Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

M_Polyce

Новини, свързани със сигурността (Дискусия)

Препоръчан отговор

Гост
публикувано (редактирано)

Засякоха мрежа от 1,2 милиона заразени РС

Проучване на компанията за сигурност AVG откри мрежа от 1,2 милиона компютри, заразени с малуер и контролирани от киберпрестъпници чрез инструментариума Eleonore – комерсиален софтуер за атакуване, използван от хакери за заразяване и следене на засегнатите машини.

В продължилото два месеца разследване отделът за проучвания на AVG е открил общо 165 домейна, заразени и свързани с кода на Eleonore. Установени са също 10% успеваемост на атаките, извършени с него, при направени над 12 милиона посещения на инфектираните уеб страници.

Всичките 165 компрометирани домейна са такива с високо ниво на трафик, който престъпниците изцяло са използвали и контролирали. Изследването е създадено на базата данни на продукта AVG LinkScanner, който е откривал компрометираните адреси в сайтовете като заплаха и ги е блокирал.

Екплоитите в Sun Java Virtual Machine и Adobe Acrobat Reader водят по ниво на инфекция с 36%, съобщи Бизнес Софтуер Дистрибутор - партньор на AVG у нас.

"Сложните методи за атака на компютърни системи вече се предлагат в лесни за използване пакети от инструменти и това дава на кибербандите още по големи възможности да увеличат приходите си от престъпни действия", коментира Ювал Бен-Итжак, главен вицепрезидент в AVG Technologies.

Компанията препоръчва на домашните потребители, корпорациите и всички други потребители на компютри да се защитят от този вид набиращи популярност атаки, като използват освен стандартната антивирусна защита, така и инструменти за уеб сигурност като AVG LinkScanner, който се предлага безплатно за частни лица и за бизнеса.

AVG LinkScanner използва иновативен проактивен подход за справяне с най-актуалните заплахи в интернет, като след инсталиране в компютъра, софтуерът проверява всяка посетена уеб страница в реално време и при наличие на потенциална опасност за посетителя го информира.news.bg

Червей атакува системи в САЩ и Иран

Кибернападeнията са резултат от напрежението между двете страни

Нов червей заплашва потребители по целия свят, използвайки уязвимост в Windows Shell. Опасната заплаха, открита от ESET като LNK/Autostart.A, се използва при целенасочени атаки за проникване в SCADA системи, особено в Съединените щати и Иран.

SCADA са системи за наблюдение, използвани в много отрасли, например в енергетиката, уточниха от антивирусната компания.

Според ESET Virus Lab, червеят Win32/Stuxnet е бил активен в продължение на няколко дни, като почти 58% от всички инфекции са регистрирани в Съединените щати, 30% в Иран и малко над 4% в Русия.

Твърди се, че кибератаките в САЩ и повишената активност на червея в Иран са вследствие на продължаващото напрежения между двете страни.

“Този червей е един пример на целенасочена атака, използваща „zero-day” уязвимост, т.е. уязвимост, която не е известна на обществото. Специалната атака е насочена към индустриалния контролен софтуер SCADA. Накратко - това е един пример за зловреден софтуер, използван за автоматизиран индустриален шпионаж“, поясни Юрай Малко, ръководител на лабораторията за вируси на ESET в Братислава, Словакия.

Повечето от щетите, причинени от червея, са засегнали промишления сектор. "До момента заразените компютри са десетки хиляди, но има вероятност броят им да се увеличи", казва Малко.

Според анализ на ESEТ, червеят Stuxnet сам по себе си не представлява голяма заплаха за домашни потребители. Опасността се крие в Windows уязвимост, свързана с обработката на LNK файлове. Експертите очакват тази слабост да бъде все по-често използвана в близко бъдеще.news.bg

Редактирано от Гост (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Човек се зарази с компютърен вирус

Публикувано изображение

Британски учен твърди, че е първият човек на света, който е заразен с компютърен вирус, съобщи Би Би Си.

Доктор Марк Гасън от университета в Рединг заразил с компютърен вирус микрочипа, имплантиран в устройство в ръката му.

Уредът му позволява да си активира мобилния телефон и да минава през електронно заключени врати. Той представлява усъвършенстваната версия на ID чиповете, които се използват за маркиране на домашните любимци.

По време на тестовете доктор Гасън показал как само с допир може да зарази с вируса от ръката си цяла локална мрежа. Според него тестът е тясно свързан с технологиите на бъдещето, когато медицински уреди като пейсмейкърите и кохлеарните импланти ще са значително по-малки и усъвършенствани.

„Тази технология ни носи печалби, но и големи рискове. С нея можем да се подобрим по такъв начин, че да решим огромна част от тревогите ни, но заедно с подобренията идват и рисковете от заразяване, проблеми със сигурността и реда", коментира Гасън.

www.24chasa.bg

Редактирано от asdfag (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Пиратски копия на Starcraft II Wings of Liberty с инфектирани EXE файлове

Някои от файловете, които се пускат по торентите за Starcraft II Wings of Liberty са сериозно инфектирани. Например файлът Starcraft_II.exe (Sha1: ae648158b87d1513d2777ddb2233d3e83e2741c9) съдържа файл с име WinUpdate.exe, който се разпознава като VirTool:Win32/VBInject.gen!DM. Друг интересен файл от торентите е StarCraft.2.Wings.Of.Liberty.CLONEDVD-WW TRAINER.exe (Sha1: fdaa5abd53256a3fb0ddca5d3dead622768b3ab2). Файлът съдържа червей: Worm:Win32/Rebhip.A.

