Форум CLUBRUS (http://clubrus.kulichki.net/cgi-bin/yabb/YaBB.cgi)
Твой каталог программ >> Антивирусы,переводчики >> Читать обязательно!
(Message started by: Forum Admin на Февраль 5th, 2005, 2:44am)

Заголовок: Читать обязательно!
Прислано пользователем Forum Admin на Февраль 5th, 2005, 2:44am
Реальная картинка...
Сегодня мне позвонил знакомый и поведал, что телефонная компания ему выписала счет на 8.500 .   :-X  Прошло штук 10 звонков (от 3х минут до получаса) в Зап. Самао .
На негра (или его родственника) он явно не тянет, в связях замечен не был... Учитывая, что его сын и дочь "ползают по Инету" можно предположить - зацепленная там программа - звонилка (читай вирус) делала левые звонки. "Стенки" и антивируса на компе не было...
Я позвонил его прову и выяснилось, что выход в Инет и эти звонки можно связать.
Сейчас ему предложили сносить комп на исследование и указали адрес. Он далеко не первый  :'(

Прошу поделиться советом - как выйти из ситуации не попав на бабки...

Вывод - стенку и антивирусы юзаем в обязательном порядке...

з.ы. О развитии событий буду информировать...

Заголовок: Re: Читать обязательно!
Прислано пользователем alex_101 на Февраль 5th, 2005, 3:26am
Необходимость обращения к пользователям Интернета вызвана обеспокоенностью компаний, как следствие, получение счетов за международные телефонные переговоры на большие суммы владельцами телефонов.
Что же происходит на самом деле ?
Непреднамеренные звонки с персональных компьютеров (ПК) являются следствием воздействия программ-"вредителей", которые пользователь может получить во время работы в сети Интернет, при использовании нелицензионных программных продуктов и т.д.
После активизации вредоносной программы может быть автоматически сделан набор номера по международным кодам на номер модемного пула расположенного за пределами России. При этом процесс соединения происходит скрытно и может остаться незамеченным, а само соединение устанавливается по каналам международной телефонной связи и тарифицируется как обычный международный звонок. Стоимость одной минуты при этом может достигать 100 рублей.
Где чаще всего обитают программы-"вредители" ?
По статистике подобные интернет-"забавы" в основном загружаются с сайтов эротического и порнографического содержания, а так же с сайтов предлагающих бесплатный "сыр". Возможно случаи запуска и при использовании различных программ-"гулялок" широко распространенных в сети.
Как максимально обезопасить себя от подобных программ ?
- Если вы являетесь абонентом цифровых станций, советуем установить услугу "исходящая связь по паролю" и тогда набор международного кода без вашего ведома будет невозможен. Стоимость этой услуги всего 2 рубля в месяц - а польза огромная.
- Можно отключить доступ к международной связи с вашего телефона. Это может доставить некоторые неудобства, но в скором будущем, когда появятся сервисные телефонные карты компаний эта проблема будет решена.
- Всевозможные номеронабиратели не страшны, если доступ в Интернет осуществляется по локальной сети, выделенной линии, DSL-соединению.
Конечно, эта рекомендация направлена в первую очередь руководителям предприятий и организаций.
- Обращайте внимание на длительность набора телефонного номера вашим компьютером. Длина телефонных номеров местных интернет-провайдеров не превышает 6 цифр(для наших линий), в то время как международный номер состоит из 13 цифр и более.
- Прежде чем выбрать ссылку сомнительного толка или согласиться с непонятными вам условиями, вспомните об этой статье.
- Помните ответственность за "подводные камни" Интернета будет нести не ваш провайдер, а только вы.
Вместо послесловия.
Впервые случаи подобных звонков были зафиксированы в 2000 году, тогда они были единичными. К 2002 году воздействию данных программ подверглись уже десятки пользователей сети Интернет.
Все провайдеры интернет услуг и как операторы телефонной связи предпринимает различные действия по пресечению работы таких программ, но, учитывая тот факт, что "пиратский" бизнес в силу своей прибыльности развивается очень быстро, усилий одного оператора связи часто бывает недостаточно.
Являясь оператором телефонной связи, компании имеют ряд обязательств по взаиморасчетам перед другими операторами связи за международные звонки , производимые с территории России. И не важно кто изначально был вашим интернет-провайдером, счет на оплату после воздействия программ-"вредителей" выставляется не за работу в сети Интернет, а за международное соединение по телефонной сети общего пользования. Все провайдеры России дорожат своими клиентами и настоятельно советуют воспользоваться нашими рекомендациями.
Звонилка MuxaSoft Dialer 4.1 Финальная версия, пока решает эти проблеммы, т.е  соединяется строго с теми номерами, которые вы указали, но как уйти от оплаты, нужен классный адвокат, хорошо знакомый с инетом

Заголовок: Re: Читать обязательно!
Прислано пользователем Виктор на Февраль 5th, 2005, 2:51pm
Случаи, описанные выше, были зафиксированные и на Украине, в частности в Крыму.
Именно таким образом люди попадали на деньги.
Как обезопасить себя от подобной неприятности?!
Я и мое окружение пользуется тремя основными программами, которые в сочетании дополняют друг-друга, а в целом обеспечивают ту минимальную безопасность, которая необходима каждому пользователю инета. Программы эти такие:
Symantec AntiVirus (Symantec Corporation нoмep вepcии: 9.0.0.338)
Ad-Aware SE Professional 1.05 FULL (http://download.9down.com/Retail/Lavasoft.Ad-Aware.Professional.rar),
Agnitum Outpost Firewall ver. 2.1.303.4009 (314)
Все программы имеют русский языковой модуль и русский HELP.
Пользуемся звонилкой VDialer3 V3.9.7. Full Version   © 2004. В ней есть все, что нужно, рекомендую http://www.vadim.itgo.com/

При наличии всего этого мы пока спим спокойно. Я не исключаю, что есть вещи и получше, и покруче, но у нас вот такой набор.

Заголовок: Re: Читать обязательно!
Прислано пользователем alex_101 на Февраль 6th, 2005, 11:02am
Тест стенок  http://www.firewallleaktester.com/tests.htm

Заголовок: Re: Читать обязательно!
Прислано пользователем alexdutch на Февраль 10th, 2005, 8:04am
В принципе защита наверное нужна, но мне
кажется, что только слепой,глухой или в ж**пу
пьяный не заметит, куда он коннектится - к своему провайдеру или к проимеру в Сьерра-Лионе.Кстати как правильно уже было замечено, то обычно всякую дрянь ловят гуляки по порно сайтам. так что делайте выводы. Что касается защиты сходите сюда: http://maxcomputing.narod.ru/ и обратите внимание на прогу System Safety Monitor. Она никаким прогам без вашего разрешения не даст запуститься. А файервол - хлопотно это!  ;D

От Админа, позволю маленький коммментарий:
- такую звонилку можно подцепить где угодно...
- в том и беда, что звонилка работает незаметно. Ты к примеру качаешь реферат - а в это время "идет разговор"...
причем сидишь трезвый  ;D

Заголовок: Re: Читать обязательно!
Прислано пользователем konstantin на Февраль 12th, 2005, 11:29am
Что то я не понял, что значит " А файервол - хлопотно это!" !!!

Заголовок: Re: Читать обязательно!
Прислано пользователем Forum Admin на Февраль 12th, 2005, 6:06pm
Продолжение истории оказалось малоинтересным и прогнозируемым:
- на компе была найдена программа - звонилка
- телефонная компания потребовала (и получила) оплату, пригрозив отключением.
- все суды по схожим делам компания выиграла  ;D
- на просьбу отключить от международных звонков пока отказала, сославшись что нет бланков и операторов  ???
- мамаша подзащитных запретила детям выходить в Инет  :'(

Вывод:
- на компе должна стоять "стенка"
- антивирус
- установите модуль антишпион Ad-Aware SE Professional
- если на компе работают Ваши дети проконтролируйте правильность их действий.

Заголовок: Re: Читать обязательно!
Прислано пользователем Лихой на Февраль 12th, 2005, 10:45pm
Совершенно согласен, что детей нужно контролировать, я своему отдельно вход сделал без сетевых подключений и.д. все по минимуму, плюс прога стоит которая дает запустить только что я разрешу и конечно стенка, у меня outpost последний, поставил после того как новая карточка ушла любителю халявы (могло быть и хуже)

Заголовок: Re: Читать обязательно!
Прислано пользователем V_o_v_a_n на Февраль 12th, 2005, 11:31pm
Было то же самое, все это usbn.exe - инфицирован Trojan-Downloader.Win32.Small.agi и плюс еще один файл, кажется internt.exe. Инфа на http://virusinfo.info/index.php?board=26;action=display;threadid=499

Заголовок: Re: Читать обязательно!
Прислано пользователем Forum Admin на Февраль 21st, 2005, 5:04pm
А вот он и антидиаллер.
И какой ! - Bit Defender Pro 8 Plus -
как то недавно я давал ссылку на рейтинг антивирусов по итогам 2004 года. Там он занял 1 место.
В комплекте все защиты: "стенка", антивирус - монитор и сканер, проверяет почту на вирусы, антиспаммер, антидиаллер и т.д - вообщем против всей нечести...

Очень приятная программа. И что еще подкупает - обновление всех баз идет одновременно. Ну и русский фейс конечно.

http://www.bitdefender.de/bd/downloads/kits/bitdefender_prof_v8.exe

Русификатор
http://clubrus.kulichki.net/rus/b/bitdefender_prof_v8_rus.zip (клик левой кнопкой - качалки отключить!)

Добава
http://www.freeserials.com/serials/download.php?id=6886&char=B

Заголовок: Re: Читать обязательно!
Прислано пользователем best2 на Февраль 25th, 2005, 7:19pm

on 02/21/05 в 17:04:54, Forum Admin wrote:
А вот он и антидиаллер.
И какой ! - Bit Defender Pro 8 Plus -
как то недавно я давал ссылку на рейтинг антивирусов по итогам 2004 года. Там он занял 1 место.
В комплекте все защиты: "стенка", антивирус - монитор и сканер, проверяет почту на вирусы, антиспаммер, антидиаллер и т.д - вообщем против всей нечести...


Добава
http://www.freeserials.com/serials/download.php?id=6886&char=B

 К  сожалению по  этой ссылке выводятся 3 таблетки, первую из которых прога выплевывает и ругается при этом.вторую таблетку вроде проглотила, но потребовала регистрации on-line .  а как же туда соваться?Если кто  иммет подходящую таблетку-просьба сообщить или дать совет по этому поводу.

       спасибо.

От Админа

Очевидно срок действия таблеток истек  :'(
Продукт скоропортящийся  :'( :'(

Заголовок: Re: Читать обязательно!
Прислано пользователем Forum Admin на Февраль 26th, 2005, 11:41am
Еще одна программа с функцией уничтожения диаллеров...

Антивирусная утилита AVZ - 2.90.

Интересная утилита - русская и бесплатная.
Антивирусная утилита AVZ предназначена для обнаружения и удаления:
SpyWare и AdWare модулей - это основное назначение утилиты
Dialer (Trojan.Dialer)
Троянских программ
BackDoor модулей
Сетевых и почтовых червей
TrojanSpy, TrojanDownloader, TrojanDropper

Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.

Автор предупреждает - специализированный антивирус должен стоять независимо.

http://z-oleg.com/avz-betta2.zip

по материалу    z-oleg.com


Заголовок: Re: Читать обязательно!
Прислано пользователем Dr.Vasya на Февраль 27th, 2005, 11:31am
А вот он и антидиаллер.
И какой ! - Bit Defender Pro 8 Plus -  
как то недавно я давал ссылку на рейтинг антивирусов по итогам 2004 года. Там он занял 1 место.
В комплекте все защиты: "стенка", антивирус - монитор и сканер, проверяет почту на вирусы, антиспаммер, антидиаллер и т.д - вообщем против всей нечести...


Добава
http://www.freeserials.com/serials/download.php?id=6886&char=B  


 К  сожалению по  этой ссылке выводятся 3 таблетки, первую из которых прога выплевывает и ругается при этом.вторую таблетку вроде проглотила, но потребовала регистрации on-line .  а как же туда соваться?Если кто  иммет подходящую таблетку-просьба сообщить или дать совет по этому поводу.

       спасибо.


Прога мне понравилась,Таблеточкой пользовался другой:
 
*****-*****-*****-*****
Низ-з-я-я!

Действительна до середины 2015г.(надеюсь)Скачал обновления-проблем нет.

Заголовок: Re: Читать обязательно!
Прислано пользователем nag на Февраль 28th, 2005, 3:01pm
Подскажите ссылочку на серверную версию Битдефендера.
nag@bk.ru

Заголовок: Re: Читать обязательно!
Прислано пользователем tenzor на Март 23rd, 2005, 6:23pm
Автоматического обновления антивирусных баз не происходит....как я не старался!!! И прокси вводил и удалял....всеравно выдает сообщение что сервер не найден. Может кто подскажет как выполнить настройку автообновления...буду очень благодарен.

Заголовок: Re: Читать обязательно!
Прислано пользователем rdx0 на Март 29th, 2005, 7:28pm
Для моего ADSL, наверное, это уже не очень актуально, но у знакомых те же приключения. Ведь модемная связь - это в чистом виде точка-точка ! Чтобы дозвониться в Куала-Лумпур нужно РАЗОРВАТЬ соединение с Москвой. Не знаю, как с унутренними модемами, но за лампочками своего E-line я следил постоянно и просил их моргать почаще  ;D Кстати, настолько ли эти звери умны, чтобы подменять название соединения ? Ведь если я, захотев посмотреть статистику, наведу мышь на его иконку и вместо "МТУ_1" увижу "Enlarging_of_your everything", - оборву связь, и все дела ! Что я делаю не так ?

Заголовок: Re: Читать обязательно!
Прислано пользователем lovealex на Апрель 20th, 2005, 11:38am
Блин, я как раз месяца 3 назад счет получил на 200 рублей, как раз и какого то Самоа.... КОроче с DSL-ом проблем по этому поводу нет....

Заголовок: Re: Читать обязательно!
Прислано пользователем rdx0 на Апрель 23rd, 2005, 4:07pm
В догонку к своему посту - уточнил у знакомых, которым пришел счет. Они не большие специалисты, но мы с ними выяснили, что процесс соединения с Новой Зеландией сопровождался пощелкиванием модема. Следите, все-таки, за поведением системы!

Заголовок: Re: Читать обязательно!
Прислано пользователем Forum Admin на Апрель 23rd, 2005, 6:34pm
Если интересно, что может произойти с тобой, не имея чего то подобного, сходи на первую страницу топика!

На днях прошла презентация русской версии Bit Defender Pro 8 Plus

http://www.bitdefender.ru/downloads/bitdefender_prof_v8_ru.exe

http://www.cracks.am/d.x?18088

з.ы.
Сегодня прочитал что и Касперский выпускает комбайн.

Заголовок: Re: Читать обязательно!
Прислано пользователем Sasha100 на Апрель 23rd, 2005, 9:47pm
При загрузке http://www.cracks.am/d.x?18088 , не забываем блокировать всплывающие окна и антивирусник тоже никто не отменял

Заголовок: Re: Читать обязательно!
Прислано пользователем BOLiK Ltd. на Апрель 24th, 2005, 1:19am
Ссылка на таблетку:http://crackteam.ws/get.shtml?307647 . Сам сайт полностью безопасный.Нет никакой заразы.Можете смело заходить и пользоваться.По этой таблетке пользуюсь уже 2 месяца.Срок использования истекает в 2035 году.Обновляется всё без проблем.А онлайн-регистрация  в BitDefender не обязательна.Она предназначена только для получения новостей и для технической поддержки.

