Записи с меткой «злоумышленники»

https://i0.wp.com/www.wazzup.su/uploads/posts/2011-09/1315614484_1281604561_kasp2010.jpg

«Лаборатория Касперского» получила патент на систему, препятствующую обнаружению эмулятора вредоносным ПО во время антивирусного анализа. Запатентованная технология представляет собой способы модификации эмулятора с целью сделать его работу незаметной для исследуемой вредоносной программы.

Создатели защитных решений используют технику эмуляции, чтобы без риска заражения определить, является ли программа вредоносной. Для этого подозрительный код выполняется в изолированной виртуальной среде, которая при помощи программных средств моделирует работу аппаратного обеспечения и операционной системы. В таком режиме защитное средство анализирует поведение программы с целью детектирования вредоносных действий.

Злоумышленники при этом стремятся разными способами затруднить анализ в виртуальной среде. Многие из их приемов основаны на особенностях реализации эмуляторов, которые воспроизводят функции ОС лишь частично. Данное упрощение позволяет ускорить работу и сэкономить ресурсы, но в то же время делает механизм уязвимым: во вредоносном коде может быть предусмотрена проверка того, что программа выполняется в эмуляторе. Обнаружив это, код перестает выполнять злонамеренные действия, и защитное решение пропускает опасную программу.

Один из методов определения эмуляции заключается в вызове функции операционной системы, которая в свою очередь пользуется рядом промежуточных функций. При выполнении кода в эмуляторе воссоздаются лишь некоторые вызовы из этой цепочки, и вредоносная программа определяет факт отсутствия вызовов, которые были бы произведены в случае обычного запуска.

Запатентованный «Лабораторией Касперского» механизм действует иначе, последовательно воспроизводя все вызовы вплоть до функций ядра операционной системы. До определенного момента эти действия полностью повторяют реальную ОС, что не позволяет обнаружить эмуляцию большинством методов, используемых авторами вредоносных программ. Тогда проверяемая программа начинает вредоносную деятельность, после чего защитное решение распознает ее и блокирует.

«Цель этой технологии проста: вредоносы должны оставаться “уверенными” в том, что они работают в реальной системе, и, следовательно, не должны пытаться скрыть свою злонамеренную функциональность. Использование этой технологии позволит вывести на новый уровень качество детектирования угроз нашими защитными решениями», – поясняет Сергей Белов, ведущий антивирусный эксперт «Лаборатории Касперского» и автор патента.

В перспективе технология будет внедрена в продукты «Лаборатории Касперского» для домашних и корпоративных пользователей.

Патент №8555386, подтверждающий новизну технологии, выдан Бюро по регистрации патентов и торговых марок США.

«Лаборатория Касперского» обладает обширным портфолио патентов, большинство из которых описывает защитные технологии. К настоящему времени у компании было 174 патента, полученных в США, России, Евросоюзе и Китае. Еще 211 патентных заявок находятся на стадии рассмотрения.

Kaspersky.com — Вирусные новости — Опасная пропорция: 3/4 российских пользователей и их финансовые операции в Сети под угрозой

Posted: Октябрь 19, 2013 in Антивирус, Касперский, Личность, Новости, антивирусы, атака, вирусы, компьютеры, лечение, люди, поиск, пользователи, программы, софт, срочно, техника, угрозы, человечество
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Опасная пропорция: 3/4 российских пользователей и их финансовые операции в Сети под угрозой

Почти 3/4 российских пользователей сталкивались с финансовыми угрозами в
Интернете — это выяснилось в результате опроса
(http://media.kaspersky.com/ru/documents/B2C_Summary_2013_rus.pdf)*,
проведенного аналитической компанией B2B International и
«Лабораторией Касперского» летом 2013 года. Всевозможные
онлайн-сервисы, связанные с денежными транзакциями (интернет-банкинг,
платежные системы, онлайн-магазины), приобретают все большую
популярность у пользователей. Эта тенденция не осталась без внимания
злоумышленников.

По данным исследования, каждый десятый российский пользователь получал
по электронной почте фальшивые сообщения от банков. 17% пользователей
сообщили, что сталкивались с подозрительными сообщениями от имени
администраций онлайн-магазинов или социальных сетей. Еще 11%
подтвердили, что при совершении финансовых операций в Интернете они
автоматически перенаправлялись на подозрительный сайт, где им
предлагалось ввести данные платежной карты. А около 9% пользователей
даже вводили финансовую информацию на сайтах, в легитимности которых у
них были сомнения.

Фальшивые антивирусы, которые сообщают о заражении компьютера и
настойчиво рекомендуют приобрести защиту, стали в России самой
популярной схемой выманивания денег у интернет-юзеров. Ее действие
испытали на себе целых 56% опрошенных, что значительно выше, чем в
среднем по миру и в большинстве исследуемых регионов. Хотя опытный и
внимательный пользователь, вероятно, сможет распознать значительную
часть финансовых мошенничеств, реализованных с помощью фишинга, подобные
атаки часто заканчиваются успехом: около 8% российских пользователей
сообщили, что потеряли деньги, попавшись на удочку преступников. И в
России этот показатель в два раза выше общемирового.

«Финансовые операции в Интернете пользуются все большей
популярностью, что, естественно, вызывает высокий интерес со стороны
киберпреступников, которые изобретают все новые методы отъема денег у
пользователей, — рассказывает Сергей Голованов, ведущий
антивирусный эксперт «Лаборатории Касперского». — Одну
из самых серьезных угроз, вне зависимости от платформы устройства, с
которого пользователь совершает интернет-платежи, представляет
финансовый фишинг. Его целью является хищение таких персональных данных,
как номера платежных карт, логины и пароли для доступа в системы
онлайн-банкинга и подтверждения операций. Защититься от такой угрозы
простому пользователю можно с помощью специальных технологий,
присутствующих, например, в модуле «Безопасные платежи».

Функция «Безопасные платежи» входит в состав универсального
защитного решения для платформ Windows, Mac и Android Kaspersky Internet
Security для всех устройств
(http://www.kaspersky.ru/multi-device-security). Продвинутая технология,
разработанная специалистами «Лаборатории Касперского»,
представляет собой сочетание различных специализированных защитных
механизмов и активируется автоматически, как только пользователь
пытается перейти на сайт системы интернет-банкинга, платежной системы
или интернет-магазина. Функция обеспечивает надежную защиту денег
пользователя от абсолютного большинства финансовых кибератак.

В частности, новейшие антифишинговые технологии распознают и блокируют
фальшивые страницы сайтов, через которые пользователю предлагается
совершить финансовые операции. Подтверждение доверенности соединения
между банком и компьютером пользователя осуществляется за счет проверки
подлинности сертификатов безопасности сайта банка или платежной системы.
В свою очередь, особый «безопасный режим» для популярных
интернет-браузеров защитит от атак, применяющих исполнение вредоносного
кода в браузере. Функции «Виртуальная клавиатура» и
«Безопасная клавиатура» обеспечат надежную защиту данных,
которые пользователь вводит на сайте своего банка. Кроме того,
встроенная в «Безопасные платежи» система проверки
безопасности приложений, установленных на компьютере, предупредит
пользователя о наличии у него программ, уязвимости в которых
злоумышленники могут использовать для заражения ПК.

В совокупности эти технологии обеспечивают комплексную защиту от
финансовых угроз и дают пользователям возможность работать с сервисами
онлайн-банкинга, платежными системами и интернет-магазинами без риска
потерять деньги. * Исследование проведено аналитическим агентством B2B
International специально для «Лаборатории Касперского» летом
2013 года. В ходе исследования было опрошено 8605 респондентов в
возрасте 16+, проживающих в странах Латинской и Северной Америки,
Ближнего Востока, Азии, Африки, Европы и России в частности.

Хорошо забытое старое: многие крупные компании подвержены прошлогодним угрозам

Эксперты «Лаборатории Касперского» и частной
компании-аудитора Outpost24 осуществили проверку ряда европейских
организаций с целью выявления незакрытых уязвимостей для оценки общего
уровня IT-безопасности. Как показали результаты анализа, несмотря на
рост числа атак «нулевого дня» злоумышленники до сих пор
широко используют известные уязвимости. Это объяснимо: в среднем
компаниям требуется 60-70 дней для закрытия «бреши» в защите
— достаточно длительный срок, чтобы атакующие смогли ею
воспользоваться. Также исследование показало, что киберпреступникам
необязательно взламывать саму систему безопасности — достаточно
сосредоточиться на управляющих ею сотрудниках.

