Мне подарили

20:26 14.10.2014

Троян замість "оголення": чергова схема, націлена на користувачів Фейсбук

Любителі "полунички" дуже ризикують, клікаючи по посиланнях з заголовками, що обіцяють показати їм що-небудь таке. На цей раз довірливі користувачі Фейсбук отримали троянця замість обіцяного відео з оголеними Еммою Уотсон, повідомляється в блозі Bitdefender Labs.

мало того, що троян намагається вкрасти особисту інформацію, таку як номери телефонів, маркери додатків і компрометує користувальницькі сесії Facebook. Він ще й підписує жертву на платні SMS-розсилки.

Якщо користувач натискає на шкідливе посилання в коментарі Facebook, який обіцяє показати йому відео оголеної актриси, яке нібито "витекло" в Мережу, то жертву перенаправляють на фальшиву сторінку YouTube, на якій він бачить повідомлення, де його просять оновити Flash Player, щоб переглянути відео. Коли жертва "оновлює плеєр", комп'ютер інфікується трояном, який дослідники назвали Trojan.JS.Facebook.A.

Обіцяне відео так і не відображається, а з акаунта жертви розсилається те саме шахрайське повідомлення, на яке "клюнув" довірливий користувач.

http://www.bezpeka.com/ru/news/2014/10/10/emma-watson-leaked-facebook-video-reveals-trojans-not-nude-pictures.html

Метки: фейсбук, ТРОЯН
11:56 09.01.2014

Новый троян PrisonLocker опаснее, чем CryptoLocker

Специалисты компании Malware Must Die установили предположительного автора новой вредоносной программы PrisonLocker/PowerLocker, которая станет достойным наследником известного трояна-вымогателя CryptoLocker, заразившего около 250 000 компьютеров в Америке и Западной Европе с сентября по декабрь 2013 года.

CryptoLocker шифрует документы на жестком диске — и дает жертве несколько дней на то, чтобы собрать деньги и перечислить их на указанный кошелек. В этом случае они обещают выдать ключ для расшифровки документов.

Стоимость выкупа изначально составляла 2 BTC, но по мере роста курса биткоина снижалась до 1 BTC, 0,5 BTC и, в конце концов, 0,3 BTC.

Новая программа PrisonLocker/PowerLocker будет обращаться с пользователями более жестко, если верить функционалу, который описывает ее автор. По его словам, программа будет шифровать не только документы, но также видеофайлы, фотографии и другие файлы на компьютере пользователя (кроме .exe, .dll, .sys, других системных файлов) с помощью шифра BlowFish. Уникальный ключ для каждого ПК защищен шифрованием RSA-2048 (одна пара ключей RSA на каждый компьютер).

Владелец командного сервера сможет переустанавливать или удалять таймер с каждого ПК и снимать шифрование с файлов после получения корректного платежного кода.

Клиентская часть PrisonLocker/PowerLocker, по описанию, сможет определять виртуальное окружение VM, песочницы или дебаггера, что затруднит анализ зловреда антивирусными компаниями. Программа отключает клавиши Windows и Escape на клавиатуре, чтобы избежать неправильных действий пользователя в процессе шифрования и после него. Она также убивает процессы taskmgr.exe, regedit.exe, cmd.exe, explorer.exe и msconfig.exe. Проверка и удаление этих процессов осуществляется каждые несколько миллисекунд.

Автор опубликовал также пару скриншотов админской панели. Он обещает закончить работу над зловредом в «ближайшее время» (сообщение опубликовано 19 декабря).

http://www.bezpeka.com/ru/news/2014/01/08/PrisonLocker.html

Метки: ТРОЯН, PrisonLocker, CryptoLocker
20:16 22.11.2013

Троян, вражаючий SAP, заснований на коді Carberp

Дослідники безпеки з компанії Microsoft, вивчаючи троян під назвою Gamker, направлений на програмні продукти SAP, визначили, що його код видаленого управління аналогічний тому, що є в Carberp, але їм не удалося визначити, чи є обидва віруси продуктами одного і того ж розробника.

