Записи с меткой «Internet»

Возвращение NetTraveler

Эксперты «Лаборатории Касперского» сообщают о новой волне
кампании кибершпионажа NetTraveler (также известной, как Travnet,
Netfile или Red Star APT), поразившей ранее сотни государственных и

частных организаций в более чем 40 странах мира. Среди выявленных целей
операции NetTraveler были правительственные учреждения, посольства,
политические активисты, военные организации, нефтегазовые компании,
научно-исследовательские центры и университеты, многие из которых
располагались на территории России.

Сразу же после огласки «Лабораторией Касперского» в июне
2013 года действий группы, стоящей за NetTraveler, злоумышленники
отключили свои командные центры и перенесли их на новые серверы в Китае,
Гонконге и Тайване. При этом, как показал анализ текущей ситуации,
киберпреступники продолжили беспрепятственно совершать атаки.

В течение последних нескольких дней были зафиксированы целевые
фишинговые рассылки уйгурским активистам. Использованная
злоумышленниками Java-уязвимость оказалась более эффективной для
заражения компьютеров жертв, так как была закрыта Oracle лишь в июне
этого года, а значит, все еще широко распространена среди пользователей.
Предыдущая серия атак осуществлялась через уязвимости Microsoft Office
(CVE-2012-0158), «заплатки» для которых были выпущены
компанией Microsoft еще в апреле.

В дополнение к фишинговым рассылкам, группа злоумышленников теперь также
применяет технику «Watering Hole», заключающуюся в
веб-перенаправлениях и принудительной загрузке файлов со специально
подготовленных доменов, заражая тем самым посетителей веб-сайтов. За
прошедший месяц специалисты «Лаборатории Касперского»
перехватили и заблокировали ряд таких попыток заражения со стороны
домена wetstock[dot]org, который уже был связан с
кампанией NetTravaler ранее. Перенаправления происходили с различных
уйгурских сайтов, которые были предварительно взломаны и заражены
атакующими.

Эксперты «Лаборатории Касперского» полагают, что
злоумышленники могут использовать и другие средства для достижения своих
целей, поэтому выработали ряд рекомендаций, как оградить себя от
подобных атак:
* Обновите Java до самой актуальной версии. Если вы не
пользуйтесь Java, деинсталлируйте это приложение;
* Установите самые
свежие обновления Microsoft Windows и Microsoft Office;
* Обновите все
стороннее программное обеспечение, например Adobe Reader;

* Используйте безопасный интернет-браузер, например Google Chrome,
цикл разработки и обновления которого быстрее, чем у штатного
Windows-браузера Internet Explorer;
* Не спешите переходить по ссылкам
и открывать вложения в письмах от неизвестных лиц.

«К счастью, на данный момент мы не обнаружили случаев
использования уязвимостей нулевого дня хакерами, стоящими за
NetTraveler. В этом случае даже постоянное применение обновлений не
может гарантировать полной защищенности, однако ее можно обеспечить
такими технологиями как «Запрет по умолчанию» и
«Автоматическая защита от эксплойтов», которые входят в
состав современных защитных решений», — прокомментировал Костин
Раю, руководитель центра глобальных исследований и анализа угроз
«Лаборатории Касперского».

Более подробная информация о расследовании операции NetTraveler доступна
на
www.securelist.com/ru/blog/207768921/NetTraveler_vozvrashchaetsya_kiberprestupniki_ispolzuyut_novye_priemy_CVE_2013_2465.

Реклама

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о распространении вредоносной программы Trojan.WPCracker.1, предназначенной для взлома блогов и сайтов, работающих под управлением популярных CMS (систем управления содержимым), в частности WordPress. С помощью этого троянца злоумышленники могут поменять содержимое блогов или же инфицировать их другими вредоносными программами, которые будут угрожать будущим посетителям. Именно с распространением Trojan.WPCracker.1 может быть связан отмечаемый многочисленными экспертами в настоящее время всплеск масштабных атак на веб-сайты.

Попав на инфицированный компьютер, Trojan.WPCracker.1 создает свою копию в одной из системных папок и модифицирует ветвь реестра Windows, отвечающую за автоматический запуск приложений при старте операционной системы. Затем троянец устанавливает соединение со злоумышленниками, обращаясь на их удаленный сервер.

Злоумышленники отсылают троянцу список блогов и сайтов, работающих под управлением популярных CMS, среди которых WordPress и Joomla, и начинают подбор паролей к ним. В случае если процедура подбора пароля завершилась успехом, полученные данные троянец отправляет на принадлежащий злоумышленникам сервер.

В дальнейшем авторы троянца Trojan.WPCracker.1 используют свою модель монетизации – они продают доступ к взломанным сайтам третьим лицам (как правило, другим злоумышленникам), получая прямой доход.

Чем опасен Trojan.WPCracker.1 для своих жертв? С его помощью злоумышленники могут полностью поменять контент взломанного блога или же установить там другие вредоносные программы, которые будут нести прямую угрозу будущим посетителям. Именно с распространением данной вредоносной программы может быть связан отмечаемый многочисленными экспертами в настоящее время всплеск масштабных атак на веб-сайты путем подбора паролей к учетной записи администратора.

Сигнатура данной угрозы добавлена в вирусные базы, поэтому она не представляет серьезной опасности для пользователей Dr.Web.

 

Новый троянец устанавливает рекламное ПО от известного российского коммуникационного портала

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает пользователям о широком распространении троянца, предназначенного для накрутки показателей в партнерской программе Loadmoney и установки на инфицированный компьютер нежелательных приложений.

Партнерские программы, подобные Loadmoney, не редкость – они позволяют администраторам различных веб-сайтов зарабатывать на файловом трафике. Например, владелец торрент-трекера, подключившись к такой партнерской программе, должен добавить в веб-страницы специальный код: в результате при попытке посетителя скачать торрент-файл происходит обращение к удаленному серверу Loadmoney, создающему специальную программу-загрузчик, которая отдается пользователю вместо запрошенного контента. В свою очередь при запуске загрузчик скачивает заявленный на веб-странице файл, а также, если пользователь по невнимательности не сбросит в окне приложения соответствующие флажки, устанавливает на его компьютер различное ПО, например тулбар, браузер или иные программы, связанные с известным российским коммуникационным порталом. За каждую установку подобных программ «партнер» получает соответствующее вознаграждение.

Trojan.LMclicker.1 предположительно был разработан одним из пользователей партнерской программы Loadmoney, также являющимся владельцем сайта torrentgun.org (или имеющим к нему администраторский доступ) с целью накрутки своей статистики и извлечения дополнительной прибыли.

Троянец имитирует посещение пользователем сайта torrentgun.org, переход в случайный раздел и скачивание случайного файла. Для большей правдоподобности троянец представляется для партнерской программы разными браузерами. Полученное таким образом приложение (оно детектируется Dr.Web как Trojan.Loadmoney.1) запускается на компьютере пользователя, и в его интерфейсе автоматически нажимается кнопка «Запустить».

В результате этой активности на компьютер жертвы загружается и устанавливается различное ПО, связанное с известным российским коммуникационным порталом. Сигнатура данного троянца добавлена в вирусные базы, поэтому он не представляет опасности для пользователей антивирусных продуктов Dr.Web.

Сегодня уже никого не удивишь таким способом кражи денег у владельцев
Android-смартфонов, как отправка коротких сообщений на платные номера.
Многие пользователи хорошо проинформированы о таких угрозах и привыкли
следить за своим мобильным счетом. Однако специалисты ‘Лаборатории
Касперского обнаружили принципиально новую схему работы мобильных
зловредов, которая позволяет злоумышленникам быстро и незаметно украсть
у ничего не подозревающей жертвы значительную сумму денег.

Особенность текущей схемы работы SMS-троянцев, рассылающих сообщения на
премиум-номера, заключается в том, что при монетизации украденных
средств, значительная часть денег уходит ‘посредникам’, зачастую ни о
чем не подозревающим: оператору сотовой связи, контент-провайдеру и
организаторам партнерской программы. Поэтому чаще всего зловред
старается отправить сразу 2-3 дорогих сообщения на весомую сумму,
например, 1000 рублей, что привлекает внимание жертвы. В такой ситуации
появление новых способов отъема денег у населения было лишь вопросом
времени.