Източник: Andrei Saygo & Francis Tan Seng (Тechnet, Microsoft Corporation).

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Microsoft на борба със Sality

Днес (б.р. 30.07.2010) Microsoft представиха план за извънреден ъпдейт, който има връзка с CVE-2010-2568, който е описан по-подробно в Microsoft Security Advisory: Vulnerability in Windows Shell could allow remote code execution.

За тези, които не могат да разберат веднага за какво става дума, целта е вирусът Sality и по-точно Win32/Sality.AT. Още по - накратко: Microsoft искат да отстранят уязвимостта за Windows Shell, която касае: Microsoft Windows XP SP3, Server 2003 SP2, Vista SP1 и SP2, Server 2008 SP2 и R2, както и Windows 7. Тази уязвимост позволява автоматично стартиране на зловредни LNK или PIF файлове, през които влиза Sality, като забранява защитата на операционната система, позволява отдалечен достъп и т.н..

Източник: Тechnet, Microsoft Corporation

P.S. Пускам тази новина, защото напоследък има доста случаи на зараза със Sality. Даже имаме клиент в HJT раздела, със симптоми (EN):

Sudden termination of certain security-related applications, processes or services

Inability to run Windows Registry Editor

The presence of the following driver: %SystemRoot%\system32\drivers\amsint32.sys

Failure for certain security-related applications to run due to deletion of installed components such as files with the following extensions: .AVC, .VDB.

Справка:

Заразени ключове в регистратурата:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.


Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Майкрософт планира да пусне обновление за сигурност (Security Update), което да отстрани LNK / PIF слабостта в Windows Shell (Microsoft Security Advisory 2286198) на: 2 Август, Понеделник, около 10 AM PDT (20:00 ч Българско време). Източници на информацията:

Out of Band Release to address Microsoft Security Advisory 2286198

Microsoft LNK vulnerability fix coming on Monday

:(

Редактирано от user2910 (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Гост

Malware Domain List е бил подложен на сериозни DDos атаки

Повече тук http://hphosts.blogspot.com/2009/07/malware-domain-list-down-due-to-ddos.html

И доста дълго време не работеше, а и сега не мога да го намеря !

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Malware Domain List е бил подложен на сериозни DDos атаки

Повече тук http://hphosts.blogspot.com/2009/07/malware-domain-list-down-due-to-ddos.html

И доста дълго време не работеше, а и сега не мога да го намеря !

Работи сега,работеше и в близките три дни :cool:

Ето част от файловете http://www.kaldata.com/forums/index.php?showtopic=158740&view=findpost&p=1761581

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Гост

Работи сега,работеше и в близките три дни :cool:

Ето част от файловете http://www.kaldata.com/forums/index.php?showtopic=158740&view=findpost&p=1761581

На мен чак сега ми се отвори а ползващите

Hitman Pro 3.5 могат да получат кръпка чрез програмата за така нашумялата уязвимост в Windows напоследък

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Гост

В Словения арестувани създателите на бот-мрежата Mariposa

Полицията на Словения арестува трима души, заподозрени в създаването и управлението на известната бот-мрежа Mariposa, която бе блокирана още в края на миналата година. От полицията съобщават, че 23-годишен младеж е бил арестуван още преди 10 дни в словенския град Марибор.

Според Леон Кедер, прессекретар на Националната полиция на Словения, един от създателите на мрежата е пуснат, но той се намира в страната и на полицията е известно неговото местонахождение. В близките дни ще му бъде предявено обвинение по няколко параграфа, свързани с компютърните престъпления. От полицията също информират, че при ареста са сътрудничили с ФБР на САЩ, откъдето са получили много ценни данни за създателите на Mariposa. Другите двама организатори на бот-мрежата също са арестувани, но имената им не се съобщават в интерес на следствието.

В бот-мрежата Mariposa, преди блокирането й, бяха попаднали милиони компютри от цял свят. Чрез мрежата хакерите провеждаха DDOS-атаки и крадяха личните данни на интернет потребители. От ФБР на САЩ съобщиха, че в мрежата на Mariposa са участвали хиляди компютри от най-големите компании в света, а авторите на троянците, заразяващи компютрите, сменяли кодовете всеки 48 часа за да избегнат блокирането на мрежата.

Но накрая управляващите Mariposa допуснали грашка, като регистрирали един от управляващите домейните с неговото истинско име. В последствие компания-регистратор предала данните на следствието.

При срив в интернет седем души спасяват глобалната мрежа

Наскоро бе създадена системата DNSSEC, която трябва да следи за надеждността на връзките в интернет, както и дали изписването на адреса на даден сайт води наистина до самия сайт, а не до негово пиратско копие, съобщават световни информационни агенции. Всичко това се налага за да може глобалната мрежа да оцеле след евентуален срив, който може да се окаже фатален за съвременното общество.

Обичайна практика на хакерите е да се опитват да заведат потребителят до сайт двойник на оригинала и така да откраднат личните му данни. Но при глобална хакерска атака би могло да настъпи хаос в мрежата и да се объркат връзките между адресите и реалните интернет сайтове, следствие на което да настъпи глобален срив в мрежата.

