Поиск по этому блогу

9 сент. 2009 г.

The Truth about Facebook :

В августе я написал маленькую статейку о социальных сетях,так вот щас я наткнулся на видео которое это все объясняет :


Поучительное видео от SophosLabs

Facebook Fan Check Virus scare leads to malware :

8 сент. 2009 г.

Антивирус Symantec будет стучать на хакеров в полицию

Компания Symantec, известная своими антивирусными программными продуктами, намеревается резко изменить тактику защиты от кибератак - вплоть до перехода к нападению. В связи с этим, в новую версию Norton Internet Security, которая будет представлена завтра, 9 сентября, встроена функция по сбору сведений о попытках атаковать компьютеры пользователей и отправке этих данных в правоохранительные органы.

Помимо этого, на сайте Symantec будет постоянно поддерживаться информация о десяти наиболее опасных хакерах, разыскиваемых ФБР, а также об их мошеннических схемах. А со следующего года компания планирует выплачивать награду за информацию, которая позволит арестовать злоумышленников.

"Настало время прекратить разработку охранной сигнализации, препятствующей проникновению других людей, и начать охоту за плохими парнями", — уверен старший вице-президент компании по потребительской продукции Рован Троллоп.

Данный функционал будет включаться по желанию пользователей Norton Internet Security 2010 — примерно по той же схеме, по которой работает сеть Kaspersky Security Network. Но если сеть "Лаборатории Касперского" предназначена для оперативного сбора информации о новых угрозах с целью как можно быстрее добавить в базы новые сигнатуры, то новая технология Symantec позволяет выслеживать самих атакующих.

Технология, получившая несколько странное название Autopsy (т.е. "аутопсия", она же "вскрытие"), ставит подозрительное ПО, загружающееся на компьютер, на карантин и выдаёт пользователю предупреждение о том, что это ПО пришло из "неожиданного места". Сервис Norton Community Watch, также дебютирующий в версии 2010, собирает эти данные и отсылает в полицию.

Интересно, что в качестве типичных примеров "неожиданных мест" Business Week приводит Китай и Восточную Европу. С одной стороны, в выборе этих "неожиданных мест" нет ничего неожиданного, поскольку считается, что именно в этих странах количество хакеров на душу населения наиболее высоко. С другой стороны, однако, вредоносное ПО может загрузиться откуда угодно, тем более что вирусописатели довольно активно используют P2P-технологии.

Так или иначе, а в Symantec возлагают на свою "Аутопсию" большие надежды. Здесь уверены, что если раньше людей больше интересовала пассивная защита от вирусов, то сейчас всё большее количество пользователей готовы принять посильное участие в ответных действиях против хакеров.

И всё же оптимизм господина Троллопа внушает серьёзные сомнения. "Я убеждён, что мы очистим Интернет за 10 лет, если мы будем отколупывать грязь и показывать людям угрозы, которые перед ними стоят", — говорит он.


5 сент. 2009 г.

Доктор Веб: Вирусная активность в августе 2009 года

Компания «Доктор Веб» представила обзор вирусной активности в августе 2009 года. Главной темой месяца стала активность Win32.Induc – вируса, который заражает среду разработки Delphi. Не обладая ярко выраженным вредоносным функционалом, этот вирус, тем не менее, таит в себе весьма соблазнительный для злоумышленников потенциал, и потому его детектированию и лечению «Доктор Веб» уделяет такое же высокое внимание, как и к любой другой вредоносной программе. Наряду со средами программирования в прошлом месяце вирусописатели продолжили использовать возможности социальных сетей и испытанные методы социальной инженерии. Применялись и новые схемы распространения вредоносных программ и спам-сообщений – в частности, с использованием подбора captcha с помощью зараженных пользователей для авторизации на различных веб-ресурсах. Также «вышла боком» растущая популярность VoIP-телефонии – злоумышленники обернули эту тенденцию против пользователей.

Delphi и другие среды программирования под атакой

Уже несколько месяцев распространяется Win32.Induc – вирус, заражающий системы с установленной версией Delphi с 4-ой по 7-ую включительно. Он модифицирует одну из библиотек, использующуюся при сборке проектов. Таким образом, каждая программа, разработанная в модифицированной вирусом версии Delphi, уже заражена Win32.Induc.

