Новини, свързани със сигурността (ВАЖНА)

[capnemo 45165]

Тази тема се създава като информационен източник за новините в областта на информационната (и не само) сигурност.

Всеки пост трябва да се подчинява на следните правила:

 

1. Поста трябва да съдържа поне три реда на български под формата на превод и/или неутрален коментар на новината. Фенщина и пристрастия няма да се толерират.

2. Линка към новината трябва да е към сериозен сайт, компания, блог. Няма да се толерират линкове към световно-неизвестни "експерти", блогове и т.н.

3. Коментари се допускат само ако коригират или изясняват детайли от новината. За коментари ползвайте другите теми в раздела.

4. Спазването на добрия тон е задължително.

 

П.П. За дискусии ползвайте тази тема.

Редактирано 22 януари 2015 от capnemo (преглед на промените)

[quickJO 13911]

BitDefender съобщи за нова спам кампания във Facebook

Румънската компания, специализирала се в доставянето на услуги и продукти в областта на информационната и интернет сигурност BitDefender, съобщава за регистрирането на нова спам кампания по страниците на Facebook, която привлича жертви, подмамвайки ги да видят съдържание за възрастни, което е взето от Snapchat.

BitDefender вече са поставили в черните списъци на своите продукти няколко страници, свързани със спам кампанията. Те съобщават, че една от тези страници е била събрала 75 000 Facebook лайкове и 4771 последователи в Twitter - вероятно фалшиви.

"През изминалата седмица, измамата “hottest snapchats” достигна втора позиция в своеобразната класация за най-популярни измами в социалната мрежа Facebook след "check your top profile visitors". Потребителите, станали жертва на измамата, свързана със Snapchat, често също попадат на измамни съобщения от рода на “leaked work selfies” and “sexy shoots of girls taken by her boyfriend”, пише Бианка Станеску от страниците на блога на BitDefender.

Освен това потребителите на Facebook може да се натъкнат и на други съобщения, част от спам кампанията, от рода на: : “welcome to new batch of snapchat leaked”, както и съобщения, които идват от авторите на същата кампания, като: “This Girl Removed Her Mask After 2 Years,” и “What Happened to Her Will Leave You In A Shock (21 Photos).”

Интернет потребителите (не само тези на социалните мрежи) е добре да внимават за бомбастично звучащи заглавия и текст, които ви подмамват да кликнете, за да разберете повече. Особено внимание трябва да се обръща на линкове, които твърдят, че водят към "откраднати" или "изтекли" (leaked) изображения, и разбира се да помнят, че в крайна сметка "любопитството убило котката". Подобни измами могат да ви отведат не само до спам-анкети и лъжливи фармакологични сайтове, но и към интернет ресурси, на които е разположен зловреден код и даже да станете жертва на рансъмуер, след което всичките файлове на системата ви да попаднат в плен на киберпрестъпници - всичкото това, заради един клик и нездраво любопитство.

Вижте повече: https://www.kaldata.com/IT-%D0%9D%D0%BE%D0%B2%D0%B8%D0%BD%D0%B8/BitDefender-%D1%81%D1%8A%D0%BE%D0%B1%D1%89%D0%B8-%D0%B7%D0%B0-%D0%BD%D0%BE%D0%B2%D0%B0-%D1%81%D0%BF%D0%B0%D0%BC-%D0%BA%D0%B0%D0%BC%D0%BF%D0%B0%D0%BD%D0%B8%D1%8F-%D0%B2%D1%8A%D0%B2-Facebook-97181.html

[NIKISHARK 10602]

Неголяма статия оносно първите действия при забелязване на криптиращ вирус в системата от Владимир Мартянов, специалист на Dr.Web :

 

                                                            

                                                                             Криптирани файлове: какво да правим?

 

Ако забележите, че файловете ви започват да се кодират или наскоро са започнали да се кодират - дърпайте захранващия кабел (дръжте натиснато продължително копчето за изключване) от заразения компютър!
Дочетете от друго устройство.
А сега, когато захранването е изключено, може спокойно да се прегледа предлагания от мен подход. Пред всеки, който се сблъска с работата на кодиращ вирус трябва да има две задачи: съхраняване на още незасегнатите данни и съхраняване на «мястото на произшествието» в първоначален вид.

 

Първа задача — съхраняване на данните.

 

Нито един кодиращ вирус не е способен да шифрова всички данни моментално, затова до приключване на кодирането някаква част от тях ще остане незасегната. И колкото повече време е минало от началото на криптирането, толкова по-малко незасегнати данни ще останат. Щом нашата задача ­ е да съхраним колкото се може повече файлове, то трябва да се прекрати работата на криптиращия вирус. Може, по принцип, да се започне анализиране на списъка с процеси, да се търси в тях кодиращия троянец, да се опитвате да го спрете… Но, повярвайте ми, дърпането на кабела е значително по-бързо! Стандартното завършване на работата на Windows ­ не е лоша алтернатива, но това може да отнеме някакво време или троянския кон със своите действия може да попречи. Затова моя избор ­ - издърпайте шнура. Несъмнено, тази стъпка си има своите минуси: вероятност от повреждане на файловата система и невъзможност за бъдещо сваляне на дъмп на RAM-а. Повредената файлова система за неподготвен потребител е по-сериозен проблем от криптиращия вирус. След енкодера ще останат поне файловете, повредените таблици на дяловете ще доведе до невъзможност да се зарежда ОС. От друга страна, грамотния специалист по възстановяване на данни ще възстанови тази таблица без особени проблеми, а криптиращия вирус няма да засегне доста файлове.
Дъмпа на оперативната памет, свален в момент на действие на троянския криптиращ вирус, може много силно да помогне в бъдеще, но обикновения потребител едва ли ще знае какво да го направи. За търсене на решение ще трябва доста време, а полза от дъмпа не винаги може да се извлече.

 

Втора задача — съхраняване на «местото на произшествието» за бъдещо изучаване.

 

Защо това е така важно? Всяка работа по декриптиране на файлове започва с това, че ние се опитваме да разберем, какво именно е станало, да се получи пълна картина на станалото. В идеалния случай ние получаваме всички файлове, които са работили в процеса на криптиране. Техния анализ дава възможност да се разбере, как е станало криптирането, оставил ли е троянеца артефакти, които ще позволят да се облекчи разшифроването.
Идеалния начин е да се консервира практически всичко, което означава все пак да се включи захранването, но без да се зарежда операционната система, в която е бил стартиран криптиращия вирус. За достъп до данните от диска (а такъв достъп със сигурност е нужен) може да се ползва LiveCD с някаква версия на Linux. Може също така да се включи диска към незаразен компютър, но така има риск от стартиране на вируса в новата система или пък да се променят файлове на поразените дискове. Затова най-добре е LiveCD.
На този етап ние имаме, в идеалния случай, компютър, който е бил изключен веднага след откриване на криптирането и нито веднъж не е включван. Практически такъв случай почти не съществува: аз не мога да се спомня нито един такъв случай от почти три хиляди. По-скоро, във вашия случай криптирането вече е приключило, а изключване на компютъра за продължително време не става по една или друга причина. И тук е важно да се разбере, как трябва (а по-точно, как не трябва) да се работи с такава «недоконсервирана» система, обръщайки внимание на задачата - «максимално съхраняване».