Как правило, в компаниях выделяется срок в 3 месяца для устранения
серьезных уязвимостей. Однако, по данным Outpost24, 77% угроз, которые
не были обезврежены в положенное время, присутствовали в сети целый год
после их обнаружения. Команда «Лаборатории Касперского» и
Outpost24 в своем совместном исследовании столкнулась с уязвимостями
2010-го года, а также системами, которые были открыты ряду угроз в
течение последних 3 лет. Такое положение особенно критично, учитывая
простоту использования старых уязвимостей и масштаб возможных
последствий. Стоит отметить, что были выявлены некоторые корпоративные
системы, о защите которых не заботились в течение десятка лет, несмотря
на то, что руководство выделяло денежные средства на услуги мониторинга
безопасности.

По завершении сбора информации с командой Outpost24, эксперт
«Лаборатории Касперского» Дэвид Джэкоби решил провести
дополнительный эксперимент с целью выяснить, насколько легко подключить
USB-носитель к компьютерам в государственных учреждениях, отелях и
частных компаниях. Одетый в деловой костюм Дэвид просил секретарей 11
организаций распечатать свое резюме в формате PDF со своей флешки для
встречи, назначенной в совершенно другом месте. В выборку попали отели
из разных сетей, государственные учреждения и пара крупных частных
компаний. В 2 из 3 отелей отказались подсоединить USB-носитель. В
частных компаниях также ответили отказом, тогда как в 4 из 6
государственных организаций согласились помочь. При этом в 2 случаях
подключить USB-устройство оказалось невозможно, но служащий предложил
переслать данные по электронной почте, предоставляя тем самым широкие
возможности использования уязвимостей в программах, работающих с
форматом PDF.

«Результаты проведенного нами аудита безопасности актуальны для
компаний всех стран, так как везде существует временной промежуток между
обнаружением уязвимости и ее устранением. Эксперимент с USB-носителем
— еще один повод задуматься всем тем, кто ищет защиту от
«угроз будущего». Он показал, что бессмысленно гнаться за
одними только технологиями без обучения сотрудников. Что удивительно, в
отелях и частных компаниях гораздо лучше осведомлены об угрозах, нежели
в государственных учреждениях — это серьезная проблема,
открывающая доступ к персональным данным граждан», —
прокомментировал Дэвид Джэкоби, эксперт «Лаборатории
Касперского».

С полным отчетом по результатам исследования можно ознакомиться по
ссылке:
www.securelist.com/ru/blog/207768946/Breshi_v_bezopasnosti_novyy_vzglyad_na_starye_uyazvimosti.

Возвращение NetTraveler

Эксперты «Лаборатории Касперского» сообщают о новой волне
кампании кибершпионажа NetTraveler (также известной, как Travnet,
Netfile или Red Star APT), поразившей ранее сотни государственных и

частных организаций в более чем 40 странах мира. Среди выявленных целей
операции NetTraveler были правительственные учреждения, посольства,
политические активисты, военные организации, нефтегазовые компании,
научно-исследовательские центры и университеты, многие из которых
располагались на территории России.

Сразу же после огласки «Лабораторией Касперского» в июне
2013 года действий группы, стоящей за NetTraveler, злоумышленники
отключили свои командные центры и перенесли их на новые серверы в Китае,
Гонконге и Тайване. При этом, как показал анализ текущей ситуации,
киберпреступники продолжили беспрепятственно совершать атаки.

В течение последних нескольких дней были зафиксированы целевые
фишинговые рассылки уйгурским активистам. Использованная
злоумышленниками Java-уязвимость оказалась более эффективной для
заражения компьютеров жертв, так как была закрыта Oracle лишь в июне
этого года, а значит, все еще широко распространена среди пользователей.
Предыдущая серия атак осуществлялась через уязвимости Microsoft Office
(CVE-2012-0158), «заплатки» для которых были выпущены
компанией Microsoft еще в апреле.

В дополнение к фишинговым рассылкам, группа злоумышленников теперь также
применяет технику «Watering Hole», заключающуюся в
веб-перенаправлениях и принудительной загрузке файлов со специально
подготовленных доменов, заражая тем самым посетителей веб-сайтов. За
прошедший месяц специалисты «Лаборатории Касперского»
перехватили и заблокировали ряд таких попыток заражения со стороны
домена wetstock[dot]org, который уже был связан с
кампанией NetTravaler ранее. Перенаправления происходили с различных
уйгурских сайтов, которые были предварительно взломаны и заражены
атакующими.

Эксперты «Лаборатории Касперского» полагают, что
злоумышленники могут использовать и другие средства для достижения своих
целей, поэтому выработали ряд рекомендаций, как оградить себя от
подобных атак:
* Обновите Java до самой актуальной версии. Если вы не
пользуйтесь Java, деинсталлируйте это приложение;
* Установите самые
свежие обновления Microsoft Windows и Microsoft Office;
* Обновите все
стороннее программное обеспечение, например Adobe Reader;

* Используйте безопасный интернет-браузер, например Google Chrome,
цикл разработки и обновления которого быстрее, чем у штатного
Windows-браузера Internet Explorer;
* Не спешите переходить по ссылкам
и открывать вложения в письмах от неизвестных лиц.

«К счастью, на данный момент мы не обнаружили случаев
использования уязвимостей нулевого дня хакерами, стоящими за
NetTraveler. В этом случае даже постоянное применение обновлений не
может гарантировать полной защищенности, однако ее можно обеспечить
такими технологиями как «Запрет по умолчанию» и
«Автоматическая защита от эксплойтов», которые входят в
состав современных защитных решений», — прокомментировал Костин
Раю, руководитель центра глобальных исследований и анализа угроз
«Лаборатории Касперского».

Более подробная информация о расследовании операции NetTraveler доступна
на
www.securelist.com/ru/blog/207768921/NetTraveler_vozvrashchaetsya_kiberprestupniki_ispolzuyut_novye_priemy_CVE_2013_2465.

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о распространении вредоносной программы Trojan.WPCracker.1, предназначенной для взлома блогов и сайтов, работающих под управлением популярных CMS (систем управления содержимым), в частности WordPress. С помощью этого троянца злоумышленники могут поменять содержимое блогов или же инфицировать их другими вредоносными программами, которые будут угрожать будущим посетителям. Именно с распространением Trojan.WPCracker.1 может быть связан отмечаемый многочисленными экспертами в настоящее время всплеск масштабных атак на веб-сайты.

Попав на инфицированный компьютер, Trojan.WPCracker.1 создает свою копию в одной из системных папок и модифицирует ветвь реестра Windows, отвечающую за автоматический запуск приложений при старте операционной системы. Затем троянец устанавливает соединение со злоумышленниками, обращаясь на их удаленный сервер.

Злоумышленники отсылают троянцу список блогов и сайтов, работающих под управлением популярных CMS, среди которых WordPress и Joomla, и начинают подбор паролей к ним. В случае если процедура подбора пароля завершилась успехом, полученные данные троянец отправляет на принадлежащий злоумышленникам сервер.

В дальнейшем авторы троянца Trojan.WPCracker.1 используют свою модель монетизации – они продают доступ к взломанным сайтам третьим лицам (как правило, другим злоумышленникам), получая прямой доход.

Чем опасен Trojan.WPCracker.1 для своих жертв? С его помощью злоумышленники могут полностью поменять контент взломанного блога или же установить там другие вредоносные программы, которые будут нести прямую угрозу будущим посетителям. Именно с распространением данной вредоносной программы может быть связан отмечаемый многочисленными экспертами в настоящее время всплеск масштабных атак на веб-сайты путем подбора паролей к учетной записи администратора.

Сигнатура данной угрозы добавлена в вирусные базы, поэтому она не представляет серьезной опасности для пользователей Dr.Web.

 

Новый троянец устанавливает рекламное ПО от известного российского коммуникационного портала

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает пользователям о широком распространении троянца, предназначенного для накрутки показателей в партнерской программе Loadmoney и установки на инфицированный компьютер нежелательных приложений.

Партнерские программы, подобные Loadmoney, не редкость – они позволяют администраторам различных веб-сайтов зарабатывать на файловом трафике. Например, владелец торрент-трекера, подключившись к такой партнерской программе, должен добавить в веб-страницы специальный код: в результате при попытке посетителя скачать торрент-файл происходит обращение к удаленному серверу Loadmoney, создающему специальную программу-загрузчик, которая отдается пользователю вместо запрошенного контента. В свою очередь при запуске загрузчик скачивает заявленный на веб-странице файл, а также, если пользователь по невнимательности не сбросит в окне приложения соответствующие флажки, устанавливает на его компьютер различное ПО, например тулбар, браузер или иные программы, связанные с известным российским коммуникационным порталом. За каждую установку подобных программ «партнер» получает соответствующее вознаграждение.