В июле эксперты ‘Лаборатории Касперского обнаружили троянец, задачей
которого было выполнение инструкций, поступающих с удаленного командного
сервера. Это характерное поведение для вредоносов такого класса, однако,
дальнейшее расследование показало, что новый SMS-зловред предоставлял
своим владельцам возможность хищения денег не с мобильного, а c
банковского счета жертвы.

Данный троянец лишен самостоятельности и, связываясь с управляющим
сервером, только транслирует команды злоумышленника, пересылая обратно
результат. Специалистам ‘Лаборатории Касперского’ удалось перехватить
несколько поступивших команд. В ходе выполнения одной из них троянец
отправил SMS со словом ‘BALANCE’ на номер сервиса ‘Мобильного Банка’
Сбербанка России. Получив ответ от банка с информацией о подключенном
счете и его балансе, зловред передавал его преступникам. Ответ
мобильного банка на запрос троянца

Такое поведение троянца позволяет предположить, что следующим шагом
будет перевод любой доступной в ‘Мобильном банке’ суммы на мобильный
номер злоумышленников. Далее украденные деньги могут быть использованы
или обналичены. Например, большая тройка операторов сотовой связи
позволяет переводить деньги с мобильного счета на QIWI кошелек, откуда
впоследствии их можно вывести на банковскую карту и обналичить. А для
того чтобы жертва как можно дольше оставалась в неведении, троянец
тщательно заметает следы своей деятельности, перехватывая SMS и звонки
со стороны банка.

‘Мы хотим напомнить, что мобильные зловреды постоянно эволюционируют,
реализовывая принципиально новые схемы атак, — комментирует появление
новой схемы кражи денежных средств Виктор Чебышев, ведущий антивирусный
эксперт ‘Лаборатории Касперского’. — Быть готовым к новым угрозам можно
только в случае если ваше Android-устройство защищено антивирусным
приложением с регулярно обновляемыми базами — таким, как Kaspersky
Internet Security для Android’.

Ознакомиться с полной версией статьи можно по адресу
www.securelist.com/ru/blog/207768886/Grabitel_s_ruchnym_upravleniem.

Недооцененная угроза: более половины компаний не контролируют используемые сотрудниками программы и устройства

Большинство компаний не уделяют должного внимания тому, какие программы
и устройства используются внутри их корпоративных сетей. К такому выводу
пришли эксперты «Лаборатории Касперского» и независимой
компании B2B International в ходе совместного исследования, проведенного
в конце 2012 года 1 . По результатам анализа выяснилось, что 57%
компаний не применяют специальные средства контроля программ, а 56% не
следят за подключением внешних устройств.

Между тем, киберпреступники используют множество уловок для заражения
систем. Так, например, вредоносное ПО может встраиваться в популярную
программу, и любой сотрудник компании, который запустит ее в
корпоративной среде, поставит под угрозу всю IT-инфраструктуру компании.
Для предотвращения подобных происшествий должны применяться специальные
политики IT-безопасности, контролирующие установку и запуск программ в
корпоративной сети. Но, как показало совместное исследование B2B
International и «Лаборатории Касперского», 17% компаний либо
не знают о технологиях, позволяющих контролировать использование
программ, либо не заинтересованы в их использовании.

Схожая ситуация складывается и с контролем использования внешних
устройств, в частности, носителей информации: лишь 44% компаний уделяют
этому достаточно внимания и используют соответствующие инструменты, в то
время как 17% не знают о средствах контроля устройств или не
заинтересованы в их использовании. Тем временем, локальные угрозы,
например, вредоносные программы, которые распространяется через внешние
устройства, все еще более чем актуальны: только за 2012 год защитные
решения «Лаборатории Касперского» предотвратили более 3
млрд. локальных попыток заражения компьютера. Предоставление сотрудникам
полной свободы в отношении подключения внешних устройств также повышает
риск утечки информации.

«Использование инструментов контроля крайне важно для любого
бизнеса. Так, ограничение на установку программ обеспечивает
дополнительную защиту от вредоносного ПО и повышает продуктивность
сотрудников. Контроль использования внешних устройств в корпоративной
сети предотвращает несанкционированное подключение устройств, уменьшает
вероятность утечки данных, а также помогает предотвратить заражение
рабочих станций с внешнего носителя», — отметил Владимир
Удалов, руководитель направления корпоративных продуктов в странах
развивающихся рынков «Лаборатории Касперского».

Единая платформа для обеспечения безопасности Kaspersky Security для
бизнеса включает инструменты контроля программ и внешних устройств. Их
использование позволяет компаниям формировать эффективные политики
IT-безопасности, исключая возможность заражения корпоративной сети через
сторонние программы или съемные носители информации. Политики контроля
легко настраиваются и имеют централизованное управление, что позволяет
применять их сразу на всех рабочих станциях компании. 1 Международное
исследование «Лаборатории Касперского» и B2B International,
проведенное в ноябре 2012 года. В исследовании приняли участие более
5000 IT-специалистов из 18 стран мира, включая Россию.

Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории
Касперского» или отменить подписку на данный новостной блок, то вам
необходимо посетить сайт компании по следующему адресу:
http://www.kaspersky.ru/subscribe

Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся
под новости «Лаборатории Касперского», сообщаем, что оригинальные
сообщения поставляются исключительно в формате plain text и никогда не
содержат вложенных файлов. Если вы получили письмо, не
удовлетворяющее этим условиям, пожалуйста, ни в коем случае не
открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей
вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, веб-формой http://www.kaspersky.ru/helpdesk.html . Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/ .

Статья первоначально была опубликована Стивеном Л. Роуз (Stephen L Rose ) на английском языке здесь.

Ровно через год техническая поддержка Windows XP будет прекращена. Многие из вас уже читали утреннюю запись в блоге Windows для бизнеса. За последние несколько месяцев я получил множество вопросов о том, что же произойдет на самом деле. Далее я постараюсь объяснить, что означает окончание поддержки, и расскажу о том, что необходимо для перехода на современную операционную систему, например на Windows 7 или Windows 8.

Microsoft завершает расширенную поддержку 8 апреля 2014 г. Почему?

В 2002 году корпорация Microsoft опубликовала документ Support Lifecycle policy (Политика по срокам поддержки продуктов Microsoft), составленный на основе отзывов клиентов. Описанная в нем политика призвана сделать техническую поддержку продукции Microsoft более прозрачной и прогнозируемой. Согласно этой политике, поддержка продуктов Microsoft для бизнеса и разработки (в том числе Windows и Office) с установленным актуальным пакетом обновлений осуществляется не менее 10 лет (5 лет –– базовая поддержки и еще 5 лет — расширенная). Поддержка Windows XP SP3 и Office 2003 будет прекращена 8 апреля 2014 г. Если организация не начала переход на современные приложения, то, возможно, ей уже поздно это делать. Статистические данные говорят, что на полное развертывание программного обеспечения для бизнеса в масштабах компании среднего размера может потребоваться 18 – 32 месяца. Если вы хотите использовать поддерживаемые версии Windows и Office, то должна немедленно начать планирование миграции и тестирование приложений, чтобы успеть развернуть их до окончания поддержки.

Чем отличаются базовая поддержка от расширенной?

Базовую поддержку правильнее назвать полной. На этом этапе корпорация Microsoft осуществляет всестороннюю поддержку продукта: платное устранение неполадок, выпуск исправлений и обновлений безопасности и пр. Базовая поддержка Windows XP завершена в апреле 2009 г.

Когда начинается расширенная поддержка продукта, правила меняются.

  • Расширенная поддержка доступна только для коммерческих пользователей
  • Мы по-прежнему бесплатно предоставляем обновления безопасности всем пользователям

8 апреля 2014 года будет прекращена расширенная поддержка для коммерческих пользователей, а также выпуск обновлений безопасности для коммерческих и частных пользователей.