Нагадаємо, що творців трояна Carberp заарештували в 2013 році в Україні, а вихідний код вірусу стали продавати на нелегальних форумах кілька місяців тому.

ПЗ SAP для корпорацій користується великою популярністю у більшості крупних компаній, тому кількість потенційних жертв Gamker може обчислюватися десятками мільйонів. Природно, що сервери SAP містять величезну кількість конфіденційних даних.

«Gamker – банківський троян для викрадання інформації. Серед його цілей – системи онлайн-банкінга, гаманці Bitcoin, публічні і приватні ключі, криптографічні утиліти і додатки, пов'язані з фінансами», — сказали дослідники. Уразивши ПЗ SAP, вірус здатний перехоплювати натиснення клавіш і зберігати комбінації в окремий файл. Він також зберігає скріншоти і записи командного рядка, після чого посилає всі дані на підконтрольні кіберзлочинцям сервери. .

Шкідливе ПО викрадає логіни і паролі користувачів SAP, імена серверів і конфіденційну інформацію, що зберігається на них. Антивірусні експерти компанії Dr.Web також вважають, що вірус встановлює проксі— і vnc-сервер на зараженому комп'ютері, унаслідок чого користувач не може відвідувати сайти антивірусних компаній, а його ПК починає виконувати команди з C&С-сервера.

Більшість антивірусів вже виявляють і нейтралізують Gamker, але ряд нових варіацій вірусу на даний момент обходять захист. Microsoft радить системним адміністраторам мінімізувати потенційний збиток шляхом обмеження привілеїв користувачів, введення двохфакторної аутентифікації, підвищення обізнаності серед співробітників і регулярного оновлення ОС, програмного забезпечення і антивірусів.

http://slovo-motivator.webnode.com.ua/news/troyan%2c-vrazhayuchij-sap%2c-zasnovanij-na-kod%D1%96-carberp/

Метки: Microsoft, ТРОЯН, SAP
05:56 08.11.2013

В Сети появился модифицированный троян Shiz

В настоящий момент хакеры все чаще создают вредоносные программы, нацеленные на корпоративные системы управления, такие как , к примеру, ERP SAP.

Как сообщает директор по безопасности антивирусной компании Trusteer Дана Тамир (Dana Tamir), в Сети появился новый вариант известного трояна Shiz, предоставляющего злоумышленникам удаленный доступ к компьютерам жертв, который нацелен на системы управления больших корпораций.

По словам эксперта, предыдущая версия Shiz была создана для компрометации компьютеров под управлением ОС Windows при помощи удаленно-управляемого бэкдора. Попадая в систему, вирус предоставлял создателям доступ к важной информации и позволял похищать важные данные, включая пароли и криптографические сертификаты, при помощи которых жертва использовала сервисы online-банкинга. Новый вариант троянской программы содержит те же возможности, а также оснащен SAP-функциями, связанными с непосредственной целью, которая остается неясной.

«В настоящий момент все, что делает вирус – это проверяет систему на предмет установки SAP-приложений. Возможно, в дальнейшем эти данные будут использоваться для проведения целенаправленных атак», — заявил Александр Поляков, эксперт в области информационной безопасности в компании ERPScan.

Как отмечает Тамир, новый вид вируса вполне может быть создан для целенаправленного проникновения в корпоративные ERP-системы, похищения важной информации или нанесения ущерба.

http://www.bezpeka.com/ru/news/2013/11/07/Shiz-trn.html

Метки: ТРОЯН, SAP, вредоносная программа
05:52 08.11.2013

Доктор Веб: Октябрь текущего года стал месяцем троянов-вымогателей

В течение октября 2013 года в Сети наблюдался всплеск активности вредоносных приложений, вымогающих у владельцев зараженных компьютеров плату за расшифровку их файлов. Кроме того, в отчетный период была выявлена новая схема обмана владельцев карт Сбербанка, связанная с рассылкой фальшивых СМС-уведомлений.