Заголовок: Re: Читать обязательно!
Прислано пользователем Kisel на Апрель 24th, 2005, 4:58pm
Bit Defender Pro 8 Plus не хочет удалять вирусы, только блокирует. Так можно быстро систему угробить, слабенький антивирус, хотя и удобный.

Заголовок: Re: Читать обязательно!
Прислано пользователем Sasha100 на Апрель 24th, 2005, 6:48pm
Bit Defender Pro экран блокирует, если вы выбираете папку, которую указал экран, правой кнопкой укзывая, на Bit Defender Pro, сами выбираете что делать с вирусом: удалить, переименовать, лечить

Заголовок: Re: Читать обязательно!
Прислано пользователем Sonik на Апрель 27th, 2005, 1:38am
как сделать апгрейд bitdefender?

Заголовок: Re: Читать обязательно!
Прислано пользователем BOLiK Ltd. на Апрель 27th, 2005, 2:09am
Настраивать ничего не надо! Там по умолчанию всё прекрасно настроено. Если же ты что то не намеренно изменил открой в главном окне вкладку "Обновление","Настройки" и нажми на кнопку "По умолчанию".Автоматически обновляется каждые 3 часа.Можно обновить вручную нажав  на кнопку "Проверить". Если отсутствует связь с сервером повтори через несколько минут.

Заголовок: Re: Читать обязательно!
Прислано пользователем Kisel на Апрель 30th, 2005, 2:04pm
У кого не происходит автоматическое обновление вам не повезло - вы скачали левую прогу. У меня было такое. Поэтому качайте вот отсюда и проблем не будет:
BitDefender 8 Professional Plus RUS
Сборка 8.0.200

Домашняя страница:
http://www.bitdefender.com/

Русский сайт по адресу:
http://www.bitdefender.ru/products_desktop_BD_Prof.htm

Обновление базы вручную с помощью файлов .exe и .zip-файлов:
http://www.bitdefender.ru/products_desktop_update.htm

Заголовок: Re: Читать обязательно!
Прислано пользователем Kisel на Апрель 30th, 2005, 2:08pm
Да, вот отсюда качайте:
http://www.bitdefender.ru/downloads/bitdefender_prof_v8_ru.exe

Заголовок: Re: Читать обязательно!
Прислано пользователем Oldermonsters на Май 18th, 2005, 1:06am
Могу рассказать-у меня в феврале тоже пришёл счёт от fucked ростелекома по коду 0064 Новая Зеландия на 1.310 руб.Стал выяснять, и выяснил, что проще отдать (если есть), чем оспаривать! Хамоватые операторши, видимо по своей предыдущей специальности торговавшие картошкой на местном овощном рынке, объяснили-номер ВАШ и платить тоже ВАМ. Или отключение "8" а далее суд, где у них, понятное дело, всё схвачено. Любопытный факт- директора, зама,замазама, даже секретутки нет в помине, как и реального адреса и телефона этих (mazafucked) ростелекомовцев(что бы они были всегда здоровы, благоденствовали и всё бы у них всегда было хорошо........) особенно тех, что подписали письмо, после моей просьбы о проверке. Не так обидно было отдать эти деньги, как ощутить в очередной раз полную незащищённость и бесправие юзеров-обывателей-абонентов. Ну да плакаться заканчиваю- вероятно подобные проги нужны диалапщикам, а я поставил СТРИМ и теперь постоянно держу отключенной тел. линию от модема- включаю лишь при необходимости. Слышал, что некоторые новые трояны способны обойти большинство файрволов. Странно только одно: диалапом пользовался лет 7-8, а то и более, а попал в этом году. Что и вызывает у меня некоторые подозрения...Зато ростелеком теперь спонсор нашей сборной по футболу, помогает ветеранам, инвалидам. Ангелы прямо-таки , а не .........(.....)....!!!.....!...  

Заголовок: Re: Читать обязательно!
Прислано пользователем Дмитрий на Май 26th, 2005, 12:19am
Читаю все это с недоумением..Заходите чаще на сайт микрософта,апдейте винду,пользуйтесь антитрояном и антишпионской прогой-какой-нибудь..ну и само-сабой-антивирус и все будет без проблем.. :-/

Заголовок: Re: Читать обязательно!
Прислано пользователем Forum Admin на Май 28th, 2005, 11:25am
Дмитрию и остальным:

Тут Дима читают не только шибко продвинутые юзеры.
Сообщение для ШИРОКОГО круга пользователей. Тем, кто вообще понятия не имеет, что может произойти, если не защищаться...
Полезно также иметь программу, если к примеру, надо защитить брата (сестру), кореша и т.д. Можно и соседке поставить - если ты конечно не каждый день к ней ходишь, а если каждый - то там уж не до Виндов  ;D ;D ;D

Заголовок: Re: Читать обязательно!
Прислано пользователем Aljena на Июль 16th, 2005, 11:37am
Тут я согласна на все 100! Как жаль, что  хорошо знакомые, коллеги и даже близкие люди отмахиваются, когда настоятельно рекомендуешь установить: Windows Update, стенку, антивирусник и  в дополнение совет: не будьте любопытными, открывая файлы от незнакомых, да порой и у знакомых людей - результат всегда, рано или поздно будет один!!! Хорошо запомните - это уже АЗБУКА

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 14th, 2008, 12:31pm
Новый вирус захватил интернет-поисковики

На российский сегмент интернета продолжается нашествие вирусов. Только-только утихла шумиха вокруг вредоносной рассылки на социальных ресурсах "В контакте" и "Одноклассники.ру", как появилась новая напасть, которая, если и не сделает невозможной работу на компьютере, то уж точно сильно затруднит поиск нужной информации.

Как сообщает Служба безопасности страниц Yandex, в Рунете появился новый вирус, имеющий прямое отношение к поиску. Творение неизвестного зловещего компьютерного гения получило название "вирус подмены страницы". Суть деятельности вируса - в изменении содержимого страниц в браузере пользователя.

На данный момент известно два типа воздействия, которое оказывает вирус на компьютер, ставший его носителем. Во-первых вирус заменяет найденную поисковой системой ссылку на сайт на ссылку к совершенно другому ресурсу, который не имеет или почти не имеет отношения к заданному запросу. При этом вирус ведет себя достаточно умно и после перезагрузки страницы или отправленном повторном запросе ссылка на подставной сайт может исчезнуть. Во-вторых, при переходе пользователя по ссылке вирус перенаправляет его на другой сайт, в результате чего пользователь оказывается совсем не там, где ожидал.

Заразить свой компьютер вирусом подмены можно разными способами - например, установив ускоритель закачки файлов BitAccelerator предлагаемый файлообменной сетью Letitbit.net. Среди файлов программы присутствует скрытая библиотека с кодом вируса, которая не покинет ваш копьютер, даже если вы удалите сам BitAccelerator.

Сообщается, что масштабы распространения вируса настолько велики, что уже можно говорить о сотнях тысяч зараженных компьютеров, поскольку этот вирус работает со всеми популярными в русскоязычном сегменте сети поисковиками - Яндекс, Google, Рамблер и MSN (Live).

Агентство "Интерфакс" со ссылкой на компанию "Доктор Веб", отмечает, что в данной ситуации страдают как сами пользователи, так и репутация поисковых систем. Первые не могут найти в сети то, что им нужно, а в адрес которых и так уже звучит не мало обвинений в тайной продаже мест на первых страницах результатов поиска. Помимо этого ущерб наносится и по сетевой рекламе, так как из-за некорректной работы системы они теряют трафик, необходимый для "открутки" рекламных площадок.

Вирусы подмены появились сравнительно недавно и первое время рассматривались антивирусными компаниями как рекламное программное обеспечение, не несущее угрозы безопасности компьютеров. Позже, в результате многочисленных запросов компаний, занимающихся интернет-поиском и проведенных совместных исследований, большинство антивирусных компаний пришло к выводу, что такие программы представляют несомненную угрозу. Сейчас почти все распространенные антивирусы автоматически обнаруживают и удаляют вирусы подмены.

По материалам интернет-журнала: Point.ru (http://www.point.ru/) от 29.05.2008

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 14th, 2008, 12:41pm
Кто такой ICQ #12111?

Как известно, на днях многие пользователи ICQ и подобных программ (QIP, Adium и мобильные клиенты) в основной группе контактов появился контакт ICQ System под номером 12111.

До сих пор точно никто не может сказать, откуда и для чего появился «12111». На форумах и блогах считают, что это попытки смены или кражи паролей у чужих номеров ICQ. В таком случае лучше удалить контакт и сменить пароль. Есть и другая точка зрения, номер может быть предназначен для массовой рассылки рекламы.

В то же время ведущий аналитик "Лаборатории Касперского" Виталий Камлюк сообщил, что пользователи домашних компьютеров могут не бояться за свои данные в связи с массовым появлением в контакт-листах ICQ-клиентов номера 12111.

По его мнению, вмешательство извне, если оно произошло, задело лишь сервера ICQ. "Лаборатория Касперского" сообщила о произошедшем службе безопасности ICQ.

Под именем ICQ System номер 12111 появился в контакт-листах у интернет-отправителей 19 и 20 июня.

По материалам: ITua (http://itua.info/) от 23.06.2008

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 14th, 2008, 12:47pm
Билан раздает.. нет, не автографы, а трояны

Сайт победителя Евровидения Димы Билана является опасным для пользователей, заявили представители "Лаборатории Касперского". На главной страницы портала bilandima.ru подгружается троянский вирус Trojan-Clicker.HTML.Iframe.lq.

Троян, разместившийся на главной страницы, написан на языке Java Script. После попадания на сайт, пользователь автоматически переходит на китайский сайт xanjan.cn, где он видит обращение "FUСK OFF, MY DDOSER FRIEND ;)".

Таким образом, на xanjan.cn происходит выполнение ещё одного трояна Trojan-Downloader.JS.ActiveX, который пользуется уязвимыми местами браузера в Internet Explorer. Опасный скрипт производит установку на ПК пользователя вредоносной программы Backdoor.Win32.NoNeed.a.

По мнению экспертов лаборатории, заражение сайта певца связана с недавней победной Димы Билана на конкурсе «Евровидение». "Связанный с этой победой рост посещаемости сайта поклонниками певца, несомненно, привлек внимание киберпреступников, решивших использовать чужой успех в своих интересах. Предположительно заражение официального сайта Димы Билана было осуществлено посредством его взлома хакерами и размещения на первой странице вредоносного скрипта", - отмечается в пресс-релизе.

По материалам: ITua (http://itua.info/)

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 16th, 2008, 6:33am
У «Лаборатории Касперского» уязвимостей больше остальных программ

Как выяснилось, существует более 800 уязвимостей в антивирусном софте ведущих производителей, сообщает компания n.runs AG. В черном списке уязвимого ПО лидирует продукция компаний "Лаборатории Касперского", Trend Micro, McAfee и антивирус ClamAV.

По данным специалистов n.runs, с ростом базы вирусов, обнаруживаемых антивирусной программой, растет и количество уязвимостей. Производители софта концентрируются на увеличении количества индексируемых антивирусом вредоносных программ и оставляют много лазеек для изобретательных злоумышленников.

Рост базы вирусов увеличивает количество уязвимостей с каждым годом. Антивирусный софт постоянно изменяется, возрастает число новых функций. Поэтому возможностей искать новые лазейки и "дырки" в коде у создателей вирусов все больше. Например, по данным отчета Secunia, на который ссылаются аналитики n.runs, с 2002 по 2005 годы было зарегистрировано 50 сообщений об уязвимостях в антивирусном ПО, а с 2005 по 2007 год эта цифра возросла на 240% - до 170 сообщений.

Некоторое количество обнаруженных уязвимостей уже были исправлены. Большая часть, однако, до сих пор существует, поскольку исправление этих багов может занять до двух лет.

По материалам: ITua (http://itua.info/) от 15.07.2008

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 16th, 2008, 7:03am
Эксперты предупреждают о появлении нового опасного червя-кейлоггера

"Лаборатория Касперского" сообщила об обнаружении нового почтового полиморфного червя-кейлоггера, использующего оригинальный механизм сокрытия своего присутствия в системе.

Червь, получивший название Email-Worm.Win32.Lover.a, распространяется по каналам электронной почты - пользователю приходит письмо с вложенным файлом to_my_love.scr, при запуске которого на экран выводится яркая демонстрация, напоминающая скринсейвер "Геометрический вальс". Картинка генерируется в реальном времени с использованием фрактальной геометрии. Однако данный файл не является скринсейвером, а представляет собой кейлоггер, записывающий все, что пользователь набирает на клавиатуре при работе с веб-браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими).

Механизм сокрытия присутствия червя Email-Worm.Win32.Lover.a в системе реализован оригинальным образом. Для заражения он использует программный код, которым инфицирует исполняемые файлы вышеупомянутых программ, разделяя код инфекции для каждого из приложений на несколько частей, что серьезно затрудняет его обнаружение. При запуске зараженного приложения программный код вируса занимает 4 Кб памяти, где собирает свое тело, и далее записывает в папке Windows файл с именем ia*.cfg. В этот файл сохраняются коды нажатых пользователем клавиш. Как показало исследование червя, проведенное аналитиками "Лаборатории Касперского", файл с отслеженными вредоносной программой данными отправляется на FTP-сервер rdtsc.***.com.

Червь Email-Worm.Win32.Lover.a применяет нетипичную для таких программ маскировку своего основного функционала, скрываясь за красивыми картинками и выдавая себя за скринсейвер. Лексика, обнаруженная в коде вредоносной программы, дает основания предположить, что автор червя является русскоговорящим.

Детектирование вредоносной программы Email-Worm.Win32.Lover.a было добавлено в сигнатурные базы Антивируса Касперского в 17 часов 23 июня 2008 года.

По материалам: ITua (http://itua.info/) от 25.06.2008

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 22nd, 2008, 8:43am
Пользователи остались без Интернета после установки патчей от Microsoft

После установки очередной порции патчей Microsoft, выпущенной на прошлой неделе, многие пользователи оказались отрезаны от Всемирной сети.
Cбои начали возникать у тех владельцев компьютеров, которые для защиты своих машин применяют программное обеспечение компании Check Point Software Technologies, а именно - продукты семейства ZoneAlarm. Оказалось, что одна из июльских заплаток Microsoft частично несовместима с решениями ZoneAlarm, в том числе брандмауэром и антивирусом. Речь идет об апдейте Microsoft, устраняющем достаточно опасную дыру в реализации системы DNS программных платформ Windows. Уязвимость теоретически может использоваться злоумышленниками с целью перенаправления трафика с компьютера пользователя на вредоносные серверы.
В качестве временной меры пользователям продуктов ZoneAlarm было предложено понизить уровень защиты с высокого на средний или же перейти на альтернативные приложения. Впрочем, в конце прошлой недели Check Point Software Technologies выпустила обновленные версии своих продуктов, в которых проблема была устранена.