Какие последствия будет иметь для пользователей прекращение поддержки?

Если говорит кратко, то вам нужно готовиться к переходу с Windows XP. После 8 апреля 2014 г. прекращается выпуск обновлений безопасности, исправлений, не связанных с безопасностью, а также обновлений технического содержимого, доступных через Интернет. Платная и бесплатная поддержка оказываться не будут. Использование Windows XP SP3 и Office 2003 после прекращения поддержки влечет определенные риски для компании, например:

  • Риски, связанные с безопасностью и соответствием требованиям: неподдерживаемые и необновляемые среды уязвимы для внешних угроз. Это может привести к тому, что внешний или внутренний аудит выявит ошибки в управлении компанией, приостановит действие лицензии или публично заявит о неспособности компании поддерживать функциональность систем и информированность клиентов.
  • Недостаточный уровень поддержки со стороны независимых поставщиков программных продуктов и поставщиков аппаратного обеспечения: уже в 2011 году многие независимые поставщики ПО прекратили поддержку новых версий продуктов для Windows XP.

После 8 апреля 2014 г. новых исправлений не будет?

Корпорация Microsoft по-прежнему будет предоставлять доступ ко всем исправлениям и пакетам исправлений, выпущенным до апреля 2014 г., однако новые исправления выпускаться не будут.

Пишут, что компания, антивирусным продуктом которой я пользуюсь, продолжит поддержку Windows XP и после 8 апреля 2014 г. Это значит, что моя система будет защищена?

Нет. Безопасность операционной системы следует обеспечивать на нескольких уровнях, и средство защиты от вредоносных программ –– лишь один из компонентов комплексной защиты. Начиная с 8 апреля, когда поддержка Windows XP будет прекращена, операционная система и установленные на ней средства борьбы с вредоносным ПО больше не смогут защищать устройство, пользователя и данные от новых угроз. Уязвимости, обнаруженные в Windows XP и, возможно, в приложениях для этой ОС, не будут исправляться, и сотни вредоносных программ смогут проникнуть в незащищенную среду. Даже современное антивирусное ПО окажется не в состоянии их остановить. Поэтому важно, чтобы организации и частные пользователи перешли на современную операционную систему.

Что такое «современная операционная система»?

Под современной ОС понимается Windows 7 или Windows 8 с установленным современным браузером, например Internet Explorer 8, 9 или 10. Эти хорошо защищенные, безопасные операционные системы удовлетворяют требованиям пользователей в отношении безопасности, мобильности и гибкости работы. Windows 7 и Windows 8 имеют удобный пользовательский интерфейс, позволяют сократить затраты на ИТ-инфраструктуру и улучшить управление.

Можно ли обновить Windows XP до Windows 7 или Windows 8?

Нет. Необходимо выполнить чистую установку. Это означает перенос данных пользователя, а также переустановку либо миграцию всех приложений в новую ОС. Потребуется время на тестирование совместимости аппаратного обеспечения, периферийных устройств и приложений с Windows 7 или Windows 8. В конце поста я привел список бесплатных инструментов, которые помогут сделать это.

Что произойдет, если я продолжу использовать Windows XP?

Пользователи, которые не хотят переходить на новую ОС, могут использовать Windows XP после апреля 2014 г. на свой страх и риск.

Как долго используется Windows XP?

К апрелю следующего года полный срок поддержки Windows XP корпорацией Microsoft составит почти 12 лет.

Насколько выгодна миграция с XP?

По данным аналитической фирмы IDC: *

  • За три года инвестиции организаций, перешедших на современную ОС, окупаются на 137 %.
  • С учетом времени, необходимого для устранения простоев оборудования, удаления вредоносного ПО и иного обслуживания Windows XP, Windows 7 повышает производительность труда одного сотрудника на 7,8 часов в год.
  • Годовая стоимость обслуживания компьютеров под управлением Windows 7 меньше соответствующего показателя для Windows XP на внушительную сумму в 700 долларов.

Мне никогда не доводилось проверять приложения на совместимости и устанавливать операционную систему. С чего начать?

В первую очередь загрузите набор средств развертывания Microsoft. Он позволит обойтись без образов дисков, облегчит перенос данных в ходе установки. Кроме того, эти средства бесплатные.

Другие инструменты, которые упростят переход:

Нужна более подробная информация?

Сотрудникам, принимающим решения, нужно посетить корпоративный сайт Windows и ознакомиться с отзывами клиентов, которые перешли на современную ОС. Это поможет оценить экономию от миграции на ОС Windows 7 Корпоративная или Windows 8 Корпоративная.

ИТ-специалисты должны посетить страницу Springboard Series на портале TechNet, чтобы узнать о том, как изучать, планировать, предоставлять, использовать и поддерживать Windows 7 и 8 в корпоративной среде.

Руководителям небольших компаний рекомендуем ознакомиться с материалами Портала для малого бизнеса. Здесь рассказывается о том, почему Windows 8 Профессиональная отлично подходит для их организаций.

* Источник: Mitigating Risk: Why Sticking with Windows XP is a Bad Idea (совместный технический документ IDC и Microsoft), Эл Гиллен (Al Gillen), май 2012 г.

Dr.Web

Специалисты компании «Доктор Веб» – российского производителя антивирусных средств защиты информации – обнаружили новую и крайне оригинальную версию вредоносной программы Trojan.Mayachok. Троянцы этого семейства уже насчитывают порядка 1500 различных модификаций, причем некоторые из них являются самыми распространенными на компьютерах пользователей по статистике Dr.Web. Trojan.Mayachok.18607 позволяет встраивать в просматриваемые пользователями веб-страницы постороннее содержимое, благодаря чему злоумышленники получают возможность зарабатывать на жертвах этой вредоносной программы, подписывая их на различные платные услуги.

В процессе изучения архитектуры троянца Trojan.Mayachok.18607 у вирусных аналитиков «Доктор Веб» сложилось впечатление, что автор попытался переписать код этой вредоносной программы «с чистого листа», опираясь на логику семейства Trojan.Mayachok. То есть, не исключено, что у популярных среди злоумышленников троянцев семейства Trojan.Mayachok появился новый автор.

Trojan.Mayachok.18607 способен инфицировать как 32-разрядные, так и 64-разрядные версии ОС Windows. В момент запуска троянец вычисляет уникальный идентификатор зараженной машины, для чего собирает информацию об оборудовании, имени компьютера и имени пользователя, после чего создает свою копию в папке MyApplicationData. Затем троянец модифицирует системный реестр с целью обеспечения автоматического запуска собственной копии. В 32-разрядных версиях Windows Trojan.Mayachok.18607 встраивается в предварительно запущенный процесс explorer.exe, после чего пытается встроиться в другие процессы. В архитектуре вредоносной программы предусмотрен механизм восстановления целостности троянца в случае его удаления или повреждения.

В 64-разрядных версиях Windows троянец действует несколько иначе: Trojan.Mayachok.18607 видоизменяет ветвь системного реестра, отвечающую за автоматическую загрузку приложений, запускает свой исполняемый файл и еще одну копию самого себя, после чего удаляет файл дроппера. Троянец периодически проверяет наличие двух своих копий в памяти инфицированного компьютера, а также соответствующих записей в реестре.

В момент запуска Trojan.Mayachok.18607 определяет наличие на инфицированном компьютере антивирусных программ, проверяя имена активных процессов, а также пытается определить, не запущен ли он в виртуальной среде. Завершив установку в инфицированной системе, Trojan.Mayachok.18607 пытается встроиться во все процессы Windows, в том числе, в процессы вновь запускаемых браузеров. Затем троянец сохраняет в одну из папок собственный конфигурационный файл. После этого Trojan.Mayachok.18607 устанавливает соединение с управляющим сервером и отправляет злоумышленникам информацию об инфицированном компьютере. Кроме конфигурационных данных ответ удаленного сервера может содержать команду на загрузку исполняемого файла. После загрузки Trojan.Mayachok.18607 запускает этот файл. Помимо прочего, конфигурационный файл содержит скрипт, который троянец встраивает во все просматриваемые пользователем веб-страницы.

