 2013 |
Kaspersky Rescue Disk + WindowsUnlocker | 10.0.32.17 | 20 Марта 2013 |
Flashfake Removal Tool | 1.1 | 13 Апреля 2012 |
Подробную информацию вы можете найти на Портале технической поддержки.
Троянец Trojan.Zekos блокирует доступ к сайтам социальных сетей и подменяет их фальшивыми страницами, имитирующими настоящие.
Вместо страницы своего профиля «ВКонтакте» или в «Одноклассниках» пользователь видит поддельную веб-страницу, похожую по дизайну на оригинальную, с сообщением о том, что профиль заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. На поддельной странице даже указано настоящее имя ее владельца. Вот примеры текстов таких сообщений, которые приводят специалисты антивирусной компании Doctor Web:
«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».
«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».
После выполнения инструкций компьютер пользователя заражают вирусом, который перехватывает DNS-запросы и вместо запрошенных пользователем сайтов показывает сайты, принадлежащие злоумышленникам. При этом адрес сайта остается правильным.
Эксперты «Лаборатории Касперского» обнаружили образец вредоносного ПО, написанный с использованием кроссплатформенной среды для запуска приложений Adobe AIR. В одном из выявленных случаев этот зловред, обладающий функционалом бэкдора и содержащий компоненты для проведения DDoS-атак, был выложен на файлообменном ресурсе под видом программы для взлома популярной социальной сети «ВКонтакте». Одной из целей разработчиков этого ПО было создание ботнета, а использование технологий Adobe AIR делает его угрозой для всех популярных платформ.
Специалисты «Лаборатории Касперского» предполагают, что у авторов вредоносной программы не возникло проблем с ее распространением: возможно, ссылка на выложенный файл с дистрибутивом передавалась по каналам внутри самой социальной сети «ВКонтакте» и предназначалась незащищенным пользователям, интересующимся чужой личной перепиской.
Дистрибутив вредоносной программы скачивался жертвами с файлообменного ресурса
Для усыпления бдительности пользователя установщик создавал папки, содержащие файлы, которые не несли никакой полезной нагрузки. В то же время в системной директории Windows появлялся рабочий каталог вредоноса с необходимыми для функционирования файлами. После этого запускался скрытый процесс, скачивающий с командного сервера набор дополнительных компонентов, предназначенных для проведения DDoS-атак и увеличения количества просмотров видео на хостинге YouTube, — таким образом зараженный компьютер присоединялся к ботнету злоумышленников.
Особая опасность подобных вредоносных программ, написанных с использованием AIR, заключается в том, что они могут быть запущены на нескольких платформах, для которых компания Adobe и ее партнеры реализуют среду выполнения — Microsoft Windows, Mac OS X, Linux и Android. Несмотря на то что пока специалистам «Лаборатории Касперского» удалось зарегистрировать только реализацию под Windows, не исключена вероятность появления идентичных по функционалу версий, предназначенных для других платформ, что приведет к созданию кросс-платформенного ботнета.
«Чтобы уберечь свой компьютер от этой и других угроз, мы настоятельно рекомендуем помимо использования защитного решения с актуальными антивирусными базами игнорировать ссылки, полученные от неизвестных пользователей, и, по возможности, скачивать файлы только с доверенных ресурсов», — заключил Святослав Торопчанин, антивирусный эксперт «Лаборатории Касперского».
На данный момент все решения «Лаборатории Касперского» детектируют вредоносное ПО и его компоненты как Backdoor.SWF.Airtube.a и Trojan-DDos.SWF.Airtube.a соответственно. Подробное описание особенностей организации ботнета с использованием Adobe AIR доступно по адресу: www.securelist.com/ru/blog/207768971/Airtube_mnimyy_vzlomshchik_VKontakte_na_baze_Adobe_AIR.
Новый банковский троянец Neverquest может стать причиной волны атак на финансы интернет-пользователей в преддверии праздничного сезона. К такому выводу пришли эксперты «Лаборатории Касперского» после внимательного изучения этого зловреда, еще не успевшего получить большую популярность у киберпреступников, но имеющего широкий вредоносный функционал и готового, по уверениям его создателей, к атаке на «любой банк любой страны».
