Новини, свързани със сигурността (ВАЖНА)

[B-boy/StyLe/]

Това при XP се оправяше с един прост инструмент като Windows Worms Doors Cleaner:

 

Като цяло им е известно за проблема и затова протокола има 3 версии и тази в Windows 8 използва и криптиране и MS не препоръчват спирането му:

 

Disable SMB v1 protocol

 

SMB is the file sharing protocol used for File and Printer Sharing and inter-process communication. It has 3 versions. MS does not recommend disabling v2 or v3. Version 2 was released with Vista. Version 3 is new to Windows 8 and Server 2012 and has a encryption feature. There has been worms which attack SMB shares, and depending on the payload, could gain complete control of the machine. For further information on disabling all versions of SMB, read this: http://support.microsoft.com/kb/2696547

 

To disable SMB v1, open a Powershell prompt with admin rights, and type in:

 

            Set-SmbServerConfiguration -EnableSMB1Protocol $false

 

To re-enable SMB v1, use this:

 

            Set-SmbServerConfiguration -EnableSMB1Protocol $true

 

Източник:

Harden Windows 8.1 64bit

 

Като цяло винаги могат да се блокира и порта 445 във всяка стена така че не виждам това да е голям проблем.

[Proshark]

Windows Worms Doors Cleaner-Тази програмка още си я пазя в архива.

[B-boy/StyLe/]

Зловредния софтуер Dyreza дискриминира старите компютри и ги избягва.

Гадината пита Операционната Система затова колко ядра има процесора ви и ако има само едно ядро тогава бързо губи интерес...

 

 

https://nakedsecurity.sophos.com/2015/04/20/notes-from-sophoslabs-dyreza-the-malware-that-discriminates-against-old-computers/

[Proshark]

Ако имате проблеми или сте жетрва на CoinVault ransomware,може би тук е решението:

 

                                

                                                                                                                                          

                                                                  ransomware decryptor

                                              

 

Are you a ransomware victim? The National High Tech Crime Unit (NHTCU) of the Netherlands’ police, the Netherlands’ National Prosecutors Office and Kaspersky Lab have been working together to fight the CoinVault ransomware campaign. During our joint investigation we have been able to obtain data that can help you to decrypt the files being held hostage on your PC. We provide both decryption keys and the decryption application. For more information please see this how-to. Please note that this is an ongoing investigation and new keys will be added in the future.

 

 

https://noransom.kaspersky.com/

Редактирано 23 април 2015 от NIKISHARK (преглед на промените)

[Proshark]

                                                           Πeт пoпyляpни митa зa ĸoмпютъpнитe виpycи

 

                                           



Koмпютъpнитe виpycи ca нeдeлимa чacт oт виcoĸo тexнoлoгичнaтa ни peaлнocт. Eдин oт пъpвитe пpимepи зa ĸoд c пoдoбнo, злoвpeднo пoвeдeниe, ĸoeтo днec пoпyляpнo нapичaмe виpyc e Сrеереr ѕуѕtеm – eĸcпepимeнтaлнa, caмoвъзпpoизвeждaщa ce пpoгpaмa, cъздaдeнa oщe в дaлeчнaтa 1971 гoдинa.

Интepecнoтo e, чe тaзи тeмa e ĸoлĸoтo дoбpe пoзнaтa и oтличнo дoĸyмeнтиpaнa, тoлĸoвa и oбвитa в митoвe и лeгeнди, вoдeщи дo цял ĸyп мacoви зaблyди. Eтo нaĸpaтĸo няĸoй oт нaй-пoпyляpнитe митoвe зa ĸoмпютъpнитe виpycи.

Haй-чecтитe изтoчници нa „зapaзи”

B мacмeдийнитe пиcaния пo тeмaтa „виpycи” щe cpeщнeтe твъpдeниeтo, чe нaй-лecнo мoжeтe дa „лeпнeтe” нeщo нeпpиятнo нa мaшинaтa cи, aĸo poвитe из тaĸa нapeчeнитe „caйтoвe зa възpacтни”.
Лoшaтa cлaвa нa пoдoбни yeб oбaчe пo-чecтo ce дължи нa ĸpивopaзбpaн мopaлизъм, нe нa peaлни фaĸти. Haй-мaлĸoтo пoвeчeтo тaĸивa caйтoвe – ocoбeнo пo-пpecтижнитe и дoбpe пoceщaвaни paзпoлaгa c пoвeчe oт дocтaтъчнo финaнcoви pecypcи, зa дa cи пoзвoлят oтличнa aнтивиpycнa зaщитa.
Paзбиpa ce eднa чacт oт въпpocнитe „poзoви” caйтoвe мoгaт дa бъдaт изтoчниĸ нa злoвpeдeн coфтyep, нo cъщoтo вaжи и зa вceĸи eдин дpyг интepнeт caйт. Bcъщнocт нaй-oпacни ca имeннo caйтoвe изглeждaщи нaпълнo нeвинни – нaпpимep caйтoвe пpeтeндиpaщи, чe пpинaдлeжaт нa фoндaции c нeфopмaлнa цeл или дopи нa paзлични цъpĸoвни opгaнизaции.


Aнтивиpycнитe пpoгpaми ca бeзcмиcлицa

Toвa бeзcпopнo e eднa oт нaй-гoлeмитe „гeниaлнocти”, poдeни oт aнoнимнитe oнлaйн „eĸcпepти” пoдвизaвaщи ce във фopyми, coциaлни мpeжи и диcĸycиoнни гpyпи. „Лoгиĸaтa” й ce зaĸлючaвa във фaĸтa, чe нямa cъвъpшeн, aнтивиpyceн coфтyep – cъздaтeлитe нa ĸoмпютъpни виpycи cтaвaт вce изoбpeтaтeлни в зaoбиĸaлянeтo нa paзличнитe пpeдпaзни мepĸи, ĸoитo пpoизвoдитeлитe нa пpoгpaми зa зaщитa paзpaбoтвaт. B peзyлтaт вoйнaтa cpeщy ĸoмпютъpнитe виpycи e eдин нecпиpeн пpoцec нa xoдoвe и ĸoнтpaxoдoвe.