Единственият изход от подобно положение е рестарт на системата, при който тя да възвърне началната информация за връзките в мрежата преди момента в който са били разбъркани. След това би трябвало интернет да заработи по познатия ни начин. За подобен рестарт е нужено да се въведе специален код, който е записан в седем смарт карти. Те са дадени на избрани специалисти от Великобритания, САЩ, Чехия, Буркина Фасо, Тринидад и Тобаго, Канада и Китай. Но всяка карта притежава само част от кода и за да се рестартира интернет е необходимо да се събрат поне пет от притежателите на картите. Тези седем души са натоварени с отговорната мисия да спасят глобалната мрежа в случай на онлайн срив.

Нови червеи и „смъртоносни“ комбинации през първата половина на 2010

Според последната шестмесечна класация на Bitdefender, ако през 2009 година фокусът бе върху червеят Conficker и бързите му мутации, то през първата половина на 2010 г. се вижда възход на червеите, използващи различни Web 2.0 платформи. Това са различни вариации на червея Palevo или на по-сложните руткит базирани червеи от семейството Tofsee, атакуващи изненадващо Instant Messengers потребителите, което води до миниатюрни пандемии сред заразените контакти.

Социалните мрежи и Web 2.0 услугите се превърнаха в един от най-ценните канали за разпространението на злонамерен софтуер през последните шест месеца. Авторите на зловреден софтуер обикновено разчитат на световни събития и популярни имена на шоубизнеса да примамят непредпазливи потребители да изтеглят и стартират софтуера им. Световното първенство на ФИФА и масивните наводнения в Гватемала са само две от многото събития, използвани за „Черната Шапка SEO" - оптимизация за подобряване на класирането на различни уеб-сайтове, обслужващи злонамерени програми.

• Trojan.AutorunINF.Gen се нарежда на първо място в BitDefender шестмесечената класация за зловреден софтуер с повече от 11 на сто от общия брой инфекции. Първоначално създадена с цел да опрости инсталирането на приложения, разположени на преносима медия, Windows Autorun функцията е била използвана в широк мащаб като средство за автоматично изпълнение на зловреден софтуер, веднага след като заразените диск, USB или външно устройство за съхранение биват включени.

• MBR червеите се завръщат с обновени вирусни механизми. В края на януари се обособяват Win32.Worm.Zimuse.A, смъртоносна комбинация от вирус, руткит и червей. При заразяване, червеят ще започне отброяване на дни. След 40 дни от инфекцията, той презаписва Master Boot Record (основният запис за зареждане) на диска, като по този начин ОС не може да се зареди.

Спамът във фармацевтичната индустрия достигна нови висоти с ръст от 51-66 процента по време на шестмесечния период. Дяловете на видовете спам през първата половина на 2010 г. са:

o Спам, свързан с медицината - 66%

o Продукти, копиращи оригиналните, реплики - 7%

o Кредити и застраховки - 5%

o Приложен зловреден софтуер - 3.5%

o Казино и хазарт - 3.5% http://news.sagabg.net/

Редактирано от Гост (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

• MBR червеите се завръщат с обновени вирусни механизми. В края на януари се обособяват Win32.Worm.Zimuse.A, смъртоносна комбинация от вирус, руткит и червей. При заразяване, червеят ще започне отброяване на дни. След 40 дни от инфекцията, той презаписва Master Boot Record (основният запис за зареждане) на диска, като по този начин ОС не може да се зареди.

Е това е гадно. :yanim:

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Преди няколко часа Microsoft пуснаха KB2286198 (за уязвимостта на LNK/ PIF). Вече можете да инсталирате кръпката през Windows Update или чрез изтегляне от сайта на Microsoft. След инсталацията на KB2286198 се изисква рестартиране на Windows. Няма специални (WGA) изисквания за изтегляне за Windows XP Service Pack 3 и по-новите версии на Windows. В момента има бум на разни инфекции, свързани с тази уязвимост на Windows. В този смисъл инсталирането на KB 2286198 е повече от наложително. Снимка на това обновяване за Windows 7 x64 (статус - Important):

Публикувано изображение

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Преди няколко часа Microsoft пуснаха KB2286198 (за уязвимостта на LNK/ PIF). Вече можете да инсталирате кръпката през Windows Update или чрез изтегляне от сайта на Microsoft. След инсталацията на KB2286198 се изисква рестартиране на Windows. Няма специални (WGA) изисквания за изтегляне за Windows XP Service Pack 3 и по-новите версии на Windows. В момента има бум на разни инфекции, свързани с тази уязвимост на Windows. В този смисъл инсталирането на KB 2286198 е повече от наложително. Снимка на това обновяване за Windows 7 x64 (статус - Important):

Публикувано изображение

Добавям две горещи връзки за Windows 7

Windows 7 (32 bit)

Windows 7 (64 bit)

Инсталирано на 32 битова

Публикувано изображение

http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx

Редактирано от nikssi (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Гост

Microsoft IE 8, Apple iPhone, хакнати по време на състезание!

Хакери успешно експлоатираха няколко уязвимости от типа „ден нула“ миналия месец, като бързо пробиха дупка в популярния Apple iPhone. Бяха експлоатирани също уязвимости в Apple Safari 4, Mozilla Firefox и Internet Explorer 8 от учени в областта на сигурността по време на състезанието Pwn2Own, организирано от TippingPoint на конференция за приложна сигурност.

