Записи с меткой «Mail»

Борьба Севера и Юга? «Лаборатория Касперского» раскрывает новую кампанию кибершпионажа против Южной Кореи

«Лаборатория Касперского» обнаружила новую кампанию
кибершпионажа, нацеленную преимущественн

о на южно-корейские
государственные структуры и научно-исследовательские институты.
Операция, получившая название Kimsuky, ограничена и таргетирована
— как показал анализ, ее целями являлись 11 организаций в Южной
Корее и 2 — в Китае. В частности, атаке подверглись Сечжонский
Институт, Корейский Институт Защитного Анализа (KIDA), Министерство
Объединения, логистическая компания Hyundai Merchant Marine и сторонники
объединения республики Кореи.

Признаки активности были замечены 3 апреля 2013 года, а первые образцы
троянца Kimsuky стали доступны 5 мая. Эту относительно несложную
шпионскую программу отличает наличие ошибок в коде, а также
осуществление коммуникаций с помощью болгарского бесплатного почтового
сервера mail.bg.

Хотя точный способ заражения еще не установлен, эксперты
«Лаборатории Касперского» уверены, что распространение
Kimsuky происходило посредством рассылки целевых фишинговых писем. Этот
троянец обладает таким функционалом, как слежение за нажатием клавиш,
составление и кража списка файлов во всех каталогах, удаленное
управление компьютером и хищение документов формата HWP, повсеместно
используемого в южнокорейских госучреждениях в составе пакета Hancom
Office. Наличие последнего функционала дает все основания полагать, что
кража HWP-файлов — одна из основных задач троянца. Также атакующие
используют модифицированную версию легитимного приложения удаленного
управления компьютером TeamViewer в качестве бэкдора, с помощью которого
затем получают любые файлы с зараженной машины.

Улики, обнаруженные экспертами «Лаборатории Касперского»,
дают возможность предполагать наличие «следа» Северной
Кореи. Прежде всего, список целей атаки говорит сам за себя —
южнокорейские университеты, занимающиеся изучением международных
отношений и разработкой государственной оборонной политики, национальная
логистическая компания и группы политических активистов, выступающих за
объединение республики Корея. Во-вторых, строка кода зловреда содержит
корейские слова, которые переводятся как «атака» и
«финал».

Наконец, два почтовых адреса iop110112@hotmail.com и
rsh1213@hotmail.com, на которые зараженные компьютеры отправляют
уведомления о своем статусе и пересылают украденные данные во вложениях,
зарегистрированы на имя Kim: kimsukyang и Kim asdfa. И, несмотря на то,
что эта регистрационная информация не раскрывает ничего о
злоумышленниках, их IP-адреса дополняют картину: 10 зарегистрированных
IP-адреса принадлежат сети китайских провинций Гирин и Ляонин,
граничащих с Северной Кореей. По различным данным, поставщики услуг,
предоставляющие доступ в Интернет в этих провинциях, также имеют
проложенную сеть в некоторых регионах Северной Кореи.

Еще один интересный геополитический аспект Kimsuky в том, что он обходит
только защитные продукты южнокорейской антивирусной компании AhnLab. В
свою очередь продукты «Лаборатории Касперского» детектируют
и нейтрализуют эти угрозы, классифицируя их как Trojan.Win32.Kimsuky, а
модифицированные компоненты TeamViewer как Trojan.Win32.Patched.ps.

«Безусловно, Kimsuky — еще одно доказательство того, что
кибершпионаж становится все более популярным инструментом на
международной арене. Однако эта кампания интересна еще и тем, что
троянец написан с откровенными ошибками и обладает довольно простым
функционалом. Это говорит о том, что уже сегодня даже небольшая группа
людей при помощи относительно несложного вредоносного кода может
совершить атаку на крупные организации и государственные структуры. На
основании этого мы можем ожидать в скором будущем появления еще большего
количества подобных кампаний — возможно, не самых профессиональных
с точки зрения технического исполнения, но от того не менее
опасных», — прокомментировал Дмитрий Тараканов, антивирусный
эксперт «Лаборатории Касперского».

Ознакомиться с подробными результатами исследования кампании Kimsuky
можно, пройдя по ссылке: www.securelist.com/ru.