Koeтo пъĸ oзнaчaвa, чe вcяĸa aнтивиpycнa пpoгpaмa пpeдпaзвa ĸoмпютъpa ви cpeщy изĸлючитeлнo шиpoĸ cпeĸтъp oт зapaзи, нo нямa ĸaĸ дa ви зaщити oт нoвoпoявили ce виpycи.

                                                


Koeтo в ниĸaĸъв cлyчaй нe oзнaчaвa, чe нyлeвa зaщитa e пo дoбpe oт няĸaĸвa зaщитa – ĸoлĸoтo и oгpaничeнa дa e тя. Ocвeн тoвa aĸo cтe зaлoжили нa нaиcтинa дoбъp aнтивиpyceн пaĸeт, пpoизвoдитeля мy peгyляpнo cлeди paзвитиeтo нa зaплaxитe въpлyвaщи в yeб и пocтoяннo ce cтpeми дa дoбaвя зaщитни cлoeвe ĸъм вeчe cъщecтвyвaщитe мexaнизми зa cигypнocт. Taĸa, чe aĸo ъпдeйтвaтe peдoвнo aнтивиpycният cи coфтyep шaнcoвeтe дa ce cдoбиeтe c нeпpиятнa зapaзa ca oтнocитeлнo ниcĸи – във вceĸи cлyчaй знaчитeлнo пo-ниcĸи oтĸoлĸoтo aĸo ocтaвитe ĸoмпютъpa cи нaпълнo нeзaщитeн.

Bиpycитe paзпpocтpaнявaни пo eлeĸтpoннa пoщa

Macoвoтo paзбиpaнe e, чe тe ca oпacни caмo aĸo oтвopитe – нaй-чecтo пo нeвнимaниe зaĸaчeнитe фaйлoвe ĸъм eлeĸтpoннo cъoбщeниe oт нeпoзнaт зa вac aдpec. Уви peaлнocттa e пo-нeпpиятнa – в дocтa cлyчaи дopи caмo oтвapянeтo нa пиcмoтo мoжe дa дoвeдe дo зapaзявaнe.

Зa тoвa пpocтo избягвaйтe тaĸивa мeйли и изпoлзвaйтe пo възмoжнocт гoлeми, дoбpe зaщитeни oнлaйн пoщeнcĸи ycлyги, ĸaтo Оutlооk.соm и Gmаіl.соm.

Πpeинcтaлaциятa нa Wіndоwѕ eлиминиpa зapaзaтa

Гoлямa зaблyдa! Hяĸoй oт нaй-злoвpeднитe, xитpи и изoбpeтaтeлни виpycи oтдaвнa ca нaмepили нaчин дa „нaдживeят” вcяĸa пpeинcтaлaция, a няĸoй мoгaт дa oцeлeят дopи cлeд фopмaтиpaнe нa твъpдия диcĸ нa зapaзeнaтa cиcтeмa!
Haй-cигypният нaчин зa пoчиcтвaнe нa мaшинaтa ви, aĸo ycтaнoвитe зapaзa e дa я cтapтиpaтe oт пpoвepeнa, чиcтa мeдия (DVD диcĸ или UЅВ флaш пaмeт), a cлeд тoвa дa я пoдлoжитe нa пълнo cĸaниpaнe c нaиcтинa дoбpa и ĸoeтo e пo-вaжнoтo aĸтyaлнa aнтивиpycнa пpoгpaмa.

Cлeд тoвa aĸo имaтe apxивиpaни ĸoпия нa фaйлoвeтe cи дoбpe e дa cĸaниpaтe и тяx, зaщoтo aĸo тe ca зapaзeни пpи eвeнтyaлнo възcтaнoвявaнe oт тяx лecнo мoжe дa зapaзитe cиcтeмaтa cи oтнoвo.

                                                      

Bиpycитe ca нaй-гoлямaтa зaплaxa зa ĸoмпютъpa

Heвяpнo! Днec злoвpeдният coфтyep cъщecтвyвa в изĸлючитeлнo мнoгo и paзнooбpaзни фopми – мaлyep, pyтĸитoвe, тpoянcĸи ĸoнe, cпaйyeъp и oщe и oщe. И дoĸaтo пoвeчeтo пoтpeбитeли cвъpзвaт идeятa зa „виpyc” c пpoгpaмa, ĸoятo имa дecтpyĸтивнo пoвeдeниe (тpиe и пoвpeждa фaйлoвe), пoвeчeтo избpoeни paзнoвиднocти вpeдят пo-cъвъpшeнo paзличeн нaчин.
Чacт oт тяx пpaвят cиcтeмaтa ви yязвимa и пo-лecнa зa пpoниĸвaнe oт злoнaмepeни, тpeти лицa. Дpyги мoгaт дa „oтĸpaднaт” личнaтa ви инфopмaция – нoмepa нa бaнĸoви cмeтĸи, ĸpeдитни ĸapти, пapoли и дpyги.

Tpeти пpocтo ви шпиoниpaт – cлeдят зa вaшeтo пoвeдeниe oнлaйн и чиннo гo дoĸлaдвaт нa paзлични ĸoмпaнии, ĸoитo cлeд тoвa пpoдaвaт тaзи бeзцeнни дaнни нa зaинтepecyвaни ĸopпopaции, ĸaтo Gооglе нaпpимep зa дocтa coлидни cyми пapи.

Πpoблeмa тyĸ e, чe пoнeжe eднa гoлямa чacт oт избpoeнитe нe ce ĸлacифициpaт тoчнo ĸaтo „виpycи”, мнoгo oт aнтивиpycнитe пpoгpaми (ocoбeнo тeзи, ĸoитo ce пpeдлaгaт бeзплaтнo), нe ca cъздaдeни тaĸa, чe дa ги зacичaт и дa ce cпpaвят c тяx.
Зa тoвa инcтaлиpaнeтo caмo нa aнтивиpyceн coфтyep нe винaги e peшeниe. Дoбpe e дa гo ĸoмбиниpaтe и c пpoгpaмa зa aнти-мaлyeъp зaщитa, a oщe пo-дoбpe и cъc coфтyepнa или xapдyepнa зaщитнa cтeнa (fіrеwаll).