Вредоносная программа Neverquest содержит модуль для кражи данных, которые пользователь вводит на сайтах онлайн-банков через браузеры Internet Explorer и Mozilla Firefox. Вредоносный код внедряется в страницы банковских сайтов при их загрузке в указанные браузеры. Список сайтов, с которыми «работает» троянец, уже сегодня включает в себя порталы известных банков и платежных систем. Более того, дополнительный функционал Neverquest позволяет злоумышленникам пополнять список атакуемых банков и разрабатывать коды внедрения для новых сайтов, которые изначально не входили в перечень.
Когда пользователь зараженного компьютера заходит на любой веб-сайт из этого списка, Neverquest, контролируя соединение браузера с сервером, дает злоумышленникам возможность модифицировать содержимое загружаемой веб-страницы и перехватить все введенные пользователем данные, включая логин и пароль. Получив таким образом доступ к банковскому счету, киберпреступники переводят деньги пользователя на свои счета или, для запутывания следов, — на счета других жертв.
Neverquest также обладает возможностями самораспространения. Помимо реквизитов доступа к веб-банкингу троянец крадет данные учетных записей от FTP-серверов, с которым работает пользователь. Затем злоумышленники с помощью эксплойтов используют учетные записи для распространения Neverquest другим жертвам. В функционал этой вредоносной программы входит также кража данных от учетных записей электронной почты пользователя, которые впоследствии применяются злоумышленниками для рассылки спама с вложенной программой-установщиком троянца Neverquest. Как правило, подобные сообщения подделываются под официальные уведомления различных сервисов.
Помимо всего прочего, аналитики «Лаборатории Касперского» обнаружили, что широкий функционал Neverquest дает возможность сбора данных для доступа к аккаунтам популярных социальных сервисов: Facebook, ВКонтакте, Flickr, Twitter, MySpace и др. Такая опция предоставляет киберпреступникам дополнительные каналы для распространения троянца. До настоящего времени случаев распространения Neverquest через эти сервисы замечено не было, однако ничто не мешает злоумышленникам воспользоваться такой возможностью.
Еще одной настораживающей особенностью нового зловреда является то, что он поддерживает практически все способы обхода защиты систем онлайн-банкинга. Все эти факторы и продуманные вредоносные возможности Neverquest теоретически могут привести к резкому увеличению числа жертв этой программы.
«Этот зловред появился относительно недавно, и злоумышленники работают с ним еще не в полном объеме. Однако с учетом возможности Neverquest по самораспространению число атакованных пользователей может значительно вырасти за небольшой промежуток времени, — рассказывает Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». — Канун Нового года и Рождества — период традиционной активности злоумышленников, ворующих деньги со счетов пользователей. Уже в ноябре участились случаи появления на хакерских форумах сообщений о покупке баз для доступа к банковским счетам. В свете этой тенденции мы не исключаем, что ближе к концу года могут начаться массовые атаки Neverquest, поэтому пользователям стоит проявлять особую осмотрительность в Сети и непременно обеспечивать безопасность своих финансовых транзакций специальными защитными решениями».
Более подробно о функционале нового банковского троянца Neverquest, способах его распространения и опасностях, которым он может подвергнуть интернет-пользователей, читайте в аналитической статье Сергея Голованова на сайте www.securelist.com/ru/analysis/208050821/Novaya_ugroza_dlya_onlayn_banka.
DDoS, доступный каждому
Доступность веб-ресурса является важнейшим фактором при ведении бизнеса:
длительное время отклика и недоступность приводит к прямым убыткам в
виде потерянных потенциальных клиентов. Именно поэтому разработчики и
владельцы веб-приложений уделяют особое внимание процедурам нагрузочного
и стрессового тестирования. В свою очередь, появились сервисы,
осуществляющие проверку веб-ресурсов, имитируя активность посетителей.
Эксперты «Лаборатории Касперского» рассказали о том, как эти
полезные службы могут быть использованы злоумышленниками, а также о
возможных последствиях такой неправомерной эксплуатации.
Стрессовое тестирование — это процедура оценки характеристик
работоспособности системы, проводимая за рамками предельного значения
нагрузки. Стресс-тесты в большинстве случаев ведут к аномальному
поведению системы или ее отказу в обслуживании аналогично DDoS-атакам.
Однако цели у стрессового тестирования и DDoS-атаки совершенно разные. В
первом случае задача — определить показатели предельной нагрузки
системы и проверить устойчивость к некоторым сценариям DDoS-атак, а во
втором — сделать недоступным атакуемый объект любыми эффективными
методами, нарушив тем самым работоспособность целевой инфраструктуры.
