На вниманието на потребителите на mail.ru:

 

Тече неква спам-акция.

 

 

При посещение на страницата...

 

Щом е включена в черните списъци, значи не е от вчера или днес, ма то адресите най-лесно се местят...

Редактирано 8 септември 201510 г. от Методи Дамянов (преглед на промените)

На вниманието на потребителите на mail.ru:

 

Тече неква спам-акция.

 

 

При посещение на страницата...

 

Щом е включена в черните списъци, значи не е от вчера или днес, ма то адресите най-лесно се местят...

 

Нямам подобни писма и в четирите пощи на mail.ru.  Явно е единичен случай.

Може. Все пак, посещаващите форума могат да имат едно наум или да разпространят.

 

Няма такова нещо като единичен спам. Има таргетирани фишинг кампании, но там целите са едни хора с вратовръзки или на важни служби. Това е от пощата на пенсионер. Не знам има ли връзки с някакви служби. Познавам я едва от 37 години.

Редактирано 8 септември 201510 г. от Методи Дамянов (преглед на промените)

AVG Anti Virus  актуализира своята политика за поверителност,в която се казва, че те могат да продават историята на сърфирането ви на 3-ти лица.

 

https://np.reddit.com/r/privacy/comments/3l4apg/avg_anti_virus_just_updated_there_privacy_policy/

И Bitdefender "пробити" от хакери с искане на откуп ..Искането е за 15 000 долара,в противен случай ще бъде пусната в интернет ,цялата база с клиентите на компанията..Като знак ,за сериозните намерения на хакерите,са били публикувани данните на 250 акаунта от базата...

Цитат:

Случившееся в прошлом месяце с компанией Hacking Team наглядно демонстрирует, что неприкосновенных и защищенных нет.

 

Новое тому доказательство – взлом антивирусной компании Bitdefender, с которой хакеры теперь, ко всему прочему, требуют выкуп.

Ответственность за атаку на себя взял некто DetoxRansome, опубликовав сообщение в Twitter и потребовав от компании 15 000 долл.

Если выкуп не будет получен, хакер обещал слить в сеть базу клиентов компании. В доказательство своих слов взломщик опубликовал данные 250 аккаунтов. Исследователи Тревис Доеринг (Travis Doering) и Ден Макпики (Dan McPeake) в своем блоге подтверждают, что аккаунты рабочие и настоящие. Более того, они пишут, что хакер готов продать на черном рынке базу с логинами и паролями ко всем флагманским продуктам Bitdefender.

Компания Bitdefender факт взлома и утечки признала, однако заверяет, что атака затронула менее 1% клиентов малого и среднего бизнеса, в то время как энтерпрайзы и простые потребители и вовсе не пострадали.

О самой атаке известно немного: компания заявила, что дело было «в одной проблеме на одном сервере». В руки атакующего «через публичные облачные сервисы попал лишь малый процент пользовательских данных; уязвимость не давала доступа к базам данных». Одним словом, по словам Bitdefender, речь идет буквально о парочке связок логин-пароль, и волноваться не о чем.

Платить преступнику в Bitdefender, разумеется, не собираются. Ущерб репутации компании уже нанесен, атака не прошла незамеченной, меры приняты и пользователи предупреждены. Теперь компания обратилась за помощью в правоохранительные органы и надеется, что преступника удастся поймать."

Нямам подобни писма и в четирите пощи на mail.ru.  Явно е единичен случай.

Ако забелязвате това не е mail.ru, а marketingcreative.es

Между другото,още една добра новина-сътрудничеството между Panda и Kaspersky дава резултати..

Цитат:

"CoinVault-киберперступники арестованы

 

14 сентября 2015 года полиция Нидерландов арестовала двух жителей Амерсфорта (18 и 22 лет) по подозрению в совершении кибератак с применением шифровальщика CoinVault, жертвами которого с мая 2014 года стали пользователи в более чем 20 странах.

 

Найти подозреваемых и получить сведения об их местонахождении Национальному подразделению высокотехнологичных преступлений полиции Нидерландов помогли экспертные данные «Лаборатории Касперского». Также помощь оказала компания Panda Security, предоставившая для изучения несколько образцов программы-вымогателя.