Реклама

«Доктор Веб»: обзор вирусной активности за май 2013 года

Posted: Июнь 7, 2013 in Антивирус, Вконтакте, Доктор Веб, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

3 июня 2013 года

В начале мая был обнаружен опасный троянец, подменяющий открываемые пользователями в окне браузера веб-страницы. Другая вредоносная программа, также добавленная в вирусные базы в мае, атаковала пользователей социальных сетей Facebook, Google Plus и Twitter. В конце месяца специалисты «Доктор Веб» перехватили еще один управляющий сервер ботнета Rmnet, с помощью которого был выявлен факт распространения двух новых компонентов этого файлового вируса. Также в мае были обнаружены и новые вредоносные объекты, угрожающие пользователям мобильной платформы Android, — в основном программы-шпионы.

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, абсолютным лидером по числу заражений в мае стал троянец Trojan.Hosts.6815 (2,53% от общего количества инфицированных компьютеров), на втором месте расположился троянец Trojan.Mods.1, подменяющий содержимое просматриваемых пользователем веб-страниц — об этой вредоносной программе подробно рассказано в опубликованном на сайте Dr.Web новостном материале. Всего в течение месяца лечащей утилитой Dr.Web CureIt! было обнаружено 15 830 экземпляров этого троянца, что составляет 1,95% от общего числа выявленных угроз. По-прежнему велико число случаев обнаружения вредоносных программ семейства Trojan.Mayachok в оперативной памяти компьютеров пользователей, также на инфицированных ПК достаточно часто встречается бэкдор BackDoor.IRC.NgrBot.42 и различные модификации троянцев семейства Trojan.Redirect. Двадцатка наиболее распространенных майских угроз, по данным лечащей утилиты Dr.Web CureIt!, приведена в представленной ниже таблице.

Название %
Trojan.Hosts.6815 2.55
Trojan.Mods.1 2.01
Trojan.MayachokMEM.7 1.50
BackDoor.IRC.NgrBot.42 1.41
Trojan.Redirect.147 1.36
Trojan.Redirect.140 1.35
Trojan.Hosts.6838 1.22
Trojan.Mods.2 1.01
Trojan.Packed.24079 0.97
Trojan.DownLoader8.48947 0.85
Trojan.Zekos 0.85
Trojan.PWS.Stealer.1932 0.74
Win32.HLLP.Neshta 0.71
BackDoor.Gurl.2 0.69
Trojan.Hosts.6708 0.59
Trojan.SMSSend.2363 0.51
Trojan.Packed.142 0.49
Trojan.Packed.142 0.44
Trojan.Packed.142 0.42
Trojan.DownLoader9.19157 0.41

Ботнеты

Специалисты компании «Доктор Веб» в настоящее время взяли под контроль две подсети ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12, каждая из которых имеет собственный управляющий сервер. В мае 2013 года общее количество активно действующих ботов в первой бот-сети Win32.Rmnet.12 составило 619 346 единиц, во второй — 459 524, при этом за последние 10 суток к первому ботнету присоединилось еще 116 617 инфицированных машин, а ко второму — 143 554. Среднее число ежесуточно регистрирующихся в каждой из подсетей ботов составляет 14 и 11 тысяч инфицированных машин соответственно. Вот как выглядит динамика прироста данных ботнетов за период с 19 по 29 мая 2013 года:

В то же самое время прирост бот-сети Win32.Rmnet.16 идет чрезвычайно медленными темпами: всего в период с 19 по 29 мая к этому ботнету присоединился лишь 181 инфицированный компьютер, а общее число действующих ботов в сети составило 5 220. Таким образом, можно сделать вывод, что файловый вирус Win32.Rmnet.16 сегодня не представляет серьезной эпидемиологической опасности.

В начале апреля 2013 года компания «Доктор Веб» сообщила о перехвате контроля над одним из управляющих серверов ботнета, созданного с использованием троянца BackDoor.Bulknet.739. Данная вредоносная программа предназначена для массовой рассылки спама и имеет наибольшее распространение на территории Италии, Франции, Турции, США, Мексики и Таиланда. Если на начало апреля к данному управляющему серверу обращалось всего порядка 7 000 инфицированных компьютеров, то на конец мая количество активно действующих ботов выросло до значения 17 242, при этом динамику роста ботнета в период с 19 по 29 мая можно проследить на представленном ниже графике.