 

Първо правило: не се паникьосвайте.

Още веднъж се убедете, че няма криптиране на нови файлове, в противен случай ­ изключете компютъра. Необмислени и прибързани действия след приключване на кодирането могат (и не веднъж са довеждали!) до големи проблеми, повече от самото криптиране. В този момент всичко най-лошо вече се е случило и трябва да се решава спокойно проблема.

 

Второ правило: нищо да не се чисти, да не се изтрива, системата да не се преинсталира.

За декриптирането най-голямо значение може да има незабележимото файлче от 40 байта в директория за временните (temp) файлове или непонятен шорткът на десктопа. Вие със сигурност не знаете, ще бъдат ли важни те за декриптирането или не, затова най-добре не пипайте нищо. Чистене на регистъра ­ въобще е съмнителна процедура, а някои криптиращи вируси оставят там важни за разшифроване на следите от работа. Антивирусите, разбира се, могат да открият тялото на троянеца кодировчик. И дори могат да го премахнат веднъж завинаги, но какво ще остане за анализ? Как ще разберем как и с какво са шифровани файловете? Затова най-добре оставете звяра на диска. Още един важен момент: аз не познавам нито едно средства за чистене на системи, което би предвидило вероятното действие на криптиращ вирус и бе съхранило всички нужни следи от вредното му действие. И, по-скоро, такива средства никога няма да се появят. Преинсталирането на системата точно ще унищожи всички следи на троянеца без криптираните файлове.

 

Трето правило: оставете декриптирането на професионалистите.

Ако зад гърба си имате няколко години в писане на програми, вие действително разбирате какво е това RC4, AES, RSA и в какво се различават, вие знаете, какво е това Hiew и какво означава 0xDEADC0DE ­ можете да пробвате. Останалите не ви съветвам да започвате. Да допуснем, вие сте намерили някаква чудна методика за разкодиране на файлове и дори сте успели да декодирате даден файл. Това не е гаранция, че метода ще работи с всичките ваши файлове. Нещо повече, това не е гаранция че по тази методика няма да повредите файловете си още повече. Дори в нашата работа се случват неприятни моменти, когато в кода при декодирането се откриват сериозни грешки, но в хиляди случаи до този момент кода е работил както трябва.
Сега, когато е ясно какво да правите и какво да не правите, можем да пристъпим към декриптирането. По теория, декриптирането е възможно почти винаги. Това ако знаете всички нужни за него данни или пък имате неограничено количество пари, време и процесорни ядра. На практика нещо може да бъде разкодирано почти веднага. Нещо ще чака своя ред няколко месеца или даже години. За някои случаи може дори и да не се започва: суперкомпютър даром за 5 години под наем никой няма да ни даде. Лошо е още и това, че на пръв поглед простия случай при подробно разглеждане се оказва изключително сложен. Към кого да се обърнете решавате вие. Можете да се обърнете към нас, можете да се обърнете към престъпниците, изискващи откуп, а можете към неизвестния съсед, който казва че всичко ще оправи за 5 минути. Ние имаме многогодишен опит в декриптирането на данни, нашата компания има софтуер за декриптиране на файлове за над хиляди различни варианти енкодери и ние го доработваме за нови варианти.
Във всеки случай, желая успехи във възстановяването на данни и колкото се може по-рядко да се сблъсквате с криптиращи вируси!

 

Автор: Владимир Мартянов - специалист по енкодери, поддържа база знания по криптиращи вируси на форума на Dr.Web
Превод: Борислав Кирилов

 

 

Аз Ви препоръчвам,при съмнения за зараза, да посетите все пак тази тема.

Редактирано 22 януари 2015 от NIKISHARK (преглед на промените)

[capnemo 45165]

Електронният ключ. използва за свързване на всички бордови диагностични системи на повече от два милиона леки и товарни автомобили въпреки няколкото нива на защити срещу хакерски атаки съдържа пропуск, който ги прави уязвими за безжични атаки, които поемат контрола на превозно средство. Проблема е свързан с факта че не се правят никакви проверки за подписан или валиден ъпдейт на фърмуера. За повече информация тук

[NIKISHARK 10602]

Известната на всички Dr.Web  предупреждава за нова атака  ,от тази седмица,която се състои в масово разпостранение по пощата на криптиращ вирус , който е прикрит с dowloader.Основната цел на приложението е да свали и стартира криптиращ вирус под името "Trojan.Encoder.686",като файловете засегнати от него не подлежат на възстановяване  .Този зловреден файл е добавен в дефинициите на Dr.Web като "Trojan.DownLoad3.35539"

 

Цитат:

 

-"Компания «Доктор Веб» предупреждает пользователей о начавшейся на этой неделе массовой почтовой рассылке, с использованием которой злоумышленники распространяют опасную вредоносную программу-загрузчик.

Основное предназначение этого приложения — скачивание и запуск на инфицированном компьютере троянца-шифровальщика Trojan.Encoder.686, представляющего для пользователей серьезную угрозу, поскольку пострадавшие от его действия файлы в настоящее время не поддаются расшифровке.

 

Троянец-загрузчик, добавленный в вирусную базу Dr.Web под наименованием Trojan.DownLoad3.35539, распространяется злоумышленниками при помощи массовой спам-рассылки в виде вложенного в сообщения электронной почты ZIP-архива. Специалисты «Доктор Веб» зафиксировали случаи распространения сообщений, содержащих опасное вложение, на разных языках, в том числе английском, немецком и даже грузинском.

Архив содержит .SCR-файл — к данному типу файлов по умолчанию относятся скринсейверы (заставки) Windows. Подобные файлы являются исполняемыми. При попытке запуска файла из архива Trojan.DownLoad3.35539извлекает из своего тела, сохраняет на диск и открывает на экране атакуемого компьютера текстовый RTF-документ.

 

Одновременно с этим Trojan.DownLoad3.35539 устанавливает соединение с одним из принадлежащих злоумышленникам удаленных серверов, загружает оттуда архив, содержащий троянца-шифровальщикаTrojan.Encoder.686, который также известен под названием CTB-Locker, после чего распаковывает и запускает его. Успешно инициализировавшись на зараженном компьютере, Trojan.Encoder.686 выполняет шифрование пользовательских файлов, после чего демонстрирует на экране заранее сформированное злоумышленниками сообщение, сообщает news.drweb.ru.

 

Примечательно, что вирусописатели отводят своим жертвам лишь 96 часов на оплату расшифровки файлов, угрожая при этом, что в случае отказа от сотрудничества все зашифрованные файлы будут потеряны навсегда. При этом за подробной информацией об условиях и сумме выкупа киберпреступники предлагают пострадавшим пользователям обратиться на сайт, расположенный в анонимной сети TOR.