По материалам: Compulenta (http://soft.compulenta.ru/) от 14.07.2008

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 22nd, 2008, 8:50am
"Лаборатория Касперского" сообщает о новой вирусной атаке социальной сети "В контакте"

"Лаборатория Касперского", выявила очередную атаку злоумышленников на социальную сеть "В контакте". Через интерфейс социальной сети ее пользователи получали спам-сообщения, содержащие в себе ссылку на зараженные веб-сайты.
В сообщениях, которые получали пользователи, предлагалось посетить новый недорогой порносайт или пообщаться в порночате. Там же помещалась ссылка на сервер, перенаправляющий пользователей на различные сайты с видеороликами нецензурного содержания. Для их просмотра требовалась установка дополнительного кодека, под видом которого на компьютер пользователя загружалась троянская программа Trojan.Win32.Crypt.ey. Она устанавливает в систему вредоносный объект BHO (Browser Helper Object), который начинает действовать вместе с запуском браузера и позволяет злоумышленнику контролировать заражённый компьютер.
Таким образом, троянская программа начинает рассылать подобные спам-сообщения всем людям из контактного листа, если владелец зараженного компьютера является пользователем сервиса "В контакте". Тот факт, что письмо, полученное от знакомого человека, вызывает к себе доверие, повышает шансы злоумышленников на успешную атаку. Эксперты "Лаборатории Касперского" отмечают также, что на заражённом ПК пять первых результатов поисковых запросов, осуществлённых с помощью ресурсов Yandex.ru, Google.com, Rambler.ru, Live.com, MSN.com и Yahoo.com, подменяются ссылкой на порносайт.
По данным "Лаборатории Касперского", подобным образом было похищено около 4000 аккаунтов пользователей "В контакте", с которых впоследствии осуществлялась отправка новых спам-сообщений. Есть также данные, что вредоносные сайты, на которые направляют пользователей "В контакте" в спам-сообщениях, посещают более 22 000 пользователей ежедневно.
"Лаборатория Касперского" сообщила, что сигнатура троянской программы Trojan.Win32.Crypt.ey была добавлена в антивирусные базы 17 июля 2008 года. Информация для обезвреживания вредоносной библиотеки BHO была добавлена 14 июля 2008 года.

По материалам: Compulenta (http://soft.compulenta.ru/) от 21.07.2008

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 22nd, 2008, 9:08am
"Лаборатория Касперского" обнаружила червя, заражающего аудиофайлы

Вирус Worm.Win32.GetCodec.a конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу. Маркер активируется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу. На этой страничке пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь одобряет установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник получает контроль над атакованным ПК. Причём файл, находящийся на подложной странице, обладает электронной цифровой подписью компании Inter Technologies и определяется выдавшим ЭЦП ресурсом http://www.usertrust.com как доверенный. Стоит отметить, что до этого случая формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом.

По словам вирусных аналитиков "Лаборатории Касперского", особенностью данного червя является заражение чистых аудиофайлов. Аналитики отмечают, что вирус подобного рода повышает вероятность успешной атаки, поскольку пользователи обычно с большим доверием относятся к собственным медиафайлам и не связывают их с опасностью заражения.

"Лаборатория Касперского" сообщила, что сразу после обнаружения червя Worm.Win32.GetCodec.a его сигнатуры были добавлены в антивирусные базы компании.

По материалам: Compulenta (http://soft.compulenta.ru/) от 16.07.2008

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 22nd, 2008, 9:45am
Турецкие хакеры атаковали сайт "Лаборатории Касперского"

Согласно информации, опубликованной на Zone-H.org, малайзийский сайт "Лаборатории Касперского" подвергся нападению турецких хакеров, выступавших под никнеймами m0sted и Amed. Злоумышленникам удалось совершить дефейс главной страницы сайта ЛК.

Как пишут сами хакеры, был получен доступ к бэк-энду онлайн-магазина сайта и нескольким сайтам, расположенным в субдоменах Лаборатории.

Для осуществления атаки хакеры использовали метод SQL-инъекции.
По итогам нападения взломаны были основная страница и несколько внутренних.
По мнению сторонних экспертов, при помощи выполненных атак теоретически злоумышленники могли разместить на сайте копии дистрибутивов антивирусов компании с внедренными злонамеренными кодами.

Согласно статистике Zone-H.org, с 2000 года злоумышленники осуществили 36 различных атак на сайт производителя антивирусов.

На данный момент малайзийский сайт kaspersky.com.my остается недоступен.

По материалам: Cybersecurity.ru (http://www.cybersecurity.ru/) от 21.07.2008

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 23rd, 2008, 7:57am
Поддельные антивирусы наступают
Часть I

Недавно «засветившийся» в Рунете продукт для удаления шпионского ПО «фальшивый» Anti-Spyware Pro (ASW) добавлен в список вредоносных программ компанией Agnitum. Кроме того «Веб-контроль» Outpost Firewall Pro теперь будет блокировать сайт программы. Отечественные антивирусные вендоры также признают новый вид угроз в Рунете и констатируют 700%-й рост Rogue Antivirus (лже-антивирусов) по сравнению с прошлым годом.

Российский разработчик программ для обеспечения информационной безопасности Agnitum объявил о внесении в свой список вредоносных программ антишпиона Anti-Spyware Pro (ASW). Его модуль «Веб-контроль» теперь блокирует сайт ASW.

Антишпионская программа Anti-Spyware Pro (ASW), по версии ее разработчиков, является «актуальным предложением на современном рынке, позволяющим не только обнаружить шпионов, но и эффективно удалить их». При первом удалении вируса разработчики предлагают пользователю заплатить 15 руб. за год, отправив SMS на короткий номер (при этом стоимость сообщения возрастает до $5 без НДС, на что указывает «лицензионное соглашение»).

Ряд антивирусных производителей, например, «Лаборатория Касперского» и Avira Antivirus определяют Anti-Spyware Pro как «not-a-virus:FraudTool.Win32», то есть как программу-обманщика. Такие программы (Rogue Antivirus) вводят пользователя в заблуждение, оповещая об инфицировании его компьютера. Исходя из этого, пользователю демонстрируются результаты «проверки» системы, в которых значатся совершенно невероятные «вирусы».

Алексей Гребенюк, независимый вирусный аналитик, ранее директор Центра технической поддержки «Доктор Веб», отмечает, что ASW Pro детектирует абсолютно легальные программы как потенциально опасные.

Программное обеспечение «ASW Pro» не является антивирусным решением, — подтвердил его мнение CNews вирусный аналитик «Лаборатории Касперского» Сергей Голованов. «Этот «антивирус-обманщик», например, выводит сообщения об опасности всех программ, запускающихся при старте системы, предупреждает обо всех дополнительных сервисах на системе, сигнализирует обо всех cookie в системе и в конце концов просит за удаление этих «угроз» 15 руб. в год». Интересно, что настоящие вирусы ASW при этом не распознает: «тестовый файл eicar, предназначенный для проверки работоспособности антивирусной защиты системы ASW не детектирует. Этот тестовый файл признан «де-юре» всеми производителями антивирусной защиты», — добавляет Голованов.

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 23rd, 2008, 8:08am
Часть II

http://pics.rbc.ru/img/cnews/2008/07/22/vir3.jpg
Проверив систему, ASW предлагает удалить обычные cookies

Владислав Борисенко, вирусный аналитик компании Agnitum, комментируя этот факт CNews, подчеркнул, что «правильный» антишпион не занимается имитацией проверки системы с целью отъема денег у пользователя. Сайт же программы Anti-Spyware Pro и подобные ему ресурсы умышленно вводят пользователей в заблуждение, распространяя программу под видом бесплатной пробной версии.

Интересно, что ASW активно рекламируется в сервисах контекстной рекламы Google.Adwords и Яндекс.Директ при запросах «антивирус» и «антишпион». Стоит отметить, что формально сайты таких продуктов не нарушают правил показа контекстной рекламы в этих поисковиках.

За последний месяц в Сети активизировалось еще несколько фальшивых «борцов со шпионами» AntivirusXP 2008 и Max AntiSpy, которые работают по той же схеме: параллельно загружают на компьютер пользователя троянские программы и уведомляют пользователя о том, что для «лечения» компьютера требуется послать платное SMS. По данным Agnitum, насчитывается более 250 известных антивирусных «фальшивок», большинство из которых вредоносны.

В «Лаборатории Касперского» видят ситуацию в более мрачных тонах и говорят, что за половину 2008 г. было обнаружено уже более трех тысяч «фальшивых антивирусов». «Рост их числа составил более 700% по сравнению со вторым полугодием 2007 г., — рассказал CNews Сергей Голованов. — Данные программы очень распространены, и популярность их среди мошенников продолжает расти. Если говорить о перспективах их «бизнеса», то рост числа подобных программ может чуть замедлится, из-за насыщения «рынка» и «ухода» с него пользователей».

По материалам: CNews (http://safe.cnews.ru/news/top/index.shtml?2008/07/22/309182) от 22.07.2008

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 25th, 2008, 9:20pm
Packed.js.agent.e - вторая волна

При помощи спам-рассылки, стилизированной под системное сообщение сайта Одноклассники.ру, в последние несколько дней злоумышленники опять пытаются загнать посетителей на один из блогов blogspot.com, где расположен вредоносный код (packed.js.agent.e). Первая атака с помощью этого вируса была зафиксирована в начале июня.

При заходе на страницу происходит автоматическая загрузка вредоносного кода на компьютер пользователя. Вирус поражает ПК под управлением Windows 95 и выше, распространяется по протоколу HTTP, и по оценкам экспертов, имеет низкий уровень угрозы для пользователя.

По материалам: ITua (http://itua.info/) от 25.07.2008

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 25th, 2008, 9:28pm
Фальшивые емейлы от UPS рассылали троян Agent.JEN

PandaLabs обнаружила целый ряд электронных почтовых сообщений, содержащих троян Agent.JEN.

Подобные сообщения с темой “Посылка UPS N3621583925” маскируются под рассылку от компании UPS, занимающейся доставкой почты. Текстовое сообщение информирует получателя, что почтовую посылку невозможно доставить, и предлагает распечатать прикрепленный счет.

Такой счет представляет собой прикрепленный “.zip” файл, который содержит вложение, замаскированное под документ Microsoft Word  с примерным названием “UPS_invoice”.  Как только пользователь открывает файл, он заносит копию трояна на свой компьютер.

Вредоносный код копирует себя в систему, подменяя собой файл Userinit.exe в операционной системе Windows. Этот файл запускает Internet Explorer, системный интерфейс и другие необходимые процессы. Для дальнейшей корректной работы компьютера и во избежание обнаружения инфекции троян копирует системный файл под именем userini.exe в другую папку.

“Такие действия соответствуют динамике современного вредоносного ПО: кибер-преступники уже не стремятся к популярности и известности; они  предпочитают  обогащение без излишней огласки”, говорит Луис Корронс, технический директор PandaLabs.
В итоге, Agent.JEN подключается к русскому домену (уже использующемуся другими банковскими троянами) и с его помощью посылает на немецкий домен запрос на загрузку руткита и рекламного ПО, распознаваемых PandaLabs как Rootkit/Agent.JEP и Adware/AntivirusXP2008. Это дополнительно усиливает риск заражения.

“Мы были свидетелями того, как кибер-преступники использовали в качестве наживки для распространения вирусов эротические картинки, рождественские и романтические открытки, фальшивые трейлеры к фильмам и др. Однако видеть что-то, подобное этой задумке, нам еще не приходилось”, объясняет Корронс. “Она демонстрирует стремление кибер-преступников использовать для распространения инфекций приманки, которые бы вызывали минимум подозрений ”.

По материалам: ITua (http://itua.info/) от 24.07.2008

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 25th, 2008, 9:36pm
Sophos: злоумышленники используют Blogger.com для распространения вредоносных программ

Согласно отчету разработчика антивирусных приложений Sophos, 2% вредоносного кода в интернете находится на страницах Blogger.com.

Sophos утверждает, что киберпреступники заводят аккаунты в бесплатном блог-сервисе Google для распространения злонамеренных программ или публикуют ссылки на опасные сайты в комментариях других пользователей.

Также хакеры используют инъекции SQL для атак на законные ресурсы. Таким образом, мельчайший элемент страницы, невидимый для пользователя, может содержать ссылку на инфицированный сайт.

Старший технологический консультант Sophos Грэм Клули заявляет, что атаки на Blogger.com опаснее, чем вторжения на другие, "добропорядочные" сайты, так как этот ресурс тесно связан с поисковой машиной Google.

Sophos заявляет, что вины Google в сложившейся ситуации нет. Напротив компания очень предупредительна в вопросах очищения результатов поисковых запросов от опасных ссылок. Однако Клули заверяет, что одного предварительного сканирования недостаточно. Sophos обнаруживает веб-страницы с потенциально опасным содержимым каждые 5 секунд. По его мнению, злоумышленник может оставить на чьей-либо странице ссылку, которая выглядит совершенно безвредной при первичной проверке, а уже через 20 минут после сканирования обновить страницу. Именно поэтому, по убеждению Клули, необходимо постоянно сканировать все ссылки на страницах блогов.

Представитель Google заявил, что компания исключительно серьезно относится к вопросам безопасности своих клиентов. Google ведет активную работу по обнаружению и устранению опасных сайтов, эксплуатирующих ресурсы компании.

По материалам: Compulenta (http://soft.compulenta.ru/) от 24.07.2008

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 27th, 2008, 5:43pm
Названы самые опасные зоны Интернета

6% сайтов в Рунете несут угрозу компьютерам пользователей. По данным компании McAfee, доменная зона .ru входит в пятерку самых опасных и зараженных вредоносными программами областей Всемирной паутины.
Самой опасной эксперты признали доменную зона Гонконга (.hk) - в ней к числу небезопасных относятся 19,2% всех сайтов. Далее по убывающей идут национальные зоны Китая .cn (опасность представляют 11,8% веб-ресурсов), Филиппин .ph (7,7%) и Румынии .ro (6,8%). Российская зона .ru заняла в этом рейтинге пятое место.

Самыми спокойными были признаны зоны Финляндии .fi (0,05%), Японии .jp (0,13%), Норвегии .no (0,15%), Словении .sl (0,21%) и Колумбии .co (0,25%).

Среди наднациональных зон больше всего опасностей подстерегает пользователей на сайтах с меткой .info (заражены 11,7% сайтов) и .net (6,3%). Немало подвохов и в зоне .com (5,3% сайтов небезопасны). Самыми надежными остаются сайты правительственных учреждений в доменной зоне .gov: здесь всего 0,01% ресурсов могут представлять угрозу для компьютеров или конфиденциальности пользователей.

В исследовании также отмечается, что в целом вероятность попадания на компьютер пользователя шпионского ПО, троянов, рекламного ПО, вирусов и прочих вредоносных программ увеличилась на 41,5% по сравнению с 2007 годом.

"Хотя самое большое количество вредоносных сайтов находится в зоне .hk, это не означает, что все эти ресурсы расположены именно в Гонконге. Многие сайты, особенно с вредоносным кодом, специально выбирают наиболее доступных регистраторов доменов в странах со способствующими такой деятельности законами", - цитирует аналитика McAfee Шейна Китса издание CNews.

Высокая популярность сайтов с вредоносным ПО в Китае объясняется тем, что регистраторы в этой стране берут за создание домена всего 0,15 долл. Таким образом, зоны Австралии и Японии являются более безопасными отчасти из-за высоких цен на регистрацию доменов, отметил Китс.

Хотя самые опасные сайты расположены в зонах стран, население которых не говорит на английском, сами ресурсы представляют версии и на этом языке, что подвергает риску большое количество англоязычных пользователей. Так, 9 из 10 сайтов в румынской зоне .ro представлены на английском.

Кроме того, по мнению McAfee, порносайты в целом не являются более опасными для пользователей, чем ресурсы других типов.

Материал подготовлен службой информации Point.ru (http://www.point.ru/) 05.06.2008

Заголовок: Re: Читать обязательно!
Прислано пользователем Valenok на Июль 27th, 2008, 6:09pm
Лучший антивирус - какой он?