Основное предназначение Trojan.Mayachok.18607 заключается в осуществлении так называемых веб-инжектов: при открытии различных веб-страниц вредоносная программа встраивает в них постороннее содержимое. Под угрозой находятся браузеры Google Chrome, Mozilla Firefox, Opera и Microsoft Internet Explorer нескольких версий, включая последние. Пользователь зараженной машины при открытии некоторых популярных интернет-ресурсов может увидеть в окне обозревателя оригинальную веб-страницу, в которую троянец встраивает постороннее содержимое. Например, на сайте социальной сети «ВКонтакте» пользователю может быть продемонстрировано сообщение:

На вашу страницу в течение 24 часов было сделано более 10 неудачных попыток авторизации (вы или кто-то другой ввели неверный пароль 12 раз). Аккаунт временно заблокирован для предотвращения взлома. Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите номер вашего мобильного телефона, к которому привязана страница. Если ранее страница не была привязана к номеру Вашего мобильного телефона, то она будет привязана к номеру, который вы введете ниже.

Проверка системного файла hosts, в который некоторые троянцы вносят изменения (что может служить одним из признаков заражения), также не принесет должного результата: Trojan.Mayachok.18607 не модифицирует данный файл. При этом троянец располагает вариантами поддельных веб-страниц для многих интернет-ресурсов, в частности, пользователи социальной сети «Одноклассники» могут получить сообщение следующего содержания:

Вы пытаетесь зайти из необычного места. Если вы пытаетесь войти из привычного места, возможно, провайдер сменил ваш IP.

После ввода номера мобильного телефона пользователь оказывается подписан на услуги веб-сайта http://vkmediaget.com, стоимость подписки составляет 20 рублей в сутки. Услуга предоставляется совместно с компанией ЗАО «Контент-провайдер Первый Альтернативный». В качестве другого метода монетизации злоумышленники используют так называемые «псевдоподписки»: с номера 6681 жертве приходит СМС с текстом «Для подтверждения ответьте DA на эту SMS. Поддержка 7hlp.com или 88001007337(бесплатно)». Стоимость ответного сообщения составляет 304.79 руб.

На том же IP-адресе, где располагается сайт vkmediaget.com, платные услуги которого монетизирует троянец Trojan.Mayachok.18607, располагаются и другие интернет-ресурсы, например, odmediaget.com (для пользователей соцсети odnoklassniki.ru) — имена и оформление таких веб-страниц специально подобраны с целью ввести пользователей в заблуждение. Кроме того, на данном сервере расположен сайт mediadostupno.com, якобы предоставляющий услуги анонимайзера. В данном случае, как и во множестве аналогичных, сайт используется как прикрытие для одобрения предоставляемой подписки со стороны контент-провайдера и подключения мобильных платежей.

Сигнатура данной угрозы присутствует в вирусных базах Dr.Web. Если вы пострадали от действий троянца Trojan.Mayachok.18607, проверьте ваш компьютер с помощью антивируса, или воспользуйтесь бесплатной лечащей утилитой Dr.Web CureIt!

Медовые ловушки» для влюбленных в Интернете

Современный Интернет невозможно представить без всевозможных сайтов
знакомств, популярность которых довольно высока. Сегодня каждый пятый*
российский интернет-пользователь ежедневно посещает такие ресурсы.
Однако стремление найти вторую половинку умело используют в корыстных
интересах многочисленные мошенники и брачные аферисты, которые
расставили свои сети на просторах глобальной паутины. О том, как,
поддавшись минутному увлечению, пользователи рискуют не только заразить
компьютер вредоносной программой, но и потерять деньги, можно узнать в
статье эксперта «Лаборатории Касперского» Татьяны Куликовой.

Огромная популярность сайтов знакомств, таких как mamba.ru,
loveplanet.ru и других уже давно привлекает внимание злоумышленников.
Практически на всех языках мира рассылается спам, замаскированный под
сообщения от популярных сайтов знакомств. Пройдя же по ссылке из такого
письма, пользователь, как правило, рискует вместо фотографий незнакомки
или незнакомца загрузить на компьютер вредоносное ПО.

Нередко действия мошенников носят и целенаправленный характер. Так,
например, в последнее время в Рунете распространялись письма с
приглашением посетить сайты «для взрослых», якобы созданные
специально для пользователей odnoklassniki.ru. Название рекламируемых
ресурсов пародировало название этой социальной сети: odnopostelniki,
odnokrovatniki. Чтобы зайти на такой сайт, надо было воспользоваться
своим логином и паролем к «Одноклассникам». На деле же все
подобные страницы создавались мошенниками с целью заполучить аккаунты
пользователей известного социального ресурса.

Действия мошенников могут не только привести к потере важной информации,
но и больно ударить по кошельку пользователя. Своих жертв злоумышленники
зачастую ловят насайтах, имитирующих стартовые страницы сайтов
знакомств. Для регистрации на таком «ресурсе» или
подтверждения своего возраста (старше 18 лет) пользователю нужно
отправить на короткий номер SMS-сообщение стоимостью от 10 до 350
рублей. Однако после этого никакого доступа к контенту не
предоставляется, поскольку его просто не существует.

Самая колоритная разновидность спамерских писем, не утратившая своей
популярности у мошенников за многие годы, — так называемый
«нигерийский спам». В данном случае злоумышленники могут
отыскивать потенциальную жертву и среди тех, кто зарегистрировался на
сайте знакомств.

Обычно сюжет таких писем строится на том, что к получателю обращается из
далекой африканской страны влюбленная в него девушка, которая является к
тому же и обладательницей миллионного состояния.Чтобы вывести из страны
невесту и ее деньги, от будущего мужа требуется лишь определенная сумма
на оплату адвокатских услуг.Такая тактика обычно предполагает длительную
переписку. На первые письма претендентов на руку и сердце африканской
красавицы отвечают роботы, но как только становится понятно, что у
мошенников есть шанс поживиться, они сами включаются в переписку.Кроме
писем от «нигерийских красавиц» в почте встречаются
сообщения и от «русских невест», которым, в отличие от
прекрасных жительниц Африки, не хватает денег, чтобы встретиться с
мужчиной своей мечты, а потому они готовы принять пожертвования, как
правило, для оплаты билетов.

«Интернет дает прекрасные возможности для общения, однако стоит
помнить, что виртуальное пространство небезопасно для поиска
романтических отношений. Чтобы избежать разочарований, важно соблюдать
основные принципы безопасности:не посещать непроверенные сайты
знакомств, особенно, если они рекламируются в спаме; не открывать письма
от неизвестных отправителей; не отвечать на подозрительные письма, а
также использовать защитные средства, которые уберегут от скачивания
вредоносного ПО и перехода на фишинговый сайт», —
прокомментировала Татьяна Куликова.

Ознакомиться с полным текстом статьи Татьяны Куликовой можно на сайте
www.securelist.com/ru. *По данным исследования пользователей Интернета,
проведенного независимой исследовательской компанией «O+K»
специально для «Лаборатории Касперского» в мае 2012 года. В
ходе исследования было опрошено более 11 тысяч пользователей в возрасте
16+, проживающих в странах Латинской и Северной Америки, Европы,
Ближнего Востока, Азии и Африки.

Эксперты «Лаборатории Касперского» ежедневно фиксировали
7000 попыток заражения геймеров по всему миру в 2012 году с помощью
системы мониторинга KSN*. Риску при этих атаках подвергаются личные
данные пользователей, содержащие пароли от онлайн-игр и систем
онлайн-банкинга: в первом случае злоумышленники пытаются украсть
персонажей и игровые ценности с тем, чтобы впоследствии продать эти
виртуальные артефакты за самые настоящие деньги, во втором — сами
деньги с реальных банковских счетов.