Так, злоумышленники используют номера, похожие на короткие номера Сбербанка (900, 9000, 9001, 8632, 6470, SBERBANK), для рассылки мошеннических СМС-сообщений о блокировке карты якобы из-за подозрительной активности.

"Для получения инструкций о дальнейших действиях жертве предлагают позвонить по номеру +7(499)504-88-24. Мошенник, представляясь оператором call-центра, сообщает, что клиенту необходимо как можно скорее дойти до ближайшего банкомата и перевести денежные средства со счета карты на новый счет", — поясняют Доктор Веб.

Что касается угроз непосредственно для мобильных устройств, то наибольшего внимания заслуживает появление трояна Android.Spy.40, созданного для кражи конфиденциальных данных. При его создании разработчики использовали уязвимость в Android, что позволяет вирусу избегать обнаружения антивирусными решениями.

Ознакомиться с отчетом можно здесь.

http://www.bezpeka.com/ru/news/2013/11/07/ransom-trns.html

Метки: Android, ТРОЯН, Доктор Веб
17:13 30.10.2013

Підроблені повідомлення від Whatsapp поширюють зловмисне ПЗ

WhatsApp є одним з найпопулярніших сервісів для обміну миттєвими повідомлення. Відповідно, база його користувачів становить понад 300 мільйонів чоловік. Це, у свою чергу, робить його одним з кращих способів поширення спам-листів.

Приміром, за даними антивірусної компанії Webroot, зараз також діє шкідлива кампанія, в рамках якої користувачі отримують повідомлення про наявність повідомлення в голосовій пошті (Voice Message Notification / 1 New Voicemail), прикріплений до електронного листа.

ІБ— експерти кажуть, що підроблені прикріплені голосові повідомлення містять троян, який при відкритті намагається завантажити додаткові шкідливі програми з C & C -сервера. Після запуску шкідливий створює наступні ключі системного реєстру на заражених пристроях:

· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.sewwe

· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.sewwe\ShellNew

· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\S6.Document

· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\S6.Document\DefaultIcon

· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\S6.Document\shell

· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\S6.Document\shell\open

· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\S6.Document\shell\open\command

· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\S6.Document\shell\print

· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\S6.Document\shell\print\command

· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\S6.Document\shell\printto

· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\S6.Document\shell\printto\command

· HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications

· HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\S6

· HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\S6\Settings

Однак даний вірус не є надзвичайно небезпечним, оскільки у нього високий рівень виявлення антивірусними програмами. Так, за твердженнями Webroot, 31 з 48 сканнерів розпізнав вірус, відомий як Trojan.Win32.Sharik.qhd.

http://www.bezpeka.com/ua/news/2013/10/30/WhatsApp-fake-updates-spread-malcode.html

Метки: вірус, ТРОЯН, whatsapp
20:34 10.09.2013

Раскрыты пути распространения Android-бекдора Oba

В конце мая этого года, был обнаружен один из самых многофункциональных Android-троянов под названием Obad.a.

Основными жертвами трояна стали пользователи мобильных сетей России и стран СНГ. При инфицирование системы, Obad.a использовал сразу несколько, на тот момент, неизвестных уязвимостей: ошибки в программе dex2jar, а также в ядре ОС Android, позволяющие получить расширенные права DeviceAdministrator. Получив контроль над системой, троян отправлял информацию об устройстве и состояние счета абонента в управляющий центр, вместе с тем организуя бэкдор для выполнения удаленных команд: отправка SMS-сообщений; организация прокси-сервера; DDoS-атака; открытие заданного веб-адреса; загрузка и установка произвольного ПО; получение списка контактов; выполнение удаленных команд в консоли; взаимодействие с Bluetooth-устройствам; и многие другие.

Одним из основных способов распространения трояна была спам-рассылка. Но, как показало новое исследование, это был не единственный способ распространения. Самым интересным среди обнаруженных способов стал мобильный ботнет на основе трояна Trojan-SMS.AndroidOS.Opfake.a. С его помощью злоумышленники рассылали SMS-сообщения с приглашением просмотреть MMS, содержащее ссылку для загрузки Backdoor.AndroidOS.Obad.a.