Киберпреступники пытались заразить шифровальщиком CoinVault десятки тысяч компьютеров по всему миру. Больше всего пользователей пострадало в Нидерландах, Германии, США, Франции и Великобритании. Злоумышленники сумели заблокировать по крайней мере 1500 компьютеров под управлением Windows, требуя выкуп в криптовалюте Bitcoin за восстановление доступа к данным.

Вирусописатели несколько раз модифицировали вредоносную программу, чтобы увеличить число жертв. Первый образец шифровальщика был обнаружен в ноябре 2014 года, тогда же был опубликован первый отчет«Лаборатории Касперского», после чего CoinVault на несколько месяцев затаился. Но уже в апреле 2015 года был задетектирован новый образец программы. После этого «Лаборатория Касперского» совместно с Национальным подразделением высокотехнологичных преступлений полиции Нидерландов выпустила базу ключей для расшифровки файлов noransom.kaspersky.com и открыла доступ к онлайн-приложению, с помощью которого жертвы CoinVault могли вернуть данные без уплаты выкупа киберпреступникам.

Спустя некоторое время с «Лабораторией Касперского» связалась компания Panda Security, которая передала дополнительные образцы некоего вредоносного ПО, которые, как показало исследование, также оказались модификациями CoinVault. Завершив анализ всех имеющихся в распоряжении образцов шифровальщика, «Лаборатория Касперского» передала результаты в полицию Нидерландов.

«Мы регулярно сотрудничаем с частными компаниями. «Лаборатория Касперского» сыграла значительную роль в расследовании этого преступления, сумев помочь нам установить личности злоумышленников и их местонахождение. Этот случай доказывает, что объединение усилий делает поиск преступников более эффективным», — рассказывает Томас Алинг (Thomas Aling), полиция Нидерландов.

«В апреле 2015 года был обнаружен новый образец уже знакомого нам шифровальщика CoinVault. Интересно, что в коде этого образца содержались строчки на безукоризненном нидерландском. Этот язык достаточно трудный, чтобы писать на нем без ошибок, поэтому мы заподозрили, что авторы программы могут быть жителями этой страны. Так и оказалось. Победа в битве с CoinVault стала возможна благодаря сотрудничеству правоохранительных органов и частных компаний. Вместе нам удалось достигнуть значительного результата — ареста двух подозреваемых», — комментирует Сергей Ложкин, антивирусный эксперт «Лаборатории Касперского».

Чтобы предотвратить заражение компьютера, полиция Нидерландов и «Лаборатория Касперского» советуют пользователям убедиться, что установленные на устройстве ПО и антивирусные программы регулярно обновляются. Кроме того, нужно регулярно делать резервные копии важных файлов и сохранять их на устройстве, у которого нет доступа к Интернету. И, наконец, ни в коем случае не следует платить выкуп, ведь, во-первых, его получение стимулирует злоумышленников на продолжение преступной деятельности, а во-вторых, совершенно не гарантирует возвращение доступа к файлам."

http://www.comss.info/page.php?al=CoinVault_kiberperstupniki_arestovany

Редактирано 18 септември 201510 г. от NIKISHARK (преглед на промените)

Още една програма за Уиндоус 10

 

 

Сваляне

 

http://www.abelssoft.de/apps/win10privacyfix

Хакери използвали Imgur за DDOS атака.

http://news.softpedia.com/news/hackers-used-imgur-to-launch-ddos-attacks-on-4chan-492433.shtml

 

 

Avira срива Windows 10 Store.

http://techdows.com/2015/09/avira-crashes-the-windows-10-store.html

 

Лаборатория Касперски:-Нови варианти на банковия троянец Carbanak се появиха в интернет

Новые варианты «легендарного» банковского трояна Carbanak появились в интернете, свежие экземпляры выявлены пока в Европе и Соединенных Штатах.

 

Теперь он имеет «проприетарный протокол связи», и все обнаруженные до сих пор версии обладают цифровой подписью, об этом сообщил Threatpost в начале месяца.

