Отправлено: 08.02.07 17:33. Заголовок: @ Не стабильная обстановка в Интернете @

Интернет угрозы, вирусные атаки и происшествия достойные предостережения.

 Отправлено: 23.03.07 13:16. Заголовок: Re:

США: очаг интернет-преступности 2006

Согласно результатам недавно проведенного исследования, США можно назвать первой страной в рейтинге так называемых «очагов» сетевых и хакерских атак, в большинстве своем носящих криминальный характер. Исследователи компании Symantec, занимающиеся разработкой антивирусных программ, отметили, что такая обстановка мгновенно обесценивает важнейшие массивы информации, которые удалось украсть или взломать. К примеру, преступник может приобрести номер кредитной карточки всего за $1, а если есть желание, то можно получить полный пакет данных по тому или иному пользователю с ИНН, номером паспорта, датой рождения и расчетным счетом в банке всего за $14.

Для сравнения, в США было сгенерировано более трети всех зафиксированных в 2006 году сетевых атак. Это позволяет назвать страну месторождением огромного количества спама, фишинговых атак и вирусов. В то же время Китай может похвастаться 10% долей в этом сегменте, а Германия – 7%.

Количество спама в этом периоде составило более 59% всего оборота электронной почты в стране. В большинстве своем это биржевое мошенничество и так называемые финансовые уловки. Также США называют «домом» небезызвестных underground-серверов, способствующих безнаказанному распространению, незаконному копированию информации и заключения тайных сделок.

Представители Symantec заявили, что количество угроз со стороны хакеров возрастет в несколько раз с приходом революционной ОС Vista. Также под прицелом окажутся известные онлайн-игры, и несовершенные в аспекте защищенности ресурсы интернета.

 Отправлено: 23.03.07 13:52. Заголовок: Re:

LdPinch.ZO: опасный троян, который крадет данные

Антивирусная лаборатория PandaLabs предупредила пользователей о распространении нового трояна LdPinch.ZO. Эта вредоносная программа разработана для кражи персональных данных пользователей. После запуска он открывает Windows Explorer с картинками сексуального содержания. Эти картинки призваны отвлекать внимание жертвы, пока троян копирует в систему свой файл. Этот файл собирает пароли, детали логинов, телефонные номера, используемые для коммутируемого доступа в Интернет и т.п. Эта информация собирается из браузеров FireFox, Mozilla, Internet Explorer, FTP-клиентов ( CuteFTP, SmartFTP, …), программ для обмена мгновенными сообщениями и других источников. Все собранные данные отсылаются на определенный адрес электронной почты.



LdPinch.ZO также открывает порт, через который хакер может получить доступ командной строке, использовать ее для выполнения определенных действий на зараженном компьютере и даже для удаленного управления им.

Если брандмауэр предупреждает пользователя о подозрительном интернет-подключении, Ldpinch.ZO может сымитировать нажатие «OK» для того, чтобы продолжить веб-соединение для кражи информации.

 Отправлено: 01.04.07 19:12. Заголовок: Re:

"Лаборатория Касперского" о графическом спаме

Специалисты известной «Лаборатории Касперского» проанализировали спам-трафик, путешествовавший по «российскому интернету» первые два месяца 2007 года. По данным экспертов, доля спама в почтовом трафике Рунета не опускается ниже 70%, а иногда может превышать 80%. При этом почти треть из этого мусора является так называемым «графическим спамом» — сообщениями, где текст представлен в виде картинки.



В январе доля спама с подобными вложениями составила 33%, а в феврале - 27,4%. «Графический спам» отнюдь не является новой технологией, однако хакеры постоянно её совершенствуют, стараясь различными способами обойти спам-фильтры. В феврале значительно увеличилось количество писем с анимированной графикой. Однако сотрудники «Лаборатории Касперского» уверены, что эта технология в данном направлении себя практически исчерпала. Значит, в скором времени спамеры сменят тактику.

 Отправлено: 05.04.07 23:42. Заголовок: Re:

Новый вирус маскируется под ссылку для загрузки Internet Explorer

Эксперты по компьютерной безопасности предупреждают пользователей о распространении нового вируса Virus.Win32.Grum.A, который приходит в письмах с предложением скачать вторую бета-версию Internet Explorer 7. Письмо якобы приходит с адреса admin@microsoft.com с темой Internet Explorer 7 Downloads. Еще больше пользователя смущает само письмо – оно оформлено в стиле сайта Microsoft. Вирус особенно опасен тем, что для его попадания на компьютер не нужно запускать аттачмент – достаточно просто кликнуть по ссылке в письме.



Попадая на компьютер, вирус пытается загрузить дополнительные файлы, а также распространяет сам себя, находя адреса в адресной книге пользователя. Другие вредоносные действия вируса пока что исследуются экспертами.