Популярното състезание раздаде неохотно 45 000 долара само през първия ден. Двама изследователи – Винченцо Йозо и Ралф Вейнман, бяха първите, които успешно хакнаха едно мобилно устройство, експлоатирайки дупка в браузъра iPhone Safari, за да разпратят SMS съобщения до отдалечен уеб сървър. Те получиха 15 000 долара за откриването на уязвимост тип „ден нула“.

Ученият Чарли Милър, главен аналитик към „Независимите оценители на сигурността“, бързо се възползва от уязвимост на десктоп версията на Safari, работеща върху Mac OS X. Той спечели $10 000. Пробивът на Милър отвори отдалечен шел, до който той получи достъп и възможност да задейства който си пожелае зловреден код.

Ученият заяви, че не му харесва процеса на разработване на софтуер за сигурност на Apple и не планира да разкрие на компанията всички открити от него 20 уязвимости, макар че по правилата на състезанието, уязвимостите, използвани в него, трябва да се предоставят на производителите. Милър каза още, че откриването на 20-те уязвимости му е отнело само три седмици, като е използвал само три компютъра.

„Аз не правя нищо, моито компютри работят и вършат цялата работа – казва Милър – Това, което аз правя, ми отнема около минута на ден. Ако аз го правех, нямаше да мога да открия бъговете. В Apple би трябвало да са по-добри от мен в това, а те не са. Бих предпочел да са по-добри.“

Учени хакнаха IE 8 и Mozilla Firefox, заобикаляйки ASLR, DEP

Други двама учени се присъединиха към Чарли Милър в заобикалянето както на Address Space Layout Randomization (ASLR), качество на сигурността, което, ако се използва правилно, смекчава някои атаки, които се опитват да се възползват от кода в паметта и Data Execution Prevention (DEP), защитаваща от изпълняване на зловредния код на нападателите в неизпълнимата памет.

Един изследовател бързо демонстрира дупка в IE 8, работещ под Windows 7, заобикаляйки технологиите за смекчаване. Петер Врьогденхил и един независим изследовател от Холандия се прицелиха в неописана уязвимост, използвайки метод, който заобикаля ASLSR. Дупката може да се експлоатира, ако потребителят разглежда злонамерен уеб сайт. Той спечели 10 000 долара и лаптоп за откриването на уязвимост „ден нула“.

„Това е HTML базиран файл, който пренасочва неговия лаптоп към моята уеб страница“ – казва Врьогденхил.

Mozilla Firefox също е пробита успешно чрез заобикаляне на ASLR и DEP. Един изследовател към великобританската MWR InfoSecurity, който се представя под името Нилс, казва, че му е отнело два дни да създаде пробива, който се цели в уязвимости на паметта. Той инициира процес, който задейства калкулатор на лаптоп, работещ под Windows 7, но предупреди, че би могъл да стартира каквото и да било друго.

„Ние всички използваме слабости, които ни позволяват да източим данни, както направи Петер, или други слабости като в моя случай или този на Чарли Милър, които са слабости на внедряването на самите защитни механизми – казва Нилс. – Уязвимостта сама по себе си не е толкова сложна, но заобикалянето на инструментите за смекчаване на пробивите в Windows 7 е тежката част и отнема по-голямата част от времето на действителното писане на експлоита.

Невредим остана Google Chrome 4 под Windows 7, както и няколко мобилни устройства. Никой не се опита да хакне Google Nexus One, RIM Blackberry Bold 9700 или Nokia E72 под Nokia Symbian OS.news.bg

Siemens EC и ITA представиха нови средства за защита на информацията

Милиарди години са необходими за разбиването на криптографски алгоритъм на компанията Mils. Това обяви Чавдар Пенков от ITA Group Bulgaria по време на проведен наскоро семинар на тема „Съвременни решения за сигурност на информацията”, организиран съвместно със Siemens Enereprise Communications. Решението на Mils представлява устройство, което се свързва към стандартен USB порт и е с размерите на обикновена флашка. То съдържа в себе си еднократен ключ или специален блоков криптоалгоритъм, благодарение на които се осигурява криптирането и последващото разчитане на данните. Блоковият алгоритъм ползва 256-битов ключ, 48 цикъла на обработка на 128-битови нелинейни блока, 128-битова обратна връзка и 128-битов инициализиращ вектор. Така възможните комбинации са 3,94х10 на степен 115-а. Според Пенков такъв ключ не може да бъде разбит за обозримо време, дори с използване на съвременни средства. Еднократният ключ се използва само офлайн и цялата дейност по криптирането се извършва в специален чип в устройството, защитен от всякакви външни влияния. При опит за пробив на корпуса информацията в него се самоунищожава.

Защитата на информацията обаче предполага комплексен подход към проблема.

На семинара бяха представени и решенията на Enterasys, Outpost24 и ESP. Първото служи за контрол на достъпа в ИТ системите. Решението прави анализ на трафика и при опит за атака прекъсва достъпа. Интересното, според Младен Цветков, мениджър продажби в Siemens Enereprise Communications, е, че връзката се „отрязва” в точката на достъп на потребителя, например - изключва се портът на даден комутатор. По този начин може да не се налага деактивиране на цели сегменти от корпоративната мрежа, което пести време и ресурси.news.bg

Редактирано от Гост (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

...