Ограбление века

После открытия в начале года Carbanak окрестили первой чисто криминальной APT. Это была (и есть) ультрамасштабная кампания по хищению денег, направленная непосредственно против банков. Общие потери от нее составили до 1 млрд. долл. в феврале. И если предположить, что кампания по-прежнему активна, ущерб может быть значительно больше:

• Carbanak нацелен непосредственно на банки; банковские работники «получают» фишинговые письма, вследствие чего устанавливается бэкдор; затем преступники ищут «соответствующие» компьютеры, например, машины администраторов, для того чтобы взломать их и украсть деньги.
• Без действий вручную также не обходится. Злоумышленники изучали инфраструктуру банков; задействовали «денежных мулов» для сбора денег из скомпрометированных банкоматов (мулам не требовалось взаимодействовать с банкоматом самим, достаточно лишь было прийти к нему в нужное время).

В целом, по словам Сергея Голованова, ведущего эксперта Центра глобальных исследований и анализа «Лаборатории Касперского», преступникам даже не нужно взламывать сервисы банков: проникнув в сеть, они понимали, как замаскировать свои вредоносные планы законными действиями. Это очень ловкий и профессиональный киберграбёж».

На данный момент Carbanak является самой успешной криминальной киберкампанией за всю историю.

Новая угроза

Новые версии Carbanak, обнаруженные за последнее время, как говорят, обладают некоторыми уникальными характеристиками. Вредоносная программа внедряется в процесс svchost.exe, чтобы скрыть своё присутствие. Однако папка, в которую Carbanak устанавливается, и используемое при этом имя файла статичны.

Carbanak также использует плагины, которые устанавливаются по собственному протоколу Carbanak. После этого они поддерживают связь с жёстко прописанным IP-адресом.

Выявленные подписи были выпущены Comodo для компании из Москвы.

Фирменный протокол?

Собственный протокол связи Carbanak — нечто из ряда вон выходящее, зато довольно хорошо согласуется с современными тенденциями развития вредоносных программ. Всё, что работает, продолжает развиваться. И, безусловно, Carbanak проявил себя достаточно хорошо, чтобы поддерживать его активную разработку.

Несколько общих рекомендаций по безопасности:

• Не открывайте подозрительные электронные письма, особенно с вложениями;
• Регулярно обновляйте программное обеспечение, чтобы не стать жертвой эксплойтов для уже исправленных уязвимостей.

Все корпоративные продукты и решения «Лаборатории Касперского» обнаруживают и блокируют известные версии Carbanak.

http://www.comss.info/page.php?al=novye_varianty_Carbanak_pojavilis_v_internete

Отново за Windows 10

В Русия-Официално Роскомнадзор отговори-Wndows 10 е безопасен

Цитат:

"Роскомнадзор заявил: «Система Windows 10 является программой для ЭВМ, но не используется для приема, передачи, доставки и обработки электронных данных интернет-пользователей в понимании статьи 10.1 российского закона «Об информации, информационных технологиях и о защите информации». В этой связи компания Microsoft не может рассматриваться в качестве организатора распространения информации в сети «Интернет», в части порядка работы программного продукта Windows 10»

Тем не менее, регулятор признал, что Windows 10 действительно собирает данные о пользователе, но в точном соответствии с соглашением о конфиденциальности, а значит, с согласия пользователя. Закон об информации эта деятельность не нарушает.

Роскомнадзор пишет, что Windows 10 собирает следующие данные: имя, фамилия, адрес электронной почты, почтовый адрес, данные о возрасте, поле, стране, языке, номере телефона, паролях, подсказках по паролям, интересах, платежных данных, IP-адресе, сетевых настройках, связях с другими людьми и организациями и о приблизительном местоположении.

«Таким образом, совершая установку на персональные устройства связи программного обеспечения, предоставленного Microsoft, или осуществляя его использование в своих интересах, пользователь принимает данное лицензионное соглашение, или полностью соглашается с ним. Это соглашение в соответствии с Гражданским кодексом является публичной офертой. Акцепт оферты означает безоговорочное принятие всех ее условий без каких-либо изъятий или ограничений на условиях присоединения», — подытожил Роскомнадзор."