В конце мая специалистам «Доктор Веб» удалось установить контроль еще над одним управляющим сервером бот-сети Rmnet. В этой подсети был выявлен факт распространения двух новых вредоносных модулей, получивших общее обозначение Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, а второй позволяет отключать на зараженной машине антивирусы Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG. Для этого компонент эмулирует действия пользователя, а именно нажатия мышью на соответствующие экранные формы. На 29 мая к данному управляющему серверу подключилось уже 20 235 активно действующих ботов, а в период с 19 по 29 мая на контролируемом специалистами «Доктор Веб» управляющем сервере зарегистрировалось 8 447 вновь инфицированных машин. Динамику прироста бот-сети можно проследить с помощью представленной ниже диаграммы.

Более подробную информацию о данной угрозе можно получить из опубликованного компанией «Доктор Веб» новостного материала.

Продолжает действовать и ботнет BackDoor.Dande — этот троянец заражает только компьютеры аптек и фармацевтических компаний, на которых установлено специальное ПО для заказа медикаментов: информацию из этих приложений и ворует вышеупомянутый троянец. В настоящий момент специалистам «Доктор Веб» известно о двух подсетях BackDoor.Dande: в одной действует 331 зараженная машина, в другой насчитывается 1 291 инфицированный компьютер.

Несмотря на то, что с момента обнаружения ботнета BackDoor.Flashback.39, состоящего из Apple-совместимых компьютеров, прошло уже больше года, данная бот-сеть продолжает действовать и сегодня: на текущий момент в ней насчитывается 65 987 инфицированных «маков».

В феврале 2013 года компания «Доктор Веб» сообщала об обнаружении троянца Linux.Sshdkit, атакующего работающие под управлением ОС Linux серверы. Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.

Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец транслирует на удаленные узлы похищенные с атакованных серверов логины и пароли. Всего в течение мая 2013 года троянец передал на управляющий узел злоумышленников данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Угроза месяца: Trojan.Facebook.311

Пользователи социальных сетей уже неоднократно становились мишенью киберпреступников и распространителей вредоносных программ. Так, в середине мая было зафиксировано массовое распространение вредоносной программы Trojan.Facebook.311, представляющей собой написанные на языке JavaScript надстройки для браузеров Google Chrome и Mozilla Firefox. Распространялись эти вредоносные плагины с использованием специально созданной злоумышленниками веб-страницы, с которой жертве предлагалось загрузить приложение-установщик под видом «обновления безопасности для просмотра видео».

После завершения установки в момент запуска браузера Trojan.Facebook.311 пытается загрузить конфигурационный файл, содержащий соответствующий набор команд от злоумышленников. Затем встроенные в браузеры вредоносные плагины ожидают момента, когда жертва выполнит авторизацию в социальной сети, и начинают выполнять от ее имени различные действия, например, публиковать статусы, ставить «лайки», размещать сообщения на стене, отправлять личные сообщения и т. д. При этом вредоносная программа обладает функционалом для работы не только в социальной сети Facebook, но и для взаимодействия с социальными сетями Twitter и Google Plus, — в частности, она наделена функцией рассылки спама. С более подробным исследованием данной угрозы можно ознакомиться в новости на сайте «Доктор Веб».

Атака на пользователей Skype

23 мая многочисленные интернет-СМИ сообщили о массовой спам-рассылке, которой подверглись преимущественно российские пользователи Skype. Злоумышленники распространяли вредоносные программы при помощи сообщений в чате Skype. Эти сообщения, содержащие вредоносную ссылку, поступали от пользователей, добавленных в контакт-лист жертвы. Переход по ссылке приводил к загрузке с файлообменных сервисов 4shared.com или dropbox.com архива с вредоносной программой Trojan.Gapz.17, которая в свою очередь закачивала на инфицированный компьютер Trojan.SkypeSpam.11. Этот троянец рассылает сообщения по контакт-листам месседжеров Skype, Windows Messenger, QIP, Google Talk и Digsby.

Сигнатура троянца Trojan.SkypeSpam.11 была добавлена в вирусные базы Dr.Web еще 22 мая.

