Заловени са престъпници, които са използвали мобилна GSM станция (с цена около половин милион долара) за да прихващат трафика на намиращите се наблизо телефони и да изпращат СМС-и на телефони с добавена стойност. Цялата новина (на руски) можете да прочетете тук: http://nnm.ru/blogs/samovar1/mobilnye-hakery

Жорка&Кептън(относно SQL)..BlackHole е хита на пазара от края на миналата година....ей затова ми е смешно някой хора как дъвчат-"..и внимавай какво свалящ"..много ще разбереш какво ти се инсталира и стартира на компютъра когато се натресеш на BH,Incognito или някой друг expack...случая с SQL e такъв,има ифрейм и хората продават трафика (уебдебъгера Fiddler го показва много ясно(:

Жорка&Кептън(относно SQL)..BlackHole е хита на пазара от края на миналата година....ей затова ми е смешно някой хора как дъвчат-"..и внимавай какво свалящ"..много ще разбереш какво ти се инсталира и стартира на компютъра когато се натресеш на BH,Incognito или някой друг expack...случая с SQL e такъв,има ифрейм и хората продават трафика ( уебдебъгера Fiddler го показва много ясно(:

Или "и внимавай какви сайтове посещаваш"

Facebook измамници се възползват от смъртта на Стив Джобс

Измамниците използват социалната мрежа, за да пренасочват потребителите към зловреден уеб сайт, който предлага безплатно iPads

Злонамерената атака е подобна на тези, които наскоро започнаха около 10-тата годишнина от 9 / 11 и очакваното стартиране на iPhone 5

PandaLabs, лабораторията за анти-зловреден софтуер, откри зловреден линк на Facebook, че е бил използван, за да се възползва от новината за смъртта на съоснователя на Apple, Стив Джобс. Само няколко часа след смъртта на Стив Джобс, измамниците са създали страница на Facebook, наречена "RIP Стив Джобс", което съдържа зловреден URL адрес и текст, който твърди, че се подаряват 50 безплатни iPads"в памет на Стив Джобс." Страницата, натрупвала по пет нови фенове на секунда и натрупала повече от 90 000 фенове до края на вечерта.

Около 08:00 часа тази сутрин, страницата е била спряна, но не е известно колко много са заразените, тъй като повече от 21 хиляди потребители са кликнали върху линка в по-малко от осем часа.

"За съжаление, веднага след като научихме за смъртта на Стив Джобс, ние знаехме, че измамници ще започнат да търсят начин как да го използват", казва Луис Коронс, технически директор на PandaLabs. "Това не е необичайно за кибер-престъпниците и измамниците, за да се възползват от примамливо заглавие за разпространение на своите творения и да повлияе на максималния брой на жертвите за възможно кратък период от време."

Целта на тези измами е да разиграва потребителите да посещават уеб сайтове, където се казва, че те са спечелили ценна награда, като например IPAD, iPhone или телевизор. Очевидно е, че неподозиращата жертва никога няма да получи наградата, а по-скоро поредица от скъпи спам SMS съобщения. В допълнение, злонамерените сайтове, могат да открият местоположението Ви за показване на съобщенията на различни езици, в зависимост от местоположението на потребителя.

URL-то използвано в измамата сочи че това е същата зловредна уеб страница, използвана в подобни атаки около очакваното пускане на iPhone 5 и 10-та годишнина от атаките от 9 / 11 септември.

Редактирано 9 октомври 201114 г. от Burkoff (преглед на промените)

Нещо, което не мога да се сдържа да не пусна:

Хакеры из Chaos Computer Club (CCC) тщательно разобрали по косточкам попавшую в их распоряжение троянскую программу, предназначенную для прослушки VoIP-разговоров подозреваемых правоохранительными органами Германии. Исследователи отмечают, что этот троянец не только превышает свои полномочия, но и практически не защищён от попыток несанкционированного доступа.

Речь идёт о так называемом "бундес-троянце" Quellen-TKÜ, функциональность которого, в соответствии с решением конституционного суда от 2008 года, должна была быть на техническом уровне ограничена исключительно прослушкой разговоров интернет-телефонии. В действительности же, как выяснилось, программа наделена способностью загружать на заражённый компьютер другие модули, расширяя, таким образом, свои шпионские навыки.

