Записи с меткой «Win»

Борьба Севера и Юга? «Лаборатория Касперского» раскрывает новую кампанию кибершпионажа против Южной Кореи

«Лаборатория Касперского» обнаружила новую кампанию
кибершпионажа, нацеленную преимущественн

о на южно-корейские
государственные структуры и научно-исследовательские институты.
Операция, получившая название Kimsuky, ограничена и таргетирована
— как показал анализ, ее целями являлись 11 организаций в Южной
Корее и 2 — в Китае. В частности, атаке подверглись Сечжонский
Институт, Корейский Институт Защитного Анализа (KIDA), Министерство
Объединения, логистическая компания Hyundai Merchant Marine и сторонники
объединения республики Кореи.

Признаки активности были замечены 3 апреля 2013 года, а первые образцы
троянца Kimsuky стали доступны 5 мая. Эту относительно несложную
шпионскую программу отличает наличие ошибок в коде, а также
осуществление коммуникаций с помощью болгарского бесплатного почтового
сервера mail.bg.

Хотя точный способ заражения еще не установлен, эксперты
«Лаборатории Касперского» уверены, что распространение
Kimsuky происходило посредством рассылки целевых фишинговых писем. Этот
троянец обладает таким функционалом, как слежение за нажатием клавиш,
составление и кража списка файлов во всех каталогах, удаленное
управление компьютером и хищение документов формата HWP, повсеместно
используемого в южнокорейских госучреждениях в составе пакета Hancom
Office. Наличие последнего функционала дает все основания полагать, что
кража HWP-файлов — одна из основных задач троянца. Также атакующие
используют модифицированную версию легитимного приложения удаленного
управления компьютером TeamViewer в качестве бэкдора, с помощью которого
затем получают любые файлы с зараженной машины.

Улики, обнаруженные экспертами «Лаборатории Касперского»,
дают возможность предполагать наличие «следа» Северной
Кореи. Прежде всего, список целей атаки говорит сам за себя —
южнокорейские университеты, занимающиеся изучением международных
отношений и разработкой государственной оборонной политики, национальная
логистическая компания и группы политических активистов, выступающих за
объединение республики Корея. Во-вторых, строка кода зловреда содержит
корейские слова, которые переводятся как «атака» и
«финал».

Наконец, два почтовых адреса iop110112@hotmail.com и
rsh1213@hotmail.com, на которые зараженные компьютеры отправляют
уведомления о своем статусе и пересылают украденные данные во вложениях,
зарегистрированы на имя Kim: kimsukyang и Kim asdfa. И, несмотря на то,
что эта регистрационная информация не раскрывает ничего о
злоумышленниках, их IP-адреса дополняют картину: 10 зарегистрированных
IP-адреса принадлежат сети китайских провинций Гирин и Ляонин,
граничащих с Северной Кореей. По различным данным, поставщики услуг,
предоставляющие доступ в Интернет в этих провинциях, также имеют
проложенную сеть в некоторых регионах Северной Кореи.

Еще один интересный геополитический аспект Kimsuky в том, что он обходит
только защитные продукты южнокорейской антивирусной компании AhnLab. В
свою очередь продукты «Лаборатории Касперского» детектируют
и нейтрализуют эти угрозы, классифицируя их как Trojan.Win32.Kimsuky, а
модифицированные компоненты TeamViewer как Trojan.Win32.Patched.ps.

«Безусловно, Kimsuky — еще одно доказательство того, что
кибершпионаж становится все более популярным инструментом на
международной арене. Однако эта кампания интересна еще и тем, что
троянец написан с откровенными ошибками и обладает довольно простым
функционалом. Это говорит о том, что уже сегодня даже небольшая группа
людей при помощи относительно несложного вредоносного кода может
совершить атаку на крупные организации и государственные структуры. На
основании этого мы можем ожидать в скором будущем появления еще большего
количества подобных кампаний — возможно, не самых профессиональных
с точки зрения технического исполнения, но от того не менее
опасных», — прокомментировал Дмитрий Тараканов, антивирусный
эксперт «Лаборатории Касперского».

Ознакомиться с подробными результатами исследования кампании Kimsuky
можно, пройдя по ссылке: www.securelist.com/ru.

Реклама

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — информирует о появлении в бот-сети Rmnet двух новых вредоносных модулей. Один из них позволяет злоумышленникам отключать установленные на инфицированном компьютере антивирусные программы. Кроме того, специалистам «Доктор Веб» удалось перехватить управление одной из подсетей Rmnet, в которой действуют эти вредоносные компоненты.