Trojan.LMclicker.1 предположительно был разработан одним из пользователей партнерской программы Loadmoney, также являющимся владельцем сайта torrentgun.org (или имеющим к нему администраторский доступ) с целью накрутки своей статистики и извлечения дополнительной прибыли.

Троянец имитирует посещение пользователем сайта torrentgun.org, переход в случайный раздел и скачивание случайного файла. Для большей правдоподобности троянец представляется для партнерской программы разными браузерами. Полученное таким образом приложение (оно детектируется Dr.Web как Trojan.Loadmoney.1) запускается на компьютере пользователя, и в его интерфейсе автоматически нажимается кнопка «Запустить».

В результате этой активности на компьютер жертвы загружается и устанавливается различное ПО, связанное с известным российским коммуникационным порталом. Сигнатура данного троянца добавлена в вирусные базы, поэтому он не представляет опасности для пользователей антивирусных продуктов Dr.Web.

Dr.Web

9 июля 2013 года

21 июня Печерский районный суд города Киева приговорил к пяти годам лишения свободы с отсрочкой на три года организатора и двух участников международной преступной группировки, занимавшейся созданием и распространением вредоносных компьютерных программ семейства Trojan.Carberp в России и на Украине. 19 марта 2013 года деятельность этой группировки была пресечена Службой безопасности Украины в результате спецоперации, проводившейся совместно с ФСБ России. В тот день наручники были надеты на 16 человек, причастных к разработке и распространению одной из опаснейших «банковских» троянских программ последних лет.

Последние два года Trojan.Carberp был настоящим бичом для клиентов дистанционного банковского обслуживания (ДБО) крупнейших российских и украинских банков. Разработанная несколько лет назад в России, эта вредоносная компьютерная программа была центральным элементом мощной преступной инфрастуктуры, созданной для хищения денежных средств как юридических, так и физических лиц. В нее входили разработчики, которые занимались не только совершенствованием самого троянца, но и дополнительных модулей, направленных на атаки против систем ДБО конкретных банков. Несколько тестировщиков следили за корректностью работы троянца параллельно с теми или иными системами ДБО, а также за тем, чтобы новые версии троянца были незаметны для антивирусных программ. Особая роль отводилась системному администратору, в задачу которого, помимо обеспечения безопасного общения членов группы между собой, входило также поддержание рабочей инфраструктуры, обслуживавшей всю ботсеть Trojan.Carberp.

Главари группировки фактически продавали так называемым “партнерам” лицензию на использование троянца и средства управления им (так называемую “админку”). В “админке” накапливалась информация о «зараженных» пользователях, на основе которой принимались решения о “заливах” — то есть о списании денежных средств со счетов жертв на счета так называемых “дропов”, через которые потом деньги либо выводились в подконтрольные преступникам коммерческие фирмы, либо обналичивались. После бесславного конца карьеры одного из “партнеров” группировки — “Гермеса” (он же “Араши”), владельца многомиллионной сети компьютеров-зомби, зараженных троянцем Carberp, арестованного российскими правоохранительными органами в июне 2012 года, интересы главарей группировки стали быстро смещаться из России на Украину. Фактически с августа 2012 года работа против клиентов украинских банков приобрела массовый характер. Кибермошенники, спрятавшись за многочисленными VPN-каналами и используя шифрованные каналы общения, чувствовали себя в полной безопасности, работая против банков той страны, где постоянно находились сами. Не гнушались они и тем, что отслеживали наиболее “интересных” клиентов среди жертв своих “партнеров” и самостоятельно производили хищения с их банковских счетов.

Специалисты антивирусной лаборатории “Доктор Веб” в течение почти двух лет вели кропотливую работу, помогая правоохранительным органам в изобличении преступников. Постоянно исследовались новые образцы опасного троянца, изучались новые векторы атаки злоумышленников. Достаточно сказать, что в настоящее время вирусная база Dr.Web содержит более 1200 разновидностей этой троянской программы. Высокая квалификация специалистов компании позволила разгадать многие инфраструктурные загадки, связанные с Trojan.Carberp, помогла идентифицировать многих участников группировки. Неоднократно специальный отдел “Доктор Веб” взаимодействовал с российскими и украинскими банками с целью предотвращения незаконного вывода похищенных денежных средств.

“В последнее время мы видим усиление притока талантливых молодых программистов в преступную среду, — говорит генеральный директор компании “Доктор Веб” Борис Шаров. — Во многом это объясняется бытующим мнением об относительной безнаказанности тех, кто создает и распространяет вирусы. Кроме того, молодые люди часто становятся жертвами щедрых посулов главарей киберпреступных группировок, соблазняются заманчивыми предложениями, которым на самом деле никогда не суждено сбыться. Все это мы очень наглядно наблюдали в случае с разработчиками Trojan.Carberp. Надеемся, что приговор киевского суда отрезвит многих любителей легкой наживы в киберпространстве. Тем более, что финальный аккорд в этой истории еще не прозвучал, свое слово еще не сказали российские правоохранители, у которых к “карберповцам” едва ли не больше вопросов, чем у их украинских коллег. Киберзло в любых своих формах будет обязательно наказано, мы убеждены в этом”.

Dr.Web

16.05.2013

16 мая 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты — обнаружила неизвестный ранее функционал в новой вредоносной программе для Facebook, о которой сообщали многочисленные сетевые СМИ. Trojan.Facebook.311 может не только публиковать от имени пользователя новые статусы, вступать в группы, оставлять комментарии, но и рассылать спам в социальных сетях Twitter и Google Plus.

Троянская программа Trojan.Facebook.311 представляет собой написанные на языке JavaScript надстройки для популярных браузеров Google ЗChrome и Mozilla Firefox. Злоумышленники распространяют троянца с использованием методов социальной инженерии — вредоносные программы попадают в систему при помощи специального приложения-установщика, маскирующегося под «обновление безопасности для просмотра видео». Примечательно, что установщик имеет цифровую подпись компании Updates LTD, принадлежащей Comodo. Надстройки называются Chrome Service Pack и Mozilla Service Pack соответственно. С целью распространения троянца злоумышленники создали специальную страницу на португальском языке, ориентированную, по всей видимости, на бразильских пользователей Facebook.

screen

После завершения установки в момент запуска браузера Trojan.Facebook.311 пытается загрузить с сервера злоумышленников файл с набором команд. Затем встроенные в браузеры вредоносные плагины ожидают момента, когда жертва выполнит авторизацию в социальной сети Facebook. После этого троянец может выполнять от имени пользователя различные действия, обусловленные содержащимися в конфигурационном файле командами злоумышленников: поставить «лайк», опубликовать статус, разместить на стене пользователя сообщение, вступить в группу, прокомментировать сообщение, пригласить пользователей из списка контактов жертвы в группу или отправить им сообщение. Помимо этого троянец может по команде злоумышленников периодически загружать и устанавливать новые версии плагинов, а также взаимодействовать с социальными сетями Twitter и Google Plus, в частности, рассылать спам.

screen

В последнее время Trojan.Facebook.311 был замечен за распространением в сети Facebook сообщений, содержащих изображение, которое имитирует встроенный в браузер медиаплеер. При щелчке мышью по нему пользователь перенаправляется на различные мошеннические ресурсы. Аналогичным образом с помощью личных сообщений и статусов троянец рекламирует мошеннические викторины, в которых якобы можно выиграть различные ценные призы.

screen

Сигнатура данной угрозы добавлена в вирусные базы и потому не представляет опасности для пользователей антивирусных программных продуктов Dr.Web. Несмотря на то, что злоумышленники ориентировали Trojan.Facebook.311 на жителей Бразилии, схожая схема может быть применена и в отношении других пользователей Facebook. Специалисты «Доктор Веб» рекомендуют проявлять бдительность, не загружать и не устанавливать подозрительные приложения или «обновления безопасности» для браузеров.

В рамках образовательного некоммерческого проекта ВебIQметр сегодня на эту тему появился тест. Вам необходимо зарегистрироваться, чтобы пройти его.

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о получении контроля над бот-сетью, которая формировалась на основе распространяемой злоумышленниками вредоносной программы BackDoor.Bulknet.739, в среднем заражающей по 100 ПК ежечасно. Попадая на компьютер жертвы, троянец помогает злоумышленникам рассылать с него сотни спам-писем. Среди жертв BackDoor.Bulknet.739 в основном зарубежные пользователи (Италия, Франция, Турция, США, Мексика и Тайланд), однако россияне также могут попасть под его прицел.