Как выяснили специалисты «Лаборатории Касперского», для
достижения своих преступных целей злоумышленники каждый день рассылают
геймерам в среднем 10 писем с вредоносными ссылками и вложениями, а
также предпринимают около 500 попыток заразить геймеров через браузеры.
При этом «собранная» компанией «коллекция»
вредоносных программ, ориентированных на атаки онлайн-игр, каждый день
пополняется на 5000 новых образцов.

Излюбленным приёмом злоумышленников в мире онлайн-игр является,
разумеется, социальная инженерия и, в частности, фишинг. К примеру,
прикрываясь именем известной игры, преступники отчаянно пытаются
привлечь геймеров на свои поддельные сайты с целью получить их пароли от
учётных записей игры — в 2012 году специалисты «Лаборатории
Касперского» зафиксировали 15 миллионов попыток посещения
фишинговых сайтов, имитировавших порталы одного из крупнейших
разработчиков онлайн-игр. Получается, что каждый день попыток переходов
на фишинговые сайты начитывается до 50 тысяч. К счастью, все эти
доверчивые пользователи были остановлены профессиональной системой
антифишинга в Kaspersky Internet Security, распознавшей неладное.
(http://www.kaspersky.ru/images/news/gamer.png)

Угрозы для геймеров распределены в мире, конечно же, неравномерно и
прямо коррелируются с количеством активных игроков в разных странах. В
TOP 3 этого нерадостного рейтинга в 2012 году оказались Россия, Китай и
Индия. Именно в этих странах геймеры сталкиваются с наибольшим риском
заражения и последующей кражи персонажей и игровых ценностей. Стоит
добавить, что этот список «лидеров» более или менее
постоянен вот уже на протяжении нескольких лет и ждать спада активности
злоумышленников, увы, не приходится.

Тем не менее, защитить себя и своё игровое альтер-эго от посягательств
со стороны киберпреступников вполне реально. Рекомендации экспертов, на
первый взгляд, очевидны, однако они на практике они неоднократно
доказывали свою эффективность. Ведущий антивирусный эксперт
«Лаборатории Касперского» Сергей Голованов предлагает
геймерам придерживаться следующих простых правил поведения в Сети:

«Прежде всего, нужно «включать голову» при получении
писем, в которых, например, администрация сервера онлайн-игры
запрашивает персональные данные от учётной записи или предлагает пройти
авторизацию под каким-то предлогом — не стоит сразу же бросаться
переходить по ссылке в письме, сайт может оказаться фишинговым.

Во-вторых, не стоит качать из сомнительных источников неофициальные
патчи — вместе с ними легко можно заполучить «бонус» в
виде троянов, внедряющихся в систему компьютера и крадущих всевозможные
пароли. Причём не только от онлайн-игры, но, например, и от банковской
карты, если она была «засвечена» в Интернете. В связи с этим
для геймеров может быть актуальна виртуальная банковская карта, которая
позволит потратить ровно столько, сколько было запланировано, и поможет
избежать лишних рисков».

Однако злоумышленники на то и злоумышленники, что могут перехитрить даже
самого бдительного пользователя. Поэтому эксперты особенно рекомендуют
использовать профессиональные защитные решения. Так, новый Kaspersky
Internet Security содержит самые современные на сегодняшний день
технологии распознавания и блокировки вредоносных программ, в частности
функции антифишинга, автоматическую защиту от эксплойтов, виртуальную
клавиатуру для ввода логинов и паролей и многое другое. Кроме того, в
нём предусмотрен специальный игровой режим, который по минимуму
задействует системные ресурсы и на время выключает оповещения, как
только пользователь разворачивает игру на весь экран.

*Данные получены с разрешения участников сети Kaspersky Security Network
(KSN), объединяющей миллионы пользователей продуктов «Лаборатории
Касперского» по всему миру. KSN автоматически собирает информацию
о попытках заражения или загрузке и работе подозрительных файлов на
компьютере пользователя. Информация собирается с согласия пользователя и
является конфиденциальной. Впоследствии эта информация передаётся для
анализа на центральные серверы «Лаборатории Касперского».

Информация об уязвимостях в различных программах публикуется сотни раз каждый день, и пользователи обычно не уделяют этому внимания, не считая, конечно, времени, затрачиваемого на обновления ПО. Но когда дело доходит до уязвимостей наподобие пары свежих ошибок в платформе Java, которая работает на сотнях миллионов ПК, пользователи часто рискуют безопасностью месяцами, даже не догадываясь об этом.

Уязвимости в Java  - основа кроссплатформенных вирусов

Значительная часть пользователей вообще не знают, что на их компьютере есть какая-то «Ява».  Зачастую она предустановлена на новом компьютере наряду со многими другими приложениями и плагинами, которые запускаются в фоновом режиме и не бросаются в глаза пользователю. Java, правда, очень даже бросается в глаза хакерам. Это излюбленная их мишень по многим причинам, и важнейшими являются массовость платформы наряду с изобилием ошибок.

Когда-то Java была повсеместно востребована и без нее проблематично было просматривать веб-страницы. Сегодня это неактуально, и неплохой рекомендацией может быть отключение или даже деинсталляция Java.

«Мы говорили всем клиентам отключить Java раз десять за последние два года, – сетует Эйч Ди Мур, известный специалист по безопасности. – Наступил момент, когда мы должны советовать пользователям держать Java отключенной все время».

Уязвимости в Java часто используются в атаках типа drive-by, когда код, эксплуатирующий уязвимость, расположен на веб-сайте и вредоносный софт проникает сначала в браузер, а потом на компьютер – в фоновом режиме, без участия пользователя. Здесь  зараза может  использоваться для различных целей, например кражи информации.

Хорошие новости состоят в том, что пользователи «Антивируса Касперского» и Kaspersky Internet Security защищены от проникновения через свежие «дыры» в Java благодаря технологии автоматической защиты от эксплойтов.

«Первые случаи срабатывания защиты среди подписчиков KSN отмечались 6 января. Но если покопаться, подозрительные образцы обнаруживаются с середины декабря, так что мы защищаем пользователей от новых атак уже некоторое время», – написал Курт Баумгартнер из «Лаборатории Касперского» при анализе недавних атак.

Если вы все еще пользуетесь Java, лучший совет, который мы можем дать, – проверить свежесть своего антивируса и своей версии Java, а также обновлять их на регулярной основе.

ИСТОЧНИК

16 ноября 2012 года

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — сообщают о распространении нового троянца-блокировщика из нашумевшего семейства Trojan.Winlock – Trojan.Winlock.7372. От других винлоков этот троянец отличается тем, что не содержит в себе каких-либо текстов или графических изображений – он загружает их на инфицированный компьютер по сети. В качестве основной цели Trojan.Winlock.7372 избрал зарубежных пользователей.

Первые троянцы-винлоки, ориентированные на зарубежных пользователей, получили распространение осенью 2011 года, а до этого данная схема криминального заработка была успешно обкатана злоумышленниками в России. Эта вредоносная программа распространяется с использованием семейства троянцев, известных как BackDoor.Umbra, также рассчитана на распространение среди жителей зарубежья (хотя имеются основания предполагать, что разработали ее наши соотечественники). Исходя из внутреннего строения, Trojan.Winlock.7372 ничем не напоминает других представителей троянцев-вымогателей. Прежде всего, потому, что не содержит в себе каких-либо изображений, текстовых ресурсов или иных компонентов, которые обычно демонстрируются подобными вредоносными приложениями на экране компьютера при блокировке Windows. Все необходимые элементы Trojan.Winlock.7372 загружает с удаленного сервера, а препятствующий работе системы экран представляет собой обычную веб-страницу.