Компания «Доктор Веб» уже предупреждала о широком распространении файловых вирусов Win32.Rmnet.12 и Win32.Rmnet.16, способных организовывать бот-сети. Напомним, что вредоносные программы семейства Win32.Rmnet представляют собой многокомпонентные файловые вирусы, обладающие возможностью самостоятельного распространения. Вирус состоит из нескольких модулей, его основной вредоносный функционал позволяет встраивать в просматриваемые веб-страницы посторонний контент, перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм. Кроме того, вирусы семейства Rmnet способны красть пароли от популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla и Bullet Proof FTP.

Специалистам «Доктор Веб» удалось перехватить еще одну подсеть Win32.Rmnet с использованием известного метода sinkhole. В этой подсети был установлен факт распространения двух новых вредоносных модулей, получивших общее обозначение Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, зато второй представляет значительно больший интерес. Эмулируя действия пользователей (а именно нажатия на соответствующие значки мышью), данный компонент отключает на инфицированной машине антивирусы Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG.

Если на компьютере используется антивирусное ПО Dr.Web, пользователю ничто не угрожает: для выгрузки компонентов антивируса требуется ввести капчу, а с этой задачей Trojan.Rmnet.19 справиться не в состоянии.

screen

Всего в данной подсети вирус загружает с управляющего сервера на инфицированный компьютер семь вредоносных модулей:

  • новый модуль, позволяющий отключать антивирусные программы;
  • модуль для кражи файлов cookies;
  • локальный FTP-сервер;
  • модуль для выполнения веб-инжектов;
  • модуль для кражи паролей от FTP-клиентов;
  • новый модуль, позволяющий детектировать наличие виртуальных машин;
  • модуль для организации удаленного доступа к инфицированной системе.

Помимо этого, файловые вирусы семейства Rmnet содержат следующие базовые компоненты:

  • компонент для загрузки других модулей в память;
  • модуль бэкдора;
  • модуль для удаления антивирусных программ.

По данным на 22 мая 2013 года, к исследуемому антивирусной лабораторией «Доктор Веб» управляющему серверу обратилось более 18 000 ботов. Из собранной статистики можно сделать вывод, что в качестве основного направления вирусной атаки злоумышленники выбрали Великобританию и Ирландию: на данной территории зафиксировано 15 253 случая заражения (84,5%), второе место по числу инфицированных систем (1 434 случая, или 7,9%) удерживает Франция. Специалисты «Доктор Веб» пристально следят за дальнейшим развитием ситуации.

ПОЧЕМУ?

Почему Майкрософт прекращает поддержку Windows XP SP3 и Office 2003?

В 2002 г. Майкрософт впервые представила политику, согласно которой устанавливаются сроки поддержки. Согласно этой политике, гарантированная поддержка продуктов Майкрософт для бизнеса и разработчиков, в том числе Windows и Office, предоставляется не менее 10 лет (5 лет основной и 5 лет расширенной поддержки для соответствующего уровня пакетов обновления).

Но, чтобы ИТ-решения приносили компании реальную выгоду, одной поддержки недостаточно: необходимы инновационные возможности. Сегодня большинство пользователей ожидает от продуктов таких возможностей, появление которых в далеком 2001 году мог предсказать далеко не каждый. Кроме того, число пользователей старых версий сокращается, поэтому 8 апреля 2014 г . поддержка Windows XP и Office 2003 будет окончательно прекращена.

Основываясь на собранных среди клиентов данных внедрения, средний цикл развертывания этих продуктов может занимать от 18 до 32 месяцев. Чтобы быть уверенными, что вы используете поддерживаемые версии Windows и Office, необходимо начать планирование и миграцию уже сейчас.

Скачайте отчет IDC, посвященный миграционным рискам «Почему оставаться на Windows XP – это плохая идея»

Что окончание поддержки значит для пользователей?

ЧТО?

Что означает для заказчиков прекращение поддержки?

Это означает, что настало время действовать. После 8 апреля 2014 г. перестанут быть доступны новые обновления безопасности, исправления, не связанные с безопасностью, любые (платные и бесплатные) услуги поддержки и обновления технической документации в Интернете.

Продолжение работы с неподдерживаемым может вызвать следующие риски для вашей компании:

  • Безопасность
    • Используя неподдерживаемое ПО, вы не сможете получать общедоступную поддержку от Майкрософт, в том числе новые обновления безопасности и другие важные исправления. В результате ваша система может стать объектом атак, которые подвергают риску данные вашей компании и ваших клиентов.