Впрочем, этот троянец и без апгрейда умеет больше, чем положено. Разработанная в CCC консоль для управления этой шпионской программой позволяет также получать с заражённого компьютера скриншоты открытых в браузере веб-страниц.

Хакеры-активисты также отмечают, что взаимодействие между бундес-троянцем и контролирующим центром производится в открытую (что, к слову, заметно облегчило им работу по созданию своей консоли управления). Как следствие, к этому шпионскому ПО может подключиться кто угодно, причём можно не только считывать конфиденциальные данные, но и, к примеру, фабриковать улики. Исследователи не исключают даже возможности того, что через установленный между контролирующим центром и ботами Quellen-TKÜ канал может быть произведена атака на компьютерные сети правоохранительных органов.

Пикантности ситуации добавляет тот факт, что для управления бундес-троянцем власти, в частности, воспользовались анонимным прокси, который принадлежит американской компании. Иначе говоря, конфиденциальные данные граждан Германии автоматически утекают "за бугор".

Единственное, что бундес-троянец шифрует, это передаваемые в "центр" скриншоты и аудиофайлы. Однако делает он это довольно топорно, при помощи жёстко прописанного в коде ключа. Исследователи сравнивают используемые (или, точнее, неиспользуемые) в Quellen-TKÜ методы защиты с установкой всех паролей в "1234".

Хактивисты уверяют, что, в соответствии со своей "хакерской этикой", предоставили властям время на то, чтобы дать всем шпионским ботам команду на самоуничтожение (чего, очевидно, не было сделано). Это дало им моральное право опубликовать развёрнутое исследование Quellen-TKÜ, а также сами исполняемые модули троянца.

Примечательно, что бундес-троянец до недавнего времени был практически неизвестен антивирусному ПО подавляющего большинства производителей. Например, в базах "Лаборатории Касперского" его сигнатуры появились только вчера — на следующий день после публикации исследования CCC.

Източник

Нещо, което не мога да се сдържа да не пусна:

Източник

Trojan.Win32.Bundestrojaner!A2 (страшна дефиниция)

Бързаци...

Новият сайт на Microsoft оценява степента на сигурност на браузъра

Microsoft представиха нов сайт Your Browser Matters, който дава оценка на безопасността на браузъри на потребителите. Сайтът сравнява възможен конфликт на злонамерени атаки, фишинг атаки и други видове заплахи на браузърите Internet Explorer, Mozilla Firefox и Google Chrome.

Your Browser Matters оценява възможностите на Firefox и Chrome с 2 и 2,5 точки, от 4 възможни. IE9 браузър получава най-високата оценка, IE7 - 1 точка, и IE6 - 0 точки.

Ресурсът е предназначен да привлече вниманието към важността на потребителя за възможност за избор на съвременни надеждни браузъри. Сайтът оценява възможността за ранно предупреждение на потребителите за сваляне на зловреден софтуер, възможност за съхранение на уеб съдържание в пясъчника, който не предоставя достъп до жизненоважна информация на операционната система, както и възможността да се инсталират автоматични актуализации.

Според Your Browser Matters, браузърът Firefox има няколко недостатъци, включително неспособността да се ограничи от разширяването и невъзможността да се използва защитеният режим на Windows (Windows Protected Mode) или други подобни механизми, който затваря браузъра за достъп до тези части на операционната система, за които няма достъп. В допълнение, в браузърът не функционира филтриране на зловреден XSS-код.

Браузърът Chrome, от своя страна, загубил точки поради не функционални Structured Exception Handling Overwrite атака на Windows.

Високата оценка на продуктите на Microsoft се основава на факта, че компанията е въвела в Windows и IE браузъра технология ASLR и Data Execution Prevention, което намалява степента на увреждане при използване на злонамерена уязвимост, препълване на буфера и други общи недостатъци.

