Записи с меткой «письма»

новости от «Лаборатории Касперского»

Согласно статистике «Лаборатории Касперского» за 2013 год, 22% срабатываний модуля «Антифишинг», входящего в состав всех продуктов компании, приходятся на фальшивые страницы и поддельные уведомления Facebook. При этом срабатывания на имитации других социальных сетей и блогерских площадок в сумме составляют 13,5%. Всего же за прошлый год зарегистрировано более 600 миллионов фишинговых инцидентов.

Распределение срабатываний компонента «Антифишинг» за 2013 год

Киберпреступники используют ряд устоявшихся способов заманить жертву на фишинговые ресурсы. Как правило, ссылки на такие страницы злоумышленники распространяют в письмах, имитирующих оповещения от социальной сети. Также популярны рассылки по электронной почте со взломанных аккаунтов по адресному листу — к примеру, сообщения друзьям с предложением перейти по ссылке для просмотра интересного контента. При этом мошенники часто прибегают к запугиванию и в письмах-подделках грозят получателю блокировкой аккаунта, избежать которой можно, перейдя по ссылке в письме и введя персональные данные на открывшейся странице, — расчет идет на всплеск эмоций и сопутствующую потерю бдительности.

Владельцы смартфонов и планшетов, посещающие социальные сети через свои мобильные устройства, также не застрахованы от фишинга — мошенники создают специальные веб-страницы, имитирующие вход в аккаунт через мобильное приложение Facebook. При этом на руку мошенникам играет то, что некоторые мобильные браузеры скрывают адресную строку при открытии страницы, затрудняя обнаружение подделки.

«Согласно данным за 2013 год, Facebook лидировал по числу фишинговых инцидентов. В начале 2014 года ситуация несколько изменилась, и на первое место вышел Yahoo. Однако Facebook по-прежнему держится в топе мишеней фишеров: каждый день мы фиксируем более 20 тысяч попыток перехода пользователей на страницы, имитирующие эту социальную сеть. И неудивительно, доступ к аккаунтам пользователей Facebook может понадобиться мошенникам для множества преступных целей — от рассылки спама до вымогания денег у друзей жертвы. Со своей стороны мы рекомендуем обращать внимание на наличие защищенного соединения — Facebook использует протокол HTTPS для передачи данных. Его отсутствие даже при правильном адресе страницы говорит о том, что вы, скорее всего, находитесь на мошенническом ресурсе», — советует Надежда Демидова, контент аналитик «Лаборатории Касперского».

Более подробный отчет о фишинговых трюках злоумышленников и статистике срабатываний соответствующего защитного компонента находится по ссылке www.securelist.com/ru/analysis/208050845/Obmanshchiki_v_sotsialnykh_setyakh.

Маски сорваны: «Лаборатория Касперского» раскрывает сложнейшую глобальную кампанию кибершпионажа

Posted: Февраль 12, 2014 in Антивирус, Известность, Касперский, Новости, антивирусы, атака, вирусы, компьютеры, поиск, пользователи, программы, Linux, софт, срочно, техника, угрозы, Trojan
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

новости от «Лаборатории Касперского»

https://i2.wp.com/www.e-media66.ru/img/small/kaspersky.jpg

«Лаборатория Касперского» объявила о раскрытии глобальной сети кибершпионажа «Маска», за которой стоят испаноговорящие злоумышленники. Обнаруженные следы указывают на то, что операция ведется как минимум с 2007 года. Ее выделяет сложность арсенала атакующих, который включает в себя ряд крайне изощренных вредоносных программ, разработанных для различных платформ, включая Mac OS X, Linux и, возможно, iOS.

Действия злоумышленников в первую очередь были направлены на государственные организации, дипломатические офисы и посольства, энергетические и нефтегазовые компании, исследовательские организации и политических активистов. По подсчетам «Лаборатории Касперского» жертвами этой таргетированной атаки стали 380 пользователей из 31 стран по всему миру, включая Ближний Восток, Европу, Африку и Америку.

Главной целью атакующих был сбор ценной информации из зараженных систем, включая различные документы, ключи шифрования, настройки VPN, применяемые для идентификации пользователя на сервере SSH-ключи, а также файлы, используемые программами для обеспечения удаленного доступа к компьютеру.

«Несколько причин заставляют нас думать, что это может быть кампанией, обеспеченной государственной поддержкой. Прежде всего, мы наблюдаем крайне высокий уровень профессионализма в действиях группы, которая обеспечивает мониторинг собственной инфраструктуры, скрывает себя с помощью правил системы разграничения доступа, начисто стирает содержимое журнальных файлов вместо обычного их удаления, а также при необходимости прекращает всякие действия. Такой уровень самозащиты нетипичен для киберпреступников. Все это ставит данную кампанию по уровню сложности даже выше Duqu – можно сказать, это самая сложная угроза такого класса на данный момент», – объяснил Костин Райю, руководитель глобального исследовательского центра «Лаборатории Касперского».