Этот вирус не наносит видимого вреда зараженным системам – единственная его вредоносная функция заключается в самораспространении. Но в будущем ничто не мешает злоумышленникам использовать этот способ для распространения вредоносных программ. Несмотря на «безобидность» Win32.Induc, компания «Доктор Веб» видит в нем потенциальную опасность и уже сегодня предлагает его лечение.

Win32.Induc успел широко разойтись, поскольку попадал к пользователям вместе с популярными легальными программами, разработанными в зараженной среде Delphi. Вследствие этого, после добавления Win32.Induc в вирусные базы большинства антивирусных вендоров работа этих программ блокировалась, что доставило неудобства как пользователям, так и разработчикам. Однако после добавления записи, позволяющей лечить заражённые Win32.Induc файлы, в вирусные базы производителей средств информационной защиты, было отмечено резкое снижение активности этой вредоносной программы.

В августе также была обнаружена похожая вредоносная программа, ACAD.Siggen. В отличие от Win32.Induc она распространяется в виде модуля, реализованного в среде разработки Visual Lisp, которая используется в системе автоматизированного проектирования Autodesk AutoCAD. ACAD.Siggen заражает AutoCAD-файлы, открываемые в зараженной системе, так как запускается одновременно с AutoCAD.

Зарубежные социальные сети: рай для вирусописателей

Ввиду непрекращающегося роста своей популярности сервис микроблогов Twitter и известная зарубежная социальная сеть Facebook продолжают привлекать злоумышленников. К сожалению, доверчивость пользователей по отношению к сообщениям, содержащим заманчивые предложения посетить внешние ресурсы, все еще велика.

Уже давно известное семейство вирусов Win32.HLLW.Facebook в августе 2009 года предложило пользователям «поработать» на киберпреступников весьма изощрённым образом. Вирус, как и ранее, завлекает пользователя с помощью различных сообщений в социальных сетях на подставной ресурс, внешне очень похожий на легальный, с которого происходит загрузка якобы кодека для просмотра видеоролика. Если пользователь запускает загруженный исполняемый файл, происходит заражение. При этом интересна новая тенденция в технологиях обмана пользователей. Как известно, многие веб-сервисы защищают собственные ресурсы от автоматической регистрации пользователей, а также рассылки от их имени спам-сообщений. Для этого применяются различные технологии, которые позволяют подтвердить, что данное сообщение отправляет именно человек, а не программа-робот. Для проверки чаще всего применяется captcha – механизм, при котором пользователь должен ввести случайно генерируемую последовательность символов, которая представлена в виде изображения.

В последних версиях червя Win32.HLLW.Facebook появился любопытный модуль Win32.HLLW.Facebook.194, который осуществляет подбор captcha усилиями зараженного пользователя. Задача этого модуля – заставить пользователя ввести «правильную» комбинацию символов и отправить введенный результат на сервер злоумышленников. После того как задание на введение captcha получено с удаленного сервера, на зараженном компьютере всплывает окно с полем ввода, причем работа системы в этот момент блокируется.Благодаря действиям обманутого пользователя злоумышленники получают возможность создавать аккаунты на различных веб-сервисах с целью рассылки спама и новых фишинговых сообщений.

Другим инструментом злонамеренного использования социальных сетей стали управляющие команды для бот-сети в сообщениях одного из аккаунтов сервиса микроблогов Twitter. Команды представляли собой закодированные ссылки bit.ly (сервис сокращения ссылок), которые вели к ресурсам с вредоносными компонентами. После перехода по этим ссылкам заражённый компьютер получал команды через RSS-поток сообщений соответствующего аккаунта на Twitter. Подобную схему использовал Trojan.PWS.Finanz.410.

Маскировка управляющих команд для бот-сети была замечена и на другом сервисе микроблогов – Jaiku. Технология использована та же – закодированное сообщение в виде сокращенной ссылки ведет к вредоносному ПО, а получение управляющих команд происходит через RSS-поток.

Для злоумышленников подобные схемы привлекательны, в первую очередь, возможностью маскировки под легальный сетевой трафик и сложностью обнаружения. Тот же Twitter позволяет создавать закрытые аккаунты, содержимое которых доступно для ограниченного числа пользователей, что может затруднить обнаружение таких аккаунтов и их своевременную блокировку.

Обновление обновлению рознь. Угроза для пользователей Mozilla Firefox

Тему подставных сайтов продолжает вредоносная программа Adware.FF.1 – рекламный модуль, доставляющий неприятности поклонникам браузера Mozilla Firefox.