Еще одним источником распространения Obad.a стали поддельные магазины приложений, позволяющие установить популярные мобильные приложения и игры. В ходе мониторинга было обнаружено два таких каталога приложений. Кроме того, для распространения трояна использовалась сеть из более чем 120 взломанных веб-сайтов. Эти веб-сайты содержали модифицированный файл ".htaccess" переадресовывающий пользователя на скрипт загрузки и установки бэкдора Obad.a.

Процесс заражения скрывался под предложением посетить мобильную версию просматриваемого веб-сайта.

Делая выводы, эксперты компьютерной безопасности акцентируют внимание на большом финансирование проводимой атаки, связанным с организацией платной SMS-рассылки, а также покупкой мобильного ботнета и взломанных веб-сайтов. Вместе с тем, возможности трояна Obad.a демонстрируют растущую угрозу информационной безопасности со стороны мобильных устройств.

Антивирусные эксперты обращают внимание, что далеко не все мобильные устройства позволяют производить обновление ОС Android до текущих версий из-за жесткой привязки к оборудованию и модификаций, проводимых производителями устройств. Поэтому, для защиты мобильных устройств, уже сейчас, следует применять современные антивирусные средства, которые сокращают возможное время разговоров по телефону, но обеспечивают защиту персональных данных и денежных средств абонентов мобильной связи.

http://www.bezpeka.com/ru/news/2013/09/10/Obad-a.html

Метки: Android, ТРОЯН, бекдор, Obad.a
12:37 06.08.2013

Половина троянов написана российской группировкой SMS-мошенников?

Специалисты обнаружили в России группу из 10 компаний, которые поставили на коммерческие рельсы SMS-мошенничество. Стать участником сети дистрибуции вредоносного контента и зарабатывать на этом может любой желающий, без глубоких знаний.

Калифорнийская компания Lookout, специализирующаяся на антивирусах для мобильных устройств, раскрыла группу из десяти российских организаций, занимающихся SMS-мошенничеством, обкрадывая владельцев смартфонов на платформе Android. По данным Lookout, вредоносные приложения для SMS-мошенничества, написанные в России, составляют более 50% всего обнаруженного в первой половине 2013 г. в мире вредоносного ПО. Российская организованная группа — в Lookout ее назвали Malware Headquarters — является создателем веб-сайтов, которые позволяют присоединиться к организованному бизнесу любому желающему, пройдя простую регистрацию. После регистрации участник платформы получает в свое распоряжение комплект инструментов, которые позволяют распространять вредоносное программное обеспечение для Android-смартфонов через ссылки на якобы загрузку популярных приложений, картинок, порнографии и бесплатной музыки.

Посетив подставной сайт, она думает, что устанавливает подлинное приложение, на самом же деле это приложение не является тем, как указано в его описании. Попасть на подставной сайт можно как по ссылке в поиске, так и через Twitter. Основным средством распространения ссылок является именно этот микроблогговый сервис. После установки в смартфон приложение отправляет SMS-сообщения на платные номера без ведома пользователя.

Malware Headquarters получает данные средства и делится ими со своими удаленными сотрудниками. По подсчету Lookout, на Malware Headquarters работают тысячи людей, которые зарабатывают в месяц от $700 до $12 тыс. В задачи Malware Headquarters входят: разработка и поддержка работоспособности вредоносных Android-приложений, регистрация и управления короткими номерами, на которые выполняется отправка платных сообщений, учет и выплата вознаграждений, а также хостинг вредоносного контента.

Malware Headquarters предлагает пошаговые инструменты для самостоятельного распространения вредоносных приложений. По словам представителей Lookout, они настолько просты в освоении, что примкнуть к армии распространителей может практически любой желающий, технически не грамотный человек. Помимо вышеперечисленного, платформа включает систему рейтинга, которая призвана стимулировать сотрудников к достижению более высоких результатов. Кроме того, Malware Headquarters оказывает техническую поддержку своим пользователям, как если бы это была вполне легальная компания, продающая, например, веб-сервисы.