 

Троянец-шифровальщик Trojan.Encoder.686 собран с использованием библиотек TOR и OpenSSL, криптографию которых активно использует. В процессе шифрования пользовательских файлов энкодер активно эксплуатирует возможности CryptoAPI с целью получения случайных данных и эллиптическую криптографию, в связи с чем расшифровка пострадавших от его действия файлов в настоящий момент не представляется возможной.

Компания «Доктор Веб» предупреждает пользователей о необходимости проявлять бдительность и не запускать присланные по e-mail исполняемые файлы, не открывать вложения в сообщениях электронной почты, полученных из сомнительных источников, а также напоминает о целесообразности своевременного резервного копирования всех представляющих ценность данных."

 

Предупреждават се потребителите да Не стартират изпълними файлове получени по пощата и напомня ,че е препоръчително да имат резервно копие на важните данни.

 

http://news.drweb.ru/show/?i=9245&lng=ru&c=5

Редактирано 22 януари 2015 от NIKISHARK (преглед на промените)

[icotonev 8509]

Adobe Security Bulletin
 

Обновленията по сигурността  за Adobe Flash Player
 
Release date: January 22, 2015
Vulnerability identifier: APSB15-02
Priority: See table below
CVE number: CVE-2015-0310
Platform: All Platforms
 
Тези актуализации се отнасят за много важна уязвимост в софтуера.

 
 

Повече информация може да прочетете тук:

 

Adobe Security Bulletin
Release Notes | Flash Player® 16 AIR® 16
Adobe Product Security Incident Response Team (PSIRT) Blog

[capnemo 45165]

Adobe Security Bulletin

 

 

 

Повече информация може да прочетете тук:

 

Adobe Security Bulletin

Release Notes | Flash Player® 16 AIR® 16

Adobe Product Security Incident Response Team (PSIRT) Blog

Само да допълня че от тази страница можете да проверите версията на вашия флаш плеар в броузера

[Гост]

Измамници печелят рекламни приходи в You Tube от разпространение на зловреден софтуер  Tubrosa!

 

 

Зловредната кампания открита от експерти на Symantec, е насочена към потребители по целия свят в продължение на месеци. Заплахата клик-измама  Tubrosa се състои от два модула-първият се доставя чрез фишинг имейли и втори такъв, който е свален и управляван от първия компонент.

Как да се предпазим и повече информация тук!

Редактирано 26 януари 2015 от Гост (преглед на промените)

[NIKISHARK 10602]

New Malware Downloader Outfoxes Antivirus Detection

 

Киберпрестъпниците са разработили нов инструмент за да се доберат до данните в компютрите,използвайки стандартни сервизи във Windows.
Откритият от учени от Websense, malware downloader е с име "f0xy".
Според тях,авторите на заплахата непрекъснато работят ,за да се стигне до по-голям брой операционни системи и да останат скрити възможно най-дълго.
Една от системните служби която се иползва е Background Intelligent Transfer служба (BITS) (bitsadmin.exe) в Windows,която обикновено се използва за актуализации...

 

 

Повече информация : http://news.softpedia.com/news/New-Malware-Downloader-Outfoxes-Antivirus-Detection-471726.shtml

Редактирано 6 февруари 2015 от NIKISHARK (преглед на промените)

[AntiAlGor 12126]

http://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/

Безплатно приложение на Бит, за имунизиране на системата, срещу крипто гадините. Момчетата от екипа за спешна помощ /антивирусния де/, дали може да го тестват?

Редактирано 8 февруари 2015 от capnemo (преглед на промените)

[NIKISHARK 10602]

Според информацията от статията,става въпрос за нов,усъвършенстван руски ransomware с наименование "Fessleak", който доставя своя злонамерен код направо в системната памет и така поразява всички файлове, записани на диска....

 

 

http://blog.knowbe4.com/brand-new-ransomware-strain-encrypts-files-from-memory

 

http://news.softpedia.com/news/Fileless-Ransomware-Delivered-through-Malvertising-on-Popular-Sites-472319.shtml

Редактирано 8 февруари 2015 от NIKISHARK (преглед на промените)

[NIKISHARK 10602]

                                   CryptoLocker, VirLock, FileCoder, TorrentLocker, CTB Locker                                                                                                                            - различни имена, едно действие. Как да се защитите?

 

Не е тайна, че в последно време зловредните кодове от тип ransomware са особено активни. Заплахите от този тип са известни с различни имена като VirLock, CryptoLocker, FileCoder, TorrentLocker, но всички те правят едно и също - атакуват (и то доста успешно) множество потребители като заключват важни за тях файлове, след което искат насрещен откуп за възстановяването им..

Екипът на ESET представя някои съвети, с които ще подобрите степента си на защита и ще увеличите шансовете си да не бъдете един от заразените потребители:

 

1. Настройте антивирусната си програма

За потребителите, които разполагат с продукт на ESET препоръчваме следните настройки за повишаване нивото на защита:

• да се включи системата ESET LiveGrid;
• да се разреши сканирането при създаване на файл за модула Real-Time Protection (защита в реално време);
• да се разреши Advanced Heuristics (разширени евристики) при изпълнение на файлове.

2. Правете бек-ъп на данните си

Естествено, когато говорим за вирус, който заключва файлове, най-сигурният метод е да правите регулярен бек-ъп на данните си. Когато бъдете атакувани с ransomware е доста вероятно да изгубите информацията, която сте генерирали през деня, но ако можете да възстановите системата си към предишен момент или да възстановите документите си от бек-ъп, може да сте спокойни. Важно е да знаете, че може да бъдат криптирани и файловете на мап-нати папки по мрежата или на закачени външни дискове. Затова бек-ъпа трябва да се прави към външна услуга за архивиране или към външен диск на който не е присвоена буква, както и да изключвате устройствата за съхранение, когато не правите бек-ъп.

 

3. Показване на скрити файлови разширения

Един от начините, чрез които Cryptolocker често пристига е във файл с разширение ".PDF.EXE", разчитайки на поведението по подразбиране в Windows за скриване на известни файлови разширения. Ако разрешите отново възможността да видите пълното разширение, ще ви бъде по-лесно да забележите подозрителни файлове.

 

4. Филтър на .exe в имейл

Ако разполагате със мейл скенер на входа на мрежата, който притежава способността да филтрира файловете по техните разширения, можете да забраните файлове с разширение .exe. Това ще ви предпази и от много други типове зловреден код.

 

5. Забраняване файлове да се стартират от AppData / LocalAppData папки

Можете да създавате правила в Windows или със софтуер за предотвратяване на прониквания, за да специфичното за Cryptolocker поведение да се изпълнява от AppData / LocalAppData папки. Ако (по някаква причина) имате друг софтуер, който знаете, че е настроен да работи не от обичайните Program Files, а от App Data, ще трябва да го изключите от това правило.