Запустившись на инфицируемом компьютере, Trojan.Winlock.7372 прописывает самого себя в ветвь системного реестра, отвечающую за автоматический запуск программ, после чего запускает бесконечный цикл поиска и остановки процессов целого ряда приложений и системных утилит. Среди них — Диспетчер задач, Блокнот, Редактор реестра, Командная строка, Настройка системы, браузеры Microsoft Internet Explorer, Google Chrome, Firefox, Opera, приложения ProcessHacker, Process Monitor и некоторые другие. С применением редко используемой методики троянец отключает запущенный на зараженном компьютере брандмауэр. Затем Trojan.Winlock.7372 создает невидимое полноэкранное окно, в которое загружает с принадлежащего злоумышленникам сайта веб-страницу с требованием оплатить разблокировку операционной системы.

screen

Злоумышленники требуют у жертвы плату в размере 200 долларов, при этом подтверждающий оплату код передается на сервер вирусописателей по сети. В случае обращения к управляющему серверу в окне браузера демонстрируется предложение ввести логин и пароль для авторизации в системе управления сетью данных троянцев, с помощью которой злоумышленники могут следить за распространением Trojan.Winlock.7372 и менять его настройки.

screen

Сигнатура данной угрозы добавлена в вирусные базы, поэтому она не представляет серьезной опасности для пользователей антивирусного ПО Dr.Web.

ИСТОЧНИК

Dr.Web

ГЛАВНЫЕ НОВОСТИ

Обнаружена новая модификация Trojan.Mayachok

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует о распространении новой модификации троянской программы семейства Trojan.Mayachok, добавленной в вирусные базы Dr.Web под именем Trojan.Mayachok.17516. Несмотря на то, что эта угроза имеет определенное сходство с широко распространенным троянцем Trojan.Mayachok.1, в ее архитектуре выявлен и ряд существенных отличий.

Trojan.Mayachok.17516 представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем flash_player_update_1_12.exe и запускается на исполнение.

screen

В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

Вредоносная библиотека пытается встроиться в другие процессы с использованием регистрации в параметре реестра AppInit_DLLs, при этом, в отличие от Trojan.Mayachok.1, Trojan.Mayachok.17516 «умеет» работать не только в контексте процессов браузеров, но также в процессах svchost.exe и explorer.exe (Проводник Windows). Примечательно, что в 64-разрядных системах вредоносная программа работает только в этих двух процессах. Троянец использует для своей работы зашифрованный конфигурационный файл, который он сохраняет либо во временную папку, либо в служебную папку %appdata%.

Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. С использованием процесса explorer.exe Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д. Сигнатура данной угрозы добавлена в базы антивирусного ПО Dr.Web. Для пользователей программных продуктов «Доктор Веб» Trojan.Mayachok.17516 не представляет серьезной угрозы.

«Настойчивый» СМС-троянец для Android препятствует своему удалению

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении очередного троянца семейства Android.SmsSend (родом из Китая), предназначенного для отправки СМС-сообщений с повышенной тарифной стоимостью. Особенностью этого троянца являются его многократные требования доступа к списку администраторов мобильного устройства, что при определенных условиях может значительно затруднить его удаление.

В отличие от большинства вредоносных программ семейства Android.SmsSend, распространяющихся злоумышленниками напрямую, Android.SmsSend.186.origin попадает на мобильные устройства пользователей при помощи дроппера, содержащего внутри себя программный пакет троянца. Дроппер Android.MulDrop.5.origin скрывается в разнообразных «живых обоях» и при установке не требует специальных разрешений, поэтому у пользователей не должно возникнуть никаких подозрений.

После запуска Android.MulDrop.5.origin демонстрирует сообщение на китайском языке, в котором предлагается установить некий компонент:

Если пользователь согласится это сделать, начнется процесс установки скрытого внутри дроппера троянского приложения.

Для своей работы Android.SmsSend.186.origin требует доступ к большому числу функций, однако название приложения «Android 系统服务» (Android System Service) может ввести в заблуждение многих китайских пользователей, на которых, по большей части, и рассчитан троянец, в результате чего они продолжат установку.

Вредоносная программа не создает иконку приложения в главном меню мобильного устройства и работает в качестве сервиса. После установки она запрашивает доступ к функциям администратора мобильного устройства под предлогом того, что это позволит значительно сэкономить заряд аккумулятора. Учитывая то, что Android.SmsSend.186.origin использует имя, похожее на название одного из системных приложений, необходимые полномочия ему, скорее всего, будут предоставлены. Однако на случай, если пользователь откажется дать троянцу требуемые полномочия, он будет запрашивать их вновь и вновь, пока наконец уставший от надоедливого сообщения владелец Android-устройства не даст свое согласие.

При определенных условиях троянец может стать администратором Android-устройства и без разрешения пользователя. Это может произойти в случае работы вредоносной программы на некоторых версиях ОС Android при условии, что ранее троянец уже функционировал на том же самом мобильном устройстве в режиме администратора. В результате, если пользователь попытается избавиться от надоедливой просьбы вредоносной программы, перезагрузив мобильное устройство, его будет ждать неприятный сюрприз: после перезагрузки системы Android.SmsSend.186.origin автоматически получит необходимые полномочия, чего пользователь даже не заметит. Такой сценарий маловероятен, однако не исключен и является весьма опасным.

Помимо функции отправки СМС-сообщений с повышенной стоимостью, Android.SmsSend.186.origin имеет возможность отправлять злоумышленникам входящие СМС, что потенциально несет риск раскрытия частной информации пользователей. Однако этот троянец интересен в первую очередь тем, что в некоторых случаях с активированным режимом администратора мобильного устройства он фактически получает возможность противодействовать своему удалению, т. к. при попытках пользователя выполнить необходимые для этого действия возвращает его к главному экрану мобильного устройства. Это первый из известных случаев, когда вредоносная программа для ОС Android предпринимает попытки активного противодействия борьбе с ней.

Для того чтобы удалить этого троянца из системы, необходимо выполнить ряд действий:

  • Во-первых, следует убрать приложение с именем «Android 系统服务» из числа администраторов устройства, зайдя в системные настройки «Безопасность» –> «Выбрать администраторов устройства» и сняв соответствующую галочку.
  • После того как троянец будет лишен этих полномочий, он попытается снова их получить, выводя соответствующее сообщение, поэтому необходимо завершить работу процесса вредоносной программы, зайдя в меню «Приложения» –> «Управление приложениями», и остановить его выполнение.
  • После этого можно удалить троянца стандартным способом («Приложения» –> «Управление приложениями») либо установить антивирусную программу и произвести с ее помощью проверку системы и удаление найденных вредоносных объектов.

Как уже отмечалось ранее, при определенных условиях Android.SmsSend.186.origin может препятствовать своему удалению, возвращая пользователя из меню настроек на главный экран операционной системы. В этом случае необходимо открыть список недавно запущенных приложений, зажав функциональную кнопку «Домой», и выбрать последние вызванные системные настройки. Следует повторять этот алгоритм до тех пор, пока необходимое для удаления троянца действие не будет выполнено.

Владельцы антивирусных решений Dr.Web для Android были надежно защищены от этой вредоносной программы благодаря технологии Origins Tracing™: троянец детектировался с ее помощью еще до поступления в антивирусную лабораторию.

Китайский троянец заражает загрузочную запись

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о распространении нового многокомпонентного буткита — вредоносного приложения, способного заражать загрузочную запись жесткого диска на инфицированном компьютере. Основное предназначение данной угрозы, добавленной в базы Dr.Web под именем Trojan.Xytets, — перенаправление жертвы с использованием ее браузера на указанные вирусописателями веб-страницы.

Вредоносная программа Trojan.Xytets разработана в Китае и состоит из восьми функциональных модулей: инсталлятора, трех драйверов, динамической библиотеки и ряда вспомогательных компонентов. Запустившись в операционной системе, троянец проверяет, не загружен ли он в виртуальной машине и не используется ли на атакованном компьютере отладчик — если наличие подобных приложений подтверждается, Trojan.Xytets сообщает об этом удаленному командному центру и завершает свою работу. Также осуществляется проверка на наличие в инфицированной системе ряда приложений, используемых для тарификации и биллинга в китайских интернет-кафе, — о результатах этой проверки также сообщается серверу. Затем троянец инициирует процесс заражения атакованного компьютера.