Paзбиpa ce, aĸo нe иcĸaтe дa дoбaвятe oтдeлнo вcичĸи тeзи пpoгpaми eднa пo eднa лecнo мoжeтe дa нaмepитe и цялocтeн пaĸeт зa зaщитa oт злoвpeдeн coфтyep вĸлючвaщ вcичĸи тeзи eлeмeнти, нo имaйтe пpeдвид, чe нaй-дoбpитe ĸoитo ce пpeдлaгaт нa пaзapa днec ca плaтeни.

 

 

Статията е от :http://news.pcstore.bg/2014/04/29/viruses_myths/
Автор: Дpaгoмиp Дoнчeв

 

p.s.-Статията може и да е остаряла,с оглед на скороста с която се разпостраняват вирусите.Аз само ще се спра на един кратък момент от нея,а именно:

"Πpeинcтaлaциятa нa Wіndоwѕ eлиминиpa зapaзaтa
Гoлямa зaблyдa! Hяĸoй oт нaй-злoвpeднитe, xитpи и изoбpeтaтeлни виpycи oтдaвнa ca нaмepили нaчин дa „нaдживeят” вcяĸa пpeинcтaлaция, a няĸoй мoгaт дa oцeлeят дopи cлeд фopмaтиpaнe нa твъpдия диcĸ нa зapaзeнaтa cиcтeмa!"

 

Лично на мен ми се е случвало, да преинсталирам настолен компютър и след  2 такива да не тръгват драйвърите за звуковата карта заради вирус.

 

Коментарът ми е насочен главно към колегите,които посещават,или ще им се наложи (дано не става)да търсят помоща на HJT Team-Не правете опити за самостоятелно почистване на компютъра,така само ще затрудните тяхната работа.Следвайте точно указанията и бъдете търпеливи.

Редактирано 24 април 2015 от NIKISHARK (преглед на промените)

[Ken]

След форматирането на твърдия диск, къде ще оцелее изобретателният вирус ?

[Proshark]

Честа практика е да се форматира само системния дял...а някои от вирусите засягат и Bios

 

http://www.it.souprovadia.info/node/80

[Ken]

Честа практика е да се форматира само системния дял...а някои от вирусите засягат и Bios

 

http://www.it.souprovadia.info/node/80

 

Нали говорим за твърд диск, а не за дял ?

Ако пък е в BIOS (колко такива случая има през последните години ?) защо ще форматираме диска ?

[Proshark]

Твърд диск....63 и 62 сектор.....

[Proshark]

    Няколко места ,от които най-често зловредите програми ни атакуват и част от методите които използват         

                                            

                                                  How Malware Bypasses Our Most Advanced Security Measures

 

We unpack three common attack vectors and five evasion detection techniques.

Virtually every week a new report surfaces about a large, blue chip company with deep financial resources that has been breached. These companies typically invest in and deploy state-of-the-art security tools, yet attackers are still able to penetrate their lines of defense. To make matters worse, many attacks often go undetected for months. Let’s examine how this can happen.

Attack vectors
Every breach must exploit at least one attack vector in order to install persistent malware on the organization's network. Advanced attackers often use multi-stage malware, which would initially only install a small backdoor. This enables more complex tools to be deployed on the machine and network later on.

The primary malware installation, sometimes referred as an infection, can be achieved using several attack vectors. The goal is always to run malicious code. Some of the most common attack vectors are:

1. Browser-based social engineering: where a user is tricked into clicking on a legitimate-looking URL which in turn triggers code execution using browser or browser-plugin vulnerabilities in Java and Flash. More advanced attacks can hide in legitimate traffic without requiring any user-interaction. These are commonly referred to as drive-by downloads.
2. Email-based social engineering and spear phishing: where a user receives an email that contains a hidden or visible binary, which executes when the user clicks on it.
3. Credential theft: when guessed or stolen credentials are used to access a remote machine and execute (malicious) code, such as installing a backdoor.

Evasion techniques
To evade detection, during and after installation, malware uses five primary techniques.

1. Wrapping. This process attaches the malicious payload (the installer or the malware itself) to a legitimate file. When the legitimate file is installed, so is the malicious payload (which usually installs before the legitimate file does). Using static signatures to detect wrapper files is largely ineffective since new ones are easily and regularly created and often generates false positives. This technique is commonly used by Windows and OS X malware distributed via pirated software and P2P networks. IceFog is a well-known malware commonly wrapped with a legitimate-looking CleanMyMac application and used to target OS X users. On the Windows platform, OnionDuke has been used with legitimate Adobe installers shared over Tor networks to infect machines.
2. Obfuscation. This involves modifying high level or binary code it in a way that does not affect its functionality, but completely changes its binary signature. Obfuscation was originally used to protect legitimate software against reverse-engineering and piracy. Malware authors have adopted the technique to bypass antivirus engines and impair manual security research. Using XOR encoding is one way to do this. Hiding process and file names, registry entries, URLs and other useful information can significantly slow down the investigation/reverse engineering of new malware samples.
3. Packers. These software tools are used to compress and encode binary files, which is another form of obfuscation. At runtime, the packer, which is typically embedded with the malicious binary, will "unpack" the payload into memory and execute it. There are a handful of common packing mechanisms in use today such as UPX, PECompact, Armadillo and others. These techniques are extremely effective at circumventing static signature engines.
4. Anti-debugging. Like obfuscation, anti-bugging was originally created by software developers to protect commercial code from reverse-engineering. Anti-debugging can prevent a binary from being analyzed in an emulated environments such as virtual machines, security sandbox, and others. For example, the ZeroAccess malware implemented a self-debugging technique in order to block external debugging attempts. Another example is malware attempting to delay its execution (or sleep) for an extended period of time. This is useful for bypassing sandboxing solutions since these only keep binaries in an emulated environment for a specific period of time before classifying them as benign and releasing them to the network.
5. Targeting. This technique is implemented when malware is designed to attack a specific type of system (e.g. Windows XP SP 3), application (e.g. Internet Explorer 10) and/or configuration (e.g. detecting a machine not running VMWare tools, which is often a telltale sign for usage of virtualization). Targeting ensures that the malware is only triggered and installed when specific conditions are met, which enables it to evade detection in sandboxes because they do not resemble the host being attacked.