Редактирано 14 октомври 201114 г. от Burkoff (преглед на промените)

BMW virus ~A New BIOS based virus discovered by Chinese Antivirus Firm

Редактирано 18 октомври 201114 г. от clonnning (преглед на промените)

W32.Duqu: The Precursor to the Next Stuxnet

On October 14, 2011, a research lab with strong international connections alerted us to a sample that appeared to be very similar to Stuxnet. They named the threat "Duqu" [dyü-kyü] because it creates files with the file name prefix “~DQ”. The research lab provided us with samples recovered from computer systems located in Europe, as well as a detailed report with their initial findings, including analysis comparing the threat to Stuxnet, which we were able to confirm. Parts of Duqu are nearly identical to Stuxnet, but with a completely different purpose.

продължава тук: http://www.symantec....or_next_stuxnet

BMW virus ~A New BIOS based virus discovered by Chinese Antivirus Firm

Евала...ще трябва да се префлашва и самия BIOS.

Задачата за написването му не е много лесна...от PCWorld (2007)

BIOS-rootkit: не е опасност, но едно предупреждение Джон Хисман (John Heasman) консултант в британската компания за сигурност Next-Generation Security Software зяви в средата на Януари на вашингтонската конференция Black Hat Federal за възможността от появяване на нов вид руткит-програми. Хисман твърди, че реализирането на руткит, който да се помести във флаш паметта на базовата система за вход и изход (BIOS) е напълно осъществимо. За това е необходимо да се усвои език от високо ниво като ASL (ACPI Source Language), след което да се напише руткит програма на него, да се компилира в AML (ACPI Machine Language) и да се запише във флаш паметта на BIOS. Инструменталните средства на езика ASL са широко достъпни. Изследователя е съобщил за тестване на базовите му функции, такива като получаване на права за достъп и четене на съдържанието на физическата памет. Само няколко потайни ключове в регистъра – още няма повод за безпокойство Такъв тип руткит не е страшен и няма да форматира диска или да разруши операционната система – той трудно ще се прояви и много лесно може да се ликвидира с презапис на флаш паметта с коректен код. Утешаващо е, че и за създаването разпространението на BIOS руткит, съществуват не малко прегради. Достатъчно е да се забрани презаписа на BIOS със съответните настройки. Очевидно е също, че в флаш паметта на BIOS е проблематично да се постави скрито пълноценна руткит програма.

http://pcworld.bg/3235_rutkit_novite_opasnostti_i_borbata_s_tyah

W32.Duqu: The Precursor to the Next Stuxnet

продължава тук: http://www.symantec....or_next_stuxnet

Правителствените троянци в действие...то не бе Stuxnet, то не бе Bundestrojan...

то не бе Bundestrojan..

Federal Trojan's got a "Big Brother"

Previous discussions of R2D2 mention Skype as a target application that is monitored by the trojan. The version analyzed by us indicates that Skype is targeted as well, but also all common web browsers, various instant messaging applications and voice-over-ip software, such as ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster and Yahoo! Messenger. The list of process names is:

explorer.exe

firefox.exe

icqlite.exe

lowratevoip.exe

msnmsgr.exe

opera.exe

paltalk.exe

simplite-icq-aim.exe

simppro.exe

sipgatexlite.exe

skype.exe

skypepm.exe

voipbuster.exe

x-lite.exe

yahoomessenger.exe

http://www.securelis...t_a_Big_Brother

TDL4 rebooted

http://blog.eset.com/2011/10/18/tdl4-rebooted

Ongoing analysis of the mass infection! - Millions of infected websites

In September we saw a 3700% increase in JavaScript-based redirection scripts, specifically Trojan.JS.Redirector.ro

THE SCHEMA

So, what is actually happening? The gang behind this is exploiting web applications and injecting HTML code that will load a JavaScript redirector. Exactly what vulnerability they are exploiting is still unclear, but millions of websites are affected by this attack. What we know is that they are injecting the code via an SQL injection, but whether the vulnerability is poorly configured servers, or a zero-day vulnerability is still unclear. The JavaScript which the injected HTML code is loading looks like the following

http://www.securelis...fected_websites

http://www.securelis...nd_new_exploits

"Анонимъс" затвориха таен хъб за детска порнография

Членовете на "Анонимъс" поеха отговорност за затварянето на скрит сайт за детска порнография и изнасянето на имената на членовете им

Бяха изнесени подробности за акаунтите на 1589 члена на Lolita City като част от операция Darknet na "Anonimys", една по-масирана операция насочена към нанасяне на вреда на педофилите от мрежата на Tor.