Для жертв заражение может обернуться катастрофическими последствиями. Вредоносное ПО перехватывает все коммуникационные каналы и собирает наиболее важную информацию с компьютера пользователя. Обнаружение заражения чрезвычайно сложно из-за доступных в рутките механизмов скрытия и имеющихся дополнительных модулей кибершпионажа. В дополнение к встроенным функциям, злоумышленники могли закачивать на зараженный компьютер модули, позволяющие выполнить набор любых вредоносных действий.

Тщательное исследование показало, что для авторов этих программ испанский является родным языком – этого ранее не наблюдалось в атаках подобного уровня. Анализ показал, что операция «Маска» активно велась на протяжении 5 лет до января 2014 года (а некоторые образцы вредоносного ПО имели дату сборки 2007 года) – во время проведения исследования управляющие сервера злоумышленников были свернуты.

Заражение пользователей происходило через рассылку фишинговых писем, содержащих ссылки на вредоносные ресурсы. На этих сайтах располагался ряд эксплойтов, которые в зависимости от конфигурации системы посетителя, использовали различные способы атаки его компьютера. В случае успешной попытки заражения, вредоносный сайт перенаправлял пользователя на безвредный ресурс, который упоминался в письме – это мог быть YouTube или новостной портал.

Важно отметить, что сами вредоносные сайты не заражали посетителей автоматически в случае прямого обращения по одному только доменному имени. Злоумышленники хранили эксплойты в отдельных каталогах, ссылки на которые присутствовали только в письмах, – проходя именно по ним, пользователь подвергался атаке. Иногда на этих сайтах злоумышленники использовали поддомены, чтобы полные адреса выглядели более правдоподобными. Эти поддомены имитировали разделы популярных испанских газет, а также несколько международных – «The Guardain» и «Washington Post».

На данный момент продукты «Лаборатории Касперского» распознают и удаляют все известные версии программ «Маска». С подробным отчетом, включающим описание работы механизмов и статистику заражения, можно ознакомиться по адресу http://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions

новости от «Лаборатории Касперского»

Впервые за много лет среднегодовое количество спама в мировом почтовом трафике не превысило отметку 70%. По итогам 2013 года «Лаборатория Касперского» отметила снижение доли спама на 2,5%, и в результате этот показатель составил 69,6%. В то же время в спаме уменьшилось количество легальной рекламы товаров и услуг, и выросло число мошеннических и вредоносных сообщений, а также так называемых «серых» рассылок.

Тенденция криминализации спама хорошо видна на примере популярных сообщений на тему путешествий и отдыха. Ранее спам этой категории составлял 5-10% всего потока нежелательной корреспонденции и полностью состоял из различных рекламных предложений. В 2013-м же году коммерческая реклама туров и билетов встречалась редко, однако эксперты «Лаборатории Касперского» зафиксировали большое количество вредоносных писем, эксплуатирующих тему туризма. Различные подделки под уведомления о забронированном номере в гостинице, туре, круизе или билете на самолет содержали вложения с вредоносными программами.

Помимо этого, были обнаружены письма, с помощью которых мошенники пытались «отмыть» деньги с украденных банковских карт. В сообщениях такого рода они обращались к сотрудникам гостиниц с просьбой снять деньги с карты за якобы забронированное проживание и посодействовать в переводе определенной суммы несуществующему турагенту. Разумеется, все эти средства в итоге обманными способами оказывались в руках злоумышленников.

Еще одной особенностью спама в прошедшем году стало заметное увеличение «серых» рассылок, имеющих полулегальный характер. Особенность этой категории спама заключается в том, что рассылка осуществляется не с ботнетов, а с собственных серверов распространителей. При этом в числе получателей оказываются не только официальные подписчики, но и не дававшие своего согласия пользователи, чьи контакты были получены, к примеру, из купленных баз адресов. Это явление ставит перед антиспам-индустрией новую задачу по фильтрации сообщений на основании репутации распространителя.

2013 год можно смело назвать годом суперкоротких спам-писем. Подавляющее большинство нежелательных сообщений, обнаруженных «Лабораторией Касперского» за 12 месяцев, – а именно 74,5% – «весили» не больше 1 Кб. Подобный «минимализм» позволяет спамерам рассылать больше сообщений с меньшими затратами трафика, а, кроме того, возможность создавать уникальные короткие фразы и менять их от письма к письму усложняет работу спам-фильтрам.

Наконец, в 2013 году «Лаборатория Касперского» отметила очевидный сдвиг в приоритетах фишеров: среди организаций, подвергшихся подобным атакам, стало больше тех, чья деятельность напрямую не связана с финансовыми данными пользователей. Так, в рейтинге категорий 100 самых атакуемых организаций за прошедший год выросла доля фишинговых атак на социальные сети (на 7,6%), поисковые порталы (на 1,8%), электронную почту (в 4 раза). Эта тенденция свидетельствует о том, что основная монетизация фишинга происходит за счет продажи украденных аккаунтов пользователей, которые в дальнейшем могут быть использованы для рассылки спама или вредоносного контента. Кроме того, сегодня при унификации различных сервисов аккаунт пользователя от электронной почты или страницы в социальной сети может так или иначе быть связан с его банковскими данными, а это дает злоумышленникам шанс получить уже прямую выгоду.