 

6. Изключване на RDP

Малуера Cryptolocker / Filecoder често достъпва целеви машини, използващи протокол Remote Desktop Protocol (RDP), помощна програма на Windows, който позволява на други хора да получат достъп до вашия работен плот от разстояние. Ако не се изисква използването на RDP, можете спокойно да го забраните. За инструкции как да направите това, посетете статиите по-долу в базата знания на Microsoft:

• Windows XP RDP disable
• Windows 7 RDP disable
• Windows 8 RDP disable

7. Обновете вашият софтуер

Този съвет е общ и се отнася към всички възможни заплахи от зловреден код. Същото важи и за Cryptolocker. Колкото по-нова и съвременна версия ползвате, толкова по-голяма е защитата ви. Много често, хакерите се възползват именно от уязвимости, оставени от стари версии на даден софтуер и ги експлоатират, за да заразят потребителите. В особена степен това важи за антивирусния софтуер, който се нуждае от най-съвременните си модули, за да се пребори успешно със съвременните зловредни кодове.

 

8. Използвайте реномиран пакет за сигурност

Едно от най-важните неща е да изберете подходяща и качествена защита. Добре е вашата антивирусна програма да има антивирус и защитна стена, които да ви помогнат да идентифицирате заплахи и подозрително поведение по-ефективно. Това трудно може да се очаква от безплатни или кракнати решения.

Ако се окажете в положение на стартиран ransomware файл, без да е извършена някоя от предишните предпазни мерки, вашите възможности са доста по-ограничени. Но не всичко може да се загуби. Има няколко неща, които можете да направите и които биха могли да спомогнат за намаляване на щетите, особено ако въпросният ransomware се окаже Cryptolocker:

 

9. Прекъснете WiFi или изключете от мрежата веднага

В случай, че не сте изпълнили предходните стъпки, а в същото време ви обвземе усещането, че току що сте кликнали на неправилния линк, Ви остава последната надежда – мигновено изключване на интернет връзката. Вирусите от този тип имат нужда от известно време за комуникация със сървър и ако сте много бързи можете да я прекъснете навреме. Разбира се, това е просто капка надежда и в никакъв случай сигурен метод за защита.

 

10. Направете System Restore

Да предположим, че вече сте заразени. Можете да опитате да направите възстановяване на системата до предишно състояние, което знаете, че е било чисто. Но отново – Cryptolocker знае това и по-новите му версии разполагат с възможността да трият “Shadow” файлове от System Restore, което означава, че вече криптираните файлове няма да бъдат там, когато се опитате да направите restore.

 

11. Внимавайте и уведомете всички в мрежата

И накрая най-важното – бъдете внимателни. Не кликайте на подозрителни линкове, не отваряйте имейли от непознати хора и в никакъв случай не сваляйте файлове от имейли, които ви се струват подозрителни. Уведомете всички потребители във вашата мрежа и обяснете сериозността на проблема.

 

 

Статията е от:  http://www.eset.com/bg/about/blog/article/ransomware/

Редактирано 8 февруари 2015 от NIKISHARK (преглед на промените)

[NIKISHARK 10602]

Преглед на вирусната активност,представена от Dr.Web за 2014,която се оказва доста богата на инциденти,включително и за Linux.Както винаги,компютрите с Windows,най-често страдат от инфекции...Разбира се,MacOS X,също са засегнати от зловредни приложения....

 

Overview of virus activity in 2014

February 10, 2015

"Russian anti-virus company Doctor Web presents its overview of malware activity in the past year, one that proved to be quite rich with information security incidents. Blocker Trojans and even the first encryption ransomware programs for the Android mobile platform can be considered 2014’s most notable trends. The quantity of newly discovered banking and spy Trojans for this operating system increased as well. And, malware programs for Linux became more abundant than ever. As in the past, Windows PCs often suffered from infections with various encryption Trojans. And, of course, Mac OS X didn't escape the attention of virus makers either—they were busy creating new malicious applications for this OS throughout the year."

 

Encryption ransomware

In 2014, malicious programs that encrypt data in compromised systems and demand a ransom for its decryption were one of the most common and severe threats. In the past 12 months, over 10,000 users whose data was compromised by ransomware contacted Doctor Web's technical support. Starting in July, the monthly number of such support requests increased gradually, and the August figure was twice as large as the number registered in January. The diagram below shows how the number of requests grew through 2014. The smallest number—507—was registered in April, while the largest figure—1,609—was registered in October:

 

 

Повече информация:http://news.drweb.com/show/?i=9227&c=5&lng=en&p=0

Редактирано 10 февруари 2015 от NIKISHARK (преглед на промените)

[NIKISHARK 10602]

И VirusTotal се включва в борбата с фалшивите засичания на антивирусните програми.Първата стъпка,съвместно с големите софтуерни разработчици , в тази посока е да се създаде софтуерен каталог, където софтуерните разработчици ще могат да споделят своите файлове.
Тези файлове ще бъдат отбелязвани във VirusTotal и когато антивирусна програма блокира погрешно такъв файл,екипа на съответната програма ще бъде уведомяван за фалшивото засичане и за коригиране на засичането.

VirusTotal вече започна да маркира файловете, както може би сте забелязали, в горната част на страницата при проверка..

 

Ето и цялата статия от Comss.ru

                          VirusTotal: Первый удар по ложным срабатываниям антивирусов  

 

VirusTotal стремится помочь антивирусной индустрии в борьбе с ложными срабатываниями, стараясь сотрудничать с вендорами в этом направлении. Первые шаги Microsoft и Google уже уменьшили ложные срабатывания антивирусов

 

Очень часто антивирус распознает абсолютно надежный файл в качестве вредоносного. Данная ситуация происходит обычно, когда определенный вендор ошибочно помечает в качестве зловреда файл, принадлежащий распространенному виду ПО, например ключевой файл операционной системы.

Эти ошибочные обнаружения, известные также как ложные срабатывания, имеют все виды нежелательных эффектов:

• Разработчики ПО могут ощутить серьезный экономический эффект на свой бизнес, т.к. большая аудитория пользователей не смогут воспользоваться работоспособной версией их продукта;
• Специалисты технической поддержки могут столкнуться с большим потоком писем недовольных пользователей, утверждающих, что их программный продукт не работает или работает некорректно;
• Конечные пользователи не смогут взаимодействовать с важными программами и не смогут выполнить критически важные задачи;
• Репутация вендора антивирусного ПО может быть серьезно подорвана.

Очевидно, что ложные срабатывания создают серьезную головную боль как для антивирусной индустрии, так и для разработчиков ПО. Решение данной проблемы представляет довольно сложную задачу. Почему? В настоящее время антивирусные вендоры развиваются по пути большей проактивности своих продуктов с целью создания безопасной пользовательской базы, в частности они разрабатывают более общие и гибкие сигнатуры и эвристические метки, что часто приводит к ошибочным обнаружениям.

VirusTotal, онлайн-сервис, принадлежащий Google, стремится помочь антивирусной индустрии в борьбе с ложными срабатываниями, стараясь сотрудничать с вендорами в этом направлении. Первым шагом в данном совместном проекте будет защита так называемых надежных источников. Целью первого этапа будет создание каталога ПО, где крупные разработчики программных продуктов смогут делиться своими файлами.