В съобщението се казва, че Lolita City хостван от Freedom Hosting е съдържал 100 ГБ детска порнография.

Цялата статия от 24-ти този месец на:

http://www.theregist..._abuse_network/

Съобщението на самата група, както и хроника на атаката от 15-ти този месец на:

http://pastebin.com/T1LHnzEW

Редактирано 25 октомври 201114 г. от metodidamianov (преглед на промените)

Интереснен документ, описващ анатомията (без да навлиза в дълбоки технически детайли) на SQLi атаките http://www.imperva.com/docs/HII_An_Anatomy_of_a_SQL_Injection_Attack_SQLi.pdf

Интереснен документ, описващ анатомията (без да навлиза в дълбоки технически детайли) на SQLi атаките

http://www.imperva.c...Attack_SQLi.pdf

много вярно

От доста време използвам DNS сървърите на Comodo. Свикнал съм си с тях и ги добавям отдавна вместо стандартните на доставчика ми. Случвало се е на няколко пъти да ми се появява съобщение за злонамерен сайт (за F1CD.ru, например), после същото съобщение изчезна. Реших, че е било фалшива тревога и са вкарали сайта в "белия списък" (всъщност, вероятно е така). Преди няколко дни попаднах на следното нещо:

Вчера некоторые пользователи жаловались на вирусы, которые пытались загрузиться на их компьютеры при попытке открыть сайт mail.ru. Другие, более продвинутые пользователи обнаружили, что причина такого поведения данного ресурса в том, что он поддельный.

Как выяснилось, "собака порылась" где-то на сайте Comodo. С некоторых пор на страничке сервиса Comodo Secure DNS, предоставляющего, как нетрудно догадаться, услуги по "безопасному" сопоставлению доменных имён и их IP-адресов, в качестве DNS-серверов указаны "левые".

В настоящий момент здесь красуется надпись:

"Switch Now!

It's quick and easy to change to Comodo Secure DNS. No downloads and it's absolutely free.

8.26.56.26

8.20.247.20"

Что означает, что всем, кто хочет воспользоваться услугами Comodo Secure DNS, необходимо прописать в соответствующих настройках приведённые IP-адреса. Между тем, на других страничках ресурса, например в ЧаВО, указаны совсем другие адреса — 156.154.70.22 и 156.154.71.22. Судя по всему, некие злоумышленники сумели взломать сайт Comodo и подменить адреса DNS-серверов своими — но сделали это не везде.

(Не исключено также, что это сам Comodo заменяет свои DNS-сервера. Но тогда это означает, что взлом куда более серьёзный.)

Соответственно, все или часть интернетчиков, которые пользуются сервисом Comodo Secure DNS, обслуживаются сейчас DNS-серверами, находящимися под контролем злоумышленников. Или же находившимися под их контролем. Хорошо если второе, потому что иначе это означает, что нехорошие люди в любой момент вместо реального IP-адреса того или иного сайта могут подсунуть пользователям Comodo IP-адрес своего сервера, на котором будет, например, расположена фишинговая страничка.

Так, похоже, случилось с mail.ru: на одном из форумов уверяют, что вчера главная страница этого ресурса раздавала вирусы. В действительности же, вирусы раздавал сервер 174.129.145.134, IP-адрес которого возвращают поддельные DNS-сервера Comodo. К слову, этот же IP возвращается ими по запросу yandex.ru (желающие могут убедиться в этом сами при помощи команд типа "nslookup yandex.ru 8.26.56.26" или их аналогов в системах, отличных от Windows).

Что там было размещено на 174.129.145.134 вчера, сказать трудно, поскольку в настоящий момент этот сервер не откликается. В действительности он принадлежит "Амазону" ("облачный" сервис Amazon EC2), который, очевидно, прибил размещённые на нём сайты, как только увидел, чем они занимаются.

В любом случае, если злоумышленники до сих пор имеют контроль над DNS-серверами 8.26.56.26 и 8.20.247.20, им ничто не мешает поднять другой вредоносный сервер и перенаправлять пользователей Comodo туда.

Интересно, что на форумах Comodo говорили о перенаправлении пользователей сайта postfinance.ch на всё тот же злополучный 174.129.145.134 ещё 27 октября. На данный момент официальной реакции Comodo на этот инцидент не поступало.