Угрозы для Android

Для мобильной платформы Android май оказался весьма неспокойным периодом: на протяжении всего месяца специалистами компании «Доктор Веб» фиксировалось появление сразу нескольких вредоносных приложений-шпионов, направленных на кражу тех или иных конфиденциальных сведений пользователей Android-устройств.

Так, вредоносная программа Android.Pincer.2.origin, обнаруженная в середине месяца, является довольно опасным троянцем, предназначенным для перехвата входящих СМС-сообщений и переадресации их на удаленный сервер. Авторами Android.Pincer.2.origin предусмотрена возможность отслеживать сообщения, поступающие c определенного номера, для чего троянцу посредством СМС поступает соответствующая команда. Распространяемая злоумышленниками под видом установщика сертификата безопасности, данная вредоносная программа может представлять серьезную опасность для владельцев мобильных Android-устройств, т. к. среди перехватываемых ею сообщений могут находиться как проверочные (одноразовые) mTAN-коды систем «Банк-Клиент», так и другая конфиденциальная информация. Более подробно об этой угрозе можно узнать, прочитав соответствующую публикацию на сайте «Доктор Веб».

В мае также был обнаружен очередной троянец-шпион, крадущий конфиденциальную информацию у японских пользователей Android. Аналогично предшественникам, новая вредоносная программа, добавленная в вирусную базу как Android.AccSteal.1.origin, распространялась под видом приложения из категории «для взрослых» и после запуска загружала на удаленный сервер следующую информацию: имя учетной записи Google Mail, IMEI-идентификатор и название модели мобильного устройства, а также номер сотового телефона пользователя.

Примечательно, что в отличие от других подобных вредоносных программ, троянец действительно выполняет ожидаемую от него функцию, а именно позволяет просматривать видеоролики эротического содержания, однако делает это исключительно при наличии интернет-соединения, о чем сообщает в соответствующем диалоговом окне. Учитывая, что Android.AccSteal.1.origin распространяется при помощи веб-сайта, страницы которого имитируют уже устаревший внешний вид каталога Google Play, такое поведение можно объяснить желанием злоумышленников вызвать как можно меньше подозрений со стороны пользователей, но при этом обеспечить достаточно высокий процент успешного сбора их персональной информации.

Киберпреступники не обошли стороной и китайских пользователей: троянская программа-шпион Android.Roids.1.origin, распространявшаяся на одном из популярных китайских форумов под видом полезной системной утилиты, способна передавать на принадлежащий злоумышленникам удаленный сервер весьма внушительный объем конфиденциальных сведений. Среди них — список установленных приложений, информация об СМС-переписке и совершенных звонках, информация о контактах, находящихся в телефонной книге, список файлов, расположенных на карте памяти, и некоторая другая информация. Кроме того, троянец способен записывать телефонные разговоры и отслеживать GPS-координаты пользователя мобильного устройства.

Вредоносные файлы, обнаруженные в почтовом трафике в мае

 01.05.2013 00:00 — 30.05.2013 18:00
1 Trojan.PWS.Panda.3734 1.49%
2 Trojan.PWS.Panda.4379 1.20%
3 Trojan.Oficla.zip 0.90%
4 Trojan.Packed.196 0.80%
5 Trojan.Inject2.23 0.75%
6 Win32.HLLM.MyDoom.54464 0.63%
7 Trojan.DownLoader9.17531 0.58%
8 Trojan.PWS.Stealer.2877 0.54%
9 Trojan.PWS.Panda.655 0.54%
10 Trojan.PWS.Stealer.946 0.53%
11 Trojan.Packed.666 0.53%
12 Exploit.CVE2012-0158.28 0.49%
13 Trojan.PWS.Stealer.2833 0.46%
14 Win32.HLLM.MyDoom.33808 0.44%
15 Trojan.PWS.Stealer.2824 0.39%
16 Trojan.PWS.Stealer.2861 0.39%
17 Trojan.PWS.Stealer.2864 0.37%
18 Exploit.CVE2012-0158.27 0.34%
19 BackDoor.IRC.NgrBot.42 0.34%
20 VBS.Rmnet.2 0.32%