Впервые BackDoor.Bulknet.739 заинтересовал аналитиков «Доктор Веб» в октябре 2012 года. Троянец оказался способен объединять компьютеры в ботнеты и позволяет злоумышленникам осуществлять массовую рассылку спама.

В момент запуска троянца на инфицированном компьютере выполняется специальный модуль, распаковывающий троянца-загрузчика, после чего BackDoor.Bulknet.739 скачивается на инфицированную машину с использованием вредоносного приложения, детектируемого как BackDoor.Bulknet.847. При этом данная вредоносная программа использует весьма оригинальный алгоритм: она обращается к хранящемуся у нее зашифрованному списку доменных имен и выбирает один из них для загрузки спам-модуля. В ответ BackDoor.Bulknet.847 получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения. Основной модуль BackDoor.Bulknet.739 хранится внутри такого изображения в зашифрованном виде и предназначен для осуществления массовых рассылок сообщений по каналам электронной почты.

Адреса для рассылки спама, файл с шаблоном отправляемых писем и конфигурационный файл BackDoor.Bulknet.739 получает с удаленного сервера. Для связи со злоумышленниками BackDoor.Bulknet.739 использует бинарный протокол: он способен выполнять набор получаемых от злоумышленников команд, в частности, команду на обновление, загрузку новых образцов писем, списка адресов для отправки спама, либо директиву остановки рассылки. В случае собственного отказа троянец может отправить злоумышленникам специальным образом сформированный отчет.

screen

Специалисты компании «Доктор Веб» сумели перехватить один из управляющих серверов ботнета BackDoor.Bulknet.739 и собрать ряд статистических данных. Так, по состоянию на 5 апреля 2013 года к управляющему серверу подключилось около 7 000 ботов, при этом рост их числа в период со 2 по 5 апреля можно проследить с помощью следующего графика:

В настоящий момент ботнет BackDoor.Bulknet.739 продолжает расти достаточно быстрыми темпами — в среднем ежечасно фиксируется заражение порядка 100 компьютеров. Географически наиболее широкое распространение троянец BackDoor.Bulknet.739 получил на территории Италии, Франции, Турции, США, Мексики и Тайланда. Наименьшее количество инфицированных рабочих станций зафиксировано в Австралии и России. Вот как распределена данная бот-сеть по странам и континентам:

А вот так выглядит статистика по операционным системам зараженных компьютеров:

Специалисты компании «Доктор Веб» продолжают внимательно следить за развитием ситуации. Для пользователей, на компьютерах которых установлено антивирусное ПО Dr.Web с последними обновлениями, BackDoor.Bulknet.739 не представляет никакой опасности, поскольку его сигнатура содержится в вирусных базах.

ИСТОЧНИК

19 марта 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о наблюдаемом с начала года росте распространения рекламных приложений для компьютеров под управлением Mac OS X. Среди них выделяется троянец Trojan.Yontoo.1, который, являясь загрузчиком, устанавливает на инфицированный компьютер дополнение для популярных браузеров, основное назначение которого — демонстрация рекламы в процессе просмотра веб-сайтов.

С начала 2013 года специалисты компании «Доктор Веб» отмечают рост количества рекламных приложений для различных платформ, в том числе для операционной системы Mac OS X. Таким образом злоумышленники зарабатывают на партнерских программах рекламных сетей, и с каждым днем растет их интерес к пользователям Apple-совместимых компьютеров. Ярким примером подобного ПО может служить обнаруженный недавно Trojan.Yontoo.1.

Эта троянская программа проникает на компьютер жертвы различными способами. Например, с целью распространения троянца злоумышленники создали специальные веб-страницы с анонсами фильмов, при открытии которых в верхней части окна демонстрируется стандартное предложение установки плагина для браузера. На самом деле данный диалог лишь имитирует традиционную панель, демонстрируемую пользователям в случае необходимости установки какого-либо дополнения или надстройки, и создан злоумышленниками специально, чтобы ввести потенциальную жертву в заблуждение. После нажатия на кнопку Install the plug-in происходит перенаправление пользователя на сайт для загрузки приложения, детектируемого антивирусным ПО «Доктор Веб» как Trojan.Yontoo.1.

screen

Злоумышленники предусмотрели несколько альтернативных способов распространения этой угрозы. Например, жертва может загрузить троянца под видом медиаплеера, программы для улучшения качества просмотра видео, «ускорителя» загрузки файлов из Интернета и т. д.

После запуска Trojan.Yontoo.1 демонстрирует на экране диалоговое окно программы, предлагающей инсталлировать приложение под названием Free Twit Tube.

screen

Однако вместо заявленной программы после нажатия на кнопку Continue троянец загружает из Интернета и устанавливает специальный плагин Yontoo для наиболее популярных среди пользователей Mac OS X браузеров: Safari, Chrome и Firefox. Этот плагин в процессе просмотра веб-страниц в фоновом режиме передает на удаленный сервер данные о том, какую веб-страницу открыл в своем браузере пользователь.

screen

В ответ данное дополнение получает от злоумышленников специальный файл, позволяющий встраивать в просматриваемые пользователем веб-страницы различные рекламные модули от сторонних партнерских программ. Вот так, например, будет выглядеть на инфицированном компьютере веб-страница сайта apple.com:

screen

Такие расширения для браузеров детектируются антивирусным ПО как Adware.Plugin. Следует отметить, что аналогичная схема распространения «рекламного троянца» существует и для пользователей ОС Windows.

ИСТОЧНИК

Осторожно, вакансия

Поиск работы — всегда непростое дело. Среди множества вакансий, о
которых компании сообщают в Интернете, каждый мечтает найти ту лучшую,
которая воплотит его мечты о карьере, уровне доходов, возможностях
профессионального развития и социальных гарантиях. Однако эти мечты
могут безжалостно эксплуатировать злоумышленники.

«Лаборатория Касперского» выявила мошенническую схему
рассылки сообщений с поддельными предложениями о работе, которые имеют
своей целью лишь одно — заставить невнимательных пользователей
подписаться на платную рассылку. Схема этого мошенничества совсем
незамысловата и даже груба, но человек, давно находящийся в поиске
работы, может заинтересоваться соблазнительным предложением и потерять
бдительность.

Суть мошенничества сводится к следующему: среди прочих сообщений от
разных онлайн-сервисов по поиску работы пользователь получает
уведомление, подписанное именем известного портала, например HeadHunter.
В нём злоумышленники сообщают ему о том, что его кандидатурой якобы
заинтересовалась крупная российская или зарубежная компания, готовая
предложить хорошую должность и зарплату. Никаких подробностей в письме,
конечно, не раскрывается — за ними пользователю предлагается
пройти по ссылке. Пример фальшивого письма с предложением о работе якобы
от HeadHunter

Рано или поздно все подобные ссылки ведут на поддельный сайт сервиса по
поиску работы в Интернете. Стоит отметить, что выглядит этот сайт весьма
убедительно: с каталогом вакансий, списками работодателей, новостями и
статьями. И вот на этом сайте злоумышленники и предлагают доверчивому
пользователю пройти бесплатную регистрацию, указав номер своего
мобильного телефона. Лишь очень осмотрительный пользователь сможет
определить, что внизу веб-страницы мелким незаметным шрифтом (иногда
совпадающим по цвету с фоном) прописаны подробные условия регистрации,
согласно которым «поставщик услуг» имеет право снимать
деньги со счёта мобильного телефона пользователя за регулярную рассылку
сообщений со списком вакансий.

Детали этой мошеннической схемы и более подробную информацию о ловушках,
которые злоумышленники расставляют на пути соискателей работы в
Интернете, читайте в статье контент-аналитика «Лаборатории
Касперского» Надежды Демидовой.

«Злоумышленники зачастую используют приёмы социальной инженерии,
которая направлена, прежде всего, на доверчивых или неопытных
пользователей. Обнаружение нами этой мошеннической схемы в очередной раз
подтверждает, что при внимательность при работе в Интернете всегда
важна», — рассказывает Надежда Демидова.

Подробное описание схемы мошенничества доступно по ссылке
blog.kaspersky.ru/idealnaya-vakansiya-rabota-mechty-ili-proiski-aferistov.

Каждый месяц фильтры «Лаборатории Касперского» ловят
несколько десятков тысяч писем от мошенников на разных языках. Больше
всего рискуют стать жертвой злоумышленников новички, которые начали
пользоваться Всемирной паутиной недавно и поэтому либо не знакомы с
советами по безопасности, либо просто достаточно наивны и готовы всерьез
отнестись к заманчивым обещаниям аферистов. Эксперт «Лаборатории
Касперского» Мария Рубинштейн в своей статье рассказывает об одном
из наиболее распространенных видов мошенничества — так называемых
«нигерийских письмах».