«2013 год показал, что спам меняется: традиционной рекламы остается в нем все меньше, а мошенничества и вредоносных программ становится больше. Причем если раньше злоумышленники рассчитывали в основном на неопытность пользователей, то по мере увеличения числа юзеров и роста их компьютерной грамотности мошенники начинают изобретать новые уловки. В такой ситуации даже опытному пользователю следует быть предельно внимательным», – отмечает Дарья Гудкова, руководитель отдела контентных аналитиков «Лаборатории Касперского».

Подробнее о тенденциях в спаме в 2013 году, странах и регионах, из которых рассылается нежелательная корреспонденция, и вредоносных программах, распространяющихся в спам-рассылках, читайте в отчете «Лаборатории Касперского» по адресу: www.securelist.com/ru/analysis/208050828/Kaspersky_Security_Bulletin_Spam_v_2013_godu.

Среди различных способов сетевого мошенничества в Интернете особняком стоит так называемый dating scam — под этим термином понимается технология обмана пользователей многочисленных сайтов знакомств, к которым злоумышленники втираются в доверие с целью обогащения. Специалисты компании «Доктор Веб» — российского производителя антивирусных средств защиты информации — изучили методы работы сетевых жуликов и выявили ряд тенденций, наиболее популярных сегодня в данной сфере рынка киберпреступлений.

В последние годы традиционные способы мошенничества «на доверии», когда сетевые жулики под видом одинокой барышни знакомились на форумах с иностранцами, расписывали ужасы жизни в каком-нибудь провинциальном городке и слезно просили «выслать немного денег в голодную Россию», перестали приносить прибыль, да и зарубежные граждане научились относиться к «русским красавицам» с определенной долей осторожности. Теперь индустрия обмана иностранцев в Интернете использует более продвинутые технологии, а сам процесс поставлен на конвейер.

На подпольных хакерских форумах значительной популярностью пользуются комплекты нестудийных фотографий, на которых изображена не слишком примелькавшаяся в Сети симпатичная девушка. Стоимость набора из полутора сотен фото и нескольких видеороликов может составлять от $400 до $1000, в зависимости от качества «товара» и выдвигаемых заказчиком требований. Нередко жуликам требуются услуги «девушки с поддержкой» — в этом случае модель должна время от времени передавать мошенникам фотографии, отснятые в заранее оговоренном антураже или видеоролики, в которых юная особа произносит заранее оговоренные фразы.

Не менее высоким спросом пользуются услуги профессиональных переводчиков и копирайтеров, способных составлять от имени девушки грамотные и нешаблонные письма. Обычно мошенники до мелочей придумывают для своего персонажа подробнейшую биографию, включая имя девушки, место ее рождения и проживания, ее историю, увлечения, вкусы и предпочтения. Как правило, копирайтерам заказывают 20-30 шаблонов писем постепенно увеличивающегося объема, со сквозным сюжетом и строгими требованиями к стилистике. В качестве оплаты жулики предлагают вознаграждение в размере от 150 до 1000 рублей за письмо, хотя, связываясь с мошенниками, исполнитель рискует и вовсе не получить ничего.

screenshot

Для девушки мошенники создают веб-сайт или страницу в социальной сети Facebook, где размещают несколько заранее подготовленных фотографий. Согласно сценарию, девушка обычно проживает в небольшом провинциальном российском городе и имеет творческую профессию — художника, фотографа или дизайнера. В письмах мошенники рассказывают о каких-то забавных случаях или ситуациях, связанных с её работой и жизнью в небольшом российском городке. Ради придания переписке романтического ореола (и с целью избежать обвинений в легкомысленности) жулики обычно упоминают о том, что девушка ранее переписывалась с иностранным мужчиной, но он обманул ее ожидания, оказавшись женатым пенсионером с кучей детей — по этой же причине она избегает телефонных звонков и видеосвязи, надеясь сначала узнать своего избранника получше. На определенном этапе жулики выясняют почтовый адрес мужчины и высылают ему небольшой трогательный подарок — например, фотографию девушки с нарисованным помадой сердечком. Когда жертва окончательно растает от потоков романтики и знаков внимания, на работе у «девушки» внезапно происходит какая-либо катастрофа: разбивается дорогой зеркальный фотоаппарат или любимый дизайнерский планшет. Далее события могут развиваться по двум сценариям: доверчивую жертву «раскручивают» на приобретение дорогостоящего устройства, которое затем успешно продается, либо заманивают на сайт поддельного интернет-магазина, где можно приобрести недорогую, но «уникальную» вещь — в этом случае влюбленный мужчина рискует и вовсе расстаться со всеми средствами на счете своей банковской карты, добровольно передав мошенникам ее реквизиты. С учетом того, что одни и те же шаблоны сообщений могут использоваться в процессе переписки сразу с несколькими десятками адресатов, злоумышленники могут получить весьма внушительный нелегальный доход.