Сокращение поддержки от производителей оборудования и независимых поставщиков программных продуктов. В недавнем отраслевом отчете Gartner Research говорится, что «в 2011 г. многие независимые поставщики программных продуктов прекратят поддержку новых версий приложений на базе Windows XP, а в 2012 г. это станет общей тенденцией». Неподдерживаемая версия Windows может стать помехой и в том случае, если вы захотите обновить оборудование: в отчете Gartner Research также отмечается, что в 2012 г. значительная часть поставщиков вычислительной техники прекратит поддержку Windows XP на большинстве своих новых моделей ПК. См.отчет «Создание графика развертывания Windows 7 и вывода из эксплуатации Windows XP с пакетом обновления 3 (SP3)».

Установка актуальных версий ПО: Windows 7 и Office 2010 . Ваши сотрудники, работая в более гибкой среде, смогут повысить свою производительность, а ваша организация увеличит эксплуатационную эффективность благодаря улучшениям в области безопасности и управления ПК. Подробнее об этих возможностях можно узнать на веб-сайте Windows 7 для бизнеса .

Чтобы начать внедрение современных технологий уже сегодня, скачайте Microsoft Deployment Toolkit. Скачать бесплатно .

Как Майкрософт поможет клиентам?

КАК?

Как Майкрософт поможет заказчикам в этой ситуации?

Корпоративные заказчики. Крупным организациям Майкрософт предлагает подробную техническую документацию, инструменты и рекомендации экспертов, которые помогут упростить развертывание и управление Windows 7, Internet Explorer 9 и Office 2010. Дополнительные сведения о программах миграции и развертывания можно узнать у своего представителя Майкрософт или партнера со статусом Microsoft Certified Partner.

Малый и средний бизнес. Небольшим и средним компаниям, планирующим перейти на современные ПК с новейшим ПО для повышения производительности и совместной работы, также предлагается несколько вариантов перехода. Прежде всего, следует обратиться к партнеру со статусом Microsoft Certified Partner, чтобы подобрать оптимальный вариант, наиболее полно отвечающий потребностям вашей компании. Если вы планируете приобрести новые компьютеры с выпуском Windows Профессиональная, выберите один из предложенных на веб-сайте вариантов.

Чтобы узнать, как самостоятельно произвести пилотное и окончательное развертывание современных ПК, скачайте бесплатный инструмент Microsoft Deployment Toolkit и посетите веб-сайт Springboard Series на портале TechNet, где можно найти дополнительные технические рекомендации.

Производители устройств (ОЕМ-производители). Производителям специализированных компьютерных устройств, таких как тонкие клиенты, киоски по приему платежей, кассы, банкоматы, цифровые информационные табло и т.п. рекомендуется использовать продукты линейки Windows Embedded, обладающие расширенным сроком поддержки и доступности. Подробнее.

ИСТОЧНИК

Документ Microsoft Office Word

Очень подробная инструкция в картинках

Acronis True Image

Acronis True Image

Acronis True Image

Acronis True Image

Acronis True Image

Acronis True Image

Подробнее в документе WORD

«Лаборатория Касперского» обнаружила банковского троянца государственного масштаба

«Лаборатория Касперского» обнаружила на Ближнем Востоке еще
одну сложную вредоносную программу, которую эксперты отнесли к классу
кибероружия. Особенность нового троянца, названного по имени немецкого
математика Иоганна Карла Фридриха Гаусса, состоит в том, что он, помимо
прочего шпионского функционала, направлен на кражу финансовой информации
пользователей зараженных компьютеров. Gauss скрытно пересылает на
сервера управления пароли, введенные или сохраненные в браузере, файлы
cookie, а также подробности конфигурации инфицированной системы.

Наличие в Gauss функционала банковского троянца является уникальным
случаем, ранее никогда не встречавшимся среди вредоносных программ,
которые принято относить к классу кибероружия.

Gauss был обнаружен в ходе масштабной кампании, инициированной
Международным союзом электросвязи (International (http://www.itu.int/)
Telecommunication (http://www.itu.int/) Union (http://www.itu.int/),
ITU) после выявления Flame (http://www.kaspersky.ru/news?id=207733770).
Ее глобальной целью является сокращение рисков, связанных с применением
кибероружия, и сохранение мира в киберпространстве. С помощью экспертной
поддержки, осуществляемой специалистами «Лаборатории
Касперского», ITU предпринимает важные шаги в направлении
укрепления глобальной кибербезопасности — при активной поддержке
со стороны ключевых партнеров по инициативе ITU-IMPACT, правительств и
частных организаций, а также гражданского общества.