Милиарди години са необходими за разбиването на криптографски алгоритъм на компанията Mils. Това обяви Чавдар Пенков от ITA Group Bulgaria по време на проведен наскоро семинар на тема „Съвременни решения за сигурност на информацията”, организиран съвместно със Siemens Enereprise Communications. Решението на Mils представлява устройство, което се свързва към стандартен USB порт и е с размерите на обикновена флашка. То съдържа в себе си еднократен ключ или специален блоков криптоалгоритъм, благодарение на които се осигурява криптирането и последващото разчитане на данните. Блоковият алгоритъм ползва 256-битов ключ, 48 цикъла на обработка на 128-битови нелинейни блока, 128-битова обратна връзка и 128-битов инициализиращ вектор. Така възможните комбинации са 3,94х10 на степен 115-а. Според Пенков такъв ключ не може да бъде разбит за обозримо време, дори с използване на съвременни средства. Еднократният ключ се използва само офлайн и цялата дейност по криптирането се извършва в специален чип в устройството, защитен от всякакви външни влияния. При опит за пробив на корпуса информацията в него се самоунищожава.

...

1. 256 битов ключ има еквивалентна сложност на 2^256=10^75 (симетричен криптиращ алгоритъм)

2. Описаните неща са характерни за всяка стандартна смарткарта

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Какво стана с прехваления и непробиваем 64 битов Уиндоус , защо уязвимостта в обвивката на Windows и препратките и го преодоля ? ! ? ! Има още много варианти за заобикаляне на тази прехвалена ОС , такова е мнението на експертите в създаването на защитен софтуер http://www.wilderssecurity.com/showthread.php?t=250126&page=9 Такова ядро / онакова ядро , само и само да се копуват по-мощни компютри и будалите да лапат мухи.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Такова ядро / онакова ядро , само и само да се копуват по-мощни компютри и будалите да лапат мухи.

С малката разлика, че 32 битов Windows поддържа до 3.25 гигабайта RAM, а при 64 битовия ограничения няма, или в най-лошия случай-няма как да наблъскаш такова количество памет, че да го озориш.Та, ако си купиш 4, 8, 16 и т.н. гигабайта RAM, ще те питам дали ще си стоиш с 32 битов Windows.Това, че на теб ти стига да гледаш някой и друг филм или да чуеш някоя песен, не означава, че всички са доволни на толкова.

Редактирано от clonnning (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Гост

Trojan.Stuxnet засенчи блокиращите програми. Горещия вирусен юли 2010 година

3 август 2010 година

Юли месец 2010 година ще се запомни не само с голяма жега, но и с появата и широко разпространение на троянски програми като Trojan.Stuxnet. Тези вредоносни програми използват алтернативен метод за стартиране от външни носители, а също така използват и откраднати цифрови подписи на известните производители на софтуер. Използването на буткит-технологиите вече стана норма за вредоносните програми. В същото време блокиращите програми на Windows, сблъсквайки се с противодействието, съкратиха темповете на разпространение, и в момента интернет мошениците се опитват да намерят алтернатива на платените SMS – съобщения.

Trojan.Stuxnet намери «дупка» в Windows и прониква през етикетите.

Юлската «новина» която накара антивирусната индустрия за кой ли път да мобилизира всичките си ресурси е вредоносната програма от нов тип, която по класификациите на Dr.Web е получила името Trojan.Stuxnet.1. Нейното разпространение се оказа свързано с неизвестната ни по рано уязвимост на операционната система Windows. Този троянец ни показа няколко нови трикове в заобикалянето на защитните механизми на Microsoft и вече успя да демонстрира сериозните си намерения - едно от първите му фиксирани намерения стана промишления шпионаж.

Троянеца инсталира в системата два драйвера, единия от които се явява филтър на файловата система, скриващ наличието на компонентите на вредоносната програма на външния носител. Втория драйвер се използва за внедряване на шифрована динамична библиотека в системните процеси, както и в специализирания софтуер за изпълнение на основната си задача.

Авторите на новия троянец направиха на потребителите няколко неприятни изненади. Първо вече споменатата експлоатация на уязвимостта на Windows: вредоносната програма използва «слабото звено» в алгоритъма за обработване на съдържанието. Следва да отбележим, че корпорация Microsoft оперативно реагира на намирането на тази уязвимост. По информацията която е публикувана от разработчиците на Windows, на нея са податливи както 32-битови, така и 64-битови версии, започвайки от Windows XP и завършвайки с Windows 7 и Windows Server 2008 R2. Хакерите могат да използват това и за отдалечено стартиране на вредоносни програми. Освен това, опасният код може да се интегрира в документи от определен вид, предполагащи наличието в тях на вградени етикети, и се разпространяват посредством експлоатацията на уязвимост като тази която бе намерена.

На 2 август 2010 година компанията Microsoft пусна критически патч за всички подтвърдени уязвимост на версиите на Windows. За всичките системи в които е настроено автоматичното обновяване патча се инсталира автоматично, и за неговото прилагане ще е необходимо да се рестартира компютъра.

«Изненадите» от авторите на Trojan.Stuxnet на този етап не са свършили. Драйверите които се инсталират от троянеците съдържат и цифрови подписи, които са откраднати от производителите на легален софтуер. През месец юли се разбра, че са използвани подписи които принадлежат на такива компании като Realtek Semiconductor Corp. и JMicron Technology Corp. Хакерите използват подписите за «тиха» инсталация в целевата система.