Согласно сообщениям, регулярно публикуемым на различных форумах, в российском сегменте Сети в последнее время процветает еще один вид преступлений, связанных с общением в Интернете. Злоумышленники находят на сайтах знакомств одинокую женщину или мужчину, пытающихся наладить личную жизнь, завязывают романтическую переписку, и, выяснив, что жертва проживает в своей квартире одна, предлагают ей приехать в другой город для личной встречи. Зачастую мошенники даже приобретают для нее билеты на поезд или самолет (как правило, воспользовавшись для этого крадеными платежными реквизитами). И пока жертва в предвкушении счастливой встречи с избранником мчится на другой конец России, квартирные воры, никуда не торопясь, выносят из ее жилища все ценные вещи и деньги.

Специалисты компании «Доктор Веб» предупреждают: регистрируясь на сайтах знакомств и завязывая романтическую переписку, проявляйте бдительность — потеряв голову, вы легко можете потерять и все свои сбережения.

Источник

Спам в июле: зловред для Android теперь и в почте

По итогам июля доля спама в почтовом трафике по-прежнему превышает 70%:
по сравнению с первым летним месяцем этот показатель увеличился
незначительно — всего на 0,1% — и достиг в итоге отметки в
71,2%. Количество вредоносных вложений в электронных сообщениях при этом
выросло чуть сильнее — в июле эксперты «Лаборатории
Касперского» обнаружили их в 2,2% писем. Среди распространяемых в
почте вредоносных программ преобладали троянцы-шпионы, ворующие, в том
числе финансовую информацию пользователей. Кроме того, в рейтинге
зловредов в почте впервые на высокое место поднялась вредоносная
программа под платформу Android.

Чуть более 23% от всех вредоносных программ, рассылаемых во вложениях к
электронным письмам, пришлось на разные модификации печально известной
шпионской программы семейства Zbot/Zeus. Целью этого троянца является
кража персональных данных с компьютеров пользователей, включая данные
банковских карт. Чаще всего злоумышленники подделывают письма с троянцем
Zbot под официальные уведомления от банков, магазинов, социальных сетей
или популярных служб доставки. В июле особенной популярностью у
мошенников пользовались подделки под сообщения от американского банка
Bank of America.

Впервые за все время наблюдения за ситуацией в почте аналитики
«Лаборатории Касперского» зафиксировали значительный рост
«популярности» вредоносной программы для мобильной платформы
Android. В июле зловред SMS-Flooder.AndroidOS.Didat.a., обладающий
функцией массовой SMS-рассылки, поднялся на 15-ую строчку в рейтинге
вредоносных программ, распространяемых по электронной почте, что стало
абсолютным рекордом для подобного ПО. Однако большим сюрпризом для
экспертов этот факт не стал: рост количества вредоносных программ под
Android в почте вполне ожидаем и соотносится с общей тенденцией
увеличения числа таких зловредов.

Что касается содержания спам-писем, то в середине лета они по-прежнему
нередко эксплуатировали темы отдыха и путешествий. Популярностью также
пользовались рассылки с рекламой, связанной с недвижимостью: спамеры
предлагали купить или снять квартиру, дачу, офис, гараж. Часть
спам-рассылок так или иначе затрагивала тему домашних животных: в одних
письмах пользователям предлагались товары и корма для их питомцев, в
других же отправители призывали пожертвовать деньги на спасение котенка
в приюте.

Громкие мировые события, разумеется, также не прошли мимо внимания
спамеров. Появление на свет наследника британской короны, жизненные
перипетии экс-шпиона Эдварда Сноудена, отставка президента Египта Мурси
— все эти новости стали поводом для привлечения внимания к
спамерской рекламе товаров или темой «нигерийских» писем, в
которых злоумышленники пытались выманить деньги у доверчивых
пользователей.

В рейтинге стран-источников спама существенных изменений по сравнению с
июнем не произошло. Тройка лидеров все так же состоит из Китая (23,4%),
США (18%) и Южной Кореи (14,9%).

Как и в первом летнем месяце, спам в Рунете рассылался преимущественно
из Тайваня (11,4%) и с Украины (8,2%). Однако третье место в июле здесь
досталось Индии (7,4%), которая поднялась с 6-го места, потеснив
июньского «бронзового призера» — Вьетнам. Кроме того,
почти вдвое увеличилась доля спама, попадающего в Рунет из Италии, а вот
«вклад» Японии в этот процесс в июле уменьшился в 2,3 раза.
(http://www.securelist.com/ru/images/vlill/spamreport_jule2013_pic13.png)Страны-источники
спама в Рунете в июле 2013 года

«Лето — время отпусков, когда в целом активность и
рекламодателей, и пользователей в Интернете падает. Именно поэтому мы не
наблюдали в июле какого-либо заметного увеличения объема спама в
почтовом трафике, не фиксировали особых изменений в рейтинге стран и
регионов, являющихся источниками спама в мировой и российской Сети.
Однако в рейтинге зловредов в почте впервые на довольно высокое место
поднялась вредоносная программа для Android. Смартфонов и планшетов на
этой платформе у пользователей очень много, и их число неуклонно
продолжает увеличиваться. В связи с этим мы прогнозируем не только рост
количества подобных зловредов в почте, но и их разнообразие. Скорее
всего, к программам, рассылающим SMS, скоро добавятся и троянцы,
ворующие конфиденциальные данные. Мы рекомендуем пользователям
своевременно озаботиться защитой не только стационарных компьютеров, но
и мобильных устройств», — комментирует итоги июля Дарья
Гудкова, руководитель отдела контентных аналитиков «Лаборатории
Касперского».