Обнаружение Gauss экспертами «Лаборатории Касперского» стало
возможным благодаря наличию в троянце ряда черт, объединяющих его со
сложной вредоносной программой Flame. Сходства прослеживаются в
архитектуре, модульной структуре, а также способах связи с серверами
управления.

Новая вредоносная программа была обнаружена «Лабораторией
Касперского» в июне 2012 года. Ее основной шпионский модуль был
назван создателями (которые пока остаются неизвестными) в честь
немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца
также носят имена известных математиков: Жозефа Луи Лагранжа и Курта
Гёделя. Проведенное исследование показало, что первые случаи заражения
Gauss относятся к сентябрю 2011 года. Однако командные сервера
вредоносной программы прекратили свою работу только в июле 2012
года.

Многочисленные модули Gauss предназначены для сбора информации,
содержащейся в браузере, включая историю посещаемых сайтов и пароли,
используемые в онлайн-сервисах. Кроме того, атакующие получали детальную
информацию о зараженном компьютере, в том числе подробности о сетевых
интерфейсах, дисковых накопителях, а также данные BIOS. Троянец Gauss
может красть конфиденциальную информацию у клиентов ряда ливанских
банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank
и Credit Libanais. Кроме того, его целью являются клиенты Citibank и
пользователи электронной платежной системы PayPal.
(http://www.kaspersky.ru/images/news/great2012_pic01.png) 3 основные страны, подвергшиеся
заражению Gauss

Еще одной важной особенностью Gauss является то, что он заражает
USB-накопители, используя ту же самую уязвимость, что и Stuxnet, и
Flame. Однако процесс инфицирования флэшек отличается от
предшественников наличием определенной интеллектуальной составляющей.
Так, используя съемный накопитель для хранения собранной информации в
одном из скрытых файлов, при определенных условиях Gauss может удалить
себя и все украденные данные. Еще одной характерной чертой троянца
является установка специального шрифта Palida Narrow. Однако ее смысл
пока не ясен.

Несмотря на то, что Gauss и Flame имеют много общего по своей структуре,
их география заражения серьезно разнится. Максимальное количество
компьютеров, пораженных Flame, приходится на Иран, тогда как большинство
жертв Gauss находится в Ливане. Число зараженных также значительно
отличается. По данным облачной системы мониторинга Kaspersky Security
Network, Gauss заразил порядка 2,5 тысяч компьютеров, в то время как
жертв Flame было всего около 700.

Хотя точный способ заражения еще не установлен, эксперты уверены, что
распространение Gauss происходит по иному сценарию, нежели Flame или
Duqu. Однако стоит отметить, что также как и у более ранних кибершпионов
процесс распространения троянца является строго контролируемым, что
говорит о намерении как можно дольше оставаться незамеченным.

«Gauss очень похож на Flame по структуре и коду. Собственно именно
это и позволило нам его обнаружить, — говорит Александр Гостев,
главный антивирусный эксперт «Лаборатории Касперского».
— Также как Flame и Duqu, Gauss представляет собой сложную
программу, предназначенную для ведения кибершпионажа с особым акцентом
на скрытность действий. Однако цели недавно обнаруженного троянца совсем
иные: Gauss заражает пользователей в четко определенных странах и крадет
большие объемы данных. Причем особый интерес для него представляет
финансовая информация».

В настоящее время «Лаборатория Касперского» успешно
детектирует, блокирует и удаляет троянца Gauss. В антивирусной базе он
классифицируется как Trojan-Spy.Win32.Gauss.

Подробный анализ вредоносной программы Gauss доступен на сайте
www.securelist.com/en
(http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution).
Факты
* Проведенный анализ показывает, что впервые Gauss начал
действовать в сентябре 2011 года.
* Обнаружить троянца удалось лишь в
июне 2012 года благодаря наличию у него ряда общих черт с Flame.

* Инфраструктура управления Gauss была отключена в июле 2012 года,
вскоре после обнаружения троянца. В настоящее время вредоносная
программа находится в неактивном состоянии, ожидая команд от серверов.

* Начиная с конца мая 2012 года, облачная система мониторинга
«Лаборатории Касперского» обнаружила более 2,5 тыс.
заражений. Общее же количество жертв Gauss может исчисляться десятками
тысяч. Это меньше, чем у червя Stuxnet, но значительно больше, чем у
Flame и Duqu.
* Gauss передает на сервер управления детальную
информацию о зараженном компьютере, включая историю браузера, файлы
cookie, пароли, данные о конфигурации системы.
* Результаты анализа
Gauss показывают, что основной целью троянца являлся ряд ливанских
банков, в том числе Bank of Beirut, EBLF, BlomBank, ByblosBank,
FransaBank и Credit Libanais. Кроме того, он был нацелен на клиентов
Citibank и пользователей электронной платежной системы PayPal.