Антивирусные программные средства по удобству и частоте применения можно
довольно условно разделить на несколько типов:

  • комплексные антивирусные программные пакеты - осуществляют полномасштабный мониторинг программного обеспечения компьютера и работают в теле операционной системы (как правило, включают в себя несколько одновременно работающих взаимосвязанных модулей). Например – антивирусы Касперского, Dr.Web (или антивирус Доктор Веб), F-Prot, Mcafee, Avira, Avast, Sophos, NOD32, McAfee, Panda, Norton, AVG.

    Почти все производители антивирусов дают попробовать их в деле на некоторый срок бесплатно – обычно от 2 недель до 3 месяцев, после чего пользователь должен принять решение о покупке продукта или удалить его со своего компьютера, потому что по истечении пробного срока антивирус теряет функциональность полностью или частично;

  • существуют так же бесплатные версии антивирусов, для «индивидуального домашнего применения». Можно считать эти урезанные по функциональности версии полномасштабных антивирусных продуктов успешным маркетинговым ходом, служащим для привлечения потребителя к более совершенным «профессиональным версиям» антивирусных продуктов. Пример - антивирусы Avira AntiVir Personal Edition Classic и avast! 4 Home Edition;
  • третьим типом антивирусных продуктов являются утилиты, не ведущие постоянный мониторинг процессов в компьютере, а запускаемые вручную, по необходимости. Этот класс является выделением из первого и служит цели привлечения внимания клиента к более совершенным и дорогим продуктам. Относительно первого и второго типов является более упрощённым как в функциональности, так и в размере. Например – Dr.Web CureIT! и адресные утилиты Касперского;
  • четвёртым типом антивирусных продуктов можно считать антивирусные утилиты, производящие загрузку и проверку данных до загрузки операционной системы. Например – Avira NTFS4DOS Personal или Avast! 7.7 for DOS , или Dr.Web сканер командной строки (для UNIX-Windows-DOS). Но так как для их использования необходима квалификация пользователя выше среднего, применяются они не часто.

    Каждый солидный разработчик антивирусных программ старается удовлетворить все запросы пользователей и создать всю линейку продуктов, для разных операционных систем.

    Материал подготовлен службой информации help-antivirus.ru (http://help-antivirus.ru)

  • Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Июль 28th, 2008, 9:15pm
    Многоликий зиродэй
    Автор: Денис Зенкин
    Часть I

    Атаки типа zero-day были, есть и будут главной угрозой, исходящей из враждебного сетевого окружения. Такое мнение уже не раз высказывали специалисты по информационной безопасности (ИБ), но события последних дней напомнили старые добрые пророчества и заставили сисадминов всея планеты забиться в пароксизме зиродэйной идиосинкразии.

    "Зиродэй" представляет собой разновидность атаки, при которой враг проникает в компьютерную систему через неизвестную, неопубликованную или непатченную брешь в каком-либо приложении или операционной системе. Не имеет значения, насколько педантично вы загружаете антивирусные апдейты, устанавливаете пакеты обновлений и приносите другие жертвы пантеону божеств сетевой гигиены. В этом случае мы имеем дело с противником-невидимкой: мы ничего о нем не знаем, у нас нет возможности создать противоядие. Как правило, обнаружить проникновение можно только по косвенным признакам при помощи анализа сетевых флуктуаций.

    История знает много случаев успешного использования неизвестных уязвимостей. В июне 2004 года в Сети была зарегистрирована эпидемия троянской программы Scob, использовавшей сразу две непонятные бреши в Internet Information Server и Internet Explorer. В сентябре 2006-го американский провайдер HostGator стал виновником заражения тысяч пользователей вредоносной программой, эксплуатирующей ошибку в обработчике VML-файлов. В начале 2007 года Microsoft признала наличие критической уязвимости в Word, которой немедленно воспользовался компьютерный андерграунд для хищения паролей.

    Этическая противоречивость и опасность "зиродэя" продолжают питать жаркие дискуссии. В вирусописательских кругах zero-day-эксплойты (пример использования уязвимости) уже обрели статус твердой валюты и ценятся на вес золота. К примеру, накануне выпуска Windows Vista неизвестные умники в одном из форумов продавали этот товар аж за 50 тысяч долларов. В зависимости от надежности источника, актуальности бреши и серьезности намерений покупателя стоимость эксплойта может достигать и нескольких сотен тысяч долларов.

    С другой стороны, "зиродэй" активно используют ИБ-специалисты и разработчики в целях самопродвижения. Кто откажется "звездануть" в заголовках прессы, сообщив миру о грядущем апокалипсисе? Опять же редкому бизнесмену не понравится идея "обналичить цитируемость", стимулирующую продажи софта. Правда, вскоре выяснилось, что это лукавое правдорубство вызывает и обратный эффект. Андерграунд с благодарностью принял такой подарок и стал использовать информацию о дырах в корыстныхцелях. Таким образом, эволюция отношения профессионального сообщества к раскрытию брешей привела к негласному запрету на публикацию любых деталей до момента выпуска патча. Это было закреплено в уставах неформальных организаций (RFPolicy, OIS Guidelines и пр.), а также проросло в международных соглашениях вроде Конвенции по борьбе с компьютерными преступлениями.

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Июль 28th, 2008, 9:19pm
    Часть II

    Практика, однако, показывает, что ни новые этические нормы, ни закручивание законодательных гаек, ни развитие ИБ-систем не могут остановить поток zero-day-уязвимостей. Всего через два часа после выхода долгожданного Firefox 3.0 участники проекта Zero Day Initiative (ZDI) сообщили об обнаружении серьезной ошибки в популярном браузере, позволяющей незаметно запускать на компьютере жертвы вредоносный код. В июне был взломан сайт компании Metasploit, специализирующейся как раз на защите от брешей: по мнению специалистов, здесь тоже имел место "зиродэй-инцидент". В конце месяца жертвами дифейса со стороны неизвестных турецких хакеров пали ICANN и ее дочка IANA - два ключевых элемента современной интернет-инфраструктуры. В отсутствие официальных комментариев можно предположить, что вряд ли эти уважаемые организации забыли пропатчить свои системы - скорее всего речь идет о классической атаке zero-day.

    О масштабах проблемы гадать не нужно - это открытая информация. По данным Symantec, среднее время между обнаружением бреши и выпуском вредоносного кода для нее составляет шесть дней, тогда как для выпуска патча требуется уже сорок шесть дней. 64% уязвимостей были классифицированы как средние и критические, из них 73% получили статус "простые для эксплуатации". А McAfee сообщает, что 10% всех зарегистрированных zero-day-брешей имели класс "in the wild", то есть были обнаружены в готовом вредоносном коде, уже получившем распространение (!).

    За примерами далеко ходить не нужно. Свежая уязвимость в Internet Explorer позволяет реализовать слежку за пользователем в лучших традициях Большого Брата. "Представьте, что невидимый скрипт постоянно наблюдает за вами, видит все, что вы делаете, записывает все адреса и введенные данные (в том числе пароли) и даже может угадать ваш следующий шаг", - так описывает опасность известный мексиканский исследователь Эдуардо Вела. Представьте, сколько подобных скриптов и им подобных неизвестных науке эксплойтов бороздят Интернет? Даже сейчас, когда вы читаете эту статью, есть ли уверенность, что ваш компьютер неуязвим и кто-то не качает что-то через какую-то брешь, о которой именитые спецы не имеют понятия?

    На закономерное сомнение уважаемого читателя в психическом здоровье автора отвечу известным афоризмом: "Если у вас нет паранойи, это еще не значит, что тот мужик за вами не следит". Простейший способ решить проблему - ее игнорировать. Однако факты - вещь упрямая. А они свидетельствуют, что дела в консерватории не сдвинулись с места: "зиродэй" остается дамокловым мечом, способным в одно мгновение ввести Интернет в состояние хаоса.

    По материалам интернет-журнала: Сomputerra.ru (http://www.computerra.ru/) Опубликовано 25.07.2008

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Август 2nd, 2008, 11:59pm
    Google: большинство загрузок шпионских программ исходит из Китая

    Google представил (http://news.cnet.com/8301-1009_3-10002761-83.html?part=rss&subj=news&tag=2547-1_3-0-20) результаты исследования сайтов, содержащих вредоносное программное обеспечение, на конференции Usenix Security, согласно которым большинство скрытых загрузок spyware инициируется компьютерами, находящимися в Китае.

    Около 67% всех опасных сайтов и 64% подозрительных серверов расположено на территории Поднебесной, сообщил старший инженер Google Нильс Провос.

    По мнению Провоса, вредоносное ПО, базирующееся на интернет-технологиях, представляет собой серьезную проблему, эффективного решения которой пока не существует.

    В период с января по октябрь 2007 года специалисты Google проанализировали 66 миллионов уникальных адресов, результаты показали, что из них 3,5 миллиона скрывают злонамеренные программы. По словам Провоса, степень обнаружения тогда составила 90% с погрешностью не более 0,1%.

    Представленный анализ представляет собой лишь часть усилий, предпринимаемых Google, по защите пользователей. Компания составляет список потенциально опасных сайтов, и поисковая машина выдает предупреждения, когда их адреса появляются в результатах поиска.

    Нильс Провос сообщил, что 12% атак связаны с рекламой, использующей поисковые механизмы. Он также заявил, что Google делает все возможное, чтобы предотвратить посещение пользователями опасных сайтов, но в настоящий момент не существует универсального средства защиты.

    По материалам: Compulenta (http://soft.compulenta.ru/) от 31.07.2008

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Август 5th, 2008, 12:12pm
    "Лаборатория Касперского" представила рейтинг распространенности вредоносных программ

    "Лаборатория Касперского" представила (http://www.kaspersky.ru/news?id=207732786) рейтинг наиболее распространенных вредоносных программ за июль 2008 года, основанный на измененной методике подготовки ежемесячных обзоров вирусной активности.

    Компания сообщает о том, что применявшиеся ранее способы оценки текущих угроз, более не могут адекватно отражать изменение ситуации. Например, электронная почта больше не является основным каналом распространения вредоносных программ, и согласно наблюдениям "Лаборатории Касперского", сейчас доля вредоносного трафика от общего количества писем составляет десятые доли процента.

    Новая методика будет основана на результатах работы Kaspersky Security Network (KSN) – новой технологии, реализованной в персональных продуктах версии 2009. По итогам работы KSN в июле 2008 года были получены две вирусные двадцатки.

    Первый список демонстрирует степень распространенности вредоносных, рекламных и потенциально опасных программ по числу компьютеров, на которых они были обнаружены. Все представленные в двадцатке вредоносные и потенциально опасные программы можно распределить по основным классам – TrojWare, VirWare, AdWare и Other Malware. Чаще всего пользовательские компьютеры становятся целью атаки троянских программ. Три первых места в рейтинге принадлежат программам: Trojan.Win32.DNSChanger.ech, Trojan-Downloader.WMA.Wimad.n и Trojan.Win32.Monderb.gen. Всего на компьютерах пользователей в июле было зафиксировано 20704 уникальных вредоносных, рекламных и потенциально опасных программ.

    Вторая двадцатка представляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. Наибольшее распространение получили программы: Virus.Win32.Virut.q, Worm.Win32.Fujack.ap и Net-Worm.Win32.Nimda. "Лаборатория Касперского" особо отмечает наличие в двадцатке программы GetCodec.d, червя, заражающего аудиофайлы. По оценкам компании, данное семейство вредоносных программ довольно активно распространяется на пользовательских компьютерах.

    Информация об изменении позиций и долей всех потенциально опасных программ будет представлена в отчете компании за август.

    По материалам: Compulenta (http://soft.compulenta.ru/) от 04.08.2008

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Август 10th, 2008, 10:09pm
    Вирусы в социальных сетях: угрозу недооценивать нельзя
    Автор: Григорий Рудницкий
    Часть I

    Популярность социальных сетей обусловила огромный интерес к ним со стороны всякого рода злоумышленников. Это означает, что теперь с помощью таких сетей можно "выловить" не только старого друга или подругу, но и весьма опасный вирус. То и дело в новостных лентах появляются сообщения о вирусных атаках то на одну, то на другую социальную сеть. Как правило, для реализации этих атак используются массовые рассылки сообщений от имени, якобы, реального пользователя или, что реже, службы поддержки. Даже сам автор этих строк попадался на подобную "удочку", один раз открыв сообщение, пришедшее через сеть "Одноклассники.ру" от совершенно незнакомого человека. Разумеется, никакого сообщения там не было, а браузер застыл в задумчивом поиске. Лишь обратив внимание на адрес, я с ужасом заметил, что это искусная подделка под домен odnoklassniki.ru, где просто заменены некоторые буквы. К счастью, никакой заразы подхватить я не успел, о чем засвидетельствовала полная проверка компьютера антивирусом со свежими базами, но, тем не менее, подобный инцидент должен насторожить любого пользователя. Вряд ли, конечно, вирусные атаки серьезно повлияют на популярность социальных сетей, но, тем не менее, неплохо было бы разобраться, насколько реальна эта опасность?

    "Опасность более чем реальна, - комментирует Виталий Камлюк, ведущий вирусный аналитик "Лаборатории Касперского", - мы ожидали рост интереса к социальным сетям  о стороны разработчиков вредоносного ПО и предупреждали об этом ещё в  начале этого года. Не знаю хорошо это, или скорее плохо, но наши предсказания уже сбылись, и мы стали свидетелями эпидемий, поразивших самые популярные российские и зарубежные сети.  Тем не менее, Виталий разъяснил нам, что в механизмах заражения ничего нового злоумышленники так и не придумали. "Заражение компьютеров сегодня по-прежнему вовлекает добровольный запуск вредоносной программы пользователем. Оценка опасности запуска нового неизвестного приложения пользователем происходит на основе установленного доверия к источнику, откуда появилась программа. Именно поэтому пользователи социальных сетей особенно уязвимы, поскольку установившаяся связь в социальных сетях и есть гарантия доверия. Таким образом, ссылки приходящие от друзей и знакомых по каналам социальных сетей заведомо имеют статус "доверенный" и смело открываются пользователем. На этом и паразитируют компьютерные черви в социальных сетях", - говорит он.

    Коллеги Виталия Камлюка по антивирусному рынку, эксперты компании "Доктор Веб" также призывают не недооценивать проблему вирусов в социальных сетях. "Сейчас можно точно сказать, что число таких угроз будет постоянно расти. Объясняется это самой спецификой социальных сетей, которые практически идеально подходят для распространения вирусов. Здесь также важен вопрос доверия - пользователи не задумываясь кликают на ссылки, которые как бы приходят им от друзей в рамках сети", - прокомментировали они.

    Разумеется, инициатива в области борьбы с распространением вредоносного ПО в социальных сетях должна исходить не от антивирусных компаний, а от администрации этих самых сетей. Здесь можно привести аналогию с медициной. Никто не будет спорить с тем фактом, что профилактика заболевания зачастую гораздо эффективнее, чем его медикаментозное лечение. Итак, каким же образом социальные сети ограждают своих пользователей от киберзаразы?