Подробнее с отчетом о ситуации со спамом в июле 2013 года можно
ознакомиться на сайте.

Очередная волна троянцев-шифровальщиков — Вирусная рассылка для жителей Казахстана

Posted: Июнь 27, 2013 in Антивирус, Доктор Веб, Новости, антивирусы, атака, вирусы, компьютеры, люди, поиск, пользователи, программы, софт, срочно, техника, угрозы
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

20 июня 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о росте количества пользователей, пострадавших от действия троянцев-шифровальщиков. Наибольшее распространение получила вредоносная программа Trojan.Encoder.94. Также весьма популярен Trojan.Encoder.225: только за последнее время за помощью в восстановлении файлов, пострадавших от действия этого троянца, в антивирусную лабораторию «Доктор Веб» обратилось более 160 человек.

Троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. После того как файлы зашифрованы, троянцы семейства Trojan.Encoder, в зависимости от модификации, могут помещать на диск текстовые файлы с информацией по восстановлению данных либо менять фон рабочего стола на изображение с указанием дальнейших инструкций. Сумма, требуемая злоумышленниками, может варьироваться от нескольких десятков до нескольких тысяч долларов.

Троянцы-шифровальщики чаще всего распространяются с использованием вредоносных спам-рассылок. Например, Trojan.Encoder.225 может попасть в операционную систему с помощью письма, содержащего вложения в виде документа RTF (но с расширением .doc), эксплуатирующего уязвимость Microsoft Office. С использованием этого эксплойта на компьютер жертвы устанавливается троянец-загрузчик, который в свою очередь скачивает с управляющего сервера Trojan.Encoder. Троянец Trojan.Encoder.94 нередко скачивается на компьютер жертвы с использованием бэкдора BackDoor.Poison, который, в свою очередь, массово рассылается в письмах с вложенными файлами Порядок работы с просроченной задолженностью.doc и ПОСТАНОВЛЕНИЕ АРБИТРАЖНОГО СУДА.exe.

screen

В июне 2013 года был отмечен значительный всплеск количества случаев заражения вредоносными программами семейства Trojan.Encoder, при этом от последней модификации Trojan.Encoder.225 пострадало более 160 пользователей из России и Украины, обратившихся за помощью в компанию «Доктор Веб». Этот троянец написан на языке Delphi и имеет три версии. В предыдущей модификации троянца для связи злоумышленники используют адрес электронной почты milenium56m1@yahoo.com, в последней из известных — marikol8965@yahoo.com. Файлы, зашифрованные ранними версиями Trojan.Encoder.225, поддаются расшифровке. Над средством восстановления файлов, пострадавших от более поздней модификации троянца, в настоящий момент ведется работа.

Что касается наиболее распространенного троянца-шифровальщика, Trojan.Encoder.94, то он насчитывает рекордное число модификаций — более 350. Файлы, зашифрованные большей частью версий Trojan.Encoder.94, поддаются расшифровке. Жертвами Trojan.Encoder.94 за истекший месяц стали более 680 пользователей.

Всего за последние три месяца в антивирусную лабораторию «Доктор Веб» поступило порядка 2 800 обращений от пользователей, пострадавших в результате заражения троянцами-шифровальщиками. Благодаря тому, что злоумышленники непрерывно усложняют механизмы шифрования, вирусным аналитикам приходится решать все более сложные математические задачи в условиях возрастающего потока заявок от жертв энкодеров. В связи с большим числом запросов на лечение и заметно возросшей нагрузкой на антивирусную лабораторию с 19 июня 2013 года помощь в расшифровке файлов оказывается только зарегистрированным пользователям продуктов компании «Доктор Веб».

Если вы стали жертвой одной из таких вредоносных программ, ни в коем случае не переводите деньги киберпреступникам и не пытайтесь самостоятельно устранить последствия заражения (не переустанавливайте операционную систему и не удаляйте никаких файлов на вашем компьютере), т. к. при этом существует высокая вероятность безвозвратной потери данных. Не забывайте о необходимости своевременного резервного копирования хранящейся на жестких дисках вашего компьютера информации. Если вы являетесь зарегистрированным пользователем антивирусных продуктов «Доктор Веб», отправьте несколько зашифрованных файлов в антивирусную лабораторию, воспользовавшись соответствующей формой и выбрав категорию «Запрос на лечение», после чего дождитесь ответа вирусного аналитика и в точности следуйте его инструкциям.