С ростом потребности подобных оценок появилось немало онлайн-сервисов,
позволяющих не утруждать себя настройкой сложных систем тестирования и
подготовкой облачной инфраструктуры: достаточно задать параметры
нагрузки и оплатить вычислительные мощности, ожидая затем отчет о
поведении ресурса. При этом некоторые службы для ознакомления бесплатно
предлагают короткий тест без регистрации. (http://www.kaspersky.ru/images/news/otchet.jpg)
Отчет о бесплатном нагрузочном тестировании, проведенном сервисом,
который не требует регистрации
Однако злоумышленники могут воспользоваться этой, на первый взгляд,
безобидной услугой в своих целях. Дело в том, что большинство сервисов
нагрузочного тестирования не требуют подтверждения того, что процедуру
заказывает его владелец — нет никаких дополнительных привязок к
телефонному номеру или кредитной карте. Так, из шести рассмотренных
специалистами «Лаборатории Касперского» сервисов только один
просит разместить на тестируемом ресурсе специальный файл — его
наличие означает гарантию того, что администратор сервера уведомлен о
процедуре. Более того, два сервиса позволили осуществить нагрузочное
тестирование вообще без регистрации — достаточно было ввести URL
ресурса. Эксперты «Лаборатории Касперского» пришли к
неутешительному прогнозу, представив несколько вариантов использования
злоумышленниками одного только бесплатного режима, не говоря уже про
более богатые платные возможности.
«Киберпреступники могут эксплуатировать подобные системы для
нанесения серьезных ударов владельцам некрупных веб-ресурсов. Во
избежание такого сценария каждый сервис нагрузочного тестирования должен
запрашивать согласие от владельца: просить его разместить уникальный код
или баннер на сайте, только после чтения которого будет запущен трафик.
В дополнение следует использовать технологию CAPTCHA при работе с
сервисом. Подобные процедуры верификации помогут избежать неправомерных
действий со стороны злоумышленников и роботов бот-сетей», —
прокомментировал Денис Макрушин, менеджер по техническому
позиционированию «Лаборатории Касперского».
Для ознакомления с возможными последствиями злонамеренного использования
сервисов нагрузочного тестирования пройдите по ссылке
http://www.securelist.com/ru/blog/207768945/Veb_pod_davleniem
(http://www.securelist.com/ru/blog/207768945/Veb_pod_davleniem).
Черная дыра стала ближе: «Лаборатория Касперского» изучила распространенный эксплойт-пак BlackHole
Уязвимости в легитимном ПО являются одним из самых популярных у
злоумышленников способов заражения пользовательских устройств и
корпоративных сетей. По статистике «Лаборатории
Касперского», чаще всего компьютеры атакуют эксплойты,
использующие уязвимости в Java. При этом киберпреступники, как правило,
задействуют не один эксплойт, а целые наборы подобных зловредов —
эксплойт-паки. Эксперты «Лаборатории Касперского»
внимательно изучили один из таких наборов — широко
распространенный BlackHole, исследовав как процесс заражения компьютера
с помощью этого эксплойт-пака, так и механизмы защиты от него и подобных
ему зловредов, использующих уязвимости в ПО.
Любовь злоумышленников к эксплойт-пакам объясняется просто: в отличие от
отдельных вредоносных программ такие наборы значительно повышают
результативность атаки, поскольку наличие сразу нескольких разных
эксплойтов увеличивает шансы на то, что подходящая уязвимость в ПО будет
найдена. В частности, в эксплойт-пак BlackHole входят 3 эксплойта для
Oracle Java и 4 для Adobe Flash Player и Adobe Reader. При этом для
поддержания этого «инструмента» в рабочем состоянии
злоумышленники постоянно меняют набор эксплойтов, а также вносят
изменения в код для того, чтобы усложнить детектирование зловредов
антивирусными решениями.
Как правило, эксплойт-пак содержит стартовую страницу, которая
используется для того, чтобы определить параметры компьютера (версию
операционной системы и браузера, наличие плагинов и определенных
программ и т.п.) и подобрать соответствующие эксплойты для атаки. Затем,
если зловред находит подходящую брешь в программном обеспечении,
начинается непосредственный запуск эксплойта.
Эксперты «Лаборатории Касперского» отмечают, что
злоумышленники предпринимают немалые усилия для того, чтобы усложнить
задачу разработчикам защитного ПО. В частности они шифруют программный
код и периодически меняют этот шифр, а также добавляют мелкие,
незначительные изменения в код, которые могут помешать сигнатурному
детектированию.