Такое название они получили потому, что впервые появились именно в
Нигерии в 1980-е годы. Суть мошеннической схемы проста. Изначально
злоумышленники писали письма, как правило, от имени вдов опальных
нигерийских чиновников/диктаторов и просили помощи в выводе за границу
своего миллионного состояния. Получателю письма обещали солидное
вознаграждение за эту услугу. Для успешного проведения операции от
адресата требовалось оплатить накладные расходы, потратив незначительные
по сравнению с обещанными барышами средства. Получив их,безутешная
богатая вдова исчезала.

Со временем арсенал мошенников пополнился новыми сюжетами. Сейчас
легенда может варьироваться. Например, аферисты заманивают жертву
сообщением об оставленном ей неизвестным богатым родственником
наследстве или пишут от имени военных, нашедших в какой-нибудь
«горячей» точке сокровища убитого террориста. Но и в этом
случае, вступив в переписку, доверчивый получатель письма узнает, что
для получения обещанной суммы нужно либо заплатить за открытие счета,
либо оплатить услуги посредников, либо понести еще какие-то расходы
— совершенно незначительные по сравнению с будущим кушем. Получив
деньги, вдова, адвокат покойного родственника или американский солдат
перестают отвечать на письма, и найти их уже невозможно.

Дорогие,

Я Пол Коффи (САТ), пишу Вам в связи с моего покойного клиента Поздно
Mr.P.A.Cергеев, который скончался 21 апреля 2003 вместе со всей family.I
пытались найти какой-либо из членов его семьи для оказания помощи в
repartrating фонд, который он хранится в доме финансирование на сумму
USD $ 10.5million.

Please я хотел бы, чтобы связаться со мной через мой личный адрес
электронной почты paul_koffi204@hotmail.com так, что я могу дать
подробности относительно иска.

Я с нетерпением жду ответа от Вас в ближайшее время.

Да благословит вас Господь.

С наилучшими пожеланиями,

Barr.koffi Павла (S.A.T) **********@hotmail.com

Пример «нигерийского» спам-письма, составленного с помощью
автоматического переводчика

«Если в письме незнакомый человек обещает вам миллионы в
наследство, в подарок или в награду за посредничество, хорошенько
подумайте, прежде чем отвечать. Такие сообщения рассылают только
мошенники, — предостерегает Мария Рубинштейн. — И если в
качестве доказательства своей честности незнакомец высылает
отсканированные копии документов, не торопитесь ему верить. С
фальсификацией документов у мошенников обычно нет никаких проблем. Если
вы получили письмо с заманчивым предложением от незнакомого отправителя,
самое безопасное — просто удалить его».

Ознакомиться более подробно с приемами «нигерийских»
мошенников можно в статье «Нигерийское наследство ждет вас»
на сайте www.securelist.com/ru.

ИСТОЧНИК

«Нигерийское» наследство для доверчивых жертв в Интернете

Нигерийское наследство ждет вас

Недавно моя виртуальная знакомая из небольшого сибирского города пожаловалась в интернет-дневнике, что ее мать стала жертвой мошенников и пожертвовала семейными сбережениями ради несуществующего наследства из далекой Африки.

Моя знакомая подарила пожилым родителям компьютер, но он сослужил им плохую службу. На их электронный адрес пришло письмо, в котором сотрудник некого банка на плохом английском языке сообщал потрясающую новость: Анна Сергеева, мать моей знакомой (имена и фамилии по просьбе знакомой изменены), должна получить миллионное наследство. Дело в том, что в Африке умер их родственник, миллионер Джон Сергеев. Наследников мистер Сергеев не оставил, но его адвокат стал разыскивать через интернет родственников своего клиента и после долгих поисков нашел их в небольшом сибирском городке.

В результате непродолжительной переписки «наследнице» предложили оплатить «накладные расходы» и ожидать перевода наследства на счет. Мать моей знакомой перевела нескольких тысяч долларов на указанный в письме счет через местное отделение Сбербанка.

После этого ни на электронные письма, ни на звонки по указанным в письмах телефонам никто не отвечал.

Нигерийские мошенники

Увы, Анна Сергеева стала очередной жертвой так называемых «нигерийских мошенников». Их схема проста: мошенники рассылают письма, в которых, как правило, просят помощи в обналичивании солидной суммы в несколько миллионов долларов или предлагают адресату разделить случайно попавшие к ним чужие деньги или получить солидное наследство. Для успешного проведения операции от посредника или наследника требуются незначительные (по сравнению с грядущими барышами) деньги. Злоумышленники готовы предоставить своей потенциальной жертве отсканированные документы, заручиться словом адвоката или, на худой конец, почтенного пастора, который подтвердит правдивость рассказанной в письме истории. Какая бы история ни была предъявлена «нигерийцами», конец у нее будет один: получив от вас деньги, мошенники исчезнут.

Каждый месяц фильтры «Лаборатории Касперского» ловят несколько десятков тысяч нигерийских писем на разных языках.

Об этом виде мошенничества пишут и в интернете, и в печатной прессе. Но всегда находятся люди, которые либо начали пользоваться Всемирной паутиной недавно, либо пропустили мимо ушей добрые советы («а нам-то зачем? нас-то все равно не проведешь!»), либо просто достаточно наивны и готовы всерьез отнестись к обещаниям мошенников.

А трюк действительно давно и хорошо известен: первые письма из Нигерии, в которых предлагались большие деньги, появились еще в 1980-х годах, и рассылались они тогда по обычной почте. С появлением интернета нигерийские мошенники стали активно использовать преимущества электронной почты. Сейчас рассылки нигерийских писем организуют мошенники из самых разных стран мира.

Первые нигерийские письма приходили от имени вдов или детей убиенных нигерийских государственных мужей, чьи миллионы можно обналичить только за рубежом. Собственно говоря, именно отсюда пошло название «нигерийские письма». Позже сюжеты историй, сочиняемых мошенниками, стали много разнообразнее, и сочиняли их «нигерийцы» так вдохновенно, что в 2005 году даже удостоились Шнобелевской премии по литературе.

Нигерийские сюжеты

В арсенале мошенников, как правило, всего несколько уловок, которые могут сочетаться в одном письме. Однако у каждого сюжета есть множество вариаций; имена политиков могут быть любыми; смертельные болезни и истории с кровавыми убийствами непременно будут впечатляющими, а денежные суммы — огромными, меньше пятидесяти тысяч долларов или евро вам не пообещают.

Классика жанра

Ниже — пример классического нигерийского письма, в котором автор рассказывает о гибели своего отца, только здесь, в соответствии с современными реалиями, отец был убит не во время гражданской войны в Нигерии, а пал жертвой режима Каддафи.

From: «Hassan»
Subject:

Before I proceed, I must first apologize for this unsolicited mail to you. I’M the Daughter of late Mr Hame, who wasassistant secretary of Muammar Gaddafi who is now dead.

My father was among those GADDAFI killed as inside enemy, but before the fightI was taken by boot to Spain here in my father private house, so that I can take care of his investment here in Spain, and my father leave some amount of money for me here in one of the private security company here, and now I want to move this moneyout of this country

I have told my lawyer about it, all I need is a trust worthy person. So that when the money is transferred into his or her account, he or she can help me for visa and other papers I needed to live in that country, you have 10 of any amount transferred into your account.

If you are willing, then email my lawyer at this and his name is Barr. Martinez Luis So that he can explain to you more about this, if you want to come down here and see by yourself,

Regards ,
Habbib Al Hassan

В переводе с плохого английского:

От: «Хасан»
Тема:

Прежде чем продолжать, я должна извиниться за непрошеное письмо. Я дочь покойного мистера Хаме, который был помощником Муаммара Каддафи, ныне покойного.

Мой отец был среди тех, кого Каддафи убил как внутренних врагов, но перед битвой меня вывезли в Испанию, в частный дом моего отца, где я могу позаботиться о его испанских инвестициях, а мой отец оставил мне немного денег в одной из здешних охранных компаний, и сейчас я хочу вывести часть этих денег за границу.

Я говорила об этом моему адвокату, и мне только нужен надежный человек. Когда деньги поступят на его или ее счет, он или она поможет мне с визой и другими документами, которые мне понадобятся, чтобы переехать в ту страну, у вас будет 10 [видимо, имеется в виду 10% — М.Р.] от денег, переведенных на ваш счет.