С более подробной информацией о методах противодействия троянцам-энкодерам можно ознакомиться по адресу legal.drweb.com/encoder.

25 июня 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о массовой вредоносной рассылке, представляющей серьезную опасность для жителей Казахстана. Получатели почтовых сообщений рискуют стать жертвами вредоносной программы BackDoor.Shell.218, открывающей удаленный доступ к инфицированному компьютеру.

Специалистами компании «Доктор Веб» 13, 17 и 23 июня 2013 года была зафиксирована массовая почтовая рассылка, ориентированная в первую очередь на жителей Казахстана. В качестве отправителя электронных сообщений значилось «Web-приложение «Кабинет налогоплательщика» <web-application-cabinet@mail.ru>», а само послание содержало следующий текст: «В целях разъяснения норм налогового законодательства и налогового администрирования Налоговый комитет МФ РК направляет Вам письмо разъясняющего характера».

Письмо содержало вложение в виде архива, при попытке открытия которого запускалось вредоносное приложение. Из ресурсов данной программы извлекалось основное тело троянца и сохранялось во временную папку под именем winlogon.exe, после чего данное приложение запускалось на исполнение и демонстрировало на экране инфицированного компьютера документ в формате .DOC.

Троянская программа детектируется антивирусным ПО «Доктор Веб» как BackDoor.Shell.218. Этот троянец относится к категории приложений, открывающих злоумышленникам возможность удаленного управления инфицированной системой: он позволяет выполнять различные команды в командной строке Windows, делать снимки экрана и даже выключать компьютер.

Особо стоит отметить, что основные адресаты рассылки — сотрудники бухгалтерий различных компаний. Именно для этой категории пользователей поступление письма из налоговых органов — безусловный повод его прочитать и не задумываясь открыть любое вложение. При этом именно бухгалтерские компьютеры чаще всего используются для проведения онлайн-платежей в системах «Банк-Клиент». Доступ к таким компьютерам — заветная мечта киберпреступников, промышляющих хищениями денежных средств со счетов предприятий. Именно такой доступ к компьютеру жертвы и открывает злоумышленникам BackDoor.Shell.218.

Специалисты компании «Доктор Веб» призывают пользователей не открывать вложения в сообщения электронной почты, полученные от подозрительных отправителей, а также поддерживать базы установленного на компьютере антивирусного ПО в актуальном состоянии.

Спам в марте 2013 года: Уго Чавес «на службе» у мошенников

После значительного роста количества спама в феврале в первый весенний
месяц объем почтового мусора стабилизировался на уровне в 70,1%. Однако
радости от этого пользователи не почувствовали, поскольку наряду с этим
доля вредоносных вложений в незапрошенной электронной корреспонденции
существенно увеличилась и достигла 4%.

В марте спамеры традиционно старались использовать тему праздников для
привлечения внимания к своим письмам, не упуская при этом из виду и
«горячие» новости. К ним, безусловно, относятся сообщения о
смерти президента Венесуэлы Уго Чавеса. Одними из первых на трагическое
известие отреагировали интернет-мошенники, которые стали активно
использовать в электронных рассылках темы, связанные с Боливарианской
Республикой. Так, одно из мошеннических писем было разослано от имени
начальника морского порта Венесуэлы, который якобы просил помочь ему
сохранить деньги, полученные от продажи дизельного топлива Южному
Судану. При этом в первом письме мошенники не обещают адресату
конкретную сумму за содействие, и только в ходе дальнейшей переписки
предлагается денежное вознаграждение.

В другой рассылке распространялось письмо якобы от начальника службы
безопасности и по совместительству близкого друга Уго Чавеса. Как
всегда, «нигерийские» мошенники не ограничивают полет своей
фантазии: «друг» имеет доступ к деньгам, которые покойный
президент хранил на банковском счету своей тайной возлюбленной, и теперь
готов предложить получателю письма 25% от общей суммы за помощь в выводе
средств.

На этом опасности для пользователей в почте не ограничиваются. После
некоторого затишья злоумышленники, распространяющие вредоносные
программы по электронной почте, возобновили рассылку писем —
подделок под уведомление о бронировании отелей и авиабилетов. В
частности, в марте была зарегистрирована новая рассылка подделок под
уведомление о бронировании номера в Atlantic Hotel. В письме, написанном
от лица менеджера отеля, злоумышленники благодарили получателя за
бронирование и сообщали, что ожидают его приезда в отель 20 марта 2013
года. Если получатель открывал приложенное к письму «уведомление о
бронировании», происходило заражение компьютера троянцем, который
используется для вымогания денежных средств или финансовой информации.