http://www.comss.info/page.php?al=Windows_10_bezopasna

Лошото момче на Google Тавис Отаманди продължава да занимава със слабостите в продуктите на Касперски. За разлика от минали случаи, този път не разкрива уязвимости преди да са запушени [#hate]. Ако си спомняте беше разкрил PoC код за уиндоус и флаш уязвимости преди да бъдат запушени. За нула време беше изготвен експлойт за една от слабостите и вкаран в експлойт комплект. Това не го разбрах просто. Нали има (негласен) кодекс на поведение - за отговрно разкриване и разни такива... Или тея тъпаци де разбиха "Ашли Мадисън", щото действали като престъпници (което явно си е било така, де). Правили, един вид добра, разбираш ли... А после разбиха бракове и животи на хората, като има поне едно регистрирано самоубийство след разкритията [#hatehate]...

"Симантек": Нова версия на Kovter използва методи на Poweliks - устойчива безфайлова заплаха, криеща се в регистъра.

 

When the new Kovter variant compromises a computer, the Trojan has the ability to reside only in the registry and not maintain a presence on disk. It accomplishes this by using registry tricks in an attempt to evade detection. The threat is also memory resident and uses the registry as a persistence mechanism to ensure it is loaded into memory when the infected computer starts up.  

http://www.symantec.com/connect/blogs/kovter-malware-learns-poweliks-persistent-fileless-registry-update

11 от последните заплахи, с които си имаме работа: http://www.csoonline.com/article/2985867/vulnerabilities/10-cutting-edge-security-threats.html#slide3

Някои от нещата са некъв хайп и заглавия от типа "САМО ТУК!!!", като Hacked electric skateboard makes riders eat pavement, GPU малуера идруги не съвсем - като BadUSB, JellyFish, USBKiller и разбира се хакнатата пушка...

 

Това обаче е... УАУ! Подробности за могъщата Karma Police (не може да им се отрече, че си измислят много файски имена) на GCHQ:

British spies cast net to monitor every web surfer, everywhere, leaked documents show

http://www.csoonline.com/article/2986697/privacy/british-spies-cast-net-to-monitor-every-web-surfer-everywhere-leaked-documents-show.html

 

By March 2009 it already held over one trillion metadata records, and in May 2012, with records being added at the rate of 50 billion per day

, work was underway to double its acquisition capacity, according to

an internal GCHQ presentation

 on analytic cloud challenges obtained by The Intercept[/qoute]

Как мислите? Възможно ли е това? Мен ми е малко...

Редактирано 26 септември 201510 г. от Методи Дамянов (преглед на промените)

   ProductVersion:   16.0.0.625
   FileVersion:      16.0.0.625
   FileDescription:  Kaspersky Anti-Virus
   LegalCopyright:   © 2015 Kaspersky Lab ZAO. All Rights Reserved.

Официална версия е 16.0.0.614 и не е ZAO  Kaspersky Lab ами AO Kaspersky Lab  интересно как е тествал *625.

Полезна програма за настройка на неприкосновеността  и сигурността във Firefox:

http://www.ghacks.net/2015/09/29/configfox-manage-advanced-firefox-privacy-and-security-settings/

Лошото момче на Google Тавис Отаманди продължава да занимава със слабостите в продуктите на Касперски. За разлика от минали случаи, този път не разкрива уязвимости преди да са запушени [#hate]. Ако си спомняте беше разкрил PoC код за уиндоус и флаш уязвимости преди да бъдат запушени. За нула време беше изготвен експлойт за една от слабостите и вкаран в експлойт комплект. Това не го разбрах просто. Нали има (негласен) кодекс на поведение - за отговрно разкриване и разни такива...

Аз го разбирам донякъде. Когато се съобщи за такива проблеми, някои организации имат ранен достъп до тази информация и се възползват. Ако оправянето се проточи в далечното бъдеще е добро дошло за тях и в ущърб на нормалните хора. Може би затова ги е форсирал.

Даже, ако си спомняш Google обявиха такава политика, че ще разгласяват проблемите, когато няма кръпка за повече от три месеца, а Microsoft закриха една от програмите си, където се обменя информация с подобно предназначение. Противодействие?