Данные файлы будут помечаться сервисом VirusTotal и, когда антивирусная программа будет (ошибочно) распознавать и блокировать их, соответствующий вендор будет уведомлен об ошибочном обнаружении с целью корректировки ложного срабатывания. Кроме того, когда файлы будут передаваться антивирусным вендорам, они будут помечены особым образом, чтобы ошибочные метки были проигнорированы, предотвращая эффект снежного кома с коэффициентом обнаружения.

VirusTotal уже начал помечать файлы , и Вы уже могли заметить информационный блок в верхней части страницы отчета - пример (Trusted source! This file belongs to Microsoft Corporation's software catalogue).

Как Вы можете видеть, на странице выводится не только список идентификации надежного источника,  ложные срабатывания также показываются в нижней части отчета. Данная мера позволяет убедиться, что ложные срабатывания не станут вводить в заблуждение пользователей при просмотре отчета. Информация об этих ошибочных обнаружениях отправляется соответствующим вендорам для того, чтобы исправить проблему.

Команда VirusTotal на протяжении целой недели вплотную занималась продуктами компании Microsoft. Результаты выглядят многообещающими: за эту неделю было зафиксировано более 6000 ложных срабатываний. VirusTotal благодарит команду Microsoft за обмен метаданными коллекции программных решений, а также антивирусную индустрию в целом за борьбу с ложными срабатываниями.

Итак, а какие шаги будут следующими? В первую очередь, VirusTotal стремится увеличить коллекцию надежных источников. Крупные разработчики ПО могут связаться с представителями сервиса для обмена данными и сопутствующего сотрудничества для сокращения числа ложных срабатываний. К разработчикам потенциально нежелательных и рекламных приложений данное предложение не относится.                                

2015-02-14

Статията е копирана от Comss.ru                                                                                                                                                     

Редактирано 14 февруари 2015 от NIKISHARK (преглед на промените)

[DarkEdge 45239]

Малко остаряло, но сравнително актуално като време:

https://www.virusbtn.com/vb100/rap-index

 

За по-голямо изображение - щракнете на картинката.

Редактирано 18 февруари 2015 от belivakov (преглед на промените)

[NIKISHARK 10602]

                                                                   Google Chrome с най-голям брой уязвимости за януари 2015

 

Според Softpedia, позовавайки се на статистическите данни предоставени от IBSecunia , във уеб-браузърът Google Chrome са намерени 71 проблема с безопасността. С този резултат браузърът е на първо място по брой уязвимости за януари 2015.

Google е изплатила повече от 1.50 милиона щатски долара като  възнаграждения за откриване на уязвимости през 2014 г.. Именно тези финансови стимули могат да обяснят  интереса от страна на специалистите към Google Chrome.

В топ двадесет,от статистиката на Secunia, попадат също Oracle Java JRE и SDK, с открити 19 уязвимости, Mozilla Firefox - със 16 , Oracle VirtualBox - 13 уязвимости ,а в Adobe Flash Player са открити 12 уязвимости...

Повече подробности:http://news.softpedia.com/news/Google-Chrome-Recorded-the-Highest-Number-of-Vulnerabilities-in-January-2015-473426.shtml

Редактирано 19 февруари 2015 от NIKISHARK (преглед на промените)

[NIKISHARK 10602]

Google добавя ново предупреждение към Chrome в защита на потребителите в мрежата. Новият червен флаг в браузъра на Google ви предупреждава, когато сте на път да посетите сайт, който насърчава потребителите да изтеглят вреден и опасен софтуер.Определението " нежелани програми" на Google не е само за зловреден софтуер, но и за програми, които се опитват да се промъкнат незабелязано във вашата система.Дори софтуер, който променя началната страница, което не е рядко явление,може да се квалифицира като нежелан софтуер от гледна точка на Google.

 

 

 Други браузъри като Firefox, също предупреждават за потенциално опасни сайтове.

В допълнение към промените в Chromе, в Google работят за филтриране на зловредните сайтове и изключването им в резултатите от търсенето,а също така и да деактивират реклами, които водят към сайтове, предлагащи нежелан софтуер.

 

Подробности:http://www.pcworld.com/article/2888255/chrome-security-update-warns-against-sneaky-software-downloads-as-well-as-malware.html

[NIKISHARK 10602]

Една статия от сайта на Emsisoft,за разпространението на нежелани и PUP приложения.Дори на пръв поглед приложенията да са ни доста познати и често използвани,никога не се знае какво има под "лъскавият"вид...Така че..четете и бъдете внимателни!

         

                                   62% of the Top 50 Download.com applications bundle toolbars and other PUPs

 

CNET’s Download.com is considered to be one of, if not, the most popular download portal(s) hosting a conglomerate of different software (free and paid). We recently discussed the top ten methods of how toolbars, adware, homepage hijackers and other potentially unwanted programs (PUPs) can sneak onto your computer. Potentially unwanted programs are becoming a new epidemic that users must learn face to overcome on a regular basis. In fact, a recent Panda Security study shows that potentially unwanted programs are on the rise resulting in PUPs now comprising 24.77% of total malware infections.

A lot of potentially unwanted programs are delivered by installers hosted on download portals such as Download.com. But what kind of programs are frequently bundled and should you look out for? And how many of Download.com’s apps actually contain PUPs?

We researched both. First, here is a list of the most commonly bundled PUPs we see through Download.com:

Example 1: MyPC Backup – free trial with pop-ups

MyPC Backup is a commonly distributed potentially unwanted program that can often be found bundled with a wide variety of freeware applications. Once installed, MyPC Backup will nag the user to try and coax them into signing up for a “free account”. Afterwards, it will urge the user to back up their files and folders.

The con then comes into play stating that you need to purchase the full version in order to perform the backup. Please, never let appearances fool you: if it seems too good to be true, it most likely is. Also, expect to be inundated with pop-ups during your free trial period.

Example 2: IObit Products – are IObit products “useful” or “useless”?

Most users have more than likely used one or more of IObit’s free software offerings. Some users may wonder how IObit products are considered to be possibly unwanted. Well, IObit’s clever tactics of bundling one or more of their free software offerings within other similar freeware products is considered to be potentially unwanted. An example of this is: Advanced System Care will install IObit Uninstaller, while IObit Driver Booster may offer to install IObit Malware Fighter.

Plus, do you know if IObit’s privacy policy is one that you want to comply with? IObit has been accused in the past of using shady software development methods. Please be cautious when installing related IObit applications. Consider this: if an application that you may never use is unknowingly installed along with another application, why do you need it on your PC? IObit is also notorious for pushing their paid products by using “in program ad’s” (Activate Now) and questionable promotional and marketing tactics.

Example 3: Pro PC Cleaner – finds fake issues that you need to pay for to fix

Pro PC Cleaner has made its presence known and tagging along with it are its fake results. Pro PC Cleaner uses cleverly deceitful tactics and a colorful user interface in order to give the user a false sense of confidence and security.