Дистрибутив вредоносного файла размещен на нескольких серверах в разных странах. Эксперты подозревают, что эти сервера были взломаны, поэтому всем администраторам рекомендуют проверить логи, чтобы убедиться, что на их серверах не размещен этот файл.

 Отправлено: 05.04.07 23:59. Заголовок: Re:

PandaLabs: четверка наиболее опасных вирусов недели

Компания PandaLabs представила отчет о популярных угрозах последней недели. Специалисты компании предупреждают пользователей о троянах Therat.B и Alanchum.UG, backdoor-трояне Redirection.A и черве TellSky.A.

Therat.B – это троян, предназначенный для записи нажатых пользователем клавиш. Такие вредоносные программы часто называют кейлоггерами. Он также крадет пароли, сохраненные в элементе AutoComplete (Автозаполнение) браузера, который обычно используется для автоматической подстановки имени пользователя и пароля в онлайновых формах после ввода одной-двух первых букв. Цель Therat.B – кража имен пользователей, паролей, веб-адресов и др. Затем собранная информация пересылается создателю трояна по электронной почте. Троян запускается при каждой загрузке системы.

Троян Alanchum.UG относится к семейству Alanchum, которое является одним из наиболее активных видов вредоносного ПО за последние месяцы. Этот вариант обычно попадает в компьютер с помощью другого вредоносного кода, который помимо Alanchum.UG загружает еще и рекламную программу CWS. Вредоносная программа ищет все электронные адреса, сохраненные в зараженном компьютере, и затем размещает их на веб-странице. Троян запускается при каждой загрузке системы. Для того чтобы скрыть свои процессы, и таким образом затруднить своё обнаружение, троян использует руткитовые технологии.



Вредоносный код Redirection.A открывает на зараженном компьютере «черный ход» (backdoor), а затем подключается к IRC-серверу, вследствие чего компьютер становится доступен для удаленного управления. Данный код может выполнять целый ряд вредоносных действий, среди которых сбор информации о зараженной системе (IP, характеристики,…); активация FTP-сервера для загрузки и выполнения на компьютере других вредоносных файлов.

Redirection.A также предназначен для сканирования диапазонов IP в поисках компьютеров с установленной VNC-программой (система числового управления с речевым вводом команд). Эта программа позволяет управлять компьютером удаленно. Если Redirection.A находит компьютер с установленной VNC-программой, он немедленно инсталлируется и в этой системе. Также данный троян может самостоятельно деинсталлироваться с компьютера, при этом удаляя все созданные им записи реестра, что еще более затрудняет его обнаружение.

Червь TellSky.A копируется на жесткий диск под такими именами, как, например, Girl.exe или Downloader.exe. Однажды попав на компьютер, он затем запускается при каждой загрузке системы. При первом запуске червь выбрасывает сообщение об ошибке. Цель этого сообщения – отвлечь пользователя, пока TellSky.A занимается выполнением вредоносных действий, например, нарущение работы антивируса и брандмауэра. Затем червь старается подключиться к веб-странице, с которой можно загрузить другие вредоносные файлы.

TellSky.A отключает некоторые системные опции, такие как Запуск в меню Пуск и Свойства папки. Большинство таких модификаций производятся с целью снизить уровень безопасности или заблокировать функции, которые могут помочь в локализации угрозы.

 Отправлено: 06.04.07 00:03. Заголовок: Re:

Обзор вирусной активности за март от компании "Доктор Веб"

Компания «Доктор Веб» опубликовала обзор вирусной активности за март 2007 года. Специалисты компании отмечают относительное спокойствие в области распространения вредоносных модулей, однако предупреждают, что это может быть «затишьем перед бурей», поскольку, как показывает практика, масштабные эпидемии возникают спонтанно.

В марте противоборство почтовых червей семейств Win32.Dref (он известен также как Storm Worm) и Win32.HLLM.Limar (он известен также как Email-Worm.Win32.Warezov и Win32/Stration), носило достаточно вялотекущий характер. Авторы Win32.HLLM.Limar выпустили две волны своего «творения». Они, тем не менее, были достаточно быстро локализованы и не привели к возникновению эпидемии. Авторы Win32.Dref придерживаются своей методики частого обновления программных модулей с использованием полиморфных упаковщиков.

В середине месяца были зафиксированы всплески распространения сетевых и почтовых червей китайского происхождения – представители семейств Win32.HLLW.Whboy, Win32.HLLW.Gavir, Win32.HLLW.Hang, а также новые, Win32.HLLW.Bush, Win32.HLLM.Cobas. Кроме того, в течение целого месяца отмечалось появление новых модификаций почтового червя семейства Win32.HLLM.Graz. Сюрпризом для специалистов компании стала массовость заражений скрипт-вирусом, получившим наименование по классификации Dr.Web – VBS.Igidak. Любопытно, что основным источником заражения были flash-накопители. Во времена, когда основным источником эпидемий являются почтовые и сетевые черви, а также различные троянские программы, распространяющиеся через Интернет, подобная массовость выглядит достаточно неоднозначно. Тем не менее, данная эпидемия носила краткосрочный характер.