Ами в смисъл, че те вероятно си имат някакъв конфликт, не знам, не ми изглежда съвсем коректно... Но определено, ако ще помогне за по-бързото запушване. В същото време едно форсиране на процеса може да доведе до счупен ъпдейт или нещо такова. Ами, ако компаниите, изследващи сигурността на продукти за SCADA/ICS системи решат да пуснат PoC код за уязвимост в тях? Някоя електроцентрала може да остана без ток, заради някакво немислещо script kiddie тръгнало да пробва кво ще стане...

Новoоткрити уязвимости в TrueCrypt могат да доведат до пълно компрометиране на системата. Проблемът е слабост в инсталирания драйвър на програмата. Източник: http://www.csoonline.com/article/2987148/data-protection/newly-found-truecrypt-flaw-allows-full-system-compromise.html

И това месеци, след като одитът не показа нищо особено... lol.

Редактирано 30 септември 201510 г. от Методи Дамянов (преглед на промените)

Защо наскоро откритият ботнет от Линукс машини не трябва да ви връща към Уиндоус. Източник: Techrepublic.

Малко статистика за изминалия месец септември от Dr.Web

http://news.drweb.ru/show/review/?lng=ru&i=9633

 

Цитат:

"С наступлением осени вирусописатели ничуть не снизили своей активности: в сентябре было зафиксировано распространение нескольких установщиков рекламных и нежелательных приложений — причем как для Windows, так и для Mac OS X, нового троянца, способного заражать POS-терминалы, а также различных вредоносных программ для ОС Linux и мобильной платформы Android.

Главные тенденции сентября

• Появление нового троянца, способного заражать POS-терминалы
• Распространение установщиков нежелательных и рекламных приложений для Windows и Mac OS X
• Распространение новых вредоносных программ для Google Android и Linux

Угроза месяца

POS-терминалы, работающие под управлением операционных систем семейства Microsoft Windows, всегда вызывали определенный интерес у киберпреступников, поскольку уже давно известны различные методы хищения треков банковских карт из памяти подобных устройств с использованием вредоносных программ. Одним из таких приложений является исследованный в сентябре специалистами компании «Доктор Веб» троянец Trojan.MWZLesson, представляющий собой модификацию другой опасной программы — BackDoor.Neutrino.50.

Trojan.MWZLesson может выполнять следующие команды:

• CMD – передает поступившую директиву командному интерпретатору CMD;
• LOADER - скачивает и запускает файл (dll – c использованием утилиты regsrv, vbs – c использованием утилиты wscript, exe — осуществляется непосредственный запуск);
• UPDATE – команда обновления;
• rate – задает временной интервал сеансов связи с управляющим сервером;
• FIND - поиск документов по маске;
• DDOS – начать DDoS-атаку методом http-flood.

Более подробные сведения об этом троянце можно почерпнуть в опубликованном на сайте компании «Доктор Веб» обзорном материале.

По данным статистики лечащей утилиты Dr.Web CureIt!

В течение сентября с использованием утилиты Dr.Web CureIt! было выявлено 155 554 503 нежелательных, потенциально опасных и вредоносных объекта.

• Trojan.Packed.24524

  Установщик рекламных программ и сомнительных приложений, распространяющийся злоумышленниками под видом легитимного ПО.

• Trojan.Siggen6.33552

  Детект вредоносной программы, предназначенной для установки другого опасного ПО.

• Trojan.DownLoad3.35967

  Один из представителей семейства троянцев-загрузчиков, скачивающих из Интернета и запускающих на атакуемом компьютере другое вредоносное ПО.

• Trojan.MulDrop5.10078

  Представитель семейства вредоносных программ, предназначенных для доставки и установки на атакуемый компьютер других вредоносных приложений.

• Trojan.Click

  Семейство вредоносных программ, предназначенных для накрутки посещаемости различных интернет-ресурсов путем перенаправления запросов жертвы на определенные сайты с помощью управления поведением браузера.

По данным серверов статистики «Доктор Веб»

• Trojan.LoadMoney

  Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.

• Trojan.InstallCube

  Семейство программ-загрузчиков, инсталлирующих на компьютер пользователя различные ненужные и нежелательные приложения.

• Trojan.Siggen6.33552

  Детект вредоносной программы, предназначенной для установки другого опасного ПО.