Вредоносные файлы, обнаруженные в мае на компьютерах пользователей

 01.05.2013 00:00 — 30.05.2013 18:00
1 SCRIPT.Virus 0.71%
2 Adware.Downware.915 0.71%
3 Tool.Unwanted.JS.SMSFraud.26 0.50%
4 Win32.HLLW.MyBot 0.48%
5 Adware.InstallCore.115 0.47%
6 Adware.Downware.179 0.45%
7 Adware.InstallCore.114 0.45%
8 Adware.Downware.1157 0.44%
9 Adware.InstallCore.101 0.36%
10 Tool.Unwanted.JS.SMSFraud.29 0.33%
11 Adware.Webalta.11 0.33%
12 Adware.Downware.1132 0.32%
13 Tool.Unwanted.JS.SMSFraud.10 0.31%
14 Trojan.Hosts.6708 0.30%
15 BackDoor.IRC.NgrBot.42 0.28%
16 Trojan.DownLoader9.19157 0.28%
17 Tool.Skymonk.11 0.28%
18 Trojan.Hosts.6838 0.28%
19 Win32.HLLW.Shadow 0.27%
20 Win32.HLLW.Autoruner.59834 0.26%

ИСТОЧНИК

Технологии

Автор: Олег Парамонов 14 марта 2013

Согласно последним данным, Facebook насчитывает более миллиарда пользователей. И речь не о количестве регистраций (их многократно больше), а именно о пользователях — людях, которые подключаются к социальной сети хотя бы раз в месяц. Это безумно много, особенно для такой молодой компании. Лет пять назад о Facebook почти никто не знал, а теперь им пользуется каждый седьмой житель Земли. В то, что такой успех возможен, верится с трудом.

Неудивительно, что всякий раз, когда в Facebook решают отчитаться о количестве пользователей, скептики принимаются пророчить крупнейшей социальной сети планеты скорую гибель. Популярность Facebook — это лишь временное отклонение от нормы, утверждают они. Ещё немного, и он, наконец, всем наскучит. Люди устанут от бесконечных скандалов, связанных с нарушениями тайны частной жизни, и разбегутся. Скоро, совсем скоро о Facebook будут вспоминать только со смехом. Или, как вариант, не будут вовсе.

Для скептицизма и в самом деле есть поводы. Facebook — самая популярная, но далеко не первая социальная сеть. Его предшественники тоже не жаловались на нехватку пользователей. И где они теперь?

В 2002 году, когда Facebook не было даже в проекте, открылась сеть Friendster. Сейчас она показалась бы нам чересчур примитивной: только страница, на которой пользователь мог указать информацию о себе, и список друзей. Тем не менее Friendster был полноценной социальной сетью, и любой, кто знаком с Facebook или «ВКонтакте», почувствовал бы себя там как дома.

У основателя Facebook Марка Цукерберга тоже была страничка во Friendster

У основателя Facebook Марка Цукерберга тоже была страничка во Friendster

За считанные месяцы Friendster набрал три миллиона пользователей. На фоне фейсбучного миллиарда эта цифра кажется жалкой, но делайте скидку на то, что десять лет назад интернет был куда меньше, чем теперь. В 2002 году трёх миллионов пользователей вполне хватало для того, чтобы привлечь внимание американской прессы. Внимание прессы, в свою очередь, подхлестнуло дальнейший рост.

Спустя год этой социальной сетью заинтересовались в Google. Компания попыталась приобрести её за 30 миллионов долларов. Если бы основатель Friendster принял это предложение, то через пару лет стал бы миллиардером. Но он отказался (и, вероятно, до сих пор об этом жалеет).

Успехи Friendster сошли на нет так же быстро, как начались. В 2003 году всю немудрёную функциональность этого сервиса клонировали программисты компании eUniverse, занимавшейся интернет-маркетингом. Затем в eUniverse воспользовались своими списками рассылки, насчитывающими десятки миллионов подписчиков, чтобы завербовать первых пользователей. Новую социальную сеть назвали MySpace.

Через пару лет за право купить MySpace бились корпорация Viacom, владеющая MTV и Paramount Pictures, и News Corp медиамагната Руперта Мердока, причём спор шёл не о 30 миллионах, а о суммах с восемью нулями. Победил Мердок, выложивший за соцсеть почти 600 миллионов долларов.