Once installed, this “professional” application will pester the user with a conglomerate of bogus errors and misleading display results. Afterwards, Pro PC Cleaner will “claim” that you need to pay money to register the application in order to repair the found “issues”. This software is a definitely unwanted program. If you find yourself facing this rogue like application, removal is highly recommended or you will continue to be plagued by its annoying presence.

Example 4: Skype – frequently bundled with freeware applications

Skype is a very popular application. One might ask: how can Skype be considered potentially unwanted? Skype as an independent application is not potentially unwanted at all. However, the situation with Skype is similar to that as mentioned above with IObit products.

Skype is bundled with a multitude of freeware installers. If a user happens to accidentally overlook the “I do not accept” or the check box to opt out of installing Skype: it can be considered just as unwanted as Pro PC Cleaner.

Example 5: YTD Video Downloader – more browser modifications than you’d want

Last, but not least, Spigot can be considered the most common potentially unwanted offer that is bundled with the vast majority of Download.com freeware. Spigot is rather nasty because it makes a plethora of browser modifications.

Spigot modifies a user’s browser homepage, startup page, search engine and tab settings. As shown in the image above, Spigot also installs various browser add ons. If a user is not installing cautiously, a massive amount of junkware and unwanted changes could befall their browser(s). An offering such as this is definitely unwanted; however, avoiding it is as easy as clicking to decline. Please use definite caution when facing an installer such as this.

Download.com’s Top 50 downloads: what comes with them?

We looked into the top 50 most downloaded applications on Download.com and the various potentially unwanted programs installed with each. Shown below is the list of 50 applications and the bundled PUPs listed next to them. As of February 2015, these programs contain PUPs:

1. Avast Free Antivirus - Dropbox
2. KMPlayer - Spigot browser extensions – shopping aid, newtab Aid, slick savings, Ebay shopping assistant, search protect, offers to change homepage and search engine to Yahoo during installation, Pro PC Cleaner, and Wajam
3. AVG Free Antivirus - AVG SafeGuard – changes homepage and search engine to AVG secure search, web tuneup
4. YAC (Yet Another Cleaner) - Considered to be a PUP itself
5. CCleaner - Chrome
6. Advanced System Care - Driver Booster, IObit Uninstaller
7. Free Youtube Download - Skype, PC Reviver
8. YTD Video Downloader - Spigot browser extensions – slick savings, browser Error assistant, Ebay shopping assistant, search protect, offers to change home and startup pages to Yahoo during installation, and GeniusBox
9. IObit Uninstaller - Advanced System Care
10. Download App - Spigot browser extensions – shopping new tab aid, slick savings, Ebay shopping assistant, search protect, offers to change homepage and search engine to Yahoo during installation, and Pro PC Cleaner
11. 3DP Chip - nProtect, SpeedUpMyPC 2015
12. GOM Media Player - Skype, Clean Water
13. Virtual DJ 8 - NO PUPs
14. Malwarebytes Anti-Malware - NO PUPs
15. PhotoScape - Google Drive, PC Mechanic
16. Start Menu 8 - NO PUPs
17. Driver Booster - IObit Malware Fighter
18. VLC Media Player - NO PUPs
19. Ad Aware Free Antivirus - Ad Aware Web Companion – changes home page and search engine to secure search
20. Minitool Partition Wizard - NO PUPs
21. Irfan View – NO PUPs
22. mHotspot - Tuneup Utilities, PC Mechanic, Safer Browser, Clean Water, Driver Max
23. Panda Free Antivirus - Panda Security Toolbar – changes default homepage and search engine to Yahoo
24. Hotspot Shield – changes default homepage and search engine to HotSpot web search, installs Hotspot shield toolbar during installation
25. Mozilla Firefox - NO PUPs
26. SlimDrivers – MyPC Backup
27. uTorrent - OWSLA Bundle , Skype
28. Virtual DJ 7 - NO PUPs
29. Any Video Converter - offers to change homepage and search engine to Yahoo during installation, Spigot browser extensions – shopping aid, new tab aid, slick savings, Ebay shopping assistant, search protect, and Pro PC Cleaner
30. AdwCleaner - NO PUPs
31. PrimoPDF - Open Candy
32. DriverMax - Open Candy, Safer Browser, Tuneup Utilities
33. Daemon Tools Lite - Spigot browser extensions – shopping aid, new tab aid, slick savings, Ebay shopping assistant, search protect, offers to change homepage and search engine to Yahoo during installation, Pro PC Cleaner, iCinema, and Bo Browser
34. UMPlayer - NO PUPs
35. Screencast – O – Matic - NO PUPs
36. IObit Malware Fighter - MyPC Backup, Advanced System Care Ultimate
37. Spybot Search and Destroy - NO PUPs
38. FastStone Imager Viewer – NO PUPs
39. Google Chrome - NO PUPs
40. VLC Media Player (64 Bit) - NO PUPs
41. 7Zip - NO PUPs
42. Kingo Android Root - Spigot browser extensions – shopping aid, new tab, slick savings, Ebay shopping assistant , search protect, offers to change homepage and search engine to Yahoo during installation, and Pro PC Cleaner
43. Format Factory - Spigot browser extensions – shopping aid, new tab, slick savings, Ebay shopping assistant, search protect, and Pro PC Cleaner
44. Media Player Codec Pack – NO PUPs
45. Macrium Reflect Free - NO PUPs
46. AOMEI Partition Assistant Standard Edition – NO PUPs
47. Youtube Music Downloader - Spigot browser extensions – shopping aid, new tab, slick savings, Ebay shopping assistant, search protect, offers to change homepage and search engine to Yahoo during installation, and Pro PC Cleaner
48. JetAudio Basic - offers to change homepage and search engine to Yahoo during installation, Spigot browser extensions – shopping aid, new tab, slick savings, Ebay shopping assistant, search protect, Pro PC Cleaner, and AVG Toolbar – offers to change homepage and tabs to AVG Secure Search
49. Pandora Recovery - offers to change homepage and search engine to Yahoo during installation, Spigot browser extensions – shopping aid, new tab, slick savings, Ebay shopping assistant, search protect, Pro PC Cleaner
50. Grand Theft Auto: Vice City Ultimate Vice City Mod - offers to change homepage and search engine to Yahoo, Spigot browser extensions – shopping aid, new tab, slick savings, Ebay shopping assistant, search protect, and Pro PC Cleaner

 

To share and download the above research easily, we created a PDF file with our findings. Get it here. Feel free to share!

 

Conclusion: 31 out of 50 tested Download.com applications bundle PUPs

In conclusion: out of the top 50 freeware applications on Download.com, 31 out of 50 are being bundled with potentially unwanted programs. This means that 62% of the freeware applications on Download.com contain potentially unwanted software. Be sure to use this download portal with extreme caution or else you may risk the possibility of facing a potentially unwanted outbreak.