В ходе заражения Trojan.Xytets сохраняет на диске и регистрирует в реестре два драйвера, реализующих различные функции вредоносной программы, а также запускает собственный брандмауэр, перехватывающий отправляемые с инфицированного компьютера IP-пакеты. Брандмауэр не пускает пользователя на некоторые веб-сайты, список которых хранится в специальном конфигурационном файле. При этом файлы троянца и вредоносные драйверы сохраняются на диск дважды: в файловой системе и в конце раздела жесткого диска. Даже если эти файлы удалить (что является не такой уж тривиальной задачей, так как троянец скрывает собственные файлы), они будут автоматически восстановлены при следующей загрузке Windows.

screen

Помимо этого, один из драйверов отслеживает запускаемые в инфицированной системе процессы и пытается определить их «опасность» для троянца. При этом Trojan.Xytets не позволяет запуститься тем процессам, которые могут помешать его работе. Кроме того, Trojan.Xytets обладает функционалом, позволяющим удалять нотификаторы драйверов некоторых антивирусных программ, — в результате антивирусное ПО перестает реагировать на запуск инициированных троянцем вредоносных процессов. Троянец осуществляет перенаправление пользовательского браузера на веб-сайты, список которых также хранится в конфигурационном файле. Среди поддерживаемых Trojan.Xytets браузеров — Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari, Maxthon, QQBrowser, GreenBrowser и некоторые другие.

Затем троянец скрывает ряд хранящихся на диске файлов и перезаписывает главную загрузочную запись таким образом, что в процессе загрузки операционной системы вредоносная программа получает управление. Помимо прочего, Trojan.Xytets обладает развитым функционалом, позволяющим скрывать собственное присутствие в инфицированной системе, вследствие чего эту угрозу также можно отнести к категории руткитов.

В процессе обмена данными с управляющим сервером, расположенным в Китае, Trojan.Xytets передает злоумышленникам информацию об инфицированном компьютере, о версиях операционной системы и самой вредоносной программы. Судя по содержимому веб-страниц, которые демонстрирует в пользовательском браузере Trojan.Xytets, его целевой аудиторией являются жители Китая.

Среди функциональных возможностей Trojan.Xytets можно перечислить следующие:

  • подмена стартовой страницы популярных браузеров на URL сайта, принадлежащего злоумышленникам;
  • осуществление http-редиректов;
  • загрузка и запуск различных исполняемых файлов;
  • сохранение в панели быстрого запуска Windows, в папке «Избранное» и на Рабочем столе ярлыков, содержащих ссылки на принадлежащие злоумышленникам сайты, — по щелчку мышью на таком ярлыке соответствующая веб-страница открывается в браузере;
  • запуск по расписанию обозревателя Microsoft Internet Explorer и открытие в нем принадлежащей злоумышленникам веб-страницы;
  • блокировка доступа к ряду веб-сайтов по заранее сформированному списку;
  • блокировка запуска некоторых приложений по заранее сформированному списку;
  • скрытие хранящихся на диске файлов;
  • заражение MBR.

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web, вследствие чего Trojan.Xytets не представляет серьезной опасности для пользователей программных продуктов Dr.Web.

А

Автогад — система автоматизированного проектирования AutoCAD.

Азер — ноутбуки, мониторы и другая техника фирмы Acer. См. также Засер.

Аккорд (другое название «три пальца») — комбинация <ctrl>+<alt>+<delete> (и менее известная <ctrl>+<shift>+<esc>)

Аська — ICQ

Асматик — программист, пишущий на языке ассемблер

Аутглюк — семейства программ Microsoft Outlook и Microsoft Outlook Express.

Б

Банка — системный блок. Алсо, герметичная зона жёсткого диска, где находятся блины.

Батон — кнопка на кейборде.

Бук — ноутбук.

Бесперебойник, Беспереёбник или просто Упс — источник бесперебойного питания, UPS.

Билли Гад — Основатель Microsoft Билл Гейтс.

Бэпэ (бэпэшник) — блок питания.

Блокушник — блок питания.

Болванка — чистый CD или DVD диск.

Бздя — операционная система FreeBSD.

Бздун — системный администратор, работающий с FreeBSD.

БСОД — Blue Screen Of Death (синий экран смерти), кернел паник в винде.

Быдлокодер — см. Говнокодер

В

Ванилла — От англ. vanilla — обычный, нормальный, традиционный. Очевидно происходит от дефолтного вкуса мороженного. Применительно к софту так называют «чистую» немодифицированную версию прямиком от разработчика.
Варез — Незаконно распостраняемые программы, музыка, фильмы, игрушки (алсо, они тоже программы) и т. п.
ВендекапецРитуальный клич линуксоидов. Несбыточная мечта. Призыв к говнометанию. Также событие, которое ОБЯЗАТЕЛЬНО должно будет произойти в прошлом.
Видяха / Видюха / Видимокарта — Видеокарта.
Висла — Операционная система Windows Vista. Имеются ввиду постоянные глюки и зависания.
Винт / Винч / Хард / Веник / ХаДэДэ — винчестер АКА HDD AKA НЖМД.
Винда / Виндавоз — Операционная система Windows.
Вобла Целиком — Волга Телеком, поволжский провайдер.
Воздух / Вафля / Вай-Вай / ВиФи  — WiFi адаптер любого вида, алсо WiFi-сеть.
Волчара — Ядро Wolfdale или процессоры на этом ядре.

Г

Гадеон — см. Радий.

Гном — окружение рабочего стола GNOME (GNU Network Object Model Environment).

Говнолинк — он же Долболинк, интернет-провайдер Домолинк

Говнокодер — плохой программист

Горбина — интернет-провайдер Корбина Телеком

Горшок — охлаждающее устройство, поставляемое вместе с процессором, или аналогично-примитивное по конструкции (прозвано так как за сходство по форме, так и за склонность к засиранию пылью за непродолжительный срок, не говоря уже о назойливом шуме и 74°C в простое)

Гроб — системный блок

Гроб360 — он же шайтан ящик(хуящик), он же шайтан коробка, он же ящик 360 и etc — Xbox 360

Громоптиц — Почтовый клиент Mozilla Thunderbird.

ГУЙ — Graphic User Interface, алсо то, с чем приходится работать виндузятникам 24/7

Д

Девайс — некое устройство.

Дистр(ы) — дистрибутив программы либо ОС.

Дрова — Драйвера для оборудования.

Дельфин — программист, пишуший на языке Delphi

Дальмразь — ОАО «Дальсвязь», интернет провайдер на дальнем востоке, теперь Ростелеком.

Е

Ё

Ёжик — Протокол мобильного интернета EDGE, алсо семейство нетбуков EEEPC от ASUS.

Ёксель — Microsoft Excel

Ж

Жаба — Язык программирования Java. Алсо, так называют TOAD — клиент для работы с базами данных, в частности Oracle.

Железо — любые детали компьютера и проблемы, связанные с ними.

Жираф, Жир — видеокарта nVidia GeForce

Жопорез — мобильный интернет GPRS.

Жужулятор, он же Карлсон — вентилятор охлаждения процессора в системном блоке персонального компьютера. Теперь, когда эти девайсы стоят практически на всех устройствах системника (на БП и на видюхе), термин потерял своё исходное значение.

З

Засер — ноутбуки, мониторы и другая техника фирмы Acer, отличающаяся прекрасным качеством.

Зелёные, Зеленоглазые — см. Жираф, Жир

Зухель — модем ZyXEL

Зюзя, Суся, Слес (SUSE Linux Enterprise Server) — дистрибутив SUSE Linux

ЗЫЗа — ну зыза же, первое слово любого младенца.. алсо, также известна как PSP.

ЗаВиста — смотри «Висла»

И

Ирка — IRC
Ишак / Осёл — браузер Internet Explorer

Й

К

Камень — центральный процессор

Кеды — свободная среда рабочего стола KDE

Клава, Кейборда — клавиатура

Кернел паник, Паник — необрабатываемая ошибка ядра линукса/юникса и OS X. Требуется аппаратная перезагрузка. Аналог в винде — БСОД.

Кирпич — хороший, годный, увесистый блок питания компьютера.