Результаты расследования были опубликованы в докладе, представленном на конференции Def Con в Лас-Вегасе. Расследование было начато в декабре 2012 г. Его результаты основаны на многочисленных данных, полученных из различных источников. По данным Lookout, группа компаний Malware Headquarters ответственна за выпуск примерно 60% всего мобильного вредоносного кода в России.

http://www.bezpeka.com/ru/news/2013/08/06/half-of-trns-from-russia.html

Метки: ТРОЯН, SMS-мошенник, Malware Headquarters
08:38 06.08.2013
Андрій Крупко опубликовал запись в сообщество Интересное для всех!

Jekyll — самый опасный троян для iOS

Исследователи из Центра Компьютерной Безопасности Джорджии всерьез занялись вопросом безопасности iOS устройств и решили доказать пользователям, что Айфоны и Айпэды не так безопасны, как принято думать. В iOS 6 они нашли уязвимость, которая позволяла взламывать устройства специальной зарядкой, а теперь создали полноценный троян.

Jekyll можно незаметно установить на устройство, после чего он сможет отправлять SMS на премиальные номера, публиковать сообщения в Twitter и по электронной почте. Также есть возможность отслеживать местоположение пользователя, незаметно включать микрофон смартфона, делать снимки на камеру и даже атаковать другие приложения.

Главная опасность нового трояна — приложение с ним может пройти цензоров App Store, попасть в магазин приложений, а уже на устройстве код будет перестроен для осуществления вредоносной деятельности. Создатели Jekyll уже уведомили Apple об уязвимости, а подробности о новом трояне расскажут 14 августа на конференции USENIX.

http://www.bezpeka.com/ru/news/2013/08/05/georgia-tech-finds-another-ios-vulnerability.html

Метки: ТРОЯН, iOS, Jekyll
19:40 02.08.2013

Обнаружен новый троян, использующий уязвимость Android-смартфонов

Вредоносная программа, использующая уязвимость ОС Android, обнаружена производителем антивирусов Dr. Web, говорится в официальном сообщении компании. Троян, который внесен в вирусную базу под названием Android.Nimefas.1.origin, способен отправлять SMS без ведома пользователя, передавать злоумышленникам конфиденциальную информацию и выполнять ряд команд, полученных с удаленного управляющего узла.

Программа заражает смартфоны под управлением ОС Android при установке приложений, используя уязвимость Master Key (Полезная ссылка: прошивка iPad). Как ранее сообщал Digit.ru, эта уязвимость была недавно обнаружена специалистами компании Bluebox Security. Суть уязвимости — в методе обработки устанавливаемых программ одним из компонентов Android: если в подкаталоге apk—пакета содержатся два файла с одинаковым названием, проверяется цифровая подпись только первого файла, а второй устанавливается без проверки. Android.Nimefas.1.origin как раз является тем самым вторым одноименным dex-файлом, модифицированным киберпреступниками, и уязвимость позволяет легко обходить защиту операционной системы.

Новый троян, запустившись на инфицированном мобильном устройстве, проверяет активность антивирусов и наличие root-доступа. В случае если таковых не обнаружено, Android.Nimefas.1.origin отправляет IMSI (международный идентификатор мобильного абонента) на случайный номер из адресной книги зараженного телефона. Затем вирус рассылает по базе контактов SMS с текстом, загруженным с удаленного узла управления. Сама база контактов в свою очередь передается на сервер злоумышленников. Кроме того, Android.Nimefas.1.origin способен скрывать входящие сообщения от пользователя, используя фильтр по номеру или тексту SMS, также полученный с узла управления.

Троян распространяется вместе с приложениями, доступными для загрузки с одного из китайских сайтов-каталогов ПО. Руководство сайта оповещено об угрозе для пользователей, а удаленный сервер, который использовался злоумышленниками для управления Android.Nimefas.1.origin, на данный момент уже не функционирует.