Трябва да отбележим, че освен драйверите, които се подписват за незабележима инсталация, е подписан и вредоносния файл, стартиращ се с помощта на експлоида на уязвимостта на Windows Shell от външни носители. Но този подпис практически веднага след първата активация ще престане да действа:интегрирания брояч на заразяванията постоянно модифицира изпълнимия файл, в резултат на което подписа става негоден.

Много бързо Trojan.Stuxnet.1 спечели многочислени последователи, използващи уязвимостта на Windows. Всички подобни етикети се определят от Dr.Web като Exploit.Cpllnk. Само за няколко дни вредоносните програми, използващи за стартирането си такива етикети оглавиха ТОП-20 на вирусните програми, намерени на потребителските компютри през месец юли, а Trojan.Stuxnet.1 успя да стигне до 6-то място на същата класация.

В момента тече масивно разпространение на вредоносни програми, възползващи се от новата уязвимост. Вероятно това ще продължи още известно време до инсталирането на току що излезлия Microsoft патч на повечето системи. Специалистите на компанията « Doctor Web » също реагираха на новата заплаха – във вирусната база бяха оперативно добавени процедури за лечение на системите заразени с троянеца.

Масово използване на буткити

Буткити – програми модифициращи зареждащия сектор на диска – постепенно стават един от компонентите на вредоносния софтуер. Приложението на буткитите довежда до това, че обикновените средства за анализ на системата за вредоносен код не са в състояние да търсят обекта комплексно.Нямайки възможността да отделят модификацията на зареждащия сектор, те могат да определят само тези компоненти които са разположени на диска във вид на обикновени файлове. По този начин даже след лечението, вирусите отнова ще бъдат в системата и така ще се поддържа до тогава, докато зареждащия сектор на диска не бъде върнат към първоначалното си състояние.

Само някои комплексни антивирусни средства са способни да проявят модификацията на зареждащия сектор и напълно да излекуват системата от буткит.В повечето случаи разработчиците на антивирусни решения предлагат избавянето от този проблем да стане с помощта на специални инструменти. И тука възниква усложнение, от което се възползват хакерите: потребителите не винаги навреме почват да търсят алтернативно решение на проблема, просто защото не могат да разберат, че техния антивирус просто «не вижда» факта на модификация на зареждащия сектор на системния диск..

Един от буткитите който притесняваше потребителите през юли стана вече не без известния Trojan.Hashish. Проблемът със заразяване на компютрите през миналия месец бе актуален в Европа. Действията на вредоносната програма довеждаха до самопроизволно отваряне на прозорците на Internet Explorer, в които имаше реклама. При което тези прозорци се отваряха, даже ако се използваше някой от алтернативните браузери. Като друг резултат от работата на Trojan.Hashish стана периодичното възпроизвеждане на стандартен системен звук , съответстващ на стартиране на програмата , ако такъв въобще е настройван в Windows.

Блокиращите програми отстъпват

През юли епидемия от блокиращи програми започна да намалява – статистическия сървър на Dr.Web фиксира 280 000 активности срещу 420 000 през юни. В много от случаите това е свързано със съвместните действия предприемани от антивирусните компании в частност « Doctor Web » и потребителите. По този начин и заради голямото противодействие на SMS – мошениците,авторите на блокиращите програми бяха принудени за пореден път да задействат други схеми за реализиране на доходи. Те използват нови електронни платежни системи и даже започват да предлагат на потребителите няколко варианта за предаване на парите при избор на разблокираща програма.

Между всички запитвания по повод блокиращите програми съществено се е увеличило количеството запитвания, свързани с блокирането на популярни сайтове – социални мрежи, безплатни пощенски услуги търсачки.Към края на юли количеството на запитванията по повод такива блокиращи програми надвиши запитванията относно блокирането на работното поле на Windows.

По нататък може да се очаква постепенно понижаване в разпространението на блокиращи програми. Това е свързано и със значително по ниската ефективност на схемите за заплащане без използването на SMS, и с повишеното внимание към проблема от страна на органите на реда. Също така расте и количеството потребители, които имат информация за алтернативните методи за разблокиране на компютрите, което не предполага превод на суми към хакерите.

Други вредоносни програми през месец юли

Продължи масовото разпространение през мейла на различните модификации на Trojan.Oficla. Също така в пощенския трафик са забелязани съобщения с приложени към тях HTML-файлове (JS.Redirector). Тези съобщение препращат потребителите към страници с реклама и вредоносни сайтове. Отбелязана е повишена активност на полиморфните файлови вируси от семейството на Win32.Sector. Dr.Web отдавна е ориентиран към лечението на системи от сложни полиморфни вируси, през юли разработчиците са оптимизирали алгоритъма на детекта на вредоносните програми от този вид. Европейските потребители както и по рано ги притесняват банковите троянци, принуждаващи ги да въвеждат TAN-кодове (подробно сме разказвали за тях в юнския обзор), а също така новите варианти на лъжливи антивируси. Dr.Web

Редактирано от Гост (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Гост

Уеб атака знае къде живееш

Едно посещение в сайт-капан може да насочи нападателя в дома на лицето, твърди експерт по сигурността. Атаката, измислена от хакера Сами Камкар, експлоатира недостатъците в много рутери, за да разбере ключовия идентификационен номер.