Just as malware's evasion techniques continue to evolve, so must our security measures. There is much work being done in the industry to move beyond traditional static signature-based security to behavior-based profiling, analytics and real-time information sharing between security solutions. One thing we have learned from researching the malware techniques described above is the closer we can place security to the targeted asset, the more likely we will be able to detect and stop it.

 

Автор: Alon Nafta

 

Alon Nafta is a senior security engineer at SentinelOne, a provider of a next-generation endpoint protection technology. Prior to SentinelOne, Alon was responsible for security research and software engineering at server security vendor PrivateCore which was acquired by Facebook in 2014. He also served in an elite technology unit of the Israeli intelligence corps. Alon holds Bachelor degrees in Electrical Engineering and Physics, both from the Technion Israel, and a Masters in Electrical Engineering from Tel Aviv University.

 

Източник:http://www.darkreading.com/perimeter/how-malware-bypasses-our-most-advanced-security-measures/a/d-id/1318974?_mc=RSS_DR_EDT

 

Цитат:

"  

• MALVERTISING : If I can purchase an ad on a high traffice web page and then update my ad to include malware then perhaps I can exploit a privilege escallation in your computer and get my program running in your computer.   After that when you sign into the credit union I can write myself a check.  Or if you do your taxes online I can steal your ID info
• PHISHING : maybe I can send out some e/mail that looks legitimate but actually carries a TROJAN that can exploit a privilege escallation in your computer.   maybe I can pwn your box and add it to my BOTNET -- or other mischief
• SQL INJECTION : if your server is feeding input data directly from the open web into your data base maybe I can send you a script where you are expecting data and get your database to transmit all your files to me
• XSS ( Cross Site Scripting ) maybe when you are running a popular page I can get an ad or some phish bait to run a maliscious script from some hacker page
• IDENTITY THEFT : maybe I can buy your identity from some darknet service such as SUPERGET ( See KREBS on this ) and come up with the info I need to do your taxes for you.  no charge for this service
• AUTORUN on a thumb drive is another vector that often works to get malware into your computer
• COMPROMISED enployee
• SHORTCUTS -- bypassing security protocols for convenience
• DOWNLOADS perhaps I can offer some cool program, often for free, -- and include some unpleasant surprises with the package .   often these come as SCAMWARE where it shows "check this box for ths cool added feature" -- and of course the box is already checked for you
• SCAREWARE warnings such as "your computer is infected really really bad -- click here and we'll clean it up for you"

  "

Редактирано 3 май 2015 от NIKISHARK (преглед на промените)

[B-boy/StyLe/]

Могат ли MAC OS базираните системи да се заразят с компютърни вируси. Да попитаме експерт:

 

http://www.digitaltrends.com/computing/can-macs-get-viruses/

 

Линка ми бе предоставен от френдче.

Като цяло нищо ново под Слънцето, но поне инфото е от 3-ти май.

Приятно четене.

[Proshark]

Нещо интересно за Linux :

 

Аналитики международной антивирусной компании ESET раскрыли крупную вредоносную кампанию по компрометации серверов под управлением Linux и BSD.

 

Злоумышленники использовали вредоносную программу семейства Linux/Mumblehard. Ее компоненты представляют собой скрипты на языке Perl, зашифрованные и упакованные внутри исполняемого ELF-файла. Программа предназначена для предоставления атакующим полного доступа к скомпрометированной системе (бэкдор) и рассылки спама.

Специалисты ESET обнаружили Mumblehard, отвечая на запрос системного администратора, который неожиданно обнаружил свой сервер в «черном списке» провайдера за рассылку спама. Они зафиксировали подозрительный процесс на сервере и убедились, что его исполняет вредоносный скрипт.

По данным статистики заражений, полученной вирусной лабораторией ESET, вредоносная программа была активна как минимум с 2009 года. За 7 месяцев эксперты выявили 8867 уникальных IP-адресов инфицированных систем, наибольшее число адресов в день составляло 3292. Среди всех зараженных устройств преобладали веб-серверы. Кроме того, аналитики ESET установили связь между Mumblehard и компанией Yellsoft, занимающейся распространением ПО для массовых рассылок электронной почты.

Специалисты ESET выявили два основных вектора распространения Mumblehard. Злоумышленники использовали набор эксплойтов для популярных систем управления сайтами Joomla и Wordpress, либо пиратские версии программы DirectMailer для Linux и BSD, устанавливающие бэкдор Mumblehard. Легальная программа продается компанией Yellsoft за 240 долларов.

Спам-письма, рассылаемые инфицированными системами, использовались для продвижения фармацевтических продуктов – они содержат ссылки на онлайн-магазины соответствующей тематики. Заголовки сообщений строятся с использованием двух-трех произвольно выбранных слов, что позволяет обходить антиспам-системы.

 

Статията:http://www.comss.info/page.php?al=Analitiki_ESET_raskryli_krupnuju_ataku_na_veb_servery

[Proshark]

Интересно решение от центъра за защита на Microsoft,планирано от 1 юни:

"

Microsoft: Все программы с функцией поиска защиты будут рассматриваться как вредоносные

Поиск защиты используется для того, чтобы пользователь не отключал или включал определенные расширения браузера.

 

Центр Microsoft по защите от вредоносных программ заявил, что его средства по обеспечению безопасности начнут отслеживать все ПО, содержащее код поиска защиты, и классифицировать его как вредоносное, независимо от того включена или скрыта функция поискового цензурирования. Данную кампанию Microsoft планирует начать с 1 июня 2015 года.