В географическом распределении спам-потоков в марте обострилась борьба
между США и Китаем, которые с переменным успехом оказываются на верхней
строчке рейтинга государств, с территории которых распространяется
больше всего незапрошенной электронной корреспонденции. В прошлом месяце
в этой «схватке» победителем вышла Поднебесная, на долю
которой приходится четверть всего почтового мусора. В то же время вклад
США увеличился лишь незначительно (+0,4%), и в итоге эта страна
откатилась на вторую позицию. Страны-источники спама в мире

В Рунете также произошла рокировка. Прежний лидер, Индия, получила
«серебро», а ее место занял Тайвань, поднявшийся с третьей
позиции. Россия же, как и в глобальном рейтинге, постепенно сдает
позиции и в марте переместилась с 6-й на 8-ю строчку.

«Март стал месяцем стабильности для спама. Это отразилось не
только на доли почтового мусора, но и на распределении основных его
источников, прежде всего США и Китае, на долю которых приходится до 43%
всех нежелательных сообщений, — прокомментировала Татьяна
Щербакова, старший спам-аналитик «Лаборатории Касперского».
— В апреле мы ожидаем уменьшение количества рассылок, использующих
тематику различных праздников для рекламы товаров и услуг, но в то же
время весьма вероятно появление русскоязычного «пасхального»
спама. Одновременно, из-за двукратного увеличения в марте доли
фишинговых писем пользователям также следует быть более осмотрительными
с почтой. Это в первую очередь касается владельцев аккаунтов в соцсетях,
на которых приходится треть всех фишинговых атак».

Ознакомиться с полной версией спам-отчета за март 2013 года можно на
сайте www.securelist.com/ru.

14 июн 2012: Спам в мае 2012 года

Доля спама в почтовом трафике по сравнению с апрелем уменьшилась на 3,4%
и составила в среднем 73,8%.

http://www.securelist.com/ru/analysis/208050761/Spam_v_mae_2012_goda

25 май 2012: Анатомия Flashfake. Часть II

В первой части нашего исследования мы рассмотрели механизмы
распространения и заражения вредоносной программы Flashfake…

http://www.securelist.com/ru/analysis/208050759/Anatomiya_Flashfake_Chast_II

21 май 2012: Обзор вирусной активности — апрель 2012

В течение месяца на компьютерах пользователей продуктов
«Лаборатории Касперского»: обнаружено и обезврежено 280 млн
вредоносных программ.

http://www.securelist.com/ru/analysis/208050758/Obzor_virusnoy_aktivnosti_aprel_2012

14 май 2012: Развитие информационных угроз в первом квартале 2012 года

По данным KSN, в Q1 2012 года продукты «ЛК» обнаружили и
обезвредили почти 1 млрд вредоносных объектов…

http://www.securelist.com/ru/analysis/208050757/Razvitie_informatsionnykh_ugroz_v_pervom_kvartale_2012_goda
11 май 2012: Спам в апреле 2012 года

Доля спама в почтовом трафике по сравнению с мартом увеличилась на 2,2%
и составила в среднем 77,2%.

http://www.securelist.com/ru/analysis/208050755/Spam_v_aprele_2012_goda

3 май 2012: Спам в первом квартале 2012

Доля спама составила в среднем 76,6% почтового трафика.

http://www.securelist.com/ru/analysis/208050754/Spam_v_pervom_kvartale_2012

19 апр 2012: Анатомия Flashfake. Часть I

Flashfake — это семейство вредоносных программ для Mac OSX.

http://www.securelist.com/ru/analysis/208050753/Anatomiya_Flashfake_Chast_I

13 апр 2012: Обзор вирусной активности, март 2012

Уже шесть месяцев продолжается наше расследование истории троянской
программы Duqu.

http://www.securelist.com/ru/analysis/208050752/Obzor_virusnoy_aktivnosti_mart_2012
11 апр 2012: Спам в марте 2012 года

Доля спама в почтовом трафике по сравнению с февралем уменьшилась на
3,5% и составила в среднем 75%.

http://www.securelist.com/ru/analysis/208050750/Spam_v_marte_2012_goda

19 мар 2012: Спам в феврале 2012 года

Доля спама в почтовом трафике по сравнению с январем увеличилась на 2,3%
и составила в среднем 78,5%.

http://www.securelist.com/ru/analysis/208050749/Spam_v_fevrale_2012_goda

13 мар 2012: Обзор вирусной активности — февраль 2012

В течение месяца на компьютерах пользователей продуктов
«Лаборатории Касперского»: заблокировано 143 574 335 попыток
заражения через Web

http://www.securelist.com/ru/analysis/208050748/Obzor_virusnoy_aktivnosti_fevral_2012

1 мар 2012: Мобильная вирусология, часть 5

В целом, в 2011 году вредоносные программы перешли на новый качественный
уровень, то есть стали сложнее.

http://www.securelist.com/ru/analysis/208050747/Mobilnaya_virusologiya_chast_5

22 фев 2012: DDoS-атаки второго полугодия 2011 года

Все статистические данные получены с помощью системы мониторинга за
ботнетами «Лаборатории Касперского» и системы Kaspersky DDoS
Prevention.

http://www.securelist.com/ru/analysis/208050745/DDoS_ataki_vtorogo_polugodiya_2011_goda