Той използва този номер и широко достъпните мрежови инструменти, за да разбере къде се намира един рутер. Демонстрирайки атаката, Камкар намира един рутер в рамките на девет метра от реалното му местоположение в света.

Много хора влизат онлайн чрез рутер и обикновено само компютърът, директно свързани с устройството, може да го разпитва за информация за идентификация. Въпреки това Камкар намерил начин да направи клопка в уеб страница чрез браузъра, така че изискването за идентификационна информация изглежда сякаш идва от компютъра, от който тази страница се отваря.

След това той свързва тази информация, известна като MAC адрес, с функцията за географско местоположение на уеб браузъра Firefox. Така разпитва една Google база данни, създадена, когато неговите автомобили са провеждали изследвания за услуга за изгледи на улици.

Тази база данни свързва Mac адресите на рутерите с GPS координати, за да ги намери. По време на демонстрацията на хакерската конференция Black Hat, г-н Камкар е показал колко лесно е да се използва атака, за да се определи местоположението на някой с точност до няколко метра

"Възможността да се определя местонахождението се превръща в нещо ужасно - казва Камкар. – С личния живот е свършено. Съжалявам!“

През 2005 Камкар създава червей, който се възползва от дупка в сигурността на уеб браузърите, за да си осигури един милион приятели в социалната мрежа MySpace за един ден.

Обвинен в хакерство, той е осъден на три години условно, 90 дни обществен труд и да заплати щетите. На него също му е забранено да използва мрежата за лични цели за неопределен период от време.

BBC тества сигурността на смартфоните

BBC News показа колко лесно е да се създаде злонамерено приложение за смартфон. За няколко седмици новинарската служба накара една любителски скалъпена игра за смартфон да шпионира собственика на устройството.

Приложението е изградено, като са използвани стандартни части на софтуерни инструменти, с които разработчиците създават програми за мобилните телефони. Това затруднява установяването на наличието на зловредния код, тъй като полезните програми използват същите функции. Въпреки че мнозинството злонамерени програми се създават, за да атакуват персонални компютри под Windows, има доказателства, че хай-тек специалисти с криминални наклонности вече обръщат вниманието си към смартфоните.

Приложения капани за смартфони са налични в интернет и наскоро Apple и Google отстраниха такива програми от техните онлайн предложения поради опасения, че са злонамерени.

Според Крис Уисопал, съосновател и ръководител на компанията за сигурност Veracode, който също е помогнал на BBC в този проект, смартфоните сега са в момент на развитие, подобен на този, в който са били персоналните компютри през 1999 г. Дотогава зловредните програми са били само безпокойство за потребителите, а сега са криминално деяние с цел кражба и измама.

Проектът на BBC е бил предназначен за получаване на по-добро разбиране дали лесно могат да се прескочат бариерите към създаване на зловреден код. За целта в BBC са свалили от мрежата широко използвани комплекти за програмиране на Java и също готови части от програми. За няколко седмици са успели да направят несложна игра, която също така събира договори, копира текстови съобщения, регистрира местоположението на телефона и го изпраща до специално създаден имейл адрес.

Шпионският код е заел 250 реда от общо 1500 на цялата програма и е бил зареден на един телефон, без да е качван онлайн. Всички елементи на програмата, предназначени за кражба, са легални функционалности, но използвани с престъпна цел.

Може би проектът на BBC ще ускори мерките за сигурност на смартфоните, каквито вече се предприемат, а дотогава съветът е притежателите на смартфони да следят внимателно месечните си сметки. news.bg

Редактирано от Гост (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Гост

Отново интересна новина !

Открита е нова уязвимост в ядрото на Windows

10/08/2010

Хакери могат да получат администраторски права

Нова уязвимост в ядрото на Windows позволява на хакери да получат администраторски права за достъп до системата. Грешката е потвърдена от Microsoft, съобщи eweek.com.

Първо описание на проблема публикува по-рано този месец компанията за сигурност Secunia. Уязвимостта се проявява във файла Win32k.sys чрез интерфейса GetClipboardData и предизвиква препълване на буфера. При успешна атака хакерите могат да изпълнят код с привилегиите на ядрото.

Microsoft проучва уязвимостта и веднага щом си изясни проблема, ще предприеме действия за защита на потребителите, съобщават от компанията. Вече е потвърдено, че уязвимостта е налична в много версии на Windows, вкл. 7, XP SP3 и Server 2008 SP2.

Проблемът е открит от специалист с псевдоним Arkon. От компанията за сигурност VUPEN Security критикуват Microsoft, че не е платила хонорар на Arkon, така както правят Mozilla и Google. В резултат на това, експерти, търсещи уязвимости, работят напълно самостоятелно, без да си сътрудничат с Microsoft.news.bg

Повишена активност на Win32/Conficker

Червеят оглави класацията на ESET за юли

Повишена активност на червея Win32/Conficker засече през юли компанията за сигурност ESET. Червеят отново попада в списъка с топ заплахите за изминалия месец след появата на последната си версия Win32/Conficker.D. Според системата за ранно оповестяване ThreatSense.NET, която събира и анализира данни за регистрираните заплахи сред десетки милиони потребители на ESET NOD32 и ESET Smart Security, той има дял от 12,47%.

Win32/Conficker е зловреден код от типа „червей”, появил се за първи път през 2008 година. Най -често засяга операционната система Windows XP, но в следващите си версии се пренася и върху сървърните платформи на Microsoft.