Here are several reminders on how to stay PUP free:

• Instead of using download portals, go to the direct vendor website and download the desired software from there. Use caution here as well, because direct vendors can bundle PUPs themselves as well but at least it reduces the risk a little.
• Read over the terms of agreement carefully.
• Moreover, read the privacy policy of each bundled program carefully: what do they do with your data?
• Avoid seemingly suspicious software (free and paid).
• Uncheck boxes during installation since most PUPs use an opt-out approach.
• Use an antivirus program that comes with PUP detection, such as Emsisoft Anti-Malware.
• Do periodic scans for malware and PUPs with the free Emsisoft Emergency Kit, which scans and cleans your computer.

Download and share a summary of the findings here. Have a great (PUP-free) day!

 

Статията е копирана от:http://blog.emsisoft.com/2015/02/26/62-of-the-top-50-download-com-applications-bundle-toolbars-and-other-pups/?ref=newsbox_ticker150226&utm_source=software&utm_medium=newsbox&utm_content=ticker150226&utm_campaign=newsbox_ticker150226

Редактирано 5 март 2015 от NIKISHARK (преглед на промените)

[NIKISHARK 10602]

Я виж ти...изненада..

.

Според проучване на сигурността от компанията за сигурност GFI Aple ,Mac OS X е най-уязвимата операционна система и следваща веднага след нея е iOS за мобилни устройства.

  Компанията открила през 2014 г. 147 пропуски в сигурността, като 64 от тях са с висок риск, 67 със среден .Следваща, веднага след нея е iOS за мобилни устройства. За iOS картинката е подобна общо 127 ,като с висок риск са 32 ,със среден 72.
Изненадващо,но на трето място по уязвимост не е Windows, а Linux с общо 119 пропуски, като 24 са с висок риск и 74 със среден, останалите с нисък.
За Windows  нещата стоят така:
Windows RT общо пропуски в сигурността 30 като 22 са с висок риск, останалите със среден
Windows Vista общо 34 с висок 23, със среден 11
Windows 8.1 общо 36 с висок риск 24 със среден 12
Windows 7 общо 36 с висок 25, със среден 11

 

Подробности:

http://www.zdnet.com/article/mac-os-x-is-the-most-vulnerable-os-claims-security-firm/

Дали е манипулативна информацията..преценете сами...

и не "убивайте" вестоносеца.....

[Мальчик Бананан 4905]

Да, и аз го видях тва, щях да падна от смях... Не му ли казвахме стъкмистика на такава "статистика"?

[NIKISHARK 10602]

Нов вариант на CryptoLocker ransomware ,които е насочена към геймърите чрез онлайн игри и услуги, включително Minecraft, World Of Warcraft и Steam платформата....

 

Цитат:

 

 "A new variant of CryptoLocker which targets gamers has been discovered in the wild.

On Thursday, Bromium Labs security researchers revealed the existence of new crypto-ransomware which is targeting gamers by making them pay to unlock what they already own. The malware, which impacts data files for over 20 games, is distributed from a compromised website which redirects visitors to the Angler exploit kit by using a Flash clip.

At the time of writing the website has not been revealed, as Bromium Labs researchers have notified the owner but are yet to receive a response.

The Wordpress-based website is still serving malware, and it is not known whether the site has fallen prey to a WP exploit. In addition, the URL which hosts the malicious Flash file keeps changing.

Instead of a typical iframe redirection, the team says the Flash clip is wrapped in a < div > tag, potentially in an attempt to avoid detection. The clip itself makes calls to JavaScript and creates an iframe within, which leads to Angler."

 

 

 

 

Подробности:http://www.zdnet.com/article/new-cryptolocker-ransomware-targets-gamers/

[NIKISHARK 10602]

От Malwarebytes са се натъкнали на "червей" във Facebook,който според тях принадлежи към Kilim family.Заразяването става с примамката за порнографски материали,  която изглежда като видео файл с име Videos_New.mp4_2942281629029.exe, което в действителност е злонамерена програма.

Веднъж заразена,жертвата разпространява червеят до всичките си контакти и групи,към които принадлежи, като публикува следното съобщение:Sex photos of teen girls in school – NEW SCANDAL WHL2R http:// ow.ly/{removed} Like · · Share
   

 

Ето част от статията:

                                          New Facebook Worm Variant Leverages Multiple Cloud Services

 

 

Social networks are particularly interesting for malware authors because they can be leveraged to spread an infection starting with a single person.

Patient zero can transmit the piece of malware to all of his or her contacts which in turn do the same, quickly becoming viral and affecting hundreds of thousands of people.

We came across a worm that we think belongs to the Kilim family and whose purpose is to compromise a user and spread via Facebook.

The lure is the promise of pornographic material that comes as what appears to be a video file named Videos_New.mp4_2942281629029.exe, which in reality is a malicious program.

Once infected, the victim spreads the worm to all of his contacts and groups that he belongs to, by posting the following message:

The bad guys have built a multi-layer redirection architecture that uses the ow.ly URL shortener, Amazon Web Services and Box.com cloud storage.

Sex photos of teen girls in school – NEW SCANDAL WHL2R http: //ow.ly/{removed} Like · · Share

Technical details

The following is the sequence of events that happen when a user clicks to download the “sex photos of teen girls”.

1. Ow.ly shortened URL, redirects to another ow.ly URL
2. Second ow.ly URL redirects to an Amazon Web Services (AWS) page
3. AWS page redirects to a malicious site (videomasars.healthcare)
4. The malicious site checks the user’s computer and either redirect to ads for mobile devices or follows a link to Box.com
5. The user receives a prompt to download a file (Trojan) from Box.com
6. If the user runs the file, his machine is infected and additional components are downloaded (Worm)
7. The user’s computer is now a bot and spreads the original ow.ly link to his contacts/groups on Facebook.

Още детайлни подробности:https://blog.malwarebytes.org/fraud-scam/2015/03/new-facebook-worm-variant-leverages-multiple-cloud-services/

Редактирано 16 март 2015 от NIKISHARK (преглед на промените)

[NIKISHARK 10602]

                                                 Опасен Backdoor заплашва  потребителите на Windows

 

Специалистите на "Doctor Web" са провели изследване на опасен trojan-backdoor, който заразява компютри, работещи под Microsoft Windows. Злонамерената програма, която е получила името BackDoor.Yebot , може да изпълнява на заразената машина широк спектър от разрушителни действия и по-специално: да стартира свой собствен FTP и прокси сървър,да търси различна информация по команда,  да улавя клавишни комбинации,да предава към отдалечен сървър снимки на екрана, и много още....

 

Цитат:

"

Троянец BackDoor.Yebot распространяется с использованием другой вредоносной программы, добавленной в вирусные базы Dr.Web под именем Trojan.Siggen6.31836 . Запустившись на атакуемом компьютере, это опасное приложение встраивает собственный код в процессы svchost.exe, csrss.exe, lsass.exe и explorer.exe, после чего, отправив на удаленный сервер соответствующий запрос, загружает и расшифровывает троянца BackDoor.Yebot , настраивает его в памяти компьютера и передает ему управление. Сам Trojan.Siggen6.31836  примечателен тем, что часть используемых им функций зашифрована (причем расшифровываются они только в момент выполнения, для чего троянец резервирует память, которая автоматически освобождается после исполнения кода функции). Также эта вредоносная программа обладает механизмами проверки наличия в атакуемой системе виртуальной машины и обхода системы контроля учетных записей пользователя (User Accounts Control, UAC).