«Лаборатория Касперского» и компания Seculert обнаружили очередного кибершпиона на Ближнем Востоке
17 июл 2012
******************************************************************

1. «Лаборатория Касперского» и компания Seculert обнаружили очередного кибершпиона на Ближнем Востоке
2. Как подписаться на новостные блоки и отписаться от них
3. Правила безопасности

******************************************************************

1. «Лаборатория Касперского» и компания Seculert обнаружили очередного кибершпиона на Ближнем Востоке

«Лаборатория Касперского» и компания Seculert
(http://www.seculert.com/) представили результаты исследования
(http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I)
вредоносной программы Madi, предназначенной для совершения
целенаправленных атак на ряд пользователей в ближневосточном регионе с
целью кражи конфиденциальной информации. Для распространения троянца и
заражения компьютеров жертв использовались методы социальной
инженерии.

Эксперты «Лаборатории Касперского» и Seculert установили
контроль над серверами управления Madi за счет внедрения
sinkhole-маршрутизатора. Это позволило определить более 800 жертв,
находящихся в Иране, Израиле и ряде других стран мира, которые были
подключены к командным серверам злоумышленников в течение последних
восьми месяцев. Полученные данные позволили сделать вывод, что основной
целью атак были люди, имеющие отношение к разработке критически важных
инфраструктурных проектов Ирана и Израиля, израильским финансовым
организациям, студенты инженерных специальностей, а также различные
правительственные структуры, действующие на территории Ближнего
Востока.

Кроме того, в ходе детального исследования вредоносной программы было
выявлено большое количество «отвлекающих» религиозных и
политических документов и фотографий, которые были использованы в ходе
заражения компьютеров пользователей.

«Несмотря на то, что используемая вредоносная программа и
инфраструктура преступников были далеко не самыми сложными,
злоумышленникам удалось в течение достаточно продолжительного времени
вести наблюдение за жертвами, — прокомментировал результаты
исследования Николя Бруле (Nicolas Brulez), ведущий антивирусный эксперт
«Лаборатории Касперского». — Возможно, именно из-за
непрофессионализма организаторов их атаки долгое время оставались
необнаруженными».

«Стоит отметить, что в ходе нашего совместного с
«Лабораторией Касперского» расследования мы выявили
множество персидских «ниточек» как в самом троянце, так и в
системе управления им. Наличие подобной информации во вредоносном коде
— большая редкость. Нет никаких сомнений в том, что злоумышленники
владеют языком фарси на уровне носителей», — уверен Авиф
Рафф (Aviv Raff), технический директор компании Seculert.

Троянец Madi предоставляет злоумышленникам удаленный доступ к файлам,
расположенным на зараженных компьютерах, работающих под управлением ОС
Windows. Преступники получают возможность перехватывать электронную
почту и мгновенные сообщения, включать микрофон и делать аудио-записи
разговоров, следить за нажатием клавиш на клавиатуре, а также делать
скриншоты рабочего стола жертвы. По данным экспертов, объем данных,
переданных с компьютеров жертв, исчисляется
гигабайтами.

Среди приложений и Веб-сайтов, которые использовались для слежения за
жертвами, Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ и Facebook.
Кроме того, для получения дополнительной информации были задействованы
ERP/CRM-системы, базы деловых контактов и системы управление финансовой
деятельностью.

В антивирусной базе «Лаборатории Касперского» различные
модификации троянца Madi, а также связанные с ним модули, в том числе
загрузочные, детектируются как Trojan.Win32.Madi.

Отчеты об исследовании доступны на сайтах:

«Лаборатории Касперского»  www.securelist.com/en/blog
(http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I) и
компании Seculert blog.seculert.com (http://blog.seculert.com/).

*****

2. Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории
Касперского» или отменить подписку на данный новостной блок, то вам
необходимо посетить сайт компании по следующему адресу:
http://www.kaspersky.ru/subscribe

3. Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся
под новости «Лаборатории Касперского», сообщаем, что оригинальные
сообщения поставляются исключительно в формате plain text и никогда не
содержат вложенных файлов. Если вы получили письмо, не
удовлетворяющее этим условиям, пожалуйста, ни в коем случае не
открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей
вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, веб-формой http://www.kaspersky.ru/helpdesk.html . Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/ .