Записи с меткой «VKontakte»

Россия и США — возможные новые цели Madi

Несмотря на отключение командных серверов вредоносной программы Madi
(http://www.securelist.com/ru/blog/207764094/Kampaniya_Madi_Chast_I),
предназначенной для совершения целенаправленных атак на пользователей в
ближневосточном регионе и кражи у них конфиденциальных данных, ее
история пока не закончена. Эксперты «Лаборатории
Касперского» обнаружили
(http://www.securelist.com/ru/blog/207764120/Madi_vozvrashchaetsya_novye_ulovki_i_novyy_komandnyy_server)
новую версию троянца, обладающую расширенным функционалом. В частности
она следит за сайтом VKontakte, а также ищет посетителей страниц,
содержащих в названии элементы «USA» и «gov»,
что может говорить о переориентации злоумышленников на Россию и США.

«Одним из важных изменений также является то, что теперь зловред
не ожидает «команд» от сервера управления, а сразу загружает
на него все украденные данные», — говорит эксперт
«Лаборатории Касперского» Николя Брюле (Nicolas Brulez).
Предыдущие версии Madi управлялись из Ирана и Канады. Новый командный
сервер троянца также находится в Канаде.

Эксперты «Лаборатории Касперского» провели подробный
технический анализ
(http://www.securelist.com/en/analysis/204792237/The_Madi_infostealers_a_detailed_analysis)
Madi, в котором детально описали функционал троянца, механизм его
установки, перехвата нажатия клавиш, взаимодействия с командными
серверами, кражи данных, мониторинга коммуникаций, записи аудио-файлов и
снятия скриншотов с рабочего слота жертвы. Ниже представлены обобщенные
результаты исследования:
* Несмотря на простоту вредоносной самой
программы, а также используемых методов социальной инженерии,
злоумышленникам удалось заразить компьютеры более 800 жертв, в том числе
обладающих конфиденциальной информацией.
* Madi является ярким
примером того, как легкомысленное отношение пользователей к получаемым
сообщениям может привести к утере важных данных.
* В ходе проведения
атаки не были использованы ни эксплойты, ни уязвимости нулевого дня, что
сделало ее результаты еще более неожиданным для экспертов.

Подробный технический анализ Madi доступен на сайте
www.securelist.com/en
(http://www.securelist.com/en/analysis/204792237/The_Madi_infostealers_a_detailed_analysis).

Реклама

Вирус Win32.HLLW.AntiDurov

Настоящая эпидемия разразилась в мае.

Инфицированные этой новой чумой машины начинают рассылать другим пользователям “Вконтакте” ссылку на безобидную с виду jpeg-картинку, лежащую на интернет-ресурсе злоумышленника (http://*.misecure.com/deti.jpg). На самом же деле сервер передает по этой ссылке исполняемый файл “deti.scr”, который, собственно, и является непосредственно сетевым вирусом.
После запуска на компьютере жертвы, червь сохраняет на диске саму картинку, на которую повелся неосторожный юзер, и запускает штатное приложение, используемое в системе для просмотра файлов .jpeg. Скопировав себя в папку на жестком диске компьютера жертвы под именем svc.exe, пришелец устанавливается в системе в качестве сервиса “Durov VKontakte Service” и бесцеремонно роется в ящиках в поисках пароля к доступу на сайт “Вконтакте“, а обнаружив, рассылает по всему списку контактов бедняги вышеупомянутую ссылку. Червь несет в себе опасную деструктивную функцию. 25 числа каждого месяца в 10 часов утра на экране компьютера будет выводиться следующее сообщение (орфография сохранена):

Павел Дуров Работая с “ВКонтакте.РУ” Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен!
Если обратитесь в милицию, то сильно пожалеете об этом!


Одновременно с этим начнется удаление с диска C: всех файлов. Если пользователь будет достаточно долго вчитываться в данный текст и предастся размышлениям относительно его содержания, он рискует потерять не только все системные файлы, но и свои файлы данных — документы, фотографии, электронные письма и многое другое.

Что делать
Оригинальный рецепт расположен на самом сайте вконтакте http://vkontakte.ru/note10_7159709
Но скорее всего у вас нет туда доступа, поэтому приводим тут полностью.

Для удаления вируса Вы можете воспользоваться batch-файлом http://www.spbgu.ru/upload/kuzya/antivirus.bat

Сохраните его на диск и запустите.

Если Вы не уверены в результатах работы скрипта, воспользуйтесь следующей инструкцией:

1. Откройте консоль «Службы». Для этого следует пройти по следующему пути: «Пуск» > «Панель управления» > «Администрирование» > «Службы»

2. В открывшемся окне найдите службу «Durov Vkontakte Service», и откройте окно свойств, щёлкнув дважды по строке

3. Запомните имя службы (AntiDurov) и путь к исполняемому файлу (в данном примере — C:\\Documents and Settings\имя пользователя\Application Data\Vkontakte)

4. Откройте Диспетчер задач, нажав одновременно клавиши CTRL+SHIFT+ESC(DEL), и на вкладке «Процессы» найдите процессы с названием svc.exe

5. Завершите эти процессы, поочерёдно выделяя их и нажимая кнопку «Завершить процесс». Закройте Диспетчер задач.

6. Откройте командную строку: для этого в окне «Пуск» > «Выполнить…» наберите «cmd» и нажмите Enter:

7. В окне командной строки наберите «sc delete AntiDurov» (последнее слово должно совпадать с запомненным вами именем службы) и нажмите Enter

8. Перейдя в окно консоли «Службы», убедитесь, что служба «Durov Vkontakte Service» отсутствует (предварительно обновите содержимое окна, нажав F5)

9. Откройте «Мой компьютер» и в строке адреса впишите путь к исполняемому файлу из п.3. (без имени самого файла svc.exe!) Нажмите Enter.

10. В открывшемся окне выделите и удалите файл svc.exe, нажав SHIFT+DELЕTЕ:

P.S.: если подобной службы Вы не обнаружили, но Вам кажется, что вирус всё равно есть, попробуйте его найти через поиск:

Пуск > Поиск > «Что выхотите найти: файлы и папки», в поле «Часть имени файла…» введите»svc.exe», в «дополнительных параметрах» отметьте три первых пункта (всистемных папках, в скрытых папках, вложенные папки)
Если файла с таким названием не найдено (именно с таким названием, файлы вроде «cisvc», «svchost» не в счёт), то вируса, вероятнее всего, нет.
Если файл найден, убедитесь, что им не запущены процессы (см. пункты 4 и 5), после чего удалите файл, выделив его в окне результатов поиска и нажав SHIFT+DELЕTЕ.

ИСТОЧНИК