В современных условиях, когда злоумышленники постоянно обнаруживают уязвимости в популярном ПО, производители этих программ вынуждены регулярно выпускать обновления и настойчиво предлагать их своим пользователям. Многие уже привыкли к большому количеству предлагаемых обновлений операционной системы, антивируса, браузеров, даже текстовых редакторов. Злоумышленники решили воспользоваться частыми обновлениями от компании Adobe – Adware.FF.1 распространялся под видом ложного обновления для программы Adobe Flash Player. Причем ресурс, с которого происходило распространение этой вредоносной программы, внешне очень похож на оригинальный сайт Adobe. Кроме того, имя домена подставного сайта тоже призвано усыпить бдительность пользователей. Ссылки с некоторых его разделов ведут на оригинальный ресурс. Сам же рекламный модуль Adware.FF.1 после запуска лжеобновления устанавливает плагин для браузера Mozilla Firefox. Его задачей является подмена контекстной рекламы в поисковой системе Google. «Родственник» этого вируса, Adware.FF.3, дабы не вызывать подозрений пользователей, в своем установщике содержит ещё и оригинальный инсталлятор Adobe Flash Player.

Вирус в комплекте

Вирусописатели уже не первый раз используют повышенный интерес к выходу новых версий тех или иных популярных программ. Так, при выпуске офисного пакета от Apple – iWorks’09 – активно распространялся дистрибутив, содержавший троянца из семейства Mac.Iservice. На этот раз вирусописатели решили воспользоваться повышенным вниманием к Mac OS X Snow Leopard. Известны факты распространения через популярные торрент-трекеры зараженного дистрибутива этой ОС, содержащего вирус семейства Mac.DnsChange, при активации которого на компьютере осуществляется подмена DNS-запросов в процессе работы пользователя с браузером.

Телефония на службе киберпреступности

Другое важное событие, которое имело место в конце августа 2009 года – появление троянской программы-концепта Trojan.SkypeSpy, цель которой – захват аудио-потока из популярной программы Skype. При этом перехваченные переговоры записываются непосредственно в mp3-файл. Исходные коды Trojan.SkypeSpy стали достоянием общественности, что может повлечь за собой появление множества новых модификаций этого трояца. Однако специалисты «Доктор Веб» предполагают, что их распространение будет носить, скорее, локальный характер, нежели массовый – в силу того, что коммерчески выгодным является прослушивание переговоров в бизнес-среде с целью шпионажа, а не повсеместная «слежка» за пользователями Skype.

Данная программа еще раз подтверждает, что любая технология или сервис, получившие массовое распространение, привлекают внимание киберпреступников.

«Квитанция» на бот-сеть

С августа 2009 года наблюдалась активность трояна Trojan.Botnetlog.11, который распространяется под видом почтовых «квитанций».

Для того чтобы пользователь открыл данную «квитанцию», в письме сообщается о том, что он якобы отправил почтовое сообщение, но из-за неправильно указанного адреса оно не может быть доставлено. К письму приложен ZIP-архив, который определяется Dr.Web как Trojan.Botnetlog.11.

Примечательным является тот факт, что практически в каждой новой рассылке к пользователям приходит видоизменённый вариант этого троянца, используется специфический упаковщик. Но при этом технологии Dr.Web позволяют автоматически добавлять присылаемые в вирусную лабораторию новые варианты Trojan.Botnetlog.11, что значительно увеличивает качество защиты пользователей от данного типа угроз.

Более поздние варианты этой вредоносной программы Dr.Web определяет как Trojan.DownLoad.45107.

Фишинговый сайт в комплекте

В августе 2009 года широкое распространение получил вид фишинга, при котором форма, предназначенная для заполнения приватными данными пользователя, прикладывается в HTML-формате непосредственно к фишинговому письму. Данный файл, по задумке мошенников, пользователь должен открыть в браузере. Далее он должен заполнить форму и нажать подтверждающую кнопку. При этом данные отправляются на заранее подготовленный сервер.

Эта схема значительно упрощает организацию мошенничества, т.к. не требует создавать подставные сайты, которые могут быть в скором времени закрыты. Также возникает сложность с закрытием серверов, на которые попадают собранные приватные данные пользователей, т.к. доказать причастность сервера к данной схеме сложнее, чем при использовании классического фишинга. Подобная схема была использована в августе против пользователей платёжной системы PayPal и банка USAA.