Но несмотря на все эти уловки современные защитные решения могут
эффективно противостоять атакам с использованием эксплойтов, причем
распознавание угроз и их предупреждение осуществляется на всех этапах
срабатывания эксплойт-пака. К примеру, решения «Лаборатории
Касперского» блокируют возможность перехода на зараженный сайт,
ведущий на стартовую страницу эксплойта, а также распознают зловредов,
сверяя код всех запускаемых программ с обширной базой данных
вредоносного ПО или анализируя поведение программ. Кроме того, отдельная
технология «Защита от эксплойтов», встроенная в продукты
«Лаборатории Касперского», позволяет вовремя распознать
эксплойт среди всех других программ и предотвратить его запуск на
компьютере.
«Эксплойт-паки — это комплексная система проникновения на
компьютер жертвы. И если раньше эксплойты и загружаемые с их помощью
вредоносные программы создавались одними и теми же людьми, то сегодня в
этой киберпреступной индустрии наблюдается распределение труда: кто-то
создает и продает эксплойт-паки, кто-то обеспечивает приход
пользователей на стартовые страницы эксплойтов, кто-то пишет
распространяемые в ходе атак вредоносные программы. Так что теперь
злоумышленнику, желающему заразить компьютеры пользователей, достаточно
просто купить готовый эксплойт-пак и сопутствующие ему
«сервисы». В таких условиях качественное защитное ПО,
обладающее проактивными технологиями защиты, становится жизненно
необходимым», — рассказывает Вячеслав Закоржевский,
руководитель группы исследования уязвимостей «Лаборатории
Касперского».
Подробнее о том, как действуют эксплойт-паки, почему злоумышленники
шифруют код и какие приемы они для этого используют, как происходит
заражение компьютера и каким образом антивирусное ПО может распознать
эксплойт и защитить пользователя, читайте в статье Вячеслава
Закоржевского на сайте
www.securelist.com/ru/analysis/208050809/Kak_zakryt_chernuyu_dyru.
Возвращение NetTraveler
Эксперты «Лаборатории Касперского» сообщают о новой волне
кампании кибершпионажа NetTraveler (также известной, как Travnet,
Netfile или Red Star APT), поразившей ранее сотни государственных и
частных организаций в более чем 40 странах мира. Среди выявленных целей
операции NetTraveler были правительственные учреждения, посольства,
политические активисты, военные организации, нефтегазовые компании,
научно-исследовательские центры и университеты, многие из которых
располагались на территории России.
Сразу же после огласки «Лабораторией Касперского» в июне
2013 года действий группы, стоящей за NetTraveler, злоумышленники
отключили свои командные центры и перенесли их на новые серверы в Китае,
Гонконге и Тайване. При этом, как показал анализ текущей ситуации,
киберпреступники продолжили беспрепятственно совершать атаки.
В течение последних нескольких дней были зафиксированы целевые
фишинговые рассылки уйгурским активистам. Использованная
злоумышленниками Java-уязвимость оказалась более эффективной для
заражения компьютеров жертв, так как была закрыта Oracle лишь в июне
этого года, а значит, все еще широко распространена среди пользователей.
Предыдущая серия атак осуществлялась через уязвимости Microsoft Office
(CVE-2012-0158), «заплатки» для которых были выпущены
компанией Microsoft еще в апреле.
В дополнение к фишинговым рассылкам, группа злоумышленников теперь также
применяет технику «Watering Hole», заключающуюся в
веб-перенаправлениях и принудительной загрузке файлов со специально
подготовленных доменов, заражая тем самым посетителей веб-сайтов. За
прошедший месяц специалисты «Лаборатории Касперского»
перехватили и заблокировали ряд таких попыток заражения со стороны
домена wetstock[dot]org, который уже был связан с
кампанией NetTravaler ранее. Перенаправления происходили с различных
уйгурских сайтов, которые были предварительно взломаны и заражены
атакующими.
Эксперты «Лаборатории Касперского» полагают, что
злоумышленники могут использовать и другие средства для достижения своих
целей, поэтому выработали ряд рекомендаций, как оградить себя от
подобных атак:
* Обновите Java до самой актуальной версии. Если вы не
пользуйтесь Java, деинсталлируйте это приложение;
* Установите самые
свежие обновления Microsoft Windows и Microsoft Office;
* Обновите все
стороннее программное обеспечение, например Adobe Reader;
* Используйте безопасный интернет-браузер, например Google Chrome,
цикл разработки и обновления которого быстрее, чем у штатного
Windows-браузера Internet Explorer;
* Не спешите переходить по ссылкам
и открывать вложения в письмах от неизвестных лиц.