Friendster к тому времени превратился в ходячего мертвеца: американские и европейские пользователи забросили его, но прибывающие пользователи из стран третьего мира не давали сервису спокойно умереть. Такое жалкое существование он влачил до 2009 года, когда Friendster купила малайзийская компания. Сейчас сайт не имеет ничего общего с прежней социальной сетью.

Впрочем, в MySpace тоже радовались недолго. События развивались почти по тому же сценарию, что и с Friendster: как только появилась более привлекательная альтернатива, начался исход пользователей. Как Friendster стал жертвой MySpace, так и MySpace стал жертвой Facebook. СМИ до сих пор припоминают Мердоку выброшенную на ветер половину миллиарда.

Кто сказал, что Facebook застрахован от подобной участи? То, что он крупнее всех своих предшественников, вместе взятых, ничего не меняет. Те тоже считались самыми большими, пока кто-то не стал ещё больше.

На первый взгляд, чем больше сеть, тем надёжнее её защищает закон Меткалфа, согласно которому полезность сети прямо пропорциональна количеству её пользователей. Никто не бросит знакомых ради сервиса, где никого нет. В итоге трудность переноса социальных связей будет удерживать пользователей. Однако эта логика не всегда работает. Пользователи социальных сетей бросают насиженные места и мигрируют на новые сервисы редко, но зато с удивительной лёгкостью.

Попытки объяснить причины гибели процветавших когда-то социальных сетей делались не раз. Согласно одному из самых популярных объяснений, всё дело в том, что социальные сети — это забава для тех, кто помоложе. Когда сети вырастают, там появляются «посторонние» — родители, учителя и начальники. В их присутствии малолетний костяк сети уже не чувствует себя уютно. В какой-то момент их терпение лопается, и начинается великое переселение в места, где пока нет взрослых.

По этой логике, Facebook давно стоит на пороге распада. В Facebook зарегистрированы две трети жителей Соединённых Штатов. Иными словами, есть места, где эта социальная сеть настолько популярна, что там у «деток» есть шанс встретить не только родителей и учителей, но даже бабушек и дедушек. Однако непохоже, чтобы это вредило Facebook. Скорей уж наоборот: люди постарше тяжелее на подъём и без серьёзной причины социальную сеть не бросят.

Рассуждать таким манером можно до бесконечности, но нужно понимать, что это такое же бесплодное занятие, как попытки древних философов понять законы физики. Пока кому-то не пришло в голову заменить умозрительные построения математикой и жёсткими данными, полученными экспериментальным путём, их нельзя было ни доказать, ни опровергнуть.

Именно поэтому так интересна работа под названием «Социальная стойкость онлайновых сообществ: аутопсия Friendster», опубликованная специалистами из располагающегося в Цюрихе Швейцарского федерального технологического института. Не факт, что выводы, сделанные её авторами, стопроцентно верны, но по крайней мере шаг сделан в правильном направлении: от разговоров к добыче экспериментальных данных.

social-grВ работе анализируется структура пяти социальных сетей: Friendster, Livejournal, MySpace, Orkut и Facebook. Две из них, Facebook и Livejournal, несмотря на все свои различия, процветают. Friendster и MySpace мертвы, а Orkut, открытый Google в 2004 году, находится при смерти. Авторы предположили, что отличия в топологии каждой сети, которые невозможно уловить невооружённым взглядом, объясняют, почему одни социальные сети разваливаются, а другие продолжают расти вопреки всему.

Пользователи начинают уходить, когда усилия, которые требуются для поддержания активности в сети, становятся выше, чем польза, приносимая сервисом. Чем больше пользователей уходит, тем ниже становится полезность сервиса для остающихся. В итоге начинается цепная реакция.

Ущерб, нанесённый сети каждым ушедшим пользователем, зависит от количества связей между пользователями. Если у большинства пользователей в списке друзей сотни человек, то уход одного из них может пройти незамеченным. Если же список друзей существенного числа пользователей насчитывает пару-тройку человек, то уход каждого из них — это огромный удар. Чтобы запустить цепную реакцию распада в сети, где между пользователями так мало связей, не требуется ничего экстраординарного.

social-collapse

При анализе сетей авторы работы пытались разрушить каждую из них, последовательно исключая узлы, которые имеют недостаточное количество связей, то есть фактически моделируя реальный процесс распада социальной сети. В конце от замысловатого графа остаются лишь самодостаточные «островки», состоящие из очень хорошо связанных между собой узлов. Количество узлов в таких «островках» — важный показатель стойкости сети.