Если вы готовы, напишите моему адвокату Мартинесу Луису. Чтобы он вам дал больше разъяснений, если хотите, приезжайте сюда и посмотрите своими глазами.

Ваша Хабиб Аль-Хасан

Юная наследница желает познакомиться

В одной из модификаций классической схемы письмо пишется от имени юной девушки, унаследовавшей приличное состояние где-нибудь в неспокойной африканской стране. Такие письма, в частности, целенаправленно рассылаются мужчинам, зарегистрировавшимся на сайте знакомств (красавица, конечно, не забывает приложить свою фотографию).

Содержание письма приблизительно таково:

«Я дочь убитого миллионера, беженка, скрывающаяся от убийц моего отца; у меня на банковском счете есть доставшееся от отца состояние, но мне нужна помощь в том, чтобы вывести его из банка. Я даже готова прилететь к вам, чтобы провести все операции с вашей помощью в вашей стране, ведь я так молода, и мне так одиноко».

Вам наследство

Чужое наследство — хорошо, а свое — лучше. Видимо, так считают мошенники, которые рассылают письма с сообщениями о наследстве, оставленном неизвестным богатым родственником получателю письма:

«Умер ваш родственник [в некой далекой стране]. Вы не были с ним знакомы, однако именно вы — его единственный наследник. Я, его адвокат [бухгалтер, духовник], помогу вам с оформлением всех необходимых бумаг».

Dear ,

I am paul koffi (S.A.T),writing you in respect of my deceased client Late Mr.P.A.Sergeev,who died On the 21st of April 2003 along with his entire family.I have been trying to locate any member of his family to assist in repartrating the fund he deposited in finance house valued at USD$10.5million.

Please i would like you to contact me through my private email address barr_muhammadali@yahoo.com so that i can give the detail concerning the claim.

I am looking forward to hearing from you soon.

God bless you. Best Regards,

Barr.koffi paul(S.A.T)
**********@hotmail.com

Это же письмо рассылается на русском — в автоматическом переводе:

Дорогие,

Я Пол Коффи (САТ), пишу Вам в связи с моего покойного клиента Поздно Mr.P.A.Cергеев, который скончался 21 апреля 2003 вместе со всей family.I пытались найти какой-либо из членов его семьи для оказания помощи в repartrating фонд, который он хранится в доме финансирование на сумму USD $ 10.5million.

Please я хотел бы, чтобы связаться со мной через мой личный адрес электронной почты paul_koffi204@hotmail.com так, что я могу дать подробности относительно иска.

Я с нетерпением жду ответа от Вас в ближайшее время.

Да благословит вас Господь.

С наилучшими пожеланиями,

Barr.koffi Павла (S.A.T)
**********@hotmail.com

Вот одно из таких писем и получила мать моей знакомой.

Поделим деньги покойного?

Вариант: умер не родственник, а однофамилец. Он не оставил ни наследников, ни завещания, но как будет обидно, если его богатство отойдет государству! Сотрудники банка, в котором хранится вклад, провели розыск и нашли адресата, у которого та же фамилия и которому — следовательно — можно отдать наследство! А за посредничество просят всего ничего — какие-то тридцать процентов от суммы.

А если у покойного миллионера не нашлось однофамильцев? Не беда, деньги в любом случае могут быть пристроены и поделены. Родственников у миллионера нет, его деньги остались в банке. И сотрудники этого банка предлагают адресату выступить в роли его наследника, а часть денег, в благодарность за посредничество, отдать им.

From: Paul Kunert
Dear Sir,
Strictly Confidential

It gives me a great deal of pleasure to write you this mail and even when it might come to you as a surprise. My name is Paul Kunert. I am a client services manager with a bank here in Europe. I would like to use this medium to ask your assistance.

I have in the course of my duties come in contact with an account that has been inactive for some years now and a careful investigation proved the depositor of the funds died five years ago. All attempts to reach the supposed beneficiary of the deposit were fruitless and before it is forfeited to the state, can you assume next of kin? I look forward to hearing from you.

Respectfully yours, Paul Kunert

В переводе:

От: Пол Кунерт
Дорогой сэр,
Строго конфиденциально.Я с радостью пишу вам это письмо, хотя бы даже оно было для вас неожиданностью. Меня зовут Пол Кунерт. Я менеджер банка в Европе. Я хотел бы в письме обратиться к вам за помощью.

Выполняя свои рабочие обязанности, я нашел банковский счет, неактивный в течение нескольких лет. Тщательное расследование показало, что вкладчик умер пять лет назад. Все попытки найти получателей этого вклада были бесплодны. Пока вклад не отошел государству, не могли бы вы представиться родственником покойного? С нетерпением жду ответа.

Искренне ваш Пол Кунерт

Оставлю всё хорошему человеку

Нигерийские письма рассылаются и от имени умирающих богачей, которые хотят оставить свои деньги какому-нибудь хорошему порядочному человеку. Как правило, пишет бездетный миллионер-вдовец или миллионерша-вдова (письма от имени умирающих богатых вдов встречаются даже чаще).

Посмотрите на одно из таких писем. Как это часто бывает, мошенники воспользовались автопереводчиком. Несмотря на все огрехи такого перевода, смысл текста понятен.

From: David Lee
Subject: Внимательно прочитайте, пожалуйста.Дорогой друг, Внимательно прочитайте, пожалуйста. Мои имена Дэвида Ли, я из Сингапура. Пожалуйста, примите это серьезно, я узнал, что вы можете быть в состоянии справиться с ней, потому что в моем профиле я ищу в интернете. Я хочу использовать эту свободу на якорь на сильное желание, чтобы попросить вашей помощи. Ваше согласие и внимание будут очень нужны, лишенный страха.

Я был диагностирован с раком пищевода. Он бросил вызов всем формам лечения, и теперь у меня есть только несколько месяцев, чтобы жить в соответствии с медицинскими экспертами здесь, в Лондоне.

Я не особенно прожил свою жизнь так хорошо, как я никогда никого не любил (даже себе), но мой бизнес. Хотя я очень богат, я никогда не был щедр, я всегда был враждебным к людям и сосредоточены только на моем бизнесе, поскольку это было единственное, что я заботился о. Но теперь я сожалею, все это, как я теперь знаю, что есть больше к жизни, чем просто желание иметь или сделать все деньги в мире.

Теперь, когда я был диагностирован с этой смертельной болезнью, я волей и учитывая большую часть моего имущества и активов моих немедленного и расширенной члены семьи и несколько близких друзей, я потерял жену и сына в результате несчастного случая несколько лет назад, я решил дать милостыню на благотворительные цели, и я хочу, чтобы это было одно из последних добрые дела я делаю на земле. Пока я давал деньги на некоторые благотворительные организации в ОАЭ, Сомали и Малайзии.

Теперь, когда мое здоровье ухудшилось настолько плохо, я не могу сделать это сам больше. Однажды я спросил членов моей семьи, чтобы закрыть один из моих счетов и распределять деньги, которые у меня там на благотворительные организации в Bulgeria и Гаити, они отказались и держали деньги для себя. Так что я не доверяю им больше, так как они, кажется, не бороться с ними, что я оставил для них.

Последний из моих денег, которые никто не знает, является огромный денежный депозит в восемь миллионов евро (EURO 8,000,000.00), с Bank.II хочу, чтобы вы мне помочь собрать этом магазине и отправить его на благотворительность organizations.I, готовы предложить Вам вознаграждение, если вы готовы помочь.

Пожалуйста, ответьте с указанием вашего полного адреса электронной почты, номер мобильного телефона, чтобы переписываться с вами и дать вам представление о том, как эти средства будут переданы вам. Я также прошу банка в соответствии с Вами в связи с фактическим правом.

Дэвид Ли (********@ hotmail.co.uk)
Принцессы Грейс больницы
42-52 Nottingham Place London

Не дадим пропасть миллионам

Не забыли мошенники и про опальных миллионеров. Их деньги тоже можно поделить!

Адвокат, бухгалтер или личный помощник какого-нибудь известного человека ищет помощи: деньги его клиента или босса невозможно обналичить на родине, но можно вывести за рубеж на чей-нибудь счет. Благодарность за содействие оплачивается половиной суммы!

Такие письма мы получали от имени помощника сына свергнутого президента Египта Мубарака; от вдовы Бадри Патаркацишвили; от помощника Муаммара Каддафи, которому удалось бежать из Ливии; от бухгалтера Михаила Ходорковского; от бесчисленных родственников никому не известных африканских чиновников, которых преследуют на родине, охваченной очередной гражданской войной.