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Август 10th, 2008, 10:12pm
    Часть II

    "Мы активно и непрерывно ведем и совершенствуем методы борьбы со злоумышленниками на нашем сайте, и сейчас результаты этой борьбы заметны – спама на сайте стало заметно меньше, - рассказывает Ирина Андриевская, специалист по PR сети "Одноклассники.ру", - но, к сожалению, те, кто рассылает спам, тоже не сидят, сложа руки, и иногда проходит какое-то время, пока мы найдем какой-то способ противодействия очередному способу рассылки, что, кроме прочего, сильно отвлекает наших разработчиков от работы над какими-то новыми возможностями для наших пользователей. Есть другой способ "вредительства", когда те же злоумышленники, воспользовавшись популярностью нашего сайта, делают массовые спам – и вирусные рассылки по своим собственным базам е-mail адресов, не имеющих к нашему сайту никакого отношения, но при этом используют форму шаблонных уведомлений сайта "Одноклассники.ru". Получая сообщение, которое близко или отдаленно напоминает ссылку или уведомление, принятые в нашей системе, невнимательный пользователь подвергает свой компьютер угрозе заражения вирусом. Главная проблема в этом случае, что в СМИ и среди пользователей распространяется ложное впечатление, что это именно "Одноклассники.ru" раздают вирусные "подарки" (что по сути дела является уголовным преступлением). В то время как получателем подобных массовых спам-рассылок может стать любой пользователь интернета и электронной почты, вне зависимости от того, зарегистрирован он на нашем сайте или нет. Вся связь  очередного инцидента с популярным брендом "Одноклассники.ru" заключается в использовании имиджа и имени компании, которым не грешат злоупотреблять как сами вирусописатели, так и распространители "сенсаций" о вирусах. Каждый раз мы вынуждены повторять тот факт, что электронные адреса зарегистрированных пользователей, запрашиваемые только для регистрации на сайте, являются конфиденциальной информацией и используются исключительно службой поддержки сайта для рассылки уведомлений. Возможность похищения базы электронных адресов ресурса "Одноклассники.ru" полностью исключена, так же, как и распространение с ее использованием каких либо спамерских рассылок. Ссылки, содержащиеся в уведомлениях сайта "Одноклассники.ru" не могут и не должны вести ни на какие ресурсы кроме www.odnoklassniki.ru (http://www.odnoklassniki.ru/). Все остальные похожие ссылки – ловушка".

    Ирина Андриевская также отметила, что огромную помощь в борьбе с рассылкой вирусных сообщений оказывают сами пользователи, которые неустанно жмут на кнопки "пожаловаться на спам" и  "заблокировать нежелательное сообщение". Но главное - это, конечно, чисто технические разработки, которые позволяют нам отслеживать и предотвращать попытки использования нашего сайта с целью распространения вредоносных рассылок", - сказала она в заключение.

    "Администрации социальных сетей могли бы для начала автоматически проверять все ссылки размещаемые в социальных сетях на предмет наличия по ним вредоносного кода. В случае обнаружения вредоносного кода можно блокировать ссылку и уведомлять пользователя, разместившего ссылку, о возможном заражении. "Антивирусным компаниям лишь остаётся продолжать делать свою работу, детектируя новые вредоносные программы", - комментирует Виталий Камлюк. По его словам, антивирусным компаниям и социальным сетям следовало бы более тесно сотрудничать между собой, так как последние пока для разработчиков антивирусного ПО представляют некий "черный ящик", поэтому пользователям пока приходится защищаться лишь с помощью традиционных персональных продуктов.

    Эксперты "Доктор Веб" в качестве средства защиты порекомендовали одну из своих бесплатных разработок, плагин к браузеру Firefox, который проверяет все ссылки еще до непосредственного нажатия на них пользователя.

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Август 10th, 2008, 10:13pm
    Часть III

    В принципе, социальные сети - это лишь эффективное средство, коммуникативный канал для доставки вирусов доверчивым пользователям. Методы у злоумышленников остались все теми же, основанными на пресловутой социальной инженерии. Помните песню Булата Окуджавы, которую пели Лиса Алиса и Кот Базилио в фильме "Приключения Буратино": "пока живут на свете дураки, обманом жить нам, стало быть, с руки"? Так что давайте не будем дураками и десять раз подумаем, прежде чем открывать письмо от незнакомца или незнакомки, присланное, якобы, из социальной сети, а также кликать по каким-либо ссылкам в подозрительных сообщениях. Больше ничего и не требуется.

    По материалам интернет-журнала: Сomputerra.ru (http://www.computerra.ru/) Опубликовано 09.08.2008

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Август 14th, 2008, 9:23am
    Microsoft заделала более двух с половиной десятков дыр в своих продуктах
    Автор: Владимир Парамонов

    Корпорация Microsoft в рамках ежемесячного обновления своих программных продуктов выпустила крупную порцию патчей для операционных систем Windows различных версий и офисных приложений.

    В общей сложности Microsoft опубликовала (http://www.microsoft.com/technet/security/bulletin/ms08-aug.mspx) одиннадцать бюллетеней безопасности с описанием 26 уязвимостей. Это, как отмечает (http://www.informationweek.com/news/security/app_security/showArticle.jhtml?articleID=210003015) компания Symantec, самое крупное обновление продуктов софтверного гиганта с августа 2006 года. Семнадцать из найденных дыр охарактеризованы критически опасными и, соответственно, могут эксплуатироваться злоумышленниками с целью получения несанкционированного доступа к удаленному компьютеру и последующего выполнения на нем произвольного вредоносного кода.

    Критические уязвимости найдены в подсистеме Microsoft Image Color Management программных платформ Windows 2000, Windows XP и Windows Server 2003, компонентах ActiveX, редакторе электронных таблиц Excel, программе для работы с презентациями PowerPoint и фильтрах Microsoft Office. Кроме того, выпущен кумулятивный патч для браузера Internet Explorer, устраняющий шесть уязвимостей.

    Еще ряд выявленных дыр получили статус важных. Такие уязвимости присутствуют в различных компонентах операционных систем Windows, текстовом редакторе Word, приложениях Windows Messenger, Outlook Express и Windows Mail. Вместе с патчами вышла обновленная версия утилиты для поиска вредоносных программ Microsoft Windows Malicious Software Removal Tool.

    Загрузить заплатки можно через службы Windows Update, Microsoft Update, встроенные в Windows средства автоматического обновления, а также через веб-сайт корпорации Microsoft.

    По материалам: Compulenta (http://soft.compulenta.ru/) от 13.08.2008

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Август 14th, 2008, 9:02pm
    Как избежать компьютерной атаки

    Panda Security подготовила список правил, чтобы помочь пользователям безопасно путешествовать по Интернету. В период отпусков пользователи гораздо чаще используют такие сервисы, как чаты, онлайновые игры, загрузки ПО и интернет-магазины (в силу появления дополнительного времени).

    Не дремлют и кибер-преступники, они стараются использовать ситуацию в своих целях: для поиска новых жертв.

    Ниже представлен список рекомендаций, которые помогут обеспечить безопасность Вашего компьютера этим летом:

    - Удостоверьтесь, что ваше решение безопасности активно и обновлено. Необходимо, чтобы ваш антивирус работал не только на поиск известных и уже занесенных в базу данных вредоносных кодов, но и был обеспечен проактивной технологией поиска неизвестных угроз. Он также должен быть оснащен брандмауэром.

    - Особое внимание уделите электронной почте,  так как именно она чаще всего является источником угроз, включая фишинг и розыгрыши, рассылаемые со спамом. Игнорируйте любые, якобы приходящие от Вашего банка запросы на предоставление персональной информации и любые другие, массово рассылаемые предложения, какими бы заманчивыми они вам не казались. Убедитесь, что ваш антивирус настроен на сканирование всей входящей и всей исходящей почты. Игнорируйте сообщения, поступающие от неизвестных вам отправителей.

    - Внимательно следите за появлением обновлений и скачивайте их без промедления. Для атаки кибер-преступники часто пользуются брешами в системе безопасности популярных программ. Создатели в таких случаях обычно разрабатывают средства защиты для ликвидации обнаруженных уязвимостей. Если приложения автоматически не извещают вас о возможности скачивания новых версий, посетите веб-страницу разработчиков - там вы узнаете о наличии доступных обновлений. Отличный вариант – обновление ПО Вашего компьютера перед уходом в отпуск и после возвращения из него.

    - Старайтесь не загружать программы с сомнительных сайтов, потому что существует угроза заражения. Это также касается загрузок в P2P сетях. Многие угрозы маскируются под файлы с заманчивыми названиями, чтобы привлечь пользователей, заставить их скачать файл и запустить на своем компьютере.

    - Отклоняйте любые неизвестные вам файлы, присылаемые из чатов и групп новостей, они могут содержать вредоносные коды.

    - Никогда не сообщайте конфиденциальных сведений о себе людям, с которыми вы только что познакомились в чате, IRC и т.д. Вы не можете знать, что за человек находится по другую сторону сети. Поэтому, старайтесь не давать сведений, которые способствовали бы установлению вашего местонахождения.

    - Делайте покупки только в хорошо зарекомендовавших себя интернет-магазинах, и никогда ничего не покупайте на сайтах, на которых транзакция выполняется не по протоколу безопасности и без шифрования информации. Вы можете определить, защищена ли веб-станица, по наличию сертификата безопасности – иконки в виде желтого замочка в командной строке браузера или в правой нижней части экрана.

    - Не используйте общественные компьютеры для проведения транзакций, которые потребуют от вас введения паролей или личных данных.

    - Используйте программы родительского контроля. Летом дети чаще пользуются компьютером. Важно научить их ответственному отношению к использованию интернета, определить возможное время сидения за компьютером, присматривать за ними и ограничить доступ к определенным страницам и другому недопустимому контенту.

    По материалам: ITua (http://itua.info/) от 14.08.2008

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Alf-01 на Август 19th, 2008, 6:19am
    а почему моё сообщение убрали?

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Август 19th, 2008, 6:33am

    on 08/19/08 в 06:19:42, Alf-01 wrote:
    а почему моё сообщение убрали?

    В данной теме содержание твоего сообщения является банальным флудом!  http://s14.rimg.info/71a8c39583a9cacc33feb1383876d3a8.gif (http://smiles.33b.ru/smile.118210.html)

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Alf-01 на Август 19th, 2008, 9:32pm
    опять...дак вот если ты сам не знаешь это совсем не обязательно что это другие не должны знать

    http://s3.rimg.info/54440045bc8653265e457a5b4b354698.gif (http://smiles.33b.ru/smile.42189.html)  Первое предупреждение за флуд!
    http://s7.rimg.info/43f99d1a5a209cad295a657bbd40795a.gif (http://smiles.33b.ru/smile.77858.html)    Повторное предупреждение за обсуждение действий администрации форума!


    Valenok  http://s8.rimg.info/3f51cbc691051ed7b18447da2e777e75.gif (http://smiles.33b.ru/smile.89316.html)

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Сентябрь 3rd, 2008, 9:39pm
    The evil genius of XP Antivirus 2008 - ''адская защита'' для доверчивых.
    Автор: WZor

    http://ipicture.ru/uploads/080903/wiEWVeO5d4.jpg

    Не так давно столкнулся у клиента со злобным вирусом, подхватил он его купившись на рекламу якобы эффективного антивируса Antivirus XP 2008 программа-шпион нового поколения.
    Всё гениальное просто, вирус "замаскирован" под полноценную shareware программу для обнаружения и удаления вирусов.
    Программа-шпион Antivirus XP 2008 имеет "прекрасный" интерфейс вводящий в заблуждение даже искушённого пользователя так что он даже не подозревает что устанавливая Antivirus XP 2008, Antivirus 2008 или Vista Antivirus 2008 он устанавливает целый набор всякой гадости, и избавится от этой напасти даже профессионалу не так просто.

    http://ipicture.ru/uploads/080903/48PCBtTkzq.jpg

    Скажу что и сам я потратил достаточно времени в изучении этой напасти, в результате всё же удалось удалить эту гадость, программа-шпион постоянно востанавливалась как только ПК получал доступ к Интернету.
    Для тех кому пришлось столкнутся с этой напастью рекомендую прочитать эту статью (Как удалить Antivirus XP 2008? Инструкция по удалению) (http://www.infuture.ru/article/1035) в которой описывается методика полного удаления этой злобной программы.

    http://ipicture.ru/uploads/080903/6ZJrqVH8TE.jpg

    Вот мои рекомендации которых я сам придерживаюсь и рекомендую придерживаться всем для того чтобы не возникало проблем с заражением ПК вирусами:
    1. Никогда не загружайте письма на локальный ПК с вашего почтового сервера и не открывайте писем (ссылок) от незнакомых вам людей.
    2. Пользуйтесь почтовыми сервисами которые способны забирать почту с других почтовых серверов, проверять её на вирусы и отфильтровывающие спам.
    Я пользуюсь GMAIL (http://mail.google.com/)'ом для сбора почтовых сообщений с разных почтовых аккаунтов и только потом забираю их с GMAIL, он прекрасно фильтрует спам и не допускает загрузки инфицированных писем.
    3. Никогда не устанавливайте сразу на рабочий компьютер новые, и не проверенные временем программы. Пользуйтесь виртуальными операционными системами для тестирования новых программ.
    4. Заходите на сайты с сомнительной репутацией и с сомнительным контентом только с виртуальных систем, это просто, безопасно, надежно.
    5. Если вы сомневаетесь в скачанном вами файле то запускайте его только в изолированной виртуальной системе. Для этих целей у меня установлена Microsoft Virtual PС (http://www.microsoft.com/downloads/details.aspx?FamilyId=28C97D22-6EB8-4A09-A7F7-F6C7A1F000B5&displaylang=en) и хостовые системы Windows 98 (виртуальная Windows 98 это файл размером около 500MB, для Windows XP это файл виртуальной OS около 2GB). Если виртуальная система оказалась зараженной то достаточно удалить файл виртуальной OS и скопировать из "загашника" новый.
    Эти простые пять правил обезопасят ваш рабочий компьютер от вирусов и прочей напасти...
    The evil genius of XP Antivirus 2008. (http://www.theregister.co.uk/2008/08/22/anatomy_of_a_hack/print.html)

    По материалам: WZor.Net (http://www.wzor.net/) от 31.08.2008

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Сентябрь 3rd, 2008, 10:27pm
    Новые подделки под антивирусные и антиспайварные программы
    Автор: Валерий
    Часть I

    За прошедший месяц появилось множество поддельных антивирусных и антиспайварных программ, все они хотят одного – денег, за удаление того, чего нет. Кстати, трояны посредством которых они попадают на компьютер пользователя они так же не удаляют.
    Итак наши герои, которых мы рассмотрим сегодня: XP Guard, AntiVir64, MSAntivirus, Power Antivirus, SpywarePrevent, XpertAntivirus, Antivirus XP 2008, Total Secure 2009. Некоторые из этих программ похожи на уже рассмотренные нами ранее (1 (http://www.spyware-ru.com/?p=44), 2 (http://www.spyware-ru.com/?p=36), 3 (http://www.spyware-ru.com/?p=27)), а некоторые выделяются новым интерфейсом.

    Total Secure 2009
    http://www.spyware-ru.com/wp-content/uploads/2008/09/totalsecure2009.jpg
    Программа похожа на IEAntivirus.
    HijackThis показывает заражение:
      O4 - HKCU\..\Run: [TotalSecure2009] C:\Program Files\TotalSecure2009\scan.exe

    Antivirus XP 2008
    http://www.spyware-ru.com/wp-content/uploads/2008/09/antivirusxp2008.jpg
    HijackThis показывает заражение:
      F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\oembios.exe,
      O4 - HKLM\..\Run: [lphc31tj0ev99] C:\WINDOWS\system32\lphc31tj0ev99.exe

    XpertAntivirus
    http://www.spyware-ru.com/wp-content/uploads/2008/09/xpertantivirus.jpg
      Загружается с сайтов: xpertantivirus.com : 91.208.0.230, scanner-xpertantivirus.com : 91.208.0.246.

    SpywarePrevent
    http://ipicture.ru/uploads/080903/HSUKJgQV7N.jpg
      Загружается с сайта: spywarePreventer.com : 216.255.186.253.

    Power Antivirus
    http://www.spyware-ru.com/wp-content/uploads/2008/09/powerantivirus.jpg
      Загружается с сайта: 91.208.0.231, scanner-pwrantivirus.com : 91.208.0.246.