Поиск защиты использует определенные программные пакеты в попытках ограничить пользователю доступ к управлению настройками браузера и поиска. В некоторых случаях производители ПО используют поиск защиты для того, чтобы предотвратить деинсталляцию программ или изменения настроек по умолчанию поисковой системы. Также поиск защиты используется для того, чтобы пользователь не отключал или включал определенные расширения браузера.

Microsoft призывает разработчиков удалять любой поисковый код защиты из программного обеспечения, предупреждая, что в противном случае, ПО будет рассматриваться как вредоносное. Производителям требуется не просто отключить данную функции, им необходимо полностью от нее отказаться, независимо от того является ли она активной.

Стоит отметить, что компания Microsoft начала блокировать программы, которые мешают или ограничивают пользователя в изменении настроек и функций браузера, еще в конце прошлого года. Microsoft считает, что следующий шаг поможет регулировать принудительное ПО и предоставит пользователю больше свободы в работе с браузером."

 

Информацията:http://www.comss.info/page.php?al=Vse_programmy_s_funkciej_poiska_zashhity_budut_rassmatrivatsja_kak_vredonosnye

Редактирано 30 май 2015 от NIKISHARK (преглед на промените)

[icotonev]

На 9.06.2015 г. (вторник) Microsoft пусна планово обновление за своите продукти.Юнския пакет се състои от 8 бюлетина за безопасност, съдържащи общо 45 кръпки.Един от бюлетините (MS15-06) е предназначен специално за Internet Explorer и запушва 24 уязвимости, 20 от които се явяват критически.Останалата част на бюлетините запушват уязвимости в Windows, Office, Windows Media Player,Active Directory и Exchange Server.
 
Източник

[nikssi]

Dudu се завръща с атака над вътрешната корпоративна мрежа на Касперски Лаб.

 

За подробности от разследването  на атаката може да прочетете тук https://blog.kaspersky.ru/kaspersky-statement-duqu-attack/8125/

Разследване на хакерската атака над «Kaspersky Lab»

Duqu 2.0 е бил използван, за да компрометира фирмата за сигурност Kaspersky Lab и също така е бил използвани в други атаки срещу редица цели, включително няколко телекомуникационните фирми.

...............

Duqu 2.0: Reemergence of an aggressive cyberespionage threat

http://www.symantec.com/connect/blogs/duqu-20-reemergence-aggressive-cyberespionage-threat

 

Первая хорошая новость состоит в том, что в данном случае мы смогли обнаружить очень продвинутую и крайне скрытную зловредную программу. Разработка и эксплуатация этой платформы требует продолжительной работы высококлассных программистов, и ее общая стоимость должна быть просто колоссальной. Концептуально эта платформа опережает все, что мы видели раньше, на целое поколение. Этот зловред использует ряд уловок, благодаря которым его предельно сложно обнаружить, а затем нейтрализовать. Есть ощущение, что операторы Duqu 2.0 были убеждены, что обнаружить эту шпионскую программу невозможно в принципе. Однако мы это смогли сделать с помощью прототипа нашего Anti-APT-решения, которое мы разрабатываем специально для выявления сложных таргетированных атак.

Злоумышленники были заинтересованы в наших технологиях, особенно это касается нашей безопасной операционной системы, системы защиты финансовых транзакций Kaspersky Fraud Prevention, облачной системы безопасности Kaspersky Security Network, того самого решения для таргетированных атак Anti-APT, а также наших сервисов. Негодяи также хотели получить доступ к нашим текущим расследованиям и представление о наших методах выявления вредоносных программ и о наших аналитических инструментах. Поскольку мы известны в отрасли, в частности, за наши успехи в расследовании сложных кибератак, они искали информацию, которая помогла бы им избегать обнаружения в долгосрочной перспективе. Вышло по-другому.

.....................

 

Кроме прочего мы обнаружили, что злоумышленники также использовали эту платформу, чтобы шпионить за высокопоставленными целями, включая участников международных переговоров по иранской ядерной программе и участников памятных мероприятий по поводу 70-й годовщины освобождения Освенцима. Наше внутреннее расследование еще не закончено, но мы уверены, что у этой группировки были и другие цели во многих странах мира. Я также думаю, что после того, как мы обнаружили Duqu 2.0, злоумышленники постарались уничтожить любые следы своего доступа к зараженным сетям, чтобы предотвратить разоблачение.

 

Я считаю, что ситуация, в которой возможна атака предположительно правительственной спецслужбы на частную компанию, специализирующуюся на ИТ-безопасности, крайне неприятная. Для всего человечества целью должен быть безопасный и удобный кибермир. Мы делимся данными о киберугрозах с правоохранительными органами огромного количества стран, мы помогаем бороться с киберпреступностью по всему миру, мы оказываем помощь в расследованиях киберинцидентов. В конце концов, мы учим полицейских, как вести такие расследования. А в данном случае мы видим, как (скорее всего) государство финансирует спецслужбы, которые вместо того, чтобы делать мир лучше, плюют на закон, профессиональную этику и обычный здравый смысл.

 

 

 

[Proshark]

Grabit – шпионская кампания против малого и среднего бизнеса

https://business.kaspersky.ru/grabit-shpionskaya-kampaniya-protiv-malogo-i-srednego-biznesa/2918/

 

От "Kaspersky Lab" съобщават за нова шпионска атака ,насочена към малкия и среден бизнес.От началото на атаката,което, според Kaspersky е края на февруари,заразявания са засечени в Тайланд,Индия и САЩ.

 

                                                         

Цитат:

"Grabit — довольно новая кампания. Собранные на текущий момент данные указывают на то, она была запущена примерно в конце февраля 2015 года. Так как почти половина от общего числа заражений (44.87%) зафиксированы в Таиланде (Индия на втором месте с отрывом — 24,36%, и США на третьем с ещё большим отрывом — 10,26%), это могла быть локальная операция. Тем не менее, первые образцы попали к экспертам «Лаборатории Касперского» от партнеров компании в США.

 

Grabit распространяется через почтовое вложение формата Microsoft Office Word (.doc), содержащее вредоносный макрос AutoOpen.