Однако техническая легкость, с которой возможен взлом Android через уязвимость Master Key, делает весьма вероятным широкое распространение похожего вредоносного ПО во всем мире в ближайшее время.

http://www.bezpeka.com/ru/news/2013/08/02/Android-rrn.html

Метки: смартфон, Android, ТРОЯН, Dr. Web
16:44 10.07.2013
Андрій Крупко опубликовал запись в сообщество Интересное для всех!

Троянец Bicololo угрожает пользователям Вконтакте и Одноклассников

Компания Eset предупредила о растущей активности трояна Win32/Bicololo, нацеленного на русскоязычных интернет-пользователей. Win32/Bicololo – троянская программа, целью которой является кража персональной информации пользователей.

Экспертами обнаружена повышенная активность распространения данной угрозы – она рассылается под видом ссылок на графические файлы со стандартным расширением .jpg. При активации подобной ссылки, вместо открытия изображения начинается загрузка вредоносного файла.

Попадая на компьютер пользователя, вредоносная программа модифицирует системный файл hosts и прописывает в нем IP-адреса принадлежащих злоумышленникам фишинговых сайтов. При попытке перейти на легальный сайт, пользователь автоматически перенаправляется на его фальшивый аналог.

Рассматриваемая модификация Win32/Bicololo.A нацелена на персональные данные пользователей Вконтакте и Одноклассников (суммарное количество аккаунтов превышает 400 млн), а также на владельцев почты на сервисе Mail.ru (число пользователей превышает 30 млн человек).

Адреса именно этих порталов, включая адреса мобильных версий сайтов, программа прописывает в файле hosts. Вся информация, введенная пользователями на поддельных ресурсах, автоматически попадает к злоумышленникам. Стоит отметить высокое качество фальшивых страниц – так, фишинговый сайт, маскирующийся под главную страницу Вконтакте, отличается от оригинала лишь невозможностью сменить язык или воспользоваться защищенным https-соединением.

http://www.bezpeka.com/ru/news/2013/07/10/Bicololo.html

Метки: вконтакте, одноклассники, ТРОЯН, Bicololo
18:45 05.07.2013

Уязвимость в Android позволяет изменить код приложения, не повреждая его криптографическую подпись

Команда исследователей Bluebox Security Labs сообщила об уязвимости в модели обеспечения безопасности Android, позволяющей изменять код приложения .APK. Уязвимость использует несоответствие, которое допускается при модификации приложения, при этом не повреждая его криптографическую подпись. То есть, уязвимость позволяет обмануть Android, который не обнаружит изменений в приложении.

Эксплуатируя уязвимость, которая присутствует в версиях Android начиная с Android 1.6 "Donut", злоумышленники могут превращать любое подписанное приложение в троянское ПО для хищения данных или создания ботнета.

"Установка троянского ПО в приложение от производителя устройства может предоставить полный доступ к системе Android и всем установленным приложениям (или их данным)", — подчеркивают эксперты Bluebox Security Labs.

С помощью троянского приложения злоумышленники могут получать доступ не только к письмам электронной почты, SMS-сообщениям, документам и т.д., но также к учетным записям пользователя. Более того, измененное приложение может контролировать любую функцию мобильного устройства (произвольно совершать звонки и отправлять SMS-сообщения, включать камеру, записывать звонки).

Троянские приложения распространяются по электронной почте, а также загружаются с web-сайтов. Кроме того, используются сторонние репозитории приложений. По словам экспертов, через Google Play такие приложения не распространяются, поскольку Google обновила процесс записи приложения в магазин.

http://www.bezpeka.com/ru/news/2013/07/05/bluebox-uncovers-android-master-key.html

Метки: Android, ТРОЯН, уязвимость, приложение, Bluebox Security Labs
07:27 13.06.2013
Андрій Крупко опубликовал запись в сообщество Интересное для всех!

Троян RpcTonzil инфицировал более 50 тыс. пользователей "ВКонтакте"

Как сообщает издание «РИА Новости», российские эксперты в области ИБ предостерегают о распространении троянской программы RpcTonzil среди пользователей соцсети «ВКонтакте». По данным экспертов из компании Cezurity, в настоящий момент распространение вируса носит характер эпидемии, и его жертвами стало уже более 50 тыс. пользователей ресурса.