Статистика вредоносных программ в почтовом трафике

• Trojan.Encoder.567

  Один из представителей семейства троянцев-вымогателей, шифрующих файлы на дисках компьютера жертвы и требующих выкуп за их расшифровку. Этот троянец способен зашифровывать важные пользовательские файлы, в том числе следующих типов: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.

• Trojan.Upatre

  Семейство троянцев-загрузчиков, предназначенных для скачивания на инфицированный компьютер и скрытной установки других вредоносных приложений.

• Trojan.DownLoader

  Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Ботнеты

Вирусные аналитики компании «Доктор Веб» продолжают наблюдать за функционированием бот-сетей, созданных злоумышленниками с использованием опасного файлового вируса Win32.Rmnet.12. Активность этих ботнетов в сентябре 2015 года показана на следующих иллюстрациях:

Rmnet — это семейство файловых вирусов, распространяющихся без участия пользователя, способных встраивать в просматриваемые пользователям веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов и выполнять различные команды, поступающие от злоумышленников.

Как и прежде, активен ботнет, состоящий из персональных компьютеров, инфицированных файловым вирусом Win32.Sector, — график этой активности показан на следующей иллюстрации:

Вирус Win32.Sector располагает следующими функциональными возможностями:

• загрузка из P2P-сети и запуск на зараженной машине различных исполняемых файлов;
• встраивание в запущенные на инфицированном компьютере процессы;
• возможность останавливать работу некоторых антивирусных программ и блокировать доступ к сайтам их разработчиков;
• инфицирование файловых объектов на локальных дисках и сменных носителях (где в процессе заражения создает файл автозапуска autorun.inf), а также файлов, хранящиеся в общедоступных сетевых папках.

В сентябре 2015 года вновь активизировались злоумышленники, осуществляющие массированные DDoS-атаки с использованием Linux-троянца Linux.BackDoor.Gates.5. По сравнению с предыдущим месяцем количество таких атак увеличилось на 263.5% и составило 7572. При этом страны-лидеры по числу атакованных узлов в сравнении с данными за август поменялись местами: на первое место вышли США, а Китай занял уверенную вторую позицию. Географическое распределение целей злоумышленников, организующих DDoS-атаки с применением Linux.BackDoor.Gates.5, показано на следующей иллюстрации:

Троянцы-шифровальщики

Количество запросов на расшифровку, поступивших в службу технической поддержки «Доктор Веб»

Август 2015	Сентябрь 2015	Динамика
1425	1310	- 8 %

Наиболее распространенные шифровальщики в сентябре 2015 года:

• Trojan.Encoder.567;
• Trojan.Encoder.858.

Dr.Web Security Space 10.0 для Windows
защищает от троянцев-шифровальщиков

Этого функционала нет в лицензии Антивирус Dr.Web для Windows

Превентивная защита	Защита данных от потери

Подробней Смотрите видео о настройке

Вредоносные программы для Linux

В сентябре специалистам компании «Доктор Веб» вновь пришлось столкнуться с троянцами для операционных систем семейства Linux. Наиболее интересными среди таковых оказались Linux.Ellipsis.1 и Linux.Ellipsis.2. Второй из них предназначен для взлома различных устройств методом перебора логинов и паролей по словарю. Чтобы обеспечить анонимность в процессе доступа к взломанным с его помощью устройствам, злоумышленники используют троянца Linux.Ellipsis.1. Примечательно и то, что эта вредоносная программа обладает весьма своеобразным поведением, которое вирусные аналитики компании «Доктор Веб» назвали «параноидальным».

Основное предназначение Linux.Ellipsis.1 заключается в организации на инфицированном компьютере прокси-сервера: его киберпреступники и используют для несанкционированного доступа к скомпрометированным устройствам, чтобы «замести следы». Для этой цели троянец контролирует соединения по заданному локальному адресу и порту, проксируя весь транслируемый через этот адрес и порт трафик.

«Параноидальность» поведения Linux.Ellipsis.1 заключается в том, что он располагает довольно обширным списком характерных строк, обнаруживая которые в сетевом трафике, троянец блокирует обмен данными с соответствующим удаленным сервером. Кроме того, эта вредоносная программа проверяет все сетевые подключения компьютера и отсылает на управляющий сервер IP-адрес, с которым установлено соединение. Если сервер отвечает командой "kill", троянец прекращает работу приложения, которое установило соединение, а заодно блокирует этот IP-адрес на два часа. Более детальную информацию об архитектуре и принципах работы этих вредоносных программ можно получить, ознакомившись с опубликованной нами обзорной статьей.