Посмотрите, насколько наглядна разница между структурой Livejournal и Friendster, выявленная при таком искусственном разрушении. На диаграмме количество «островков» различного размера соответствует площади круга, окрашенной соответствующим размеру цветом. По мнению авторов работы, из неё следует, что Livejournal для продолжения существования нужно гораздо меньшее отношение затрат к выгоде, чем Friendster.

social-lj

Нет смысла пересказывать всю статью, но итог таков: несмотря на некоторые преимущества, по стойкости (в том виде, как она определена в статье) и Facebook, и Livejournal не просто не застрахованы от распада — они уступают менее удачливым социальным сетям.

Почему же тогда оба остались целы, а другие развалились? Дело в том, что сама по себе низкая стойкость не приводит к распаду. Сначала отношение затрат к выгоде должно достигнуть фатального уровня и запустить цепную реакцию.

Именно это, по мнению авторов работы, и произошло в случае с Friendster. Прослеживается ключевое событие, которое стало для этой социальной сети началом конца: смена дизайна и последующие технические проблемы.

Это может показаться банальным выводом, не стоившим таких усилий, однако не спешите. Глядя на корабль, севший на мель, тоже не требуется особых усилий для того, чтобы определить причину. Усилия требовались до того, как случилась катастрофа. Возможно, её можно было бы избежать, если при серьёзных решениях создатели соцсетей руководствовались бы не интуицией, а цифрами. Работа учёных из Цюриха даёт их.

ИСТОЧНИК

19 февраля 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — уже неоднократно публиковала новостные материалы, посвященные вредоносным программам семейства Trojan.Winlock. Подобные троянцы-вымогатели, блокирующие нормальную работу операционной системы и требующие у жертвы заплатить определенную сумму за ее разблокировку, известны уже довольно давно. Тем не менее, одна из недавно обнаруженных версий данного троянца удивила даже повидавших всякое специалистов «Доктор Веб».

Троянцы-блокировщики семейства Trojan.Winlock демонстрируют своим жертвам требования об оплате на разных языках: например, в феврале 2012 года специалистами компании «Доктор Веб» была обнаружена вредоносная программа Trojan.Winlock.5490, угрожающая шариатским судом арабским пользователям, незадолго до этого в вирусные базы были добавлены винлоки на французском, немецком и итальянском языках. Однако вредоносная программа, получившая обозначение Trojan.Winlock.8026, озадачила вирусных аналитиков «Доктор Веб» прежде всего тем, что они так и не смогли определить, на каком языке написано отображаемое на экране заблокированного компьютера сообщение:

screen

Троянец представляет собой примитивную форму, созданную с использованием среды разработки Delphi, код которой содержит не меньше нелепых ошибок, чем демонстрируемый на экране текст. Форма разработана с помощью стандартного конструктора Delphi, ничем не упакована, исполняемый файл вредоносной программы занимает более 7 Мб, а все ресурсы (включая код разблокировки) хранятся в приложении в открытом виде. По всей видимости, коварный злоумышленник создавал эту грозную вредоносную программу второпях, пока родители не вернулись с работы и не заставили его делать домашнее задание по русскому языку. В качестве альтернативы можно предположить, что перед нами проявление итогов либерализации российского законодательства в области миграционной политики, благодаря которому трудовые мигранты из ближнего зарубежья, пока еще не в достаточной степени владеющие русским языком, постепенно осваивают все новые и новые специальности.

Сигнатура Trojan.Winlock.8026 успешно добавлена в вирусные базы, и потому троянец не представляет опасности для пользователей антивирусного ПО Dr.Web. Впрочем, он не представляет серьезной опасности и сам по себе: если по ошибке или в силу роковой случайности вы запустили данную вредоносную программу на своем компьютере, то, хорошенько отсмеявшись, воспользуйтесь кодом 141989081989 для его разблокировки.