Бэкдор BackDoor.Yebot обладает следующими функциональными возможностями:

• запуск на инфицированном компьютере FTP-сервера;
• запуск на инфицированном компьютере Socks5 прокси-сервера;
• модификация протокола RDP для обеспечения удаленного доступа к инфицированному компьютеру;
• фиксация нажатий пользователем клавиш (кейлоггинг);
• возможность установки обратной связи с инфицированным ПК для FTP, RDP и Socks5, если в сети используется NAT (бэкконнект);
• перехват данных по шаблонам PCRE (Perl Compatible Regular Expressions) — библиотеки, реализующей работу регулярных выражений в среде Perl, для чего троянец перехватывает все возможные функции, связанные с работой в Интернете;
• перехват токенов SCard;
• встраивание в просматриваемые пользователем веб-страницы постороннего содержимого (веб-инжекты);
• расстановка перехватов различных системных функций в зависимости от принятого конфигурационного файла;
• модификация кода запущенного процесса в зависимости от принятого конфигурационного файла;
• взаимодействие с различными функциональными модулями (плагинами);
• создание снимков экрана;
• поиск в инфицированной системе приватных ключей."

 

Подробности:http://news.drweb.ru/show/?i=9345&c=5&lng=ru&p=0

 

И още едно предупреждение:

                                                                          

 

 Компанията "Doctor Web" предупреждава потребителите за разпространението на опасен Trojan Кryptik -Trojan.Encoder.514, които масово се изпраща по електронната поща. В момента декриптиране на файлове, засегнати от действията на Trojan.Encoder.514, е  невъзможно.

 

Цитат:

"  На протяжении последних нескольких месяцев злоумышленники организовали множество спам-кампаний по распространению различных версий троянцев-шифровальщиков. Так, на текущей неделе участились случаи массовых рассылок по электронной почте посланий якобы от имени службы по передаче факсов через Интернет, имеющих заголовок «Incoming Fax Report». В приложении к письму под видом факсимильного сообщения содержится ZIP-архив, внутри которого располагается вредоносный SCR-файл, являющийся исполняемым в операционных системах семейства Microsoft Windows. Данные SCR-файлы детектируются антивирусным ПО Dr.Web как Trojan.DownLoader11.32458 .

  

.                                                                

         При попытке открытия вложения вредоносная программа Trojan.DownLoader11.32458 распаковывает и запускает на атакуемом компьютере троянца-энкодера Trojan.Encoder.514, шифрующего хранящиеся на диске пользовательские файлы и требующего выкуп за их расшифровку. Пострадавшие от действияTrojan.Encoder.514  файлы не получают отдельного расширения, но в начало их имени дописывается строка "!crypted!". Шифрование происходит с созданием промежуточных файлов, имеющих расширение *.cry, которые впоследствии удаляются. "

Подробности:  http://news.drweb.ru/show/?i=9341&c=5&lng=ru&p=0 

p.s.  Днес между другото получих подобен имейл,така че бъдете внимателни.

Редактирано 24 март 2015 от NIKISHARK (преглед на промените)

[NIKISHARK 10602]

Pharming Attack Targets Home Router DNS Settings

Една статия от преди 10-на дни за хакерските атаки и подмяната на DNS настройките.Атаките са били насочени основно към уязвимост в маршрутизаторите на UTStarcom и TP-Link.За подобни атаки предупредиха от Kaspersy Lab неотдавна.

В конкретната статия се цитира случаят в Бразилия,където от името на известен телекомуникационен доставчик са разпратени огромен брой фишиг писма и съобщения за просрочване на задълженията.В писмата се е съдържал линк към сайтове за решаване на проблема.В сайтовете е имало код атакуващ маршрутизаторите.

 

Цитат:

"

Страницы содержали фреймы с кодом JavaScript, эксплуатировавшим уязвимости межсайтовой подделки запроса, если таковые присутствовали на маршрутизаторах. Они также осуществляли попытку взлома страницы администрирования маршрутизатора методом грубой силы с использованием известных комбинаций имен пользователей и паролей по умолчанию. После того как (и если) злоумышленники получали доступ к маршрутизатору, они уже могли переназначить основные параметры DNS на сайт, контролируемый преступниками, и вторичные установки — на публичную DNS Google.

Это позволяло злоумышленникам просеивать весь проходящий трафик, что явно сильно расширяло их финансовые возможности за счёт бедных жертв."

 

Цитат:

"

The script located in the website will try to guess the password of your home router. It tries several combinations such as "admin:admin":

or "root:root"

or "admin:gvt12345" (GVT is a big Brazilian ISP):

The scripts will continue trying combinations that point to the control panel of your network device such as [your-router-IP].rebootinfo.cgi or [your-router-IP].dnscfg.cgi?. Each script includes the commands to change the primary and secondary DNS servers. If you're using default credentials in your home router, there won't be an interaction and you'll never realize that the attack has occurred. If you're not using default credentials, then the website will pop up a prompt asking you to enter it manually."

 

Статията на Руски:

http://business.kaspersky.ru/marshrutizatory-v-ogne-hakery-menyayut-nastrojki-dns/2748/

Статията на Английски:

https://threatpost.com/pharming-attack-targets-home-router-dns-settings/111326

И още по темата:

http://securelist.com/blog/incidents/66358/web-based-attack-targeting-home-routers-the-brazilian-way/

[NIKISHARK 10602]

Експерти по сигурността напомниха за сериозен пропуск в сигурността на всички поддържани версии на Windows , които биха позволили на хакерите да се доберат  до данни на потребителите от компютри, таблети или сървъри, работещи със всяка версия на операционната система Windows , включително и  Windows 10.

Тази уязвимост във Windows за първи път е открита преди 20 години!

Става въпрос за SMB file sharing protocol

SMB , или Server Message Block , е протокол, който позволява на потребителите да споделят файлове по мрежата . Във Windows SMB често се използва от фирми и организации , за да споделят файлове от един сървър в цялата им мрежа .

Цитат:

"

Who are affected?

 

Cyclance claims that nearly 31 programs are vulnerable to the SMB flaw, which includes:

• Many widely used applications: Adobe Reader, Apple QuickTime and Apple Software Update that handles iTunes updates
• Microsoft Applications: Internet Explorer, Windows Media Player, Excel 2010, and even Microsoft Baseline Security Analyzer
• Developer Tools: Github for Windows, PyCharm, IntelliJ IDEA, PHP Storm and JDK 8u31’s installer
• Security Tools: .NET Reflector and Maltego CE
• Antivirus Software: Symantec’s Norton Security Scan, AVG Free, BitDefender Free and Comodo Antivirus
• Team Tools: Box Sync and TeamViewer"

 

Подробности:http://thehackernews.com/2015/04/smb-windows-vulnerability.html

Редактирано 16 април 2015 от NIKISHARK (преглед на промените)