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Сентябрь 3rd, 2008, 10:55pm
    Часть II

    MS Antivirus (это далеко не антивирус компании Microsoft)
    http://www.spyware-ru.com/wp-content/uploads/2008/09/msantivirus.jpg
    HijackThis показывает заражение:
      O4 - HKLM\..\Run: [Antivirus] C:\Program Files\MSA\MSA.exe
      O4 - HKCU\..\Run: [Antivirus] C:\Program Files\MSA\MSA.exe

    Antivir64
    http://www.spyware-ru.com/wp-content/uploads/2008/09/antivir64.jpg
      Загружается с сайта: Antivir64.com; IP Address: 78.157.142.7

    XP Guard
    http://www.spyware-ru.com/wp-content/uploads/2008/09/xpguard.jpg
      Загружается с сайта: XP-Guard.com; IP Address: 92.62.101.35

    Как удалить этих паразитов:
    Все эти поддельные программы и их инсталляторы, можно удалить используя Malwarebytes’ Anti-Malware (http://www.spyware-ru.com/?p=46) (очень неплохая и бесплатная антиспайварная программа).

  • Скачайте и установите её на компьютер. Запустите.
  • Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
  • Откройте вкладку Сканер, и кликните по кнопке Проверить.
  • После сканирования кликните OK, вам будет показан результат сканирования.
  • Удалите всё что было найдено.

    Примечание 1: Некоторые из этих паразитов можно удалить с помощью SmitFraudFix (http://www.spyware-ru.com/?p=14), ComboFix (http://www.spyware-ru.com/?p=6).
    Примечание 2: Вместе с Antivirus XP 2008 на компьютер проникает довольно трудно удаляемый троян tdssserv.sys, он блокирует запуск некоторых антиспайварных и антивирусных программ, но Malwarebytes’ Anti-Malware может его удалить, на данный момент. (Авторы паразитов тоже не дремлют)

    Если же это лекарство не помогло, то обратитесь на наш анти спайварный форум (http://www.spyware-ru.com/forum/) за помощью.

    По материалам: СПАЙВАРЕ ру (http://www.spyware-ru.com/) от 01.09.2008

  • Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Ноябрь 3rd, 2008, 11:12pm
    Новые технологии написания вирусов
    Автор: Павел Мезенцев

    Два студента из Калифорнийского университета в Сан-Диего, Эрик Баханэн и Райан Рёмер показали, как можно превратить обычный компьютерный код во вредоносный. Для этого используется специальная техника, называемая «возвратно-ориентированным программированием». Этот подход отличается от традиционного, в котором используются инъекции вредоносного кода в обычные программы.

    В прошлом году профессор Говав Шахэм из Калифорнийского университета в Сан-Диего (США) уже показывал, как эта техника может быть использована, чтобы заставить процессор x86 исполнять вредоносные инструкции без инъекции вредоносного кода. Однако его атака требовала кропотливого ручного кодирования и опиралась на особенности архитектуры x86. В отличие от него, Баханэн и Рёмер разработали способ автоматической атаки применительно к RISC процессорам.

    Как и многие традиционные способы «вирусописания», возвратно-ориентированное программирование опирается на замену содержимого стэка, позволяющего в свою очередь изменить порядок выполнения инструкций. Но вместо использования инъекции кода новая технология собирает вредоносный код из текущих инструкций в программе.

    В качестве примера Шахэм приводит ситуацию, в которой данная технология используется с целью заставить веб-браузер красть пароли пользователя или рассылать спам, применяя только тот код, который изначально есть в самом веб-браузере.

    В исследовании (http://cse.ucsd.edu/~rroemer/doc/sparc.pdf) не только был рассмотрен новый механизм заражения, но и предложено несколько вариантов защиты от возвратно-ориентированного программирования. Но если это не сработает, то в будущем, возможно, придется отбрость современную «антивирусную» модель (согласно которой код статически делится на хороший и плохой) и сосредоточиться на динамическом определении того, каковы могут быть результаты исполнения того или иного потока.

    По материалам: Compulenta (http://soft.compulenta.ru/) от 28.10.2008

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Ноябрь 3rd, 2008, 11:18pm
    Составлен список самых «страшных» вредоносных программ
    Автор: Владимир Парамонов

    Компания PandaLabs в честь Хеллоуина представила список десяти вредоносных программ, способных нанести серьезный урон пользовательским данным и причинить немало неприятностей.

    Открывает десятку вирус Tixcet.A. Маскируясь под файл Microsoft Word, этот червь пытается удалить файлы с определенными расширениями, такими как .DOC, .MP3, .MOV, .ZIP, .JPG и др. Так что под праздники можно запросто остаться без коллекции песен и фотографий.

    Далее следует вредоносная программа Antivirus2008pro, выдающая себя за бесплатный антивирус. Многие пользователи покупаются на обман, однако вскоре Antivirus2008pro начинает выдавать сообщения о ложных заражениях, пытаясь вынудить владельца ПК заплатить за «лекарство».
    Вирус Goldun.TB маскируется под почтовое приложение, сообщающее, что интернет-обслуживание жертвы будет приостановлено. Попав на компьютер, он крадет пароли и информацию об онлайновых платежах.

    Далее идут несколько троянов. Первый из них, Baker.LGC, пытается проникнуть на компьютер, прикрываясь лживой историей о несчастном случае с участием Фернандо Алонсо, испанского гонщика Формулы 1. Второй троян, Turkojan.I, владеет одной из самых привлекательных маскировок: он выдает себя за новый эпизод «Симпсонов». А вот троянская программа Banbra.FXT генерирует почтовое сообщение от имени бразильского федерального министерства, а затем очищает банковские счета поверивших в розыгрыш пользователей.

    Червь AutoKitty.A, также попавший в список, вносит в системный реестр Windows многочисленные модификации, мешающие компьютеру корректно выполнять свою работу. Троян PHilto.A под маской видео о Пэрис Хилтон устанавливает на компьютер модули, демонстрирующие рекламу, а вредоносная программа MeteorBot.A под видом супермена крадет информацию о компьютере. Наконец, в десятку вошел троян PGPCoder.E, пытающийся зашифровать все пользовательские данные.

    По материалам: Compulenta (http://soft.compulenta.ru/) от 01.11.2008

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Декабрь 1st, 2008, 7:41am
    «Доктор Веб» сообщает об эпидемии «почтовых вирусов»

    Компания «Доктор Веб» информирует об эпидемии почтовых вирусов, начавшейся 24 ноября 2008 г. Несмотря на уменьшение общего количества спама в последние недели в связи с прекращением деятельности крупных спам-хостеров, злоумышленники находят новые пути для распространения вредоносных программ посредством почтовых спам-рассылок. На данный момент доля одной из них в общем вирусном почтовом трафике составляет около 50%.

    С 24 ноября началась массовая рассылка спама на немецком языке с вложением abrechnung.zip (нем. abrechnung - удержание денежных средств). Текст писем данной рассылки несколько различается и служит тому, чтобы пользователь, повинуясь импульсивному решению, открыл содержимое приложенного архива.

    В архиве находится файл abrechnung.lnk и папка scann, внутри которой располагается файл scann.a, который является исполняемым и определяется антивирусом Dr.Web как Trojan.DownLoad.16843. Структура архива позволяет предположить, что авторы рассылки делали расчет на то, что пользователь после распаковки увидит и запустит файл abrechnung.lnk (расширение которого по умолчанию не показывается в Проводнике), а на папку не обратит внимание. Таким образом, будет запущен другой файл, scann.a.

    Данный вредоносный файл представляет опасность в связи с внедрением в системные процессы svchost.exe и explorer.exe. После этого производится загрузка других компонентов вредоносной программы с серверов, расположенных в Китае. Данный троянец также может распространяться на съемных носителях через файл system.exe, являющийся компонентом этого вируса.

    По информации антивирусной лаборатории «Доктор Веб», в настоящее время доля Trojan.DownLoad.16843 в общем вирусном почтовом трафике составляет около 50%.

    Также, несмотря на прекращение деятельности крупных спам-хостеров, начинают возвращаться рассылки писем со ссылками на страницы, содержащие Trojan.DownLoad.4419. В последней рассылке данного троянца, которая прошла в ночь с 24 на 25 ноября, злоумышленники решили сменить амплуа. На этот раз вместо ссылок на якобы порно-видеоролики предлагалось скачать бета-версию браузера Microsoft Internet Explorer 8.

    Компания «Доктор Веб» рекомендует использовать одно из решений Dr.Web Security Suite, включающее в себя антивирус и антиспам, а также применять средства автоматического обновления вирусных баз и антиспам-модуля. Как и раньше, пользователям следует обращать повышенное внимание на подозрительные почтовые сообщения, избегать необдуманного следования инструкциям в письмах, в которых пишется о безвозмездных услугах или о финансовых претензиях.

    По материалам: Новости компании «Доктор Веб» (http://news.drweb.com/list/?c=5&p=0) от 25.11.2008

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Декабрь 1st, 2008, 7:51am
    «Доктор Веб» защищает от AutoIt-червей

    Компания «Доктор Веб» сообщает о значительном увеличении потока новых вирусов, для распространения которых используются съемные устройства (USB Flash Drive, CD/DVD, внешние жесткие диски и др.). Данные вредоносные объекты созданы на языке программирования AutoIt. При этом применяются методы запутывания кода скриптов при сохранении их функциональности для усложнения анализа.

    В последние месяцы значительный процент вирусных заражений происходит посредством автоматического запуска вредоносных программ со съёмных дисков. По классификации Dr.Web, этот вредоносный код именуется Win32.HLLW.Autoruner.

    Увеличение потока новых вирусов на съемных устройствах объясняется распространением языка AutoIt (свободно распространяемый язык автоматизации задач Microsoft Windows). Его характеризуют легкость программирования и широкие возможности, которые он предоставляет авторам вирусов для действий в инфицированной системе пользователя.

    В результате действия подобных вирусов после преобразования исходного текста программы получается не скрипт, но полноценный исполняемый файл. Кроме того, у вирусописателей существует возможность упаковывать все части конечного файла, за исключением скрипта, с помощью различных упаковщиков, что также затрудняет их анализ.

    Проблема передачи вирусов посредством съемных устройств становится все острее. Это, в частности, подтверждают всё более строгие меры, принимаемые крупнейшими компаниями и государственными структурами различных стран. К примеру, как сообщают иностранные СМИ, в армии США введён временный запрет на использование съёмных устройств. На многих предприятиях применяется ПО, ограничивающее использование съёмных устройств на рабочих местах.

    «Кроме использования многочисленных упаковщиков исполняемых файлов злоумышленники применяют такие методы как обфускация программного кода и скриптов. В частности, авторы вирусов все чаще применяют особенности скриптового языка AutoIt, на что мы оперативно реагируем. К примеру, в поисковом модуле Dr.Web версии 5.0, свободное бета-тестирование которой мы запустили несколько дней назад, реализована функция декомпиляции программ, написанных на AutoIt. Она позволяет анализировать AutoIt-скрипты и распаковывать исполняемые файлы, содержащиеся в AutoIt-червях», - отмечает Владимир Мартьянов, вирусный аналитик компании «Доктор Веб».

    Компания «Доктор Веб» рекомендует пользователям Windows отключить функцию автозапуска съемных устройств (USB Flash Drive, CD/DVD, внешние жесткие диски и др.), что существенно снизит вероятность заражения вредоносным кодом. Кроме того, перед использованием данных, содержащихся на съемных устройствах, следует в обязательном порядке проверить их антивирусным сканером с актуальными вирусными базами.

    По материалам: Новости компании «Доктор Веб» (http://news.drweb.com/list/?c=5&p=0) от 27.11.2008

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Декабрь 29th, 2008, 6:42am
    Создатели вирусов воспользовались уязвимостью Internet Explorer

    Немецкий провайдер IT-безопасности компания Avira обнаружила несколько опасных веб-сайтов, которые способствуют распространению вредоносного кода, используя уязвимость в Internet Explorer для заражения компьютера.

    Пока эти эксплоиты, в основном, появились на китайских веб-серверах. Однако, судя по многолетнему опыту антивирусной индустрии, злоумышленники сломают еще много различных сайтов, дабы сделать ссылки на эти вредоносные серверы.

    Microsoft уже подтвердил уязвимость, но еще не обеспечил обновление, ее исправляющее.

    Совет от Microsoft: активация Windows Data Execution Prevention (DEP) для Internet Explorer и деактивация Active Scripting в настройках браузера могут помочь уберечься от угрозы.

    Пользователям Avira нет необходимости беспокоиться об этих известных угрозах: решение IT-безопасности от Avira уже обнаруживает и блокирует их. Угрозы и ее вариации имеет имя EXP/XMLSPAN.A.

    Угроза занесена в базу в VDF file 7.01.00.223.

    По материалам: Новости компании «Avira GmbH» (http://www.avirus.ru/content/view/109/116/) от 15.12.2008

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Декабрь 29th, 2008, 6:59am
    PandaLabs: в 2009 году вредоносных программ станет еще больше
    Автор: Владимир Парамонов

    Специалисты компании PandaLabs делают прогноз на 2009 год: ситуация с безопасностью в Интернете будет только ухудшаться.

    С января по август 2008 года лаборатория Panda Security обнаружила такое же количество новых видов вредоносного ПО, что и за все предшествующие семнадцать лет. В 2009 году эта тенденция, по мнению экспертов, будет сохраняться или даже прогрессировать.

    В 2009-м доминирующими типами вредоносных программ, согласно прогнозу PandaLabs, станут банковские трояны и фальшивые антивирусы. Киберпреступники с целью кражи персональной информации и обмана пользователей будут все чаще полагаться на социальные сети и вполне легальные ресурсы, взломанные через уязвимости в серверных платформах. Кроме того, специалисты отмечают, что в следующем году особенно популярной станет техника упаковки вредоносного кода при помощи специальных заказных инструментов с целью затруднения его обнаружения.

    Лаборатория Panda Security предсказывает также значительное увеличение количества вредоносного программного обеспечения, нацеленного на набирающие популярность платформы, такие как Mac OS X, Linux или iPhone. Кроме того, в условиях финансового кризиса стоит ожидать роста популярности ложных предложений о работе, цель которых — привлечение денежных активов.

    Наконец, эксперты прогнозируют возрождение классических вредоносных кодов — к примеру, вирусов. Однако применяться подобные программы будут не для нарушения корректной работы систем или блокировки доступа к файлам, а с целью сокрытия троянов, использующихся для кражи банковской информации.

    По материалам: PandaLabs (http://www.viruslab.ru/) от 23.12.2008.

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Январь 20th, 2009, 2:09pm
    Червь Conficker заразил уже 10 миллионов ПК
    Автор: Владимир Парамонов

    Количество персональных компьютеров, инфицированных червем Conficker (он же Downadup, он же Net-Worm.Win32.Kido), приблизилось к десяти миллионам.

    Вредоносная программа Conficker была обнаружена еще в ноябре, однако пик ее распространения пришелся на начало января. Червь проникает через уязвимость в операционных системах Windows и, попав на компьютер жертвы, открывает (http://soft.compulenta.ru/394771/) злоумышленникам полный доступ к машине. Заражение также может происходить через USB-устройства — к примеру, флеш-брелоки или МР3-плееры.

    Согласно статистике компании Trend Micro, по состоянию на 19 января червем Conficker было заражено около девяти миллионов машин. Ежедневно червь поражает более миллиона ПК. Специалисты Trend Micro опасаются, что заражение может быть первым шагом в создании глобального ботнета.