 

Ниже цитата из тщательного (по обыкновению) анализа вредоносной программы на Securelist:

 

«Этот макрос просто открывает сокет по TCP и посылает HTTP-запрос на удаленный сервер, взломанный группой хакеров для использования в качестве вредоносного хаба, прежде чем загрузить вредоносную программу. В некоторых случаях вредоносный макрос защищен паролем, но создатели угрозы, по-видимому, забыли, что файл .doc на самом деле представляет собой архив, и если архив открыть в удобном редакторе по выбору, строки макроса отображаются в виде обычного текста.

Вредоносная программа вся на виду, модифицирует привычные записи в реестре, такие как настройки запуска, и следы за собой не заметает. Её исполняемые файлы не удаляются в большинстве случаев, коммуникации её даны прямым текстом, в котором жертва может перехватить сообщение и учётные данные FTP/SMTP-сервера».

Нападавшие контролируют своих жертв, используя кейлоггер Hawkeye, коммерческий шпионский инструмент от HawkEyeProducts, и модуль конфигурации, содержащий набор средств дистанционного администрирования (RATs).

По мнению исследователей «Лаборатории Касперского», вредоносная программа почти не скрывает свое присутствие, хотя и имеет очень серьезную защиту от анализа: «слабый рыцарь в тяжелых доспехах», как пишет Securelist.

Как бы ни странно само по себе это было, скорее всего, факт намекает на то, что лишь часть вредоносной программы написана с нуля, остальное могло быть приобретено где-то ещё.

Но независимо от этого угрозу нельзя недооценивать. Кейлоггер, обнаруженный только в одном из контрольных серверов, смог украсть 2887 паролей, 1053 письма и 3023 имени пользователей с 4928 разных хостов, как внутренних, так и внешних, включая Outlook, Facebook, Skype, Google Mail, Pinterest, Yahoo, LinkedIn и Twitter, а также банковские учётные данные и прочее.

Рекомендации бизнесу для самозащиты:

Проверьте тут: C:\Users\<имя-компьютера>\AppData\Roaming\Microsoft. Если папка содержит исполняемые файлы, вы можете быть инфицированы вредоносными программами. Это предупреждение не следует игнорировать.

Системные конфигурации Windows не должны содержать grabit1.exe в таблице автозагрузки. Запустите «msconfig» и убедитесь, что в нем нет записей grabit1.exe.

Не открывайте вложения и ссылки от людей, которых вы не знаете. Если вы не можете открыть вложение, не пересылайте его другим – заручитесь поддержкой ИТ-администратора.

Используйте продвинутое, обновленное по максимуму защитное решение и всегда следуйте указаниям антивируса в отношении всего списка подозрительных процессов.

Возможно, отключение макросов по умолчанию – тоже не худшая идея.

Выбор целей помельче

Кибершпионаж на самом деле рассматривают как угрозу высокого пошиба — крупным корпорациям, предприятиям, государственным организациям и т.д. Кибершпионаж – не простая атака вредоносных программ, которая часто требует от злоумышленника только знания того, где получить нужный кусок кода.

Шпионить и при этом оставаться незамеченным и не получать отпора — такое требует недюжинных технических навыков, так что скрипт-кидди этим заниматься не спешат. Известные шпионские кампании, как правило, построены на довольно продвинутых инструментах, в основном, сработанных заказных, и операторы их чётко мотивированы получить нечто конкретное, даже если в списке их очевидных интересов очень много пунктов, как это было в случае с APT-кампанией Crouching Yeti.

Тем не менее, злоумышленники всех видов переходят на более удобные цели, и кибершпионы в этом не исключение. На то есть свои причины.

Причина 1. Оплот и приспешники

Крупные предприятия работают совсем не в вакууме: каждая такая опора окружена созвездием небольших подрядчиков и поставщиков. Логично предположить, что они могут обладать, по крайней мере, частью информации, нужной хакерам.

Причина 2. Мишени попроще

Предприятие, которое работает с информацией, представляющей особый интерес для кибершпионов, как правило, хорошо защищено, и в него трудно проникнуть. А вот спутники могут быть гораздо более удобными целями, более жидкими на расправу.

Причина 1+2. Они могут что-то знать

Учитывая все это, злоумышленники могут либо использовать «спутников» как слабое место для проникновения в сети основной цели — крупного предприятия, либо «собирать полную мозаику» из доступных битов и кусков без фактического вторжения в сети опоры.

И если есть возможность извлечь данные, представляющие интерес, из «лёгких мишеней», хакеры, безусловно, воспользуются ей, особенно, когда в игре кибернаёмники: как бизнесмены они крайне заинтересованы в оптимизации соотношения усилий и результата.

В данном конкретном случае действительно похоже на работу наёмников: малые предприятия, атакованные вредоносной программой Grabit, работают в таких разнообразных отраслях, как химическая, нанотехнологическая, образовательная, сельское хозяйство, средства массовой информации, строительство и многие другие.

Возможно (пускай это пока лишь предположение), это широкий невод своеобразной разведывательной операции. А вот то, что он по-прежнему активен и в ближайшее время может расшириться далеко за пределы текущих географических пределов, — совсем не спекуляция.

Поэтому рекомендуем быть настороже."

Редактирано 14 юни 2015 от NIKISHARK (преглед на промените)

[nikssi]

Анти-вирусни приложения под прицел: голяма дупка в продуктите на ESET и атаката над Касперски Лаб

http://www.securitylab.ru/news/473466.php

 

Британская GCHQ изучала продукты ЛК для того, чтобы помешать антивирусам выявлять атаки спецслужб.

Месяц июнь оказался богат на новости, посвященные компроментации двух лидеров российского рынка антивирусного ПО. Первую из этих историй рассказала сама «Лаборатория Касперского», не без юмора назвав отчёт Duqu Bet и как бы намекая на израильское происхождение атакующих. Однако два дня назад появились более серьезные материалы на ту же тему: издание Intercept опубликовало очередное откровение Сноудена, в котором рассказывается, что американские и британские спецслужбы ещё в 2008 году «отчитались о проделанной работе» по взлому анивирусных продуктов Касперского.