Кора дуба — Процессор серии Core2Duo

Корка — Процессор серии Core2Duo или Core ix

Король дров — векторный графический редактор Corel Draw.

Косой — компьютер с пятидюймовым и трехдюймовым дисководами одновременно

Красноглазый, — линуксоид, посвящающий долгое время (особенно ночью, откуда и красные глаза) настройке ОС, обычно ввиду фанатизма, на что указывает чаще употребляемое производное слово «красноглазие». Также, так называют «вендузятников» яблочники и пользователи «user-friendly» дистрибутивов Linux (реже — PC-BSD)

Красные, Краснопузые — см. Радий, Радон, Родион, Радик

Крематорий — компьютер (или его компонент, чаще видеокарта) с плохим охлаждением, часто вырубающийся от перегрева.

Кресты — любая среда разработки программ на языке C++. «Ты крестовик, штоле?» — типичное обращение Pascal-программера к программеру, культивирующему С и его диалекты.

Крыса — манипулятор типа «мышь».

Кузов — корпус.

Кулер — см. «Жужулятор».

Куищще — reboot

Комбинация из трёх пальцев — ну ты понел, есичо <ctrl>+<alt>+<delete>.

Комбайн — комбинированный оптический привод (CD-RW/DVD). Алсо, МФУ

Ксенон — процессор Intel Xeon

Л

Ламер — Полный профан во всем что связанно с компьютерами, считающий себя гением компьютеров.

Линолеум — Операционная система Windows Millenium Edition. Последняя операционка, основанная на старом добром DOS. Алсо, эпический фэйл мелкомягких, по эпичности и глубине сравнимый разве что с Вистой. Also, видеоадаптер Матрас Линолеум (aka Matrox Millennium Gxxx).

Линь, Линух — Linux. Просто линукс. Без холиворов и говнометаний.

Люстра — графический векторный редактор Adobe Illustrator

Лапотоп, — Laptop(ноутбук)

М

Маздай — операционная система Microsoft Windows

Макрушник — программист на макро-ассемблере

Ман — manual, руководство к программе, справка. «Кури маны!»

Матрас — интернет-провайдер Матрикс. Алсо, продукты фирмы Matrox[1]. Жесткие диски фирмы Макстор, ныне входит в Seagate[2]. А еще — режим прошивки телефонов HTC. А так же обобщённое название матричных принтеров.

Мать, мамка — материнская плата

Матюгальник — оператор сотовой связи «Мегафон».

Майкрософт интернет испортил — Microsoft Internet Explorer

Мозги — оперативная память

Мелкомягкие — Microsoft

Монюк, Моник — монитор

Мопед, Момед — модем

Мрак — интернет-провайдер в Ижевске (Марк-ИТТ)

Мускул, ГовноSQL, БагSQL   — MySQL

Мясо — массивная система всевозможных радиаторов на материнских платах высокого класса

Н

Насильник — программист, пишущий на языке С (и подобных)

Недобук — нетбук

Нетшкаф, также Нафигатор — браузер Netscape Navigator

Ноут — laptop

О

Опера — браузер Opera. Спасибо, Кэп.

Оперативка — оперативная память. Называют еще «мозги», «память девичья» или «озуха», от ОЗУ — Оперативное Запоминающее Устройство.

Оракул — Oracle.

Ослик ИЕ, Осел — браузер Internet Explorer. Алсо,
Осел — программа обмена файлами eDonkey и ее производная eMule.

Огнелис — браузер FireFox.

Ось — любая операционная система

П

Пасквилянт — программист на Паскале.

Пал Палыч — процессор AMD Athlon XP на ядре Palomino.

ПЕЧ — видеокарта GeForce серии GTX (в русской раскладке из GTX получается ПЕЧ).

Пень — Процессоры семейства пентиум (2,3,4: «третий пень»).

Пингвин — линукс.

Плюсист — см. «Сионист Приплюснутый»

Плойка — консоль Playstation 3

Подмышка — Коврик для манипулятора типа «Мышь».

Проц — см. «Камень».

Пасквиль — язык программирования «Pascal» с точки зрения «крестовиков». «А, ну ты на пасквиле кодируешь..» — типичное обращение C-программиста к Pascal-кодеру.

Пров — провайдер.

Пропеллер — программист, пишущий на языке Perl.

Прошивка — микропрограмма для компьютера, телефона, навигатора etc, содержащаяся в энергонезависимой памяти.

Пчелайн — Билайн, оператор сотовой связи, а теперь ещё и интернета.

Потоп — Laptop(ноутбук)

Р

Радий, Радон, Родион, Радик — видеокарта ATI/AMD Radeon

Резак — пищущий привод — CD-RW или DVD-RW.

Рхел (читается ЭрХел) — RHEL, дистрибутив Red Hat Enterprise Linux

С

Свиста — операционная система Windows Vista

Семёра — Операционная система Windows 7

Сиквель — язык запросов баз данных, SQL (скорее не сленг а устаревшее, ибо в девичестве назывался SEQUEL)

Сионист — Программист пишущий на языке C

Сиська, Киска, Кошка — оборудование фирмы Cisco (кошка пошла от перевода сокращения серии Cisco Catalyst)

Сквозняк — сеть магазинов «Белый ветер»

Сионист Приплюснутый — Программист пишущий на языке C++

Сиплюнить — программировать на С++

Селик, Целка — процессор Celeron

Сипипи — см. «Кресты»

Слака — Slackware. Ортодоксальный линукс, считается самым правильным.

Стрём — интернет-провайдер Стрим

Сырцы — (от англ. sources): исходные тексты программы. «Сырцов сосни» — предложение разобраться в чужом исходном коде.

Сонибой — пользователь PlayStation 3

Т

Туалерон, Тулик — процессоры Celeron и Pentium на ядре Tualatin.

У

Улей — см. Пчелайн.

УксУс — производитель техники ASUS

Упс, Упса — см. «Бесперебойник»

Усер — см. «Юзверь»

Утиль — Уральский интернет-провайдер Utel

Ф

Фан — см. «Жужулятор»

Фен — процессор Phenom

Федорино горе (алсо, федорино коре) — дистрибутив Linux Fedora Core

Флопяшник, Флопорез, Флоповод, Флопокрут, Флопогрох, флопарь, Флоп — дисковод для дискет

Фляга, Флэха, флэшка — флеш-накопитель USB

Фотожоп — графический редактор Adobe Photoshop

Фряха — операционная система FreeBSD

Фуррифокс — см. Огнелис

Х

Хрень — (алсо ХРюша, алсо Хрен Работает, ХаРэ) операционная система Windows XP

Хард, Хардак, ХэДэДэ — жесткий диск ака винчестер АКА HDD, см. «Винт»

Хомяк — кастрированная версия Windows, например Windows XP Home Edition или Windows 7 Home Basic; алсо домашняя директория пользователя: /home/user…

Хипи,Хули плакать — компания Hewlett Packard (сокращённо HP).

Ц

Целка — процессор Celeron или гарантийная наклейка на системном блоке

Ч

Черт — операционная система FreeBSD.

Ш

Штеуд — название фирмы Intel, набранное в русской раскладке.

Щ

Ъ

Ы

Ь

Э

Эпоксидка — материнская плата производства ныне почившей фирмы EPoX.

Эникей(от англ. «any key» — любая кнопка) — мифическая кнопка, которую очень часто просят нажать программы. мифичность заключается в том, что юзвери с низким скиллом ангельского мунспика не могли понять что же значит это «any key» и могли часами искать эту загадочную кнопку «any». Анонимус даже помнит специальные наклейки с надписью «any key», которые весёлые админы часто клеили над кнопкой «Reset», доставляя тонны радости себе и негодования незадачливым пользователям.

Ю

Юзверь (он же юзер, от англ. user) — пользователь компьютера.

Я

Яблочник — любитель Apple и всего, что с ней связано.

Яга — EGA-монитор.

Яйца — Windows Messenger для Windows XP (по форме «иконки» справа на панели задач).

ИСТОЧНИК