Злоумышленники, «запустившие» троян, получили не только доступ к учетным записям жертв, но и возможность похищения конфиденциальных персональных данных.

Исследователи отмечают, что вирус модифицирует запросы компьютеров к DNS-серверу, то есть при попытке зайти в социальную сеть пользователь оказывается на специально созданной злоумышленниками фальшивой web-странице, которая имитирует и практически неотличима от страницы «ВКонтакте». На странице пользователю сообщается о том, что аккаунт был взломан и предлагается создать новый пароль и верифицировать привязку своего номера мобильного телефона к учетной записи. Web-страница практически не отличается от настоящей страницы авторизации в соцсети. Более того, адрес, который отображается в адресной строке браузера, полностью соответствует правильному и возникает ощущение, что страница действительно принадлежит «ВКонтакте».

Эксперты отмечают, что первые образцы вредоносного кода RpcTonzil были обнаружены еще в марте этого года. На сегодняшний день большинство антивируссных программ не определяют угрозу. Исследователи объясняют этот факт тем, что злоумышленники модифицировали вирус, а также использовали сложную технику скрытия кода от антивирусов.

По словам Кирилла Преснякова, ведущего вирусного аналитика Cezurity, после заражения компьютера троянская программа существует только в зашифрованном виде. Ее расшифровка и автозапуск осуществляется с помощью небольшой модификации системной библиотеки rpcss.dll. Большинство антивирусов не способно детектировать заражение, произведенное таким образом, то есть, не зная вируса «в лицо» — они могут обнаружить этот троян только по поведению.

«Эта троянская программа любопытна не как образец техники заражения, а скорее тем, что программа известна уже три месяца, продолжает распространяться, однако, большинством антивирусных продуктов либо вообще не обнаруживается, либо они не способны корректно вылечить компьютер после заражения», — цитируют РИА Новости Алексея Чалея, генерального директора Cezurity.

http://www.bezpeka.com/ru/news/2013/06/12/RpcTonzil.html

Метки: вконтакте, эпидемия, ТРОЯН
12:08 10.05.2013

Одобренная властями шпионская программа оказалась трояном

Как сообщил эксперт «Лаборатории Касперского» Сергей Голованов, изучающий официально одобренную госорганами шпионскую программу Remote Control System (RCS), ПО не содержит достаточной функциональности, чтобы изобличить преступника в суде, однако располагает возможностями самораспространения, что позволяет причислить ее к классу вредоносных программ.

Оказалось, что программа, которую итальянские разработчики представили, как инструмент для сбора данных для технической экспертизы при расследовании преступлений, не содержит механизм достоверного копирования содержимого файловой системы или снятия содержимого оперативной памяти, которое можно было бы использовать при судебной экспертизе. Вместо этого, эксперт установил, что RCS является самораспространяющейся вредоносной программой, предназначенной для кражи личных данных и предоставления удаленного доступа к зараженной системе.

Сергей Голованов отметил, что подобные выводы удалось сделать, благодаря сравнению RCS с двумя другими продуктами – Morcut и Korablin, которые имеют функциональное сходство, однако являются официально признанными вредоносными программами – Korablin является вирусом, специально написанным для Windows, а Morcut – для Mac OS X. Подтверждением тому, что обе вредоносные программы были созданы разработчиками RCS из Hacking Team стала возможность скачать вирусы из официального сайта команды.

Отметим, что помимо официальных продаж шпионской Remote Control System через сайт Hacking Team, где авторы предлагают ее исключительно правоохранительным органам за $600 тыс., программа доступна для загрузки всеми желающими с сайта панамской компании OPM Security по цене $200 под названием Power Spy.