Согласно этим документам, британская GCHQ изучала продукты ЛК для того, чтобы помешать антивирусам выявлять атаки спецслужб. А американская NSA искала уязвимости в антивирусе для того, чтобы следить за пользователями благодаря высоким привилегиям доступа, которые получает защитное ПО на компьютерах своих пользователей.

В частности, хакеры NSA обнаружили, что могут перехватить пользовательские данные, которые передаются от клиента-антивируса к серверам ЛК в строке User-Agent в заголовке HTTP-запроса. Издание Interсept утверждает, что месяц назад протестировало эту возможность на продукте Kaspersky Small Business Security 4, и «хотя часть трафика была зашифрована, детальная информация о конфигурации хоста и установленном ПО передавалась на серверы Касперского без защиты». В качестве доказательства приведён скриншот :

 

 

Эти данные журнал Interсept опубликовал позавчера, 22 июня. А буквально на следующий день, 23 июня, команда исследователей из Google (Project Zero) опубликовала отчёт о более серьезной уязвимости в антивирусе ESET NOD32. Благодаря данной уязвимости атакующий может обмануть эмулятор, который используется для проверки исполняемых кодов. Атака позволяет читать, модифицировать и удалять любые файлы на компьютерах, где установлен ESET, а также инсталлировать любые другие программы удалённо, получать доступ к любым периферийным устройствам (камеры, микрофоны), записывать всю системную активность, и т.д.

Угроза затрагивает все версии ESET и все платформы, на которых работает ESET (Windows, Mac, OS X). При этом, как подчёркивают исследователи, эксплуатация данной уязвимости не требует пользовательского участия, зато использует высокие системные привилегии, которые даются сканеру ESET — то есть является идеальным кандидатом для создания самоходного червя (например, почтового). В отчёт включён пример рабочего рутового эксплойта, а также ролик, который демонстрирует атаку на ESET через браузер:

 

 

Закрыть уязвимость можно патчем ESET, выпущенным 22 июня — а до этого можно избежать атаки, если отключить всё сканирование в ESET (плановое, в реальном времени и ручное). И хотя данная публикация исследователей из Google произошла уже после выхода патча, всё равно складывается ощущение, что обнародование этой дыры как-то «специально подгадали» к общей кампании против антивирусов из Восточной Европы.

 

 

 

 

Също нещо много интересно по темата  https://firstlook.org/theintercept/2015/06/22/nsa-gchq-targeted-kaspersky/

 

Anti-virus firms vs. intelligence agencies

 

 

As government spies have sought to evade anti-virus software, the anti-virus firms themselves have exposed malware created by government spies. Among them, Kaspersky appears to be the sharpest thorn in the side of government hackers. In the past few years, the company has proven to be a prolific hunter of state-sponsored malware, playing a role in the discovery and/or analysis of various pieces of malware reportedly linked to government hackers, including the superviruses Flame, which Kaspersky flagged in 2012; Gauss, also detected in 2012; Stuxnet, discovered by another company in 2010; and Regin, revealed by Symantec. In February, the Russian firm announced its biggest find yet: the “Equation Group,” an organization that has deployed espionage tools widely believed to have been created by the NSA and hidden on hard drives from leading brands, according to Kaspersky. In a report, the company called it “the most advanced threat actor we have seen” and “probably one of the most sophisticated cyber attack groups in the world.”

Hacks deployed by the Equation Group operated undetected for as long as 14 to 19 years, burrowing into the hard drive firmware of sensitive computer systems around the world, according to Kaspersky. Governments, militaries, technology companies, nuclear research centers, media outlets and financial institutions in 30 countries were among those reportedly infected. Kaspersky estimates that the Equation Group could have implants in tens of thousands of computers, but documents published last year by The Intercept suggest the NSA was scaling up their implant capabilities to potentially infect millions of computers with malware.

Kaspersky’s adversarial relationship with Western intelligence services is sometimes framed in more sinister terms; the firm has been accused of working too closely with the Russian intelligence service FSB. That accusation is partly due to the company’s apparent success in uncovering NSA malware, and partly due to the fact that its founder, Eugene Kaspersky, was educated by a KGB-backed school in the 1980s before working for the Russian military.

Kaspersky has repeatedly denied the insinuations and accusations. In a recent blog post, responding to a Bloomberg article, he complained that his company was being subjected to “sensationalist … conspiracy theories,” sarcastically noting that “for some reason they forgot our reports” on an array of malware that trace back to Russian developers.

He continued, “It’s very hard for a company with Russian roots to become successful in the U.S., European and other markets. Nobody trusts us — by default.”

Kaspersky Lab openly cooperates with multiple international law enforcement agencies on cybercrime cases, but no inappropriate links to the FSB have ever been proven. Meanwhile, cozy relationships with intelligence agencies are not uncommon among Western technology companies. The CIA-backed venture capital firm In-Q-Tel has helped build over 200 tech start-ups, including cybersecurity firms FireEye and ReversingLabs and big data intelligence firms Palantir and Recorded Future. Previous reporting from the Snowden archive has shown that Microsoft, Google, Yahoo, Facebook, Apple, AOL and PalTalk all actively participated in the NSA’s PRISM surveillance program.

No stranger to targeted cyberattacks, Kaspersky Lab announced earlier this month that it had been the victim of a sophisticated intrusion. In an email, Kaspersky Lab told The Intercept, ”It is extremely worrying that government organizations would be targeting us instead of focusing resources against legitimate adversaries, and working to subvert security software that is designed to keep us all safe. However, this doesn’t come as a surprise. We have worked hard to protect our end users from all types of adversaries. This includes both common cyber-criminals or nation state-sponsored cyber-espionage operations.”

 

 

Кибер войната е действителност.

Редактирано 24 юни 2015 от nikssi (преглед на промените)

[Proshark]

Това ,за хард дисковете,сякаш мина покрай ушите на всички,едните се направиха, че не са знаели,другите пък изобщо не коментираха...