Письмо от вдовы грузинского миллионера Патаркацишвили приводим ниже:

From: «Mrs. Olga Patarkatsishvili»
Subject: Re: Greetings From Mrs. Olga Patarkatsishvili

Greetings from Georgia,

Greetings in the name of the lord, I am Mrs. Olga Patarkatsishvili, the widow of late Georgian business tycoon Mr. Badri Patarkatsishvili, I have a business proposal which will be of great benefit for you and myself. I will send you further details once I receive your response back. Please for security reason, I will strongly recommend that you write me through my private email account only.

I can be reach on this Email: (olga.patarkatsishvil@yandex.ru), for more information’s on this project.

Thanks for your understanding.

Yours truly,
Mrs. Olga Patarkatsishvili.

В переводе:

От: «Mrs. Olga Patarkatsishvili»
Тема: Re: Greetings From Mrs. Olga PatarkatsishviliПривет из Грузии,

Приветствую вас во имя господне. Я миссис Ольга Патаркацишвили, вдова покойного грузинского магната мистера Бадри Патаркацишвили. У меня есть деловое предложение, которое принесет выгоду и вам, и мне. Я пришлю вам дальнейшую информацию, когда получу ваш ответ. Из соображений безопасности я вас очень прошу писать мне только на мой частный электронный адрес.

Пишите мне: *********************@yandex.ru), чтобы узнать больше об этом проекте.

Спасибо за понимание.

Искренне ваша,
миссис Ольга Патаркацишвили

Коробку с деньгами — в надежные руки

Помимо стран, где невинно страдают чиновники и попадают в немилость олигархи, есть еще страны, в которых идут боевые действия. По мнению нигерийских мошенников, в таких местах могут случаться удивительные истории, которые они и рассказывают от имени военных в рассылаемых письмах.

«Я американский солдат; во время боевой операции в Ираке [Афганистане] нашел коробку, полную денег. Я намереваюсь забрать их себе, но мне необходимо переправить эти деньги в надежное место. Я выбрал вас для этой цели. Пожалуйста, разрешите отправить коробку вам, а после боевой операции я приеду, заберу свои деньги, а вам за посредничество подарю половину».

В некоторых письмах «солдаты» намекают, что деньги могли быть оставлены Усамой Бен Ладеном. В одном из таких писем мы прочитали о сумме в $12,5 миллионов. Как такая сумма поместилась в небольшой металлической коробке, остается загадкой.

Получите компенсацию

И наконец, изощренная схема, рассчитанная на тех, кто и сам не прочь поживиться за чужой счет:

Subject: NIGERIA SCAM VICTIM COMPENSATION:
From: *****@**********It has reached the office of the Federal Govt of Nigeria that you were scammed before so the Govt has decided to compensate you with the sum of $70,000.00,

Contact Barrister Etters and pay a fee of just $80 for funds release .
Send email to *****@***********

В переводе:

Тема: Компенсация жертвам нигерийского мошенничества
От: *****@**********До сведения Федерального правительства Нигерии дошло, что вы стали жертвой мошенничества, так что правительство решило выдать вам компенсацию — 70 тысяч долларов.

Свяжитесь с адвокатом Эттерсом и заплатите за выдачу средств всего 80 долларов. Пишите по адресу: *****@***********

Составленные по такому шаблону письма бывают и длинными, с подробностями, и совсем короткими, как приведенный образец. Все они обещают компенсацию несчастным жертвам мошенничества. Получатель письма должен быстро понять, что проверять его историю не будут и он может получить миллионы просто так, в результате правительственной ошибки.

Но все по справедливости. Хотели получить компенсацию, не будучи жертвой мошенничества? Компенсацию не получите, но жертвой мошенников станете.

Автора! Автора!

Как уже было сказано, рассылают нигерийские письма мошенники из разных стран. Авторы таких писем владеют в основном английским или французским языком; впрочем, наличие онлайн-переводчика дает им возможность переводить свои эпистолярные шедевры на любой язык, в том числе и на русский. Ответы своей жертвы мошенники читают тоже с помощью автоперевода.

Одно письмо от «дочери большого политика» с Берега Слоновой Кости пришло к нам на искусственном языке эсперанто. Быстрый поиск по имени Rosina Jillian Tagro показал, что барышня рассылает письма еще и по-польски. Откуда родом автор письма на самом деле, остается только догадываться.

Иногда в качестве обращения в письме стоит просто «Дорогой друг» — мошенники пишут так в надежде, что получатель клюнет, а его имя и фамилия станут известны из ответного письма.

Как мы видели выше, нередко мошенники знают имя и фамилию того, к кому обращаются: базы фамилий и адресов, к сожалению, достать несложно.. Если вы хоть раз получали спам, ваш адрес есть как минимум в одной такой базе, а это значит, что и вы не застрахованы от внимания со стороны «нигерийцев».

Даже если в письме есть обращение по имени, то возможны курьезы. Например, адресату, значащемуся в какой-нибудь базе адресов «Petrova Olga» может прийти письмо: «Уважаемый господин Ольга! Скончался ваш однофамилец, мистер Джон Ольга…». Сложная это штука — русские имена и фамилии. Но мошенники все равно не остаются внакладе: сто адресатов, получив такое письмо, посмеются и забудут, но легковерный сто первый может попасться на удочку.

Не верь глазам своим

Если вам в письме обещают миллионы в наследство, в подарок или в награду за посредничество в обналичивании или выводе денег из охваченной беспорядками страны, — хорошенько подумайте, прежде чем отвечать. Такие письма рассылают только мошенники!

Даже если умирающая вдова, секретарь большого политика или дочь убитого нефтяного магната обращаются к вам по имени, не обольщайтесь: мошенники знают, где достать базы имен и адресов.

Если авторы писем присылают по электронной почте в качестве доказательства своей искренности и наличия миллионов отсканированные копии документов, не торопитесь им верить. С фальсификацией документов у злоумышленников обычно нет никаких проблем. Сделать фальшивку — отсканированную копию паспорта, выписку с банковского счета, удостоверение адвоката или фотографию почтенного пастора в окружении домочадцев — несложно при минимальном владении программой PhotoShop или любой другой программой для обработки изображений.

Самое безопасное — вообще не открывать писем от неизвестных отправителей. Если вам все же захочется узнать, какую историю приготовил для вас «нигериец» и посмеяться над неуклюжими автопереводами, — посмейтесь. И перешлите нигерийское письмо в «Лабораторию Касперского» — это поможет нам оградить от посягательств мошенников других пользователей.

ИСТОЧНИК

Эксперты «Лаборатории Касперского» ежедневно фиксировали
7000 попыток заражения геймеров по всему миру в 2012 году с помощью
системы мониторинга KSN*. Риску при этих атаках подвергаются личные
данные пользователей, содержащие пароли от онлайн-игр и систем
онлайн-банкинга: в первом случае злоумышленники пытаются украсть
персонажей и игровые ценности с тем, чтобы впоследствии продать эти
виртуальные артефакты за самые настоящие деньги, во втором — сами
деньги с реальных банковских счетов.

Как выяснили специалисты «Лаборатории Касперского», для
достижения своих преступных целей злоумышленники каждый день рассылают
геймерам в среднем 10 писем с вредоносными ссылками и вложениями, а
также предпринимают около 500 попыток заразить геймеров через браузеры.
При этом «собранная» компанией «коллекция»
вредоносных программ, ориентированных на атаки онлайн-игр, каждый день
пополняется на 5000 новых образцов.

Излюбленным приёмом злоумышленников в мире онлайн-игр является,
разумеется, социальная инженерия и, в частности, фишинг. К примеру,
прикрываясь именем известной игры, преступники отчаянно пытаются
привлечь геймеров на свои поддельные сайты с целью получить их пароли от
учётных записей игры — в 2012 году специалисты «Лаборатории
Касперского» зафиксировали 15 миллионов попыток посещения
фишинговых сайтов, имитировавших порталы одного из крупнейших
разработчиков онлайн-игр. Получается, что каждый день попыток переходов
на фишинговые сайты начитывается до 50 тысяч. К счастью, все эти
доверчивые пользователи были остановлены профессиональной системой
антифишинга в Kaspersky Internet Security, распознавшей неладное.
(http://www.kaspersky.ru/images/news/gamer.png)

Угрозы для геймеров распределены в мире, конечно же, неравномерно и
прямо коррелируются с количеством активных игроков в разных странах. В
TOP 3 этого нерадостного рейтинга в 2012 году оказались Россия, Китай и
Индия. Именно в этих странах геймеры сталкиваются с наибольшим риском
заражения и последующей кражи персонажей и игровых ценностей. Стоит
добавить, что этот список «лидеров» более или менее
постоянен вот уже на протяжении нескольких лет и ждать спада активности
злоумышленников, увы, не приходится.