«К счастью, на данный момент мы не обнаружили случаев
использования уязвимостей нулевого дня хакерами, стоящими за
NetTraveler. В этом случае даже постоянное применение обновлений не
может гарантировать полной защищенности, однако ее можно обеспечить
такими технологиями как «Запрет по умолчанию» и
«Автоматическая защита от эксплойтов», которые входят в
состав современных защитных решений», — прокомментировал Костин
Раю, руководитель центра глобальных исследований и анализа угроз
«Лаборатории Касперского».
Более подробная информация о расследовании операции NetTraveler доступна
на
www.securelist.com/ru/blog/207768921/NetTraveler_vozvrashchaetsya_kiberprestupniki_ispolzuyut_novye_priemy_CVE_2013_2465.
Сегодня уже никого не удивишь таким способом кражи денег у владельцев
Android-смартфонов, как отправка коротких сообщений на платные номера.
Многие пользователи хорошо проинформированы о таких угрозах и привыкли
следить за своим мобильным счетом. Однако специалисты ‘Лаборатории
Касперского обнаружили принципиально новую схему работы мобильных
зловредов, которая позволяет злоумышленникам быстро и незаметно украсть
у ничего не подозревающей жертвы значительную сумму денег.
Особенность текущей схемы работы SMS-троянцев, рассылающих сообщения на
премиум-номера, заключается в том, что при монетизации украденных
средств, значительная часть денег уходит ‘посредникам’, зачастую ни о
чем не подозревающим: оператору сотовой связи, контент-провайдеру и
организаторам партнерской программы. Поэтому чаще всего зловред
старается отправить сразу 2-3 дорогих сообщения на весомую сумму,
например, 1000 рублей, что привлекает внимание жертвы. В такой ситуации
появление новых способов отъема денег у населения было лишь вопросом
времени.
В июле эксперты ‘Лаборатории Касперского обнаружили троянец, задачей
которого было выполнение инструкций, поступающих с удаленного командного
сервера. Это характерное поведение для вредоносов такого класса, однако,
дальнейшее расследование показало, что новый SMS-зловред предоставлял
своим владельцам возможность хищения денег не с мобильного, а c
банковского счета жертвы.
Данный троянец лишен самостоятельности и, связываясь с управляющим
сервером, только транслирует команды злоумышленника, пересылая обратно
результат. Специалистам ‘Лаборатории Касперского’ удалось перехватить
несколько поступивших команд. В ходе выполнения одной из них троянец
отправил SMS со словом ‘BALANCE’ на номер сервиса ‘Мобильного Банка’
Сбербанка России. Получив ответ от банка с информацией о подключенном
счете и его балансе, зловред передавал его преступникам. Ответ
мобильного банка на запрос троянца
Такое поведение троянца позволяет предположить, что следующим шагом
будет перевод любой доступной в ‘Мобильном банке’ суммы на мобильный
номер злоумышленников. Далее украденные деньги могут быть использованы
или обналичены. Например, большая тройка операторов сотовой связи
позволяет переводить деньги с мобильного счета на QIWI кошелек, откуда
впоследствии их можно вывести на банковскую карту и обналичить. А для
того чтобы жертва как можно дольше оставалась в неведении, троянец
тщательно заметает следы своей деятельности, перехватывая SMS и звонки
со стороны банка.
‘Мы хотим напомнить, что мобильные зловреды постоянно эволюционируют,
реализовывая принципиально новые схемы атак, — комментирует появление
новой схемы кражи денежных средств Виктор Чебышев, ведущий антивирусный
эксперт ‘Лаборатории Касперского’. — Быть готовым к новым угрозам можно
только в случае если ваше Android-устройство защищено антивирусным
приложением с регулярно обновляемыми базами — таким, как Kaspersky
Internet Security для Android’.
Ознакомиться с полной версией статьи можно по адресу
www.securelist.com/ru/blog/207768886/Grabitel_s_ruchnym_upravleniem.
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает об обнаружении новой версии троянской программы Linux.Sshdkit, представляющей опасность для работающих под управлением ОС Linux серверов. Согласно собранной аналитиками «Доктор Веб» статистике, на сегодняшний день от действий троянцев данного семейства пострадало уже несколько сотен серверов, среди которых имеются серверы крупных хостинг-провайдеров.