[Proshark]

В kомпютри на Samsung тайно се инсталира приложение,изключващо Windows Update

Цитат:

"Компьютеры Samsung тайно устанавливают приложение, отключающее службу Windows Update.

Компания Microsoft сообщила изданию V3, что начала обсуждать с Samsung проблему отключения службы Windows Update, которое может поставить под угрозу безопасность пользователей. По словам Microsoft, Windows Update является важнейшим компонентом для обеспечения безопасности, поэтому специалисты не рекомендуют отключать или модифицировать Центр обновлений Windows.

Напомним, компьютеры производства Samsung, работающие под управлением ОС Windows, автоматически устанавливают свои обновления, деактивирующие нативные обновления Windows. В свою очередь, Samsung заявляет, что инструмент Samsung SW Updater никаким образом не влияет на системный реестр ноутбука. Компания опровергает обвинения по поводу блокировки процессов обновления ОС Windows 8.1 на компьютерах Samsung. Что интересно, заявление касается только Windows версии 8.1, но не объясняет процесс работы Samsung SW Updater на других версиях Windows. 

Microsoft осуждает решение Samsung отключать Центр обновлений Windows, считая его некорректным для нормальной работы ОС и ноутбука в целом. В настоящее время программа Samsung SW Updater все еще доступна на официальном сайте Samsung."

http://www.securitylab.ru/news/473494.php

[AntiAlGor]

В kомпютри на Samsung тайно се инсталира приложение,изключващо Windows Update

 Вече, са оправили това. И нямало да има проблеми, с ъпдейтите на Уиндоус. Поне такава статия четох, тези дни.

[DarkEdge]

Нищо не разбирате от crypto вие тук. Научете нещо, де:
https://www.kaldata.com/forums/topic/243330-търся-програма-която-може-да-чисти-вируси-от-exe-фа/?p=3155660

 
 

Редактирано 4 юли 2015 от ExaFlop (преглед на промените)

[Гост]

Отскоро вариант на KINS toolkit се разпространява безплатно в мрежата , което позволява на всеки с минимални компютърни умения да направи  банков зловреден софтуер!

 

Изходният код на контролния панел също е изтекъл!

 

 

Повече тук :  http://news.softpedia.com/news/infections-with-zeusvm-banking-malware-expected-to-spike-as-building-kit-is-leaked-486149.shtml

Редактирано 7 юли 2015 от Гост (преглед на промените)

[Proshark]

TeslaCrypt 2.0 се е маскирал като CryptoWall...

 

 

Цитат:

"Речь идет о TeslaCrypt 2.0 – новой версии зловреда, прослывшего грозой геймерского мира и требующего 500 долларов США за ключ для декодирования зашифрованных файлов. В основном от вымогательств этой программы пострадали пользователи в США и Германии, однако угроза не обошла стороной и Россию, которая оказалась в первой десятке стран с наибольшим количеством заражений.   

Аналитики «Лаборатории Касперского» наблюдают за этим зловредом с начала года: первые образцы TeslaCrypt были обнаружены в феврале 2015 года, и с тех пор шифровальщик претерпел несколько изменений. В последней версии программа требует выкуп путем демонстрации своим жертвам HTML-страницы, целиком скопированной с другого широко известного вымогателя – CryptoWall 3.0. Возможно, злоумышленники хотели таким образом продемонстрировать серьезность своих намерений, ведь до сих пор файлы, зашифрованные CryptoWall, не поддаются расшифровке.

Свой нечестный заработок киберзлоумышленники собирают при помощи криптовалюты:  при каждом заражении TeslaCrypt генерирует новый уникальный адрес Bitcoin и секретный ключ для приема платежей от конкретного пострадавшего. Отличительной особенностью этого зловреда является то, что он заражает типичные игровые файлы, например, файлы сохранений, пользовательских профилей, записанных повторов игр и т.д. Любопытно, что TeslaCrypt 2.0 не шифрует файлы размером более 268 Мб.

«TeslaCrypt, охотник за геймерами, склонен к обману и запугиванию пользователей. Например, в предыдущих версиях, жертве сообщалось, что файлы зашифрованы при помощи знаменитого алгоритма RSA-2048, который на сегодняшний день не может быть взломан. Таким образом, вероятно, злоумышленники хотели заставить пользователя поверить, что у него нет другой альтернативы, кроме как заплатить выкуп.

На самом же деле этот алгоритм злоумышленники не применяли, – рассказывает Фёдор Синицын, антивирусный аналитик «Лаборатории Касперского». – Обновленная версия TeslaCrypt 2.0 убеждает жертву, что перед ним несокрушимый CryptoWall. Однако все ссылки ведут на сервер TeslaCrypt – отдавать конкурентам деньги жертв никто из авторов этого зловреда явно не планирует».

Для того чтобы избежать потери данных в результате атаки TeslaCrypt 2.0, пользователям рекомендуется:

• осуществлять регулярное резервное копирование всех важных файлов, а копии хранить на носителях, физически отключаемых сразу после завершения бэкапа;
• вовремя обновлять ПО, в особенности плагины браузера и сам браузер, поскольку зловред распространяется через эксплойт-паки, использующие уязвимости в софте;
• установить антивирусный продукт последней версии с обновленными базами и активированными модулями защиты.

Решения «Лаборатории Касперского» детектируют зловред как Trojan-Ransom.Win32.Bitman.tk и успешно защищают пользователей от этой угрозы."

 

Подробности:http://www.comss.info/page.php?al=TeslaCrypt_2_0

[Гост]

Критическа уязвимост в ТОR!

 

 

Критична уязвимост може да направи To по-малко анонимен казват MIT и QCRI изследователи!

 

Източник:  http://www.techworm.net/2015/07/critical-vulnerability-in-tor-puts-users-anonymity-at-risk.html

[Proshark]

Windows 10 ви следи? Забранете му! (или поне го ограничете)

 

 

 

 

Източник:  http://news.pcstore.bg/2015/07/31/windows-10-privacy-guide/