    Эксперты по вопросам безопасности настоятельно рекомендуют пользователям Сети установить обновление (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx) для «дыры» в Windows, которую эксплуатирует червь, а также загрузить апдейты антивирусных баз данных.


    Вирус Downadup, использующий уязвимость MS08-067 в ОС Windows, заразил уже около 9 млн ПК, причем более 5 млн было инфицировано за последние 4 дня, сообщает компания F-Secure.

    Новый компьютерный вирус Downadup стремительно распространяется среди корпоративных систем в США, Европе и Азии, говорится в отчете финской компании F-Secure.

    По словам специалистов F-Secure, вирус Downadup, который они отслеживают уже несколько недель, распространяется в корпоративных сетях быстрее любого другого вредоносного ПО за последние годы и уже заразил почти 9 млн. компьютеров. Для сравнения, число компьютеров, зараженных знаменитым Storm Worm было почти в 9 раз меньше.

    Как отмечает Патрик Руналд (Patrik Runald), главный советник по вопросам безопасности F-Secure, сейчас червь, известный под кодовыми названиями Downadup и Conficker, заражает компьютеры пользователей с помощью уязвимости MS08-067 в операционной системе Windows, но не наносит большого вреда системам. «Создатели этого вируса еще не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит Руналд.

    Недавно компания Microsoft выпустила обновление для Windows, которое должно защитить пользователей от вируса. Большинство систем автоматически скачает новое обновление, однако, по словам Руналда, червь отключает функцию автоматического обновления на зараженных системах.

    «В течение последних нескольких недель, новый вариант червя, использующего уязвимость MS08-067, распространяется среди пользователей», — говорится в сообщении в официальном блоге Microsoft. По словам представителей компании, вирус распространяется, получая доступ к одному компьютеру, после чего подбирает пароли к другим ПК в той же сети. «Если пароль простой, вирус может успешно заразить ПК».

    По сведениям F-Secure, еще 13 января насчитывалось всего 2,4 млн зараженных ПК, через день их было уже 3,5 млн, а по данным на 16 января вирус заразил почти 9 млн систем.

    На сегодняшний день, происхождение вируса остается неизвестным, однако специалисты F-Secure предполагают, что Downadup был создан злоумышленниками из Украины. Вирус запрограммирован таким образом, чтобы не затрагивать компьютеры из этой страны. По мнению F-Secure, говорит о том, что создатели червя не хотели привлекать к себе внимание со стороны местных властей.

    По материалам: SFGate (http://www.sfgate.com/cgi-bin/blogs/sfgate/detail?blogid=19&entry_id=34778) и Trend Micro (http://www.trendmicro.com/) от 19.01.2009


    Кстати, у ЛК есть неплохая утилита: http://support.kaspersky.ru/viruses/solutions?qid=180593202
    Для удаления данного червя самое оно.

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Март 1st, 2009, 9:23pm
    PandaLabs: начинается пандемия вируса Sality.AO
    Автор: Владимир Парамонов

    Специалисты лаборатории PandaLabs (http://pandalabs.pandasecurity.com/) компании Panda Security (http://www.pandasecurity.com/russia/) предупреждает о росте числа заражений вирусом Sality.AO и его модификациями.

    Вредоносная программа Sality.AO сочетает опасные инфекционные технологии старых вирусов с новыми приемами, направленными на получение финансовой выгоды мошенническим путем. После проникновения на компьютер Sality.AO использует специальные методы сокрытия, затрудняющие обнаружение вредоносной программы. Так, например, вирус встраивает свой код в пустые области найденных на инфицированной машине файлов.

    Sality.AO может получать удаленные команды через IRC-каналы, что потенциально позволяет злоумышленникам подключать зараженный компьютер к ботнету. Таким образом, киберпреступники при помощи Sality.AO могут организовывать массовые рассылки спам-писем или осуществлять DoS-атаки. Вирус также способен через браузер переадресовывать пользователей на вредоносные веб-страницы и загружать через Сеть дополнительные компоненты.

    Специалисты отмечают, что примененные при написании Sality.AO технологии намного сложнее тех, что используются автоматизированными инструментами для создания вирусов и троянов. Это позволяет предположить, что разработкой программы занимались высококвалифицированные программисты с глубокими знаниями в области написания вредоносного кода.

    По материалам: Compulenta (http://soft.compulenta.ru/) от 19.02.2009

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Апрель 3rd, 2009, 9:35pm
    «Лаборатория Касперского» комментирует появление первой вредоносной программы, нацеленной на заражение банкоматов

    В связи с большим количеством обращений «Лаборатория Касперского» подготовила ответы эксперта компании на наиболее часто задаваемые вопросы. Комментирует Александр Гостев, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского».

    - О какой вредоносной программе идет речь? Каков ее функционал?

    - Речь идет о Backdoor.Win32.Skimer.a. По функционалу это троянская программа, способная заражать банкоматы американского производителя Diebold, одной из наиболее популярных марок банкоматов, используемых в России. Зараженные машины становятся уязвимыми для дальнейших действий злоумышленника, а именно: имея специальную карточку доступа, вирусописатель может снять всю наличность, имеющуюся в банкомате, а также получить доступ к информации о всех проведенных через этот банкомат транзакциях других пользователей и данных их кредитных карт.

    - Правда ли, что есть случаи заражения банкоматов? Насколько масштабна проблема?

    - Мы не располагаем информацией о реальных случаях заражения – она не поступала в «Лабораторию Касперского» ни от самих банков, ни от их клиентов. Мы предполагаем, что их количество, если таковые вообще существуют, минимально. Принимая во внимание некоторые особенности вредоносной программы – она способна «работать» с долларами, рублями и гривнами – можно предположить, что цель автора вредоносной программы банкоматы в России и на Украине.

    - Как происходит заражение банкомата?

    - Принцип заражения, учитывая отсутствие обращений от банков, пока не до конца очевиден. Специалисты "Лаборатории Касперского" предполагают, что речь может идти о двух возможных вариантах: прямой физический доступ к системе банкомата или доступ через внутреннюю сеть банка, к которой подключены банкоматы.

    - Могут ли пользователи самостоятельно определить зараженный банкомат?

    - К сожалению, рядовой пользователь не сможет самостоятельно определить заражение банкомата. Однако это могут сделать его владельцы. Чтобы избежать возможного заражения, эксперты "Лаборатории Касперского" настоятельно рекомендуют всем банкам провести проверку эксплуатируемых сетей банкоматов при помощи обычной антивирусной программы, детектирующий данное зловредное ПО.

    - Защищает ли Антивирус Касперского от этой вредоносной программы?

    - Да. Данная вредоносная программа была обнаружена и добавлена в антивирусные базы "Лаборатории Касперского" 19 марта 2009 года.

    По материалам: Новости компании «Лаборатория Касперского» (http://www.kaspersky.ru/news?id=207732933) от 26.03.2009

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Июнь 18th, 2009, 9:16pm
    Десятки тысяч веб-сайтов подверглись хакерской атаке Nine-Ball
    18 июня 2009 года,

    Неизвестные злоумышленники осуществили массированную хакерскую атаку, в ходе которой вредоносный программный код был внедрен более чем в 40 тысяч веб-сайтов.

    http://soft.compulenta.ru/upload/iblock/d43/vir_big.jpg
    Динамика изменения числа сайтов, взломанных в ходе массированной хакерской атаки Nine-Ball
    (диаграмма компании Websense).

    Компания Websense (http://www.websense.com/) зафиксировала первые признаки крупномасштабного нападения 3 июня; с тех пор количество пораженных ресурсов только увеличивалось. Посетители взломанных сайтов через цепочку серверов автоматически перенаправляются на страницу, содержащую эксплойты для «дыр» в программном обеспечении компаний Adobe (http://www.adobe.com/), Apple (http://www.apple.com/) и Microsoft (http://www.microsoft.com/en/us/default.aspx). Если компьютер жертвы оказывается уязвимым, на него загружаются троянские программы и прочие вредоносные модули.

    Атака получила название Nine-Ball — по имени конечного сайта, на который переадресовываются пользователи. Пока не совсем ясно, каким именно образом злоумышленникам удалось взломать несколько десятков тысяч сетевых ресурсов. Эксперты предполагают, что киберпреступники тем или иным незаконным способом получили логины и пароли для доступа к серверам, обслуживающим сайты-мишени, и затем внедрили в них свой программный код.

    По данным Websense, многие из компьютеров, использованных злоумышленниками в ходе нападения, находятся на территории Украины.

    Подготовлено по материалам eWeek (http://www.eweek.com/prestitial.php?type=rest&url=http%3A%2F%2Fwww.eweek.com%2Fc%2Fa%2FSecurity%2F40000-Web-Sites-Compromised-in-Mass-Attack-227486%2F&ref=http%3A%2F%2Fsoft.compulenta.ru%2F434752%2F).

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Июнь 22nd, 2009, 5:44pm
    Лечение ПК от Kido/Conficker/Shadow.based и Sality
    (C) Annymann

    Удаление с ПК kido/conficker/shadow.based как раз намного проще, чем Sality, т.к. кидо заражает некоторые exe файлы и всё, а салити заражает все exe, до которых может дотянутся + блокирует диспетчер задач, редактор реестра, загрузку в безопасном режиме.
    Т.е. пока хоть одна инфицированная программа запущена - компьютер заражается заново, причём он заражает и svchost и explorer и даже касперского(если тот был отключен) и ставит свой драйвер.

    Проще всего выличится от салити, если салити офф не помогает - загрузившись с загрузочного cd проверить всю систему. Загрузочные cd можно взять здесь: http://www.freedrweb.com/livecd - dr.web live cd;
    http://dnl-eu2.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso - kav live cd;
    http://rapidshare.com/files/243281370/Hirens.BootCD.9.9.incl.keyboard_patch.rar - hiren's boot cd

    если вы не можете воспользоваться лайв cd, скачайте одну из антивирусных утилит (они бесплатны):
    http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ - avp tool от kaspersky
    http://www.freedrweb.com/ - Dr.Web CureIt
    Затем запишите их на cd (или любой другой носитель, защищенный от перезаписи).
    Отключитесь от ВСЕХ сетей, кроме сети электропитания и просканируйте всю систему (все диски зараженного компьютера).

    ВАЖНО: скачивайте файлы и записывайте на cd только на заведомо чистой машине.
    Во время сканирования, не запускайте НИЧЕГО на проверяемой машине.


    Необходмо понимать - если компьютер инфицирован, то любые файлы, с которыми работали на нём, с большой вероятностью будут также инфицированы (не важно, открыли ли файл или просто вставили флеш диск с файлами).
    Поэтому не вставляйте флеш-носители, подключавшиеся к инфицированному компьютеру в другие компьютеры, чтобы избежать их заражения.
    Проверьте сначала эти флеш-носители на заведомо чистом компьютере, антивирусом с недавно обновлёнными базами.


    Салити блокирует загрузку в безопасном режиме, вот решение: http://www.z-oleg.com/secur/advice/adv1205.php
    Чтобы разблокировать диспетчер задач и редактирование реестра, скачайте avz: http://z-oleg.com/avz4.zip
    Следуйте указаниям с: http://www.z-oleg.com/secur/advice/adv1231.php

    также, возможно у некоторых возникнут другие проблемы, вот как их решить: http://www.z-oleg.com/secur/advice/

    Вот как лечить Kido:
    http://support.kaspersky.ru/wks6mp3/error?qid=208636215
    http://vms.drweb.com/virus/?i=172457
    1. Скачать на чистом компьютере
    http://data2.kaspersky.com:8080/special/KK_v3.4.7.zip
    http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx
    http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx
    http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx
    2. Отключится от всех сетей.
    3. Запустить утилиту KK_v3.4.7.
    4. Установить все три заплатки.
    5. Проверить компьютер антивирусом с обновлёнными базами.

    Добавлено:
    Чуть не забыл: салити, как и многие выводит из строя отображение скрытых файлов и папок, вот как это исправить (вирусы уже должны быть вылечены):
    1) Находим ключик:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
    Удаляем параметр CheckedValue
    2) «создать --> параметр DWORD»
    Называем его CheckedValue. Cтавим значение «1» (0x00000001)

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Июль 13th, 2009, 10:30pm
    «Лаборатория Касперского» комментирует возможность активизации вредоносной программы Kido, известной также как Conficker и Downadup.
    Часть I

    В связи с большим количеством обращений пользователей «Лаборатория Касперского» подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского».

    Что такое Kido?
    Kido представляет серьезную угрозу для всего интернет-сообщества. Эта вредоносная программа впервые была обнаружена в ноябре 2008 года. По оценкам "Лаборатории Касперского", в настоящее время Kido заражено не менее 5 млн. компьютеров. Эта сеть зараженных машин потенциально может стать самым мощным ресурсом киберпреступников в Интернете. Например, она может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

    Анализ функционала этой программы не исключал возможной активизации 1-го апреля гигантской зомби-сети (ботнета), находящейся под управлением авторов Кидо, однако в этот день эксперты "Лаборатории Касперского" не зафиксировали какой-либо активности в обмене данными между зараженными машинами и потенциальными центрами управления ботнетом. Тем не менее, по-прежнему нельзя исключать возможности активизации ботнета, при этом последующие за ним действия злоумышленников пока не поддаются прогнозированию. Анализ ситуации показывает, что, активизация ботнета может произойти в любой день, начиная с 1 апреля.

    В чем опасность Kido?
    Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

    До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается «укрепиться» на уже зараженных компьютерах.

    Более подробную техническую информацию о том, как Kido проникает в операционные системы семейства Windows можно посмотреть по адресам:
    http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725  
    http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782733
    http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782749
    http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782790

    В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Июль 13th, 2009, 10:31pm
    Часть II

    Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

    Как избежать заражения вредоносной программой Kido?
    Продукты «Лаборатории Касперского» успешно блокируют проникновение всех версий Kido на компьютеры пользователей. Проверьте, что автоматические обновления не отключены и, в том случае, если у вас есть подозрение, что Kido уже мог проникнуть на компьютер, выполните сканирование всего компьютера с помощью Антивируса Касперского. Своевременная установка патчей для ликвидации уязвимости MS08-067, безусловно, является обязательной мерой для предотвращения заражения, однако установленное решение Kaspersky Internet Security не позволит использовать уязвимость даже на непропатченной операционной системе.

    Как понять, что произошло заражение сети или компьютера?
    При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

    Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась — попытайтесь загрузить www.kaspersky.com или www.microsoft.com. Если этого сделать не удалось — то доступ к сайтам, скорее всего. блокирует вредоносная программа. Полный список ресурсов, заблокированных Kido, можно увидеть, например, здесь: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725.

    Я – администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?
    Удаление в сети вредоносной программы производится с помощью специальной утилиты KKiller.exe. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

    Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001.  
    Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.  
    Отключить автозапуск исполняемых файлов со съемных носителей.  
    Остановить службу Task Scheduler (Планировщик Задач) в Windows.  
    Удаление вредоносной программы Kido утилитой KKiller.exe необходимо производить локально на зараженном компьютере.

    Как бороться с Kido обычному пользователю домашнего компьютера?
    Скачайте утилиту KKiller и распакуйте архив в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования.

    Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Август 20th, 2009, 4:08pm
    "Helkern": 376 байт, которые потрясли мир

    "Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении нового Интернет-червя "Helkern" (также известен под именем "Slammer"), заражающего серверы под управлением системы баз данных Microsoft SQL Server 2000. Небольшой размер червя (всего лишь 376 байт), уникальная технология заражения и исключительно высокая скорость распространения позволяют назвать "Helkern" одной из главных угроз нормальному функционированию Интернет за последние несколько лет. Уже сейчас поступают данные о перебоях в работе Всемирной сети из Южной Кореи, Австралии и Новой Зеландии.