Remote Control System присутствует на зараженных компьютерах в виде нескольких файлов со случайными именами и одной активной динамической библиотеки, для установки которой требуются дополнительные вредоносные программы.

http://www.bezpeka.com/ru/news/2013/05/08/gov-trn.html

Метки: ТРОЯН, Лаборатория Касперского, шпионское ПО
06:37 16.03.2013

http://fireku.narod2.ru/novini_t/

Специалисты лаборатории Citizen Lab при Университете Торонто сообщили о троянском программном обеспечении FinFisher, использующемся правительствами стран для шпионской деятельности. Эксперты заявили, что обнаружили C&C-серверы бэкдоров FinSpy в 25 странах, в том числе в Австралии, Канаде, Эстонии, Германии, Великобритании и США.

FinFisher – это ПО, разработанное Gamma International для совершения удаленного вторжения и наблюдения, и производится исключительно для правоохранительных органов и спецслужб Великобритании. Исследователи отметили, что на C&C-серверы FinFisher стекаются данные печатных изданий, сообщения в Skype, а также аудиозаписи, перехваченные вредоносным ПО с микрофонов компьютеров. В Мексике, Бангладеш, Малайзии, Сербии, Бахрейне и Вьетнаме FinFisher применялся в отношении политических оппозиционеров.

Исследователи заявили, что в настоящее время FinFisher применяется в Эфиопии. Так, в августе прошлого года эксперты обнаружили образцы вредоносного ПО FinSpy, использующего фотографии участников эфиопской оппозиционной группы Ginbot 7 в качестве приманки. ПО связывается с C&C-серверами FinSpy, расположенными в Эфиопии. Его можно обнаружить по следующему адресу государственной телекоммуникационной компании Эфиопии Ethio Telecom: IP: 213.55.99.74

route: 213.55.99.0/24

descr: Ethio Telecom

origin: AS24757

mnt-by: ETC-MNT

member-of: rs-ethiotelecom

source: RIPE # Filtered

Вредоносная программа перемещает себя в JPG-изображение, а затем исполняется ничего не подозревающими пользователями. ПО загружается при помощи буткита SHA-256: ba21e452ee5ff3478f21b293a134b30ebf6b7f4ec03f8c8153202a740d7978b2 и использует драйвер .sys — SHA-256: 62bde3bac3782d36f9f2e56db097a4672e70463e11971fad5de060b191efb196.

http://www.bezpeka.com/ru/news/2013/03/15/FinFisher.html

05:34 16.02.2013

Служба безопасности Украины предупредила о мошеннической схеме, которую в последнее время злоумышленники внедряют через интернет, сообщает пресс-служба ведомства.

Злоумышленники распространяют вредоносное программное средство Trojan, который блокирует работу операционной системы Windows. При этом на монитор пораженного компьютера выводится сообщение о блокировке системы правоохранительными органами за нелегальную деятельность пользователя (использование нелицензионного программного обеспечения, посещение порносайтов и т.п.) с требованием перечислить деньги на электронные кошельки.

"С целью психологического воздействия на пользователей, правонарушители используют официальные логотипы Службы безопасности Украины, пытаясь создать у граждан впечатление, что их программное обеспечение блокирует спецслужба", — говорят в ведомстве.

В течение последних месяцев 2012 года — января 2013 года эта мошенническая схема была применена более чем в 13 странах. За рубежом пострадавшие получали сообщения в т.ч. от правоохранительных органов Великобритании и ФРГ.

Служба безопасности Украины предложила пользователям, пострадавшим от данного вируса, немедленно обратиться в правоохранительные органы, которые осуществляют мероприятия, направленные на розыск правонарушителей.

http://www.bezpeka.com/ru/news/2013/02/15/sbu-extortion.html

Усі новини http://fireku.narod2.ru/novini_t/

21:27 07.02.2013

Специалисты компании MalwareBytes обнаружили банковский троян, похищающий пароли, который подписан действительным цифровым сертификатом, выданным компанией DigiCert. Представители DigiCert подтверждают выдачу сертификата, однако

http://www.bezpeka.com/ru/news/2013/02/07/digital-certificates-and-malware.html

Усі новини http://fireku.narod2.ru/novini_t/

Мы — это то, что мы публикуем
Загружайте фото, видео, комментируйте.
Находите друзей и делитесь своими эмоциями.
Присоединяйтесь
RSS Андрій Крупко
Войти