О первых версиях вредоносной программы Linux.Sshdkit компания «Доктор Веб» сообщала в феврале 2012 года. Данный троянец представляет собой динамическую библиотеку. При этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.
Специалисты компании «Доктор Веб» перехватили несколько управляющих серверов предыдущей версии Linux.Sshdkit. Кроме того, нам удалось собрать статистику не только по количеству зараженных машин, но и определить их адреса. Всего в течение мая 2013 года троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.
Обнаруженная специалистами «Доктор Веб» новая версия троянца, получившая название Linux.Sshdkit.6, также представляет собой динамическую библиотеку: в настоящий момент выявлена модификация, предназначенная для 64-битных Linux-систем. В данной реализации Linux.Sshdkit злоумышленники внесли ряд изменений с целью затруднить перехват вирусными аналитиками украденных паролей. Так, вирусописатели изменили метод определения адресов серверов, на которые троянец передает краденую информацию. Теперь для вычисления целевого сервера используется специальная текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 байт. Алгоритм генерации адреса командного сервера показан на приведенной ниже иллюстрации.
Кроме того, вирусописатели изменили алгоритм получения троянцем команд: теперь для их успешного выполнения вредоносной программе передается специальная строка, для которой проверяется значение хеш-функции.
Троянцы семейства Linux.Sshdkit представляют высокую опасность для серверов, работающих под управлением ОС Linux, поскольку позволяют злоумышленникам получить данные для несанкционированного доступа на сервер. Администраторам серверов, работающих под управлением ОС Linux, специалисты «Доктор Веб» рекомендуют проверить операционную систему на наличие данной угрозы.
С 14 июня 2013 года участникам образовательного некоммерческого проекта ВебIQметр станут доступны тесты, посвящённые опасному семейству троянцев Trojan.Encoder, уже несколько лет терроризирующему пользователей в России и СНГ, а с недавних пор – и жителей остального мира. Эти вредоносные программы шифруют данные на компьютере жертвы, требуя деньги в обмен на расшифровку, которая на самом деле не гарантируется. Первый тест о Trojan.Encoder появится на ВебIQметр уже завтра, а остальные три – в ближайшие дни.
Троянцы семейства стали вестником одной из самых рядовых и даже незаметных эпидемий вредоносных программ, которая имела и, к сожалению, имеет до сих пор самые серьезные последствия для граждан России и стран СНГ. С недавнего времени эти троянцы-шифровальщиками начали охоту и за пользователями других стран мира. В частности, Аргентины, Бразилии, Франции, Бельгии, Швейцарии, Нидерландов, Хорватии, Словении, Венгрии и Румынии.
Первые модификации Trojan.Encoder появились в вирусных базах Dr.Web в самом начале 2006 года. К августу 2008 года было известно уже 19 модификаций этих троянцев. За последующие три года, то есть к августу 2011, их насчитывалось уже более сотни. Интересно изменение алгоритмов шифрования файлов: так, если первые версии Trojan.Encoder использовали технологию RSA, то к 2008 году авторы перешли на более простые алгоритмы, однако в 2011 снова стали популярны RSA-троянцы.
В чём же опасность Trojan.Encoder? Троянцы этого семейства шифруют всё и вся на зараженном компьютере, требуя у его владельца деньги за расшифровку. Способы распространения этой угрозы серьезных изменений не претерпели: Trojan.Encoder традиционно рассылается вместе с сообщениями электронной почты, выкладывается на игровых форумах под видом читов, доступен на торрент-трекерах, где его можно загрузить вместо какой-либо программы. Были случаи, когда пользователи находили этого троянца через поисковые системы.
Расценки на расшифровку пользовательских файлов у злоумышленников самые разнообразные: от пары сотен до нескольких тысяч рублей. Такой уровень цен говорит том, что Trojan.Encoder не рассчитан на применение в таргетированных атаках, когда стоимость информации заранее известна и она велика. Скорее, злоумышленники ориентировались на домашних пользователей либо на пользователей, пренебрегающих элементарными правилами безопасности: троянец может нанести ущерб только в том случае, если заранее не были сделаны резервные копии хранящихся на дисках файлов.
Уже завтра вы сможете попробовать свои силы и ответить на вопросы первого теста о Trojan.Encoder. На следующей неделе вас ждет продолжение – еще три теста об этих троянцах-шифровальщиках появятся на ВебIQметр.