«Лаборатория Касперского» и компания Seculert обнаружили очередного кибершпиона на Ближнем Востоке
17 июл 2012
******************************************************************

1. «Лаборатория Касперского» и компания Seculert обнаружили очередного кибершпиона на Ближнем Востоке
2. Как подписаться на новостные блоки и отписаться от них
3. Правила безопасности

******************************************************************

1. «Лаборатория Касперского» и компания Seculert обнаружили очередного кибершпиона на Ближнем Востоке

«Лаборатория Касперского» и компания Seculert
(http://www.seculert.com/) представили результаты исследования
(http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I)
вредоносной программы Madi, предназначенной для совершения
целенаправленных атак на ряд пользователей в ближневосточном регионе с
целью кражи конфиденциальной информации. Для распространения троянца и
заражения компьютеров жертв использовались методы социальной
инженерии.

Эксперты «Лаборатории Касперского» и Seculert установили
контроль над серверами управления Madi за счет внедрения
sinkhole-маршрутизатора. Это позволило определить более 800 жертв,
находящихся в Иране, Израиле и ряде других стран мира, которые были
подключены к командным серверам злоумышленников в течение последних
восьми месяцев. Полученные данные позволили сделать вывод, что основной
целью атак были люди, имеющие отношение к разработке критически важных
инфраструктурных проектов Ирана и Израиля, израильским финансовым
организациям, студенты инженерных специальностей, а также различные
правительственные структуры, действующие на территории Ближнего
Востока.

Кроме того, в ходе детального исследования вредоносной программы было
выявлено большое количество «отвлекающих» религиозных и
политических документов и фотографий, которые были использованы в ходе
заражения компьютеров пользователей.

«Несмотря на то, что используемая вредоносная программа и
инфраструктура преступников были далеко не самыми сложными,
злоумышленникам удалось в течение достаточно продолжительного времени
вести наблюдение за жертвами, — прокомментировал результаты
исследования Николя Бруле (Nicolas Brulez), ведущий антивирусный эксперт
«Лаборатории Касперского». — Возможно, именно из-за
непрофессионализма организаторов их атаки долгое время оставались
необнаруженными».

«Стоит отметить, что в ходе нашего совместного с
«Лабораторией Касперского» расследования мы выявили
множество персидских «ниточек» как в самом троянце, так и в
системе управления им. Наличие подобной информации во вредоносном коде
— большая редкость. Нет никаких сомнений в том, что злоумышленники
владеют языком фарси на уровне носителей», — уверен Авиф
Рафф (Aviv Raff), технический директор компании Seculert.

Троянец Madi предоставляет злоумышленникам удаленный доступ к файлам,
расположенным на зараженных компьютерах, работающих под управлением ОС
Windows. Преступники получают возможность перехватывать электронную
почту и мгновенные сообщения, включать микрофон и делать аудио-записи
разговоров, следить за нажатием клавиш на клавиатуре, а также делать
скриншоты рабочего стола жертвы. По данным экспертов, объем данных,
переданных с компьютеров жертв, исчисляется
гигабайтами.

Среди приложений и Веб-сайтов, которые использовались для слежения за
жертвами, Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ и Facebook.
Кроме того, для получения дополнительной информации были задействованы
ERP/CRM-системы, базы деловых контактов и системы управление финансовой
деятельностью.

В антивирусной базе «Лаборатории Касперского» различные
модификации троянца Madi, а также связанные с ним модули, в том числе
загрузочные, детектируются как Trojan.Win32.Madi.

Отчеты об исследовании доступны на сайтах:

«Лаборатории Касперского»  www.securelist.com/en/blog
(http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I) и
компании Seculert blog.seculert.com (http://blog.seculert.com/).

*****

2. Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории
Касперского» или отменить подписку на данный новостной блок, то вам
необходимо посетить сайт компании по следующему адресу:
http://www.kaspersky.ru/subscribe

3. Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся
под новости «Лаборатории Касперского», сообщаем, что оригинальные
сообщения поставляются исключительно в формате plain text и никогда не
содержат вложенных файлов. Если вы получили письмо, не
удовлетворяющее этим условиям, пожалуйста, ни в коем случае не
открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей
вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, веб-формой http://www.kaspersky.ru/helpdesk.html . Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/ .