Между тем, глава пресс-службы Mail.Ru Group Валерия Комиссарова распространила посредством своего ЖЖ-аккаунта заявление о том, что её компания не имеет к данному инциденту никакого отношения.

"Произошло следующее - сервис Comodo взломали (по другой версии - произошел внутренний сбой) так, что он стал "думать", что сайты mail.ru, yandex.ru и другие - размещены не в наших дата-центрах, а на неком "левом" сервере. Таким образом, у всех пользователей, на компьютере которых были прописаны DNS Comodo, вместо mail.ru, yandex.ru и других сайтов открывалась левая страница. К счастью, таких пользователей немного (только те, кто установил и использует антивирус и защитные программы от Comodo)", — написала, в частности, она.

Напомним, что Comodo не в первый раз страдает от действий хакеров. Этой весной некий иранский хакер-патриот взломал сеть одного из доверенных партнёров компании и "выписал" для себя несколько поддельных SSL-сертификатов.

Източник: http://webplanet.ru/...secure_dns.html

Вдигнах рамене и смених новите DNS-и със старите - нищо не се бе пробвало да се инсталира без мое разрешение на компютъра ми. Преди малко, ровейки се из интернет, отказаха да ми се отворят няколко сайта едновременно, които посещавам ежедневно и за които знам, че са си съвсем наред. В това време в системния трей се появи някаква икона и знак, че тегли нещо (с много ниска скорост). Дръпнах кабела за интернета и не успя да се досвали. Оказа се някакъв .ini файл с размер 62 килобайта, а инфото от иконата твърдеше, че това е някакъв интернет-скенер (който хич не ми беше притрябвал). Е, не успя да довърши, само че още нямах намерение да се обаждам тук и не направих скрийншот. В Task Manager-a липсваше непознат процес. После просто рестартирах машината, след което в трея отново си седяха обичайните неща. Дойде ми наум за тази статия, но и че съм върнал старите DNS-и, които уж трябваше да бъдат "чисти". Все пак, реших да хвърля едно око дали някой не беше коментирал там случай, подобен на моя.

Какво бе учудването ми, когато отдолу, в самата статия, вече имаше послепис:

(Обновлено) Внимательное изучение форума Comodo выявило, что 8.26.56.26 и 8.20.247.20 — это новые DNS-сервера сервиса Comodo, которые ещё недавно имели статус беты. Иначе говоря, подтверждается вторая гипотеза о том, что взломан не сайт Comodo, а что-то более серьёзное.

Сканирах с няколко програми - уж няма проблем, системата е чиста. Въпросът е какво става с Comodo...

Редактирано 4 ноември 201114 г. от Wankata (преглед на промените)

Какво става...тъмната му страна отново в действие...това става. Аз засега се върнах на PrivateFirewall, която си е доста прилична програмка.

Бе и аз така предположих и им разкарах адресчетата на секундата, ама знам ли...

Trojan DuQu Info

http://en.wikipedia.org/wiki/Duqu

Trojan DuQu Info

http://en.wikipedia.org/wiki/Duqu

60 страници доклад!

Не е важен този...уж троян! А абсолютното невирусно...незаразно. Нежелателна бисквитка --IMDB

Не е важен този...уж троян!

А абсолютното невирусно...незаразно.

Нежелателна бисквитка --IMDB

Trojan DuQu Info

http://en.wikipedia.org/wiki/Duqu

DuQu се цели в T2embed.dll, или TrueType font parsing engine и не само. По този повод Microsoft пуснаха фикс 50792 за забраняване достъпа до T2embed.dll. Има и друг фикс, който разрешава достъпа до същия файл и той е с номер 50793.

Software: Duqu

Reference: CVE-2011-3402

Base Article: 2639658

Източник: MS TechNet

Не е важен този...уж троян!

А абсолютното невирусно...незаразно.

Нежелателна бисквитка --IMDB

Извинявай, но след като нямаш никакво понятие за какво става дума, защо пишеш глупости?

Как да го разбирам? Абсолютни глупости... Аз тоя мувисайт...никога не им оставям курабийката

Редактирано 6 ноември 201114 г. от Alain_Delon (преглед на промените)