Немного другая схема фишинга была использована в рассылке якобы от администрации системы Яndex.Деньги. Письмо было создано в HTML-формате, в его теле располагалась кнопка, нажав на которую, пользователь попадал на фишинговый сайт. В коде скрипта, который исполняется при нажатии кнопки, снова используется сервис сокращения ссылок.

Случаи классического фишинга были замечены по отношению к клиентам банков Ally Bank, Bank of America, Chase Bank, Key Bank, SunTrust Bank, а также по отношению к участникам интернет-аукциона eBay и пользователям платёжной системы PayPal.

Выводы

Win32.Induc, ставший основным вирусным событием месяца, породил множество дискуссий на тему того, нужно ли обнаруживать и лечить вирус, не наносящий явного вреда. Позиция компании «Доктор Веб» на этот счет однозначна: Win32.Induc нужно лечить, поскольку методы его распространения в дальнейшем могут использоваться злоумышленниками при создании вредоносных программ.

В центре внимания вирусописателей остаются и зарубежные социальные сети. Киберпреступники разрабатывают новые, более изощренные схемы их использования. Примером тому является управление бот-сетью через RSS-поток от Twitter-аккаунта. Увы, во многом на руку киберпреступникам продолжает играть наивность пользователей социальных сетей.

Интересную схему применили злоумышленники для вынуждения пользователей ввода captcha. Похоже, подобная схема встретится еще не раз, т.к. для защиты от автоматических регистраций captcha используется повсеместно, а способы автоматического подбора совершенствуются вирусописателями.

Доступность исходных кодов Trojan.SkypeSpy позволяет говорить о вероятном появлении новых вредоносных программ, использующих эту схему для перехвата разговоров пользователей Skype и пересылки их на сервер злоумышленников. По мнению специалистов «Доктор Веб», рядовым пользователям Skype это грозит в меньшей степени, нежели тем, кто использует это средство связи для ведения важных переговоров.

http://www.securitylab.ru/news/384708.php

Женcкие пароли надежнее мужских

Антивирусная компания PC Tools с целью выяснить отношение пользователей к вопросам безопасности провела опрос среди посетителей своего сайта, а также случайных граждан, встретившихся на улицах городов ряда европейских стран.

Оказалось, что женщины в Интернете зачастую ведут себя гораздо осмотрительнее мужчин — или же, по крайней мере, так они говорят. Например, только 26% представительниц слабого пола пользуются одним паролем на всех онлайн-ресурсах, в то время как среди мужчин этот показатель достигает 47%.

Также почти две трети мужчин позволяют себе тыкать на ссылки, полученные от друзей в электронных сообщениях, не попытавшись предварительно проверить источник. Женщины ведут себя чуть более осторожно — во всяком случае, половина из них.

Однако, несмотря на склонность к легкомыслию, интернетчики-самцы гораздо лучше подкованы теоретически. 85% из них отдают себе отчёт в том, что через веб-сайты, е-почту, аську и прочие каналы распространения и обмена информацией могут просачиваться также и всякие вирусы. В то же время 44% женщин даже не догадываются, что проверенные и авторитетные веб-сайты могут оказаться зараженными и нести угрозу.

Результаты опроса были разделены не только по половому, но и по национальному признаку. Больше всех на орехи досталось британцам и французам, отмечает The Tech Gerald.

Так, один пароль на все случаи жизни больше всего любят заводить жители Франции — 56%. В странах Бенилюкса количество беспечных пользователей несколько меньше — 45%, затем идут британцы (35%) и австралийцы (31%). Немцы проявили наибольшую щепетильность в этом вопросе: 84% из них оказались вполне способными запомнить больше одного пароля.

9% британцев выходят в Сеть вообще без какой-либо защиты, а около трети признались, что никогда не обновляют защитное программное обеспечение. Среди австралийцев таких безответственных граждан оказалось только 10%, среди французов — 7%, а среди жителей Германии, Бельгии, Нидерландов и Люксембурга — 5%.

В целом же выяснилось, что примерно каждый пятый пользователь не понимает сути угроз нулевого дня, а следовательно, не осознаёт необходимости в своевременной установке обновлений безопасности. Впрочем, такие выводы можно было сделать и без всякого опроса. Достаточно вспомнить, к примеру, о набившем оскомину черве Conficker, с которым недавно сражалась одна лондонская больница — почти через 9 месяцев после выхода официальной "заплатки".


Sociable