Опасные программы для Mac OS X

Установщиками рекламных и нежелательных приложений для ОС Windows в наши дни никого уже не удивишь, однако в сентябре вирусные аналитики компании «Доктор Веб» познакомились с очередной такой программой, предназначенной для операционной системы Mac OS X. Данный образец, получивший наименование Adware.Mac.WeDownload.1, представляет собой поддельный дистрибутив проигрывателя Adobe Flash Player и распространяется с использованием ресурсов партнерской программы, ориентированной на монетизацию файлового трафика.

После отсылки соответствующего запроса Adware.Mac.WeDownload.1 получает от управляющего сервера список приложений, которые будут предложены пользователю для установки. Среди них замечены как нежелательные, так и откровенно вредоносные программы, в том числе Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, различные представители семейства Trojan.Conduit и некоторые другие опасные приложения, при этом количество и состав устанавливаемых программ зависит от географической «привязки» IP-адреса жертвы.

Более подробно об этом установщике нежелательных программ читайте в нашей информационной статье.

Другие вредоносные программы

Сентябрь 2015 года запомнится специалистам по информационной безопасности широким распространением установщиков нежелательных, рекламных и даже опасных приложений, создаваемых злоумышленниками в рамках различных партнерских программ, направленных на монетизацию файлового трафика.

Так, в начале месяца вирусные аналитики компании «Доктор Веб» исследовали вредоносную программу Trojan.InstallCube.339, которая может быть загружена потенциальными жертвами с различных поддельных файлообменных ресурсов или торрент-трекеров. После запуска этот троянец получает необходимые для своей работы данные с управляющего сервера и демонстрирует пользователю окно с информацией о загружаемом объекте, имеющее значок популярного торрент-клиента mTorrent. Особенность управляющих серверов данной вредоносной программы состоит в том, что они позволяют скачать полезную нагрузку только если обращающийся к ним компьютер имеет российский IP-адрес. Подробнее об этой вредоносной программе рассказано в опубликованной на сайте компании «Доктор Веб» обзорной статье.

Другой опасный установщик, о котором мы рассказывали в середине месяца, носит название Trojan.RoboInstall.1. Как и другие подобные программы, этот троянец распространяется с использованием файлообменных сайтов, поддельных торрентов и иных аналогичных интернет-ресурсов, созданных злоумышленниками. Такие вредоносные программы зачастую используют и сами авторы бесплатных приложений для их монетизации — они получают вознаграждение за каждую дополнительную утилиту, загруженную троянцем на компьютеры пользователей. В отличие от многих других установщиков рекламного ПО, в отображаемых Trojan.RoboInstall.1 диалоговых окнах зачастую отсутствуют флажки, позволяющие отказаться от инсталляции дополнительных программ, поэтому их запуск на исполнение осуществляется без каких-либо условий.

В конце сентября злоумышленники предприняли попытку распространения вредоносной программы в почтовой рассылке, осуществлявшейся якобы от имени компании «Доктор Веб».

Киберпреступники предлагали своим жертвам принять участие в тестировании несуществующей утилиты Dr.Web CureIt 2, под видом которой с принадлежащего вирусописателям сайта загружался троянец Trojan.PWS.Stealer.13052, предназначенный для хищения паролей. С целью увеличения числа заражений данной вредоносной программой злоумышленники предлагали потенциальным жертвам отключить работающий на их компьютерах антивирус, якобы потому, что «утилита» может конфликтовать с другим антивирусным ПО. Подробнее об этом инциденте мы рассказывали в опубликованном нами новостном материале.

Опасные сайты

В течение сентября 2015 года в базу нерекомендуемых и вредоносных сайтов было добавлено 399 227 интернет-адресов.