Освен от интернет, червеят може да попадне в компютъра и чрез преносими памети (USB, SD card, External HDD), мобилни устройства, CD/DVD. Заразената машина може да получава инструкции от разстояние, като най-често става част от спам ботнет мрежа (spamming botnet), но не е изключено да бъде използвана и за друг вид целенасочени кибер атаки срещу други потребители.

Продуктите за защита на ESET засичат успешно всички версии на Conficker, съобщиха от партньора на компанията у нас - Хай Компютърс. Експертите препоръчват на по-напредналите потребители да изпълнят в допълнение стъпките, посочени в Micrоsoft Security Bulletin MS08-067. news.bg

Редактирано от Гост (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Както беше написано тук -> Рекорден брой ъпдейти от Microsoft, така и стана. От вчера (10.08.2010) те вече са факт. Ето ги - 14 броя, от които 8 са критични: Microsoft security updates for August 2010. Засягат 34 уязвимости, главно за: MS Office, Windows, Internet Explorer, MS Silverlight, XML Core Services и Server Message Block.

Отделно за Microsoft Malicious Software Removal с ъпдейт MS10-046 са добавени (!!!):

* Win32/Stuxnet

* Win32/CplLnk

* Worm:Win32/Vobfus.gen!A

* Worm:Win32/Vobfus.gen!B

* Worm:Win32/Vobfus.gen!C

* Worm:Win32/Vobfus!dll

* Worm:Win32/Sality.AU

* Virus:Win32/Sality.AU

* TrojanDropper:Win32/Sality.AU

Справка: Тechnet, Microsoft Corporation.

Редактирано от nologo (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Гост

Bitdefender предупреждава: Изложени на показ потребителски данни за сигурност от социалните мрежи, дават достъп до e-mail акаунтите

Експеримент показва, че 75% от потребителските имена и пароли за социалните мрежи, използвани онлайн, са идентични с тези за достъп към e-mail акаунтите.

Bitdefender, награждаван производител на иновативни интернет решения за сигурността ви предупреждава, да внимавате при задаването и пазенето на паролите ви за социалните мрежи.

Много потребители от най-популярните платформи за социални мрежи, не изглеждат да са твърде притеснени около неприкосновеността на личния им живот, свързан с техните акаунти и други чувствителни данни, според един експеримент на BitDefender. Проведен в продължение на седмица, този експеримент показа, че над 250 000 адреси за електронна поща, потребителски имена и пароли, притежавани от не толкова внимателни потребители, могат лесно да бъдат открити онлайн, публикувани на блогове, сътруднически платформи, торенти и други канали.

Една случайна проверка на извадка от списък, състоящ се от адреси за електронна поща, потребителски имена и пароли, също показва, че 87% от изложените на показ акаунти са все още валидни и могат да бъдат достъпни с по-слаби данни за сигурност. Освен това, значителен брой на произволно проверявана електронната поща показа, че 75% от потребителите разчитат на една и съща парола за достъп, при социални мрежи и електронна поща.

"Намиране на такова невероятно количество чувствителни данни, само с няколко кликвания чрез търсачки е повече от страшно. Обезпокояващите резултати от този експеримент трябва да накарат потребителите да внимават и да знаят, че добавянето на парола за достъп до електронна поща или акаунти за социални мрежи, трябва да бъде толкова сериозна като добавяне на ключалка от високо качество, за да заключите къщите си. ", каза Сабина Датцу, BitDefender анализатор на е-заплахи и автор на експеримента.

Последиците за сигурността са множество, вариращи от кражба на други лични и чувствителни данни, „присвояване" на електронната поща и акаунтите от социалните мрежи за осъществяване на спам и за целите на разпространение на зловреден софтуер, до още по-сериозни и скъпоструващи главоболия.

"Представете си някой да влезе във вашият акаунт от социална мрежа и да продаде всички виртуални стоки, притежавани в една социална игра или да публикува порнографско съдържание от ваше име, например. Или още по-лошо - помислете как един криминален престъпник може да „присвои" пощата ви и да претендира, че вместо вас е той или тя. Така че, бъдете много внимателни как избирате парола си и какво правите с нея ", заключи Датцу.

Повече подробности около експеримента са достъпни на www.malwarecity.com, една инициатива на BitDefender за компютърната общност за сигурността и свободен ресурс за тези, които се интересуват от тяхната онлайн безопасност.

Никаква лична информация от това проучване няма да бъде запазена, разкривана или използвана срещу засегнатите лица. Всички търговски марки или имена на продукти, съдържащи се в настоящото изследване, са регистрирани търговски марки на техните компании и собственици.http://bitdefender.todstudio.com/

Редактирано от Гост (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Откриха първия троянски кон в Android телефон

Руските потребители станаха жертва на масов malware

Потребителите на Android станаха жертва на първата хакерска атаката от вида SMS malware, която беше насочена към операционната система с отворен код, съобщиха от компанията разработчик на защитен софтуер Kaspersky.................

Продължава: NoTrial

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Изследване на екип от университета в Пенсилвания показа че е възможна атака на мобилни и други устройства с touch screen, базирано на отпечатъците от пръсти Цялото изследване можете да прочетете тук: http://www.usenix.org/events/woot10/tech/full_papers/Aviv.pdf

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Добави ново...