    На данный момент можно утверждать, что червь вызвал одну из крупнейших в истории глобальную эпидемию, которая затронула практически все страны мира: многочисленные сообщения о фактах заражения "Helkern" поступают из Европы, США, Азии, а также из России.

    Подробнее... (http://www.kaspersky.ru/news.html?id=1193624)

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Август 26th, 2009, 1:29am
    "Лаборатория Касперского" обнаружила вирус, заражающий Delphi-приложения на этапе разработки

    «Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о появлении вируса Virus.Win32.Induc.a, распространяющегося через интегрированную среду разработки программного обеспечения CodeGear Delphi. Защита от новейшей угрозы уже реализована во всех продуктах «Лаборатории Касперского».

    Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.

    Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.

    Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.

    В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, скорее он предназначен для демонстрации и тестирования нового вектора заражений. Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.

    Продукты «Лаборатории Касперского» успешно детектируют Virus.Win32.Induc.a и излечивают от него как откомпилированные в Delphi модули, так и файлы исполняемых в Windows форматов.

    По материалам: Новости компании «Лаборатория Касперского» (http://www.kaspersky.ru/news?id=207733037) от 18.08.2009


    История Индюка... (http://www.securelist.com/ru/weblog/39134/Istoriya_Indyuka)

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Ноябрь 7th, 2009, 6:15pm
    UAC и SIR: о безопасности с разных сторон
    Автор: Игорь Терехов
    Часть I

    Так сложилось, что автор этих строк никогда по-настоящему не пользовался антивирусом. И не только потому что мой основной компьютер - это уже давно Mac, но даже во времена Windows XP вся “зараза” почему-то старательно обходила меня стороной. Примерно раз в полгода я скачивал антивирус Касперского, убеждался, что ничего страшного в мою систему не проникло и затем с чистой совестью удалял его. Приятно было быть исключением из общего правила: вокруг всегда находились компьютеры, аккумулирующие тонны самого разнообразного вредоносного ПО. Windows XP этому благоприятствовала.

    Затем для всех пользователей Windows наступило счастье под названием Vista. Крайне противоречивый продукт, который, однако, был гораздо безопаснее XP. И всё потому, что в нем присутствовала невероятно раздражающая вещь - User Account Control (контроль учётных записей, UAC). Этот компонент запрашивал подтверждение у пользователей буквально на все действия, но благодаря такой настырности частота заражений компьютеров с Vista сократилась по сравнению с XP на 61,9%. Разумно было бы предположить, что в новой Windows 7 функция UAC получит свое развитие и, возможно, будет более сбалансирована. Но в действительности компонент обрел лишь регулировку “чувствительности”, по умолчанию настроенную почти на самый минимум.

    Специалисты британской антивирусной компании Sophos решили проверить, насколько же теперь UAC помогает в борьбе с вредоносными программами в ситуации, когда в системе отсутствует полноценный антивирус. Для этого в свежеустановленную Windows 7 со всеми настройками по умолчанию было запущено 10 свежих вирусов и троянов.

    Результаты оказались не слишком радужными. Семь из десяти программ прекрасно запустились - реакции UAC на них не последовало. Из оставшихся трёх, два вируса не заработали, поскольку были заточены под XP и Vista, и только один вызвал срабатывание UAC.

    http://www.computerra.ru/upload/iterekhov/malware1.png
    Результаты эксперимента Sophos


    "UAC слишком сильно урезали" - пояснил результаты представитель Sophos Честер Висневски (Chester Wisniewski). Он также добавил, что добиться от UAC большего эффекта можно только повысив её чувствительность до уровня Vista. Любые другие варианты её использования бесполезны.

    Впрочем, Sophos подчеркивает, что проведенный эксперимент не отражает реальный уровень защищенности Windows 7 и то, как она противостоит атакам, имея в арсенале хотя бы базовый антивирусный пакет Microsoft Security Essentials. Целью теста была оценка того, как ведёт себя модифицированный по многочисленным просьбам пользователей UAC и как работают другие встроенные механизмы защиты: DEP (Data Execution Protection) и ASLR (Address Space Layout Randomization).

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Ноябрь 7th, 2009, 6:15pm
    Часть II

    Практически одновременно с объявлением результатов Sophos компания Microsoft представила очередной отчёт Security Intelligence (http://www.microsoft.com/rus/security/sir/index.html), который содержит информацию о наиболее распространённых угрозах для пользователей компьютеров по всему миру. Он был подготовлен на основе данных, переданных независимыми организациями, а также пользователями продуктов и сервисов Microsoft. В частности, заметная доля информации была получена от почтового сервиса Windows Live Hotmail, который ежедневного сканирует на вирусы и спам несколько миллиардов писем от 300 миллионов пользователей по всему миру.

    Основные выводы отчета примерно совпадают с теми, что представил (http://www.computerra.ru/vision/461082/) в сентябре американский институт компьютерной безопасности SANS. В частности, в Security Intelligence Report отмечается, что внимание разработчиков вредоносного ПО смещается с операционных систем на сторонние приложения, в частности на Microsoft Office, поскольку пользователи, как правило, никогда не занимаются его обновлением. В результате доля атак на Microsoft Office в первом полугодии составила едва ли не рекордные 55,5%. Больше всего досталось приложениям Office, которые в последний раз обновлялись между июлем 2003 и июнем 2004 годов или не обновлялись вообще с момента выхода Office 2003 в октябре 2003 года.

    Впрочем, по мере распространения Windows 7 такая ситуация должна начать выправляться. Дело в том, что в систему встроен весьма мощный и удобный инструмент автоматического получения апдейтов для всех программ Microsoft, установленных на компьютере. Вместе с ними прилетают и обновления драйверов, например, ко мне регулярно приходит что-то новенькое от NVIDIA. В этой ситуации акцент разработчиков троянов и вирусов начнёт вновь смещаться, вот только вопрос - куда?

    Неожиданный всплеск получило так называемое ложное антивирусное программное обеспечение (Rogue Security Software). Под видом нормальных антивирусов, эти программы воруют личные данные пользователя. Их интересуют пароли и логины ото всех сервисов, хотя наибольшее предпочтение они, конечно, отдают банковской информации. Собственно, и заплатить за “антивирус” предлагают по карте, то есть разработчики начинают процесс вытягивания критически важной информации уже на этапе покупки.

    В отчёте Microsoft есть и позитивные моменты. Например, в первом полугодии сократилось общее количество уникальных уязвимостей на 28,4%, правда около половины из них всё равно характеризуется как “критические”. Сократился и индекс проникновения вредоносного ПО (число зараженных компьютеров на каждую тысячу машин) в России - он составил 15,5, что на 35% ниже, чем во втором полугодии прошлого года. Правда, это всё равно намного выше среднего значения по миру - 8,7.

    Наконец, стоит упомянуть, что наиболее распространённой вредоносной программой в России все ещё является червь Conficker. Им заражено около полумиллиона компьютеров из выборки Microsoft. Вслед за ним с большим отрывом идет Taterf - примерно 120 тысяч машин. Тройку лидеров замыкает троян Cutwail - в его активе почти 34 тысячи компьютеров.

    По материалам: Computerra (http://www.computerra.ru/vision/474871/) от 07.11.2009

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Ноябрь 11th, 2009, 6:36pm
    Данилов и компания похоронили новый Tdss

    Dr.Web - единственный антивирус, который лечит новую модификацию BackDoor.Tdss.565
    11 ноября 2009 года
    Новость обновлена в 14.30 MSK

    Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении новой опасной модификации троянской программы-бэкдора Tdss. По имеющейся у нас на момент выхода первой новости (13:30 MSK) информации в активном виде этого троянца не детектировал ни один антивирус. Специально для лечения BackDoor.Tdss.565 и всех его модификаций обновлен и доступен для бета-тестирования антивирусный сканер Dr.Web.

    Это довольно изощренный троянец, использующий руткит-технологии, который значительно превосходит по сложности лечения небезызвестный Rustock.C. Вредоносная программа для обеспечения своей последующей автозагрузки заражает системный драйвер, обслуживающий физический диск, на котором установлена ОС. В дальнейшем руткит-модуль скрывает все изменения в системе и осуществляет внедрение компонентов пользовательского режима в процессы согласно файлу конфигурации.

    BackDoor.Tdss.565 (http://vms.drweb.com/virus/?i=441481) до сих пор не поддавался лечению ни одним антивирусным продуктом и даже не детектировался большинством из них. Быстро и эффективно избавиться от активного Backdoor.Tdss.565 пользователи в России и за рубежом ранее могли при помощи Dr.Web LiveCD, который позволял излечиться от данной вредоносной программы. Теперь лечение этого руткита возможно при использовании всех антивирусных решений Dr.Web.

    Уникальная технология, разработанная специалистами «Доктор Веб» для лечения BackDoor.Tdss.565 и его последующих модификаций, реализована в антивирусном сканере, который доступен для бета-тестирования (http://beta.drweb.com/registration/) на нашем сайте.

    По материалам: Новости компании «Доктор Веб» (http://news.drweb.com/show/?i=685&c=5) от 11.11.2009

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Ноябрь 17th, 2009, 12:55pm
    «Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе
    10 апреля 2009 года

    Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

    В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.

    Подробнее... (http://news.drweb.com/show/?i=304&c=9&p=0)

    По материалам: Новости компании «Доктор Веб» (http://news.drweb.com/show/?i=304&c=9&p=0) от 10.04.2009

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Ноябрь 18th, 2009, 10:12am
    «Лаборатория Касперского» сообщает о публикации статьи «Лжеспасатели», посвященной поддельным антивирусам

    «Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о публикации аналитической статьи «Лжеспасатели», посвященной фальшивым антивирусам.

    Автором статьи является старший вирусный аналитик Группы эвристического детектирования «Лаборатории Касперского» Вячеслав Закоржевский.

    Фальшивые антивирусы — это программы, имитирующие обнаружение вредоносного ПО на компьютере пользователя и предлагающие «лечение», деньги за которое поступают в карман злоумышленников. В последние несколько лет угроза заражения этим видом нежелательного ПО стала очень актуальной.

    В статье рассматриваются основные способы заражения фальшивыми антивирусами, методы их маскировки и ухода от детектирования, статистические данные о динамике распространения, а также рекомендации по предупреждению инфицирования компьютера лжеантивирусами.

    «Растущая популярность псевдоантивирусов дает основание предполагать, что их использование является очень прибыльным делом для мошенников, — пишет автор статьи. — И чем больше поддается панике пользователь, тем больше вероятность того, что мошенники получат от него денежки. Мы еще раз призываем всех установить на компьютер хорошую легальную антивирусную программу. Это позволит вам быть уверенным в защите своего компьютера и не бросать на ветер свои деньги».

    С полной версией аналитической статьи «Лжеспасатели» можно ознакомиться на сайте Securelist.com/ru (http://www.securelist.com/ru/analysis/208050588/Lzhespasateli), а её сокращенный вариант опубликован здесь (http://www.kaspersky.ru/reading_room?chapter=207367887).

    «Лаборатория Касперского» не возражает против перепечатки материала с полным указанием авторства (автор, компания, первоисточник). Публикация переработанного текста требует дополнительного согласования с информационной службой компании.

    По материалам: Новости компании «Лаборатория Касперского» (http://www.kaspersky.ru/news?id=207733115) от 16.11.2009

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Декабрь 10th, 2009, 8:41pm
    Распространение вредоносного ПО через веб-сайты
    Автор: Костин Раю
    2 декабря 2009 г.

    Вступление. Киберпреступность: тенденции и развитие

    За последние несколько лет интернет стал опасным местом. Изначально созданный для сравнительно небольшого количества пользователей, он значительно превзошел ожидания своих создателей. Сегодня в мире насчитывается более 1,5 миллиардов интернет-пользователей (http://www.internetworldstats.com/stats.htm) и их число постоянно растет по мере того, как технология становится все более доступной.

    Преступники тоже заметили эту тенденцию и очень быстро поняли, что совершение преступлений с помощью интернета (теперь это получило название киберпреступления) имеет ряд существенных преимуществ.

    Во-первых, киберпреступность не связана с большим риском: поскольку она не имеет геополитических барьеров, правоохранительным органам трудно ловить преступников. Более того, проведение международных расследований и ведение судебных дел стоит больших денег, поэтому такие действия, как правило, предпринимаются только в особых случаях. Во-вторых, киберпреступность – это просто: в интернете предлагается огромное количество «инструкций» по взлому компьютеров и написанию вирусов, при этом каких-либо специальных знаний и опыта не требуется. Вот два основных фактора, превратившие киберпреступность в индустрию, обороты которой исчисляются многими миллиардами долларов и которая представляет собой действительно замкнутую экосистему.

    Подробнее... (http://www.securelist.com/ru/analysis/208050591/Rasprostranenie_vredonosnogo_PO_cherez_veb_sayty)

    Заголовок: Re: Читать обязательно!
    Прислано пользователем Valenok на Январь 8th, 2010, 1:12pm
    Кошелек или жизнь
    Эволюция "фабрики вымогателей", последний квартал 2009 года
    Автор: Nick Golovko
    AVZ English UI Developer
    Anti-Virus & General Security Advisor

    Наступил Новый, 2010 год. Во всем мире праздничное затишье: офисы и магазины закрыты, на улицах почти никого. Все отдыхают после главного праздника и готовятся отмечать новые. Но не везде ситуация так спокойна и благополучна: русский сектор Интернета все еще лихорадит после масштабной эпидемии, которую устроили в конце уходящего года многообразные троянские вымогатели.

    Для справки: троянский вымогатель (Trojan-Ransom) - вредоносная программа, нарушающая целостность пользовательских файлов, работоспособность отдельного программного обеспечения или операционной системы в целом, и требующая от пользователя заплатить за восстановление нарушенного функционала или поврежденных файлов.

    Мы употребили здесь слово "многообразные", но, пожалуй, в этом случае было бы правильнее сказать "однообразные": работа злоумышленников, постоянно изготавливавших все новые и новые вредоносные продукты, напоминала работу на конвейере. С завидной периодичностью (примерно раз в две недели) "фабрика вымогателей" выпускала очередной образец вредоносной программы, с однотипным названием, скроенным по одному лекалу и составленным из одних и тех же слов, и с одной и той же схемой работы: баннер-окно высокого приоритета, которое нельзя ни закрыть, ни свернуть, с текстом о якобы нарушенном лицензионном соглашении и требованием отправить платное SMS-сообщение на особый номер, чтобы получить код разблокирования.

    Надо, однако, признать, что функционал вредоносных программ все время совершенствовался, от версии к версии становясь все более изощренным. В этой статье мы и поговорим о том, как развивались вредоносные продукты, сходившие с конвейера "фабрики вымогателей", на основе сведений из информационных бюллетеней VirusInfo (см. раздел Инфекция дня (http://virusinfo.info/forumdisplay.php?f=177)).

    1. "Get Accelerator" (Trojan-Ransom.Win32.Agent.gc)

    Первым образцом троянских вымогателей, вызвавших масштабную эпидемию, был вредоносный продукт под самоназванием "Get Accelerator". Он был занесен в базу данных "Лаборатории Касперского" как "Trojan-Ransom.Win32.Agent.gc", антивирусные продукты Dr. Web называют его "Trojan.Winlock.366", а BitDefender эвристически определил его как "Gen:Trojan.Heur.Hype.cy4@aSUBebjk".

    Подробнее... (http://virusinfo.info/showthread.php?t=65773)



    Форум CLUBRUS » Powered by YaBB 1 Gold - SP1!
    YaBB © 2000-2001,
    Xnull. All Rights Reserved.