20 фев 2012: Спам в январе 2012 года

Доля спама в почтовом трафике по сравнению с декабрем не изменилась и
составила в среднем 76,2%.

http://www.securelist.com/ru/analysis/208050742/Spam_v_yanvare_2012_goda

16 фев 2012: Kaspersky Security Bulletin 2011. Развитие угроз в 2011 году

2011 год можно назвать годом «взрывоопасной» безопасности.

http://www.securelist.com/ru/analysis/208050744/Kaspersky_Security_Bulletin_2011_Razvitie_ugroz_v_2011_godu

16 фев 2012: Kaspersky Security Bulletin. Основная статистика за 2011 год

Отчет сформирован на основе данных, полученных и обработанных при помощи
Kaspersky Security Network.

http://www.securelist.com/ru/analysis/208050741/Kaspersky_Security_Bulletin_Osnovnaya_statistika_za_2011_god

16 фев 2012: Kaspersky Security Bulletin. Спам в 2011 году

Почтового мусора меньше, но он становится опаснее.

http://www.securelist.com/ru/analysis/208050743/Kaspersky_Security_Bulletin_Spam_v_2011_godu

23 янв 2012: Поздравляем, вы выиграли! или Что скрывается за лотереями в интернете

Письма с уведомлениями о выигрыше в лотерею с завидной регулярностью
появляются в наших почтовых ящиках.

http://www.securelist.com/ru/analysis/208050739/Pozdravlyaem_vy_vyigrali_ili_Chto_skryvaetsya_za_lotereyami_v_internete

16 янв 2012: Спам в декабре 2011 года

Доля спама в почтовом трафике по сравнению с ноябрем уменьшилась на 4,4%
и составила в среднем 76,2%.

http://www.securelist.com/ru/analysis/208050733/Spam_v_dekabre_2011_goda

28 дек 2011: Stuxnet/Duqu: эволюция драйверов

Два месяца продолжается наше исследование троянца Duqu — истории
его появления, ареала распространения и схем работы.

http://www.securelist.com/ru/analysis/208050731/Stuxnet_Duqu_evolyutsiya_drayverov

20 дек 2011: Спам в ноябре 2011 года

Доля спама в почтовом трафике по сравнению с октябрем увеличилась на
1,4% и составила в среднем 80,6%.

http://www.securelist.com/ru/analysis/208050730/Spam_v_noyabre_2011_goda

12 дек 2011: Троянцы-вымогатели

Троянцы-вымогатели (Trojan-Ransom) — вредоносное ПО, нарушающее
работоспособность компьютера…

http://www.securelist.com/ru/analysis/208050728/Troyantsy_vymogateli

12 дек 2011: Обзор вирусной активности — ноябрь 2011

Ноябрь оказался относительно спокойным месяцем в отношении традиционных
угроз.

http://www.securelist.com/ru/analysis/208050729/Obzor_virusnoy_aktivnosti_noyabr_2011

8 дек 2011: Онлайн-платежи — удобно и безопасно

В цивилизованных странах пластиковые карты очень популярны. Оценили
преимущества пластиковых карт и пользователи интернета.

http://www.securelist.com/ru/analysis/208050727/Onlayn_platezhi_udobno_i_bezopasno

28 ноя 2011: Легальные буткиты

Насколько оправдано использование руткит-технологий в легальном
программном обеспечении?

http://www.securelist.com/ru/analysis/208050726/Legalnye_butkity

24 ноя 2011: Головы Гидры. Вредоносное ПО для сетевых устройств

Сетевые устройства часто плохо настроены и имеют уязвимости, что делает
их мишенью для сетевых атак и позволяет киберпреступникам получить
контроль над сетью.

http://www.securelist.com/ru/analysis/208050725/Golovy_Gidry_Vredonosnoe_PO_dlya_setevykh_ustroystv

17 ноя 2011: Спам в октябре 2011 года

Доля спама в почтовом трафике по сравнению с сентябрем увеличилась на
1,4% и составила в среднем 79,9%.

http://www.securelist.com/ru/analysis/208050724/Spam_v_oktyabre_2011_goda

15 ноя 2011: Развитие информационных угроз в третьем квартале 2011 года

Количество кибератакатак на корпорации растет, Android лидирует по
количеству зловредов, а вирусописатели вспомнили старые методы.

http://www.securelist.com/ru/analysis/208050723/Razvitie_informatsionnykh_ugroz_v_tretem_kvartale_2011_goda

7 ноя 2011: Обзор вирусной активности — октябрь 2011

В течение месяца на компьютерах пользователей продуктов
«Лаборатории Касперского»: отражено 161 003 697 сетевых
атак.

http://www.securelist.com/ru/analysis/208050722/Obzor_virusnoy_aktivnosti_oktyabr_2011

31 окт 2011: Спам в третьем квартале 2011

Доля спама уменьшилась на 2,7% и составила 79,8% почтового трафика.

http://www.securelist.com/ru/analysis/208050721/Spam_v_tretem_kvartale_2011