Август 2015	Сентябрь 2015	Динамика
+ 834 753	+ 399 227	- 51.39 %

Нерекомендуемые сайты

Вредоносное и нежелательное ПО для Android

Сентябрь оказался чрезвычайно насыщенным на события вирусной тематики, связанные с мобильными устройствами. Так, специалисты по информационной безопасности обнаружили массовое проникновение троянского приложения в каталог App Store, а также многочисленные случаи размещения различных вредоносных программ в каталоге Google Play. В середине месяца вирусные аналитики «Доктор Веб» зафиксировали очередной инцидент с участием троянца, предустановленного злоумышленниками в одну из официальных Android-прошивок. Кроме этого, пользователям вновь угрожали банковские троянцы, Android-вымогатели и другие вредоносные приложения.

Наиболее заметные тенденции в сфере мобильной безопасности в сентябре:

• обнаружение в каталоге App Store большого числа программ, содержащих троянца IPhoneOS.Trojan.XcodeGhost;
• обнаружение множества троянцев в каталоге приложений Google Play;
• новый случай заражения Android-прошивки вредоносным приложением;
• появление новых троянцев-вымогателей для ОС Android;
• распространение злоумышленниками новых Android-банкеров.

Аваст уязвим за експлойти:

http://news.softpedia.com/news/zero-day-exploit-found-in-avast-antivirus-493958.shtml

Тавис Орманди продължава да ровичка из продуктите на Касперски:

https://code.google.com/p/google-security-research/issues/detail?id=564

Този път не разкрива нищо преди издаването на пач. Браво на Касперски за бързата реакция.

Verisign пуснаха свой DNS сървъри.

http://www.ghacks.net/2015/10/12/verisign-launches-public-dns-service-that-respects-user-privacy/

За нови проблеми с Adobe съобщават специалистите на Trend Micro

http://blog.trendmicro.com/trendlabs-security-intelligence/new-adobe-flash-zero-day-used-in-pawn-storm-campaign/

 

 

Trend Micro researchers have discovered that the attackers behind Pawn Storm are using a new Adobe Flash zero-day exploit in their latest campaign. Pawn Storm is a long-running cyber-espionage campaign known for its high-profile targets and usage of the first Java zero-day we’ve seen in the last couple of years.

In this most recent campaign, Pawn Storm targeted several foreign affairs ministries from around the globe. The targets received spear phishing e-mails that contained links leading to the exploit. The emails and URLs were crafted to appear like they lead to information about current events, with the email subjects containing the following topics:

“Suicide car bomb targets NATO troop convoy Kabul”

“Syrian troops make gains as Putin defends air strikes”

“Israel launches airstrikes on targets in Gaza”

“Russia warns of response to reported US nuke buildup in Turkey, Europe”

“US military reports 75 US-trained rebels return Syria”

It’s worth noting that the URLs hosting the new Flash zero-day exploit are similar to the URLs seen in attacks that targeted North Atlantic Treaty Organization (NATO) members and the White House in April this year.

Foreign affairs ministries have become a particular focus of interest for Pawn Storm recently. Aside from malware attacks, fake Outlook Web Access (OWA) servers were also set up for various ministries. These are used for simple, but extremely effective, credential phishing attacks. One Ministry of Foreign Affairs got its DNS settings for incoming mail compromised. This means that Pawn Storm has been intercepting incoming e-mail to this organization for an extended period of time in 2015.

Based on our analysis, the Flash zero-day affects at least Adobe Flash Player versions 19.0.0.185 and 19.0.0.207.

Figure 1. Affected Adobe versions

Trend Micro Deep Security and Vulnerability Protection protect user systems from threats that may leverage this Adobe Flash zero-day with the DPI rule 1007119 – Identified Malicious Adobe Flash SWF File. Trend Micro Deep Discovery, on the other hand, has specialized detection engines and custom sandboxing that can detect the usage of this zero-day.

We have notified Adobe about our discovery and are working with them to address this security concern. Updates to this entry will be made once more information is available.

Updated on October 13, 2015 9:50 P.M. PDT (UTC-7) to add more details on past Pawn Storm campaigns and details on provided Trend Micro protection.

Още подробности:http://www.securitylab.ru/news/475574.php

 

Нищо ново под слънцето. Тия ако нямат проблеми, не могат да спят спокойно. Пусто още се ползва, тоя флаш.