Тем не менее, защитить себя и своё игровое альтер-эго от посягательств
со стороны киберпреступников вполне реально. Рекомендации экспертов, на
первый взгляд, очевидны, однако они на практике они неоднократно
доказывали свою эффективность. Ведущий антивирусный эксперт
«Лаборатории Касперского» Сергей Голованов предлагает
геймерам придерживаться следующих простых правил поведения в Сети:

«Прежде всего, нужно «включать голову» при получении
писем, в которых, например, администрация сервера онлайн-игры
запрашивает персональные данные от учётной записи или предлагает пройти
авторизацию под каким-то предлогом — не стоит сразу же бросаться
переходить по ссылке в письме, сайт может оказаться фишинговым.

Во-вторых, не стоит качать из сомнительных источников неофициальные
патчи — вместе с ними легко можно заполучить «бонус» в
виде троянов, внедряющихся в систему компьютера и крадущих всевозможные
пароли. Причём не только от онлайн-игры, но, например, и от банковской
карты, если она была «засвечена» в Интернете. В связи с этим
для геймеров может быть актуальна виртуальная банковская карта, которая
позволит потратить ровно столько, сколько было запланировано, и поможет
избежать лишних рисков».

Однако злоумышленники на то и злоумышленники, что могут перехитрить даже
самого бдительного пользователя. Поэтому эксперты особенно рекомендуют
использовать профессиональные защитные решения. Так, новый Kaspersky
Internet Security содержит самые современные на сегодняшний день
технологии распознавания и блокировки вредоносных программ, в частности
функции антифишинга, автоматическую защиту от эксплойтов, виртуальную
клавиатуру для ввода логинов и паролей и многое другое. Кроме того, в
нём предусмотрен специальный игровой режим, который по минимуму
задействует системные ресурсы и на время выключает оповещения, как
только пользователь разворачивает игру на весь экран.

*Данные получены с разрешения участников сети Kaspersky Security Network
(KSN), объединяющей миллионы пользователей продуктов «Лаборатории
Касперского» по всему миру. KSN автоматически собирает информацию
о попытках заражения или загрузке и работе подозрительных файлов на
компьютере пользователя. Информация собирается с согласия пользователя и
является конфиденциальной. Впоследствии эта информация передаётся для
анализа на центральные серверы «Лаборатории Касперского».

24 января 2013 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о широком распространении новой вредоносной программы семейства BackDoor.Butirat. Очередная модификация этой известной угрозы, получившая наименование BackDoor.Butirat.245, использует принципиально новый механизм, позволяющий троянцу генерировать имена управляющих серверов злоумышленников. Скорее всего, это делается для того, чтобы повысить «живучесть» вредоносной программы при отключении одного из управляющих центров.

Напомним, что троянцы-бэкдоры семейства BackDoor.Butirat способны загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов (FlashFXP, Total Commander, Filezilla, FAR, WinSCP, FtpCommander, SmartFTP и др.).

screen

Принцип, используемый данным троянцем для заражения компьютера жертвы, также не отличается оригинальностью: BackDoor.Butirat создает свою копию в одной из системных папок и вносит изменения в реестр, с тем чтобы при загрузке Windows осуществлялся его автоматический запуск.

Отличительной особенностью модификации BackDoor.Butirat.245 является принципиально новый механизм, позволяющий троянцу генерировать имена управляющих серверов, в то время как в предыдущих версиях адрес командного центра был жестко прописан в самой вредоносной программе. Как и в случае с недавно добавленными в базы новыми модификациями вредоносной программы BackDoor.BlackEnergy, при исследовании BackDoor.Butirat.245 специалистов «Доктор Веб» ждал сюрприз: троянец автоматически генерирует имена управляющих доменов третьего уровня. В то же время соответствующий домен второго уровня зарегистрирован хорошо известной компанией, традиционно игнорирующей любые сообщения и жалобы. Вероятно, вирусописатели полагали, что смогут таким способом повысить «живучесть» вредоносной программы в случае отключения одного из управляющих центров.

Сигнатура данной угрозы успешно добавлена в вирусные базы, и потому BackDoor.Butirat.245 не представляет опасности для пользователей антивирусного ПО Dr.Web.

ИСТОЧНИК

«Доктор Веб» запускает просветительский проект по борьбе с банковскими троянцами

18 января 2013 года

Вы уверены, что знаете все о новейших угрозах компьютерной безопасности? Это легко проверить всего за несколько минут при помощи небольшого теста в рамках нового просветительского проекта компании «Доктор Веб». Вы сможете не только ответить на интересные вопросы, но и почерпнуть новую важную информацию, о которой вы, возможно, ничего не знали.

Стремительно растет количество новых вредоносных программ. Тысячами в час появляются новые модификации троянцев, преимущественно направленных на хищения денежных средств. Пользователи систем дистанционного банковского обслуживания (ДБО) и различных платежных онлайн-систем зачастую даже не подозревают, какой опасности они подвергают собственные деньги или финансы целой компании.

Мы предлагаем вам пройти наш краткий тест из пяти вопросов об угрозах со стороны новых банковских троянцев и убедиться, что вы знаете, где и как вас может подстерегать опасность, или почерпнуть новые важные сведения об этом — наш тест сопровождается детальным рассказом о деятельности этих вредоносных программ.

Получить более подробную информацию о вредоносных программах, предназначенных для кражи финансов, вы можете также с помощью специального буклета, подготовленного специалистами «Доктор Веб». Ссылка на буклет распространяется вместе с бесплатными лицензиями Dr.Web для корпоративной защиты и для домашнего использования — для вашего ПК и мобильного устройства — которые может получить каждый участник проекта.

Для всех пострадавших от компьютерных преступлений, а также для тех, кто хочет знать, что делать в случае кражи данных интернет-мошенниками, на нашем сайте представлен «Правовой уголок». Предупрежден — значит вооружен!

Будьте бдительны и повышайте свои знания о новых угрозах вместе с Dr.Web.

Пройдите тест прямо сейчас!

ИСТОЧНИК

Ботнет BlackEnergy возрождается

17 января 2013 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении очередной троянской программы семейства BackDoor.BlackEnergy. В июле 2012 года в средствах массовой информации появились публикации о ликвидации основных управляющих серверов ботнета на основе данного троянца, однако в течение еще нескольких месяцев бот-сеть BlackEnergy проявляла остаточную активность, которая практически полностью прекратилась лишь осенью 2012 года. И вот в январе 2013 года появилась новая модификация этой угрозы.

Напомним, что BackDoor.BlackEnergy — сложная многокомпонентная троянская программа, в основном предназначенная для рассылки спама. С использованием этого приложения злоумышленникам удалось создать одну из самых крупных в мире бот-сетей для рассылки почтовых сообщений: в пик активности на его долю приходилось до 18 миллиардов писем в день. Троянцы семейства BackDoor.BlackEnergy используют для своей работы подгружаемые модули и конфигурационный файл в формате xml, получаемый с управляющего сервера.

screen

Владельцами новой версии троянца, получившей обозначение BackDoor.BlackEnergy.36, являются, по всей видимости, те же злоумышленники, которые эксплуатировали предыдущие модификации данной вредоносной программы. Об этом, в частности, говорит тот факт, что BackDoor.BlackEnergy.36 использует для шифрования данных тот же ключ, что применялся в некоторых бот-сетях BlackEnergy, командные центры которых были ликвидированы летом 2012 года.

Основных отличий BackDoor.BlackEnergy.36 от предыдущих редакций этой вредоносной программы два: конфигурационный файл троянца хранится в зашифрованном виде в отдельной секции динамической библиотеки, которая, в свою очередь, содержится в одной из секций троянца и при его запуске встраивается в процесс svchost.exe или в explorer.exe. Помимо этого, злоумышленники немного изменили сетевой протокол, с использованием которого BackDoor.BlackEnergy.36 обменивается данными с управляющим центром.

К настоящему времени специалисты «Доктор Веб» зафиксировали несколько управляющих серверов BackDoor.BlackEnergy.36, с использованием которых злоумышленники пытаются построить новый ботнет для массового распространения спама. Аналитики продолжают внимательно следить за развитием ситуации, в то время как сигнатура BackDoor.BlackEnergy.36 была добавлена в вирусные базы Dr.Web, благодаря чему этот троянец более не опасен для пользователей, установивших на своих компьютерах наше антивирусное ПО.

ИСТОЧНИК