В марте также возобновилось распространение вредоносной программы, получившей наименование по классификации Dr.Web – Trojan.Plastix. Впервые эта программа, распространявшаяся под видом универсального генератора кодов пополнения счетов мобильных операторов, была зафиксирована в конце 2005 года.. Тех, кто рискнул воспользоваться столь “полезной” программой, ждало серьёзное разочарование – их компьютер оказывался практически неработоспособен, потому что происходят многочисленные изменения в системном реестре – блокируется сама работа с реестром, блокируется закрытие окон, удаляются все ярлыки с Рабочего стола и.т.д. При старте Windows пользователю выводится окно с сообщением о том, что его компьютер поражён, и для его лечения необходимо перевести на определённый почтовый ящик указанную в сообщении денежную сумму.

Подобного рода кибершантаж хоть и встречается нечасто - последняя «волна» наблюдалась в январе 2006, когда активно распространялись модификации Trojan.Encoder.6 – однако каждый раз приводит к возникновению локальной эпидемии. Необходимо помнить, что в подобных ситуациях не стоит переводить деньги злоумышленникам. Кроме этого, нужно с осторожностью относиться к скачиваемым программам и подвергать их предварительной антивирусной проверке перед запуском.

 Отправлено: 06.04.07 00:08. Заголовок: Re:

Отчет о популярных вирусах марта от Лаборатории Касперского

Специалисты "Лаборатории Касперского" представили обзор вирусной активности за март текущего года. Они отмечают, что за три месяца 2007 года сменилось уже три лидера ежемесячных вирусных двадцаток. Каждый месяц все новые вредоносные программы волна за волной сменяют друг друга в отчетах, причем многие из них явно ведут между собой конкурентную борьбу.

Конец прошлого года прошел под знаком червей семейства Warezov. Сотни вариантов этого червя наводняли Интернет в течение трех месяцев, и казалось, что это будет продолжаться еще долго. Однако в январе неожиданно вернулись из небытия черви семейства Bagle, и один из них стал самым распространенным вредоносным кодом в электронной почте. Февраль стал пиком эпидемии нескольких вариантов нового червя Zhelatin. Все вышеназванные черви, по своей сути, были ориентированы на одно и то же - рассылку спама через зараженные компьютеры. Это отразилось на объемах спама в почтовом трафике в последние месяцы: увеличение количества нежелательной почты было отмечено практически всеми антивирусными компаниями.



Новый лидер мартовского рейтинга - Trojan-Spy.HTML.Bankfraud.ra - является следствием вирусных эпидемий недавнего прошлого. Он представляет собой типичное фишинговое письмо, миллионами копий разосланное по всему миру. Впервые он был обнаружен 27 февраля 2007 года, и за один месяц смог достичь весьма солидного показателя в более чем 30% от общего количества вредоносных программ, обнаруженных в почтовом трафике.

Троян ориентирован на клиентов Branch Banking and Trust Company (BB&T) и заманивает их на поддельные сайты, зарегистрированные злоумышленниками в Хорватии и на Кокосовых Островах. Из прочих вирусов в первой пятерке специалисты Лаборатории отмечают Bagle.gt, который смог сохранить свои процентные показатели прошлого месяца и в случае исчезновения в апреле Bankfraud.ra может вновь оказаться на первом месте. Показатели червей Netsky.t и Netsky.q изменились так: первый уменьшил свое присутствие в трафике в два раза, второй этот показатель в два раза увеличил. Не сдаются и авторы Warezov - в марте наиболее "успешным" их творением оказался Warezov.jx, добравшийся до пятого места.

Других новичков в мартовском рейтинге нет, зато сохраняется тенденция возвращения в двадцатку старых вредоносных программ. В феврале таких "возвращенцев" было четыре, и два из них не только сохранились до марта, но и увеличили свои показатели (Scano.gen и Netsky.b). Март вернул в отчеты еще шесть вирусов, среди которых оказались такие ветераны вирусной войны как Feebs.gen, Mydoom.m и Warezov.do. Отметим, что все подобные "возвращения" напрямую связаны с вероятными заражениями пользователей, которые либо не используют антивирусные программы, либо не обновляли их несколько месяцев. Все это ведет к повторным массовым рассылкам старых и, казалось бы, давно побежденных червей.

 Отправлено: 06.04.07 17:37. Заголовок: Re:

Наиболее опасные вирусы марта по версии BitDefender

Компания BitDefender поделилась с пользователями информацией о десяти основных угрозах по итогам прошлого месяца. По данным компании, наиболее опасным вредоносным модулем марта был Trojan.Peed.Gen, заражение которым составило 30,95% от общего числа. По данным компании, этот троян стал причиной первой вирусной эпидемии в этом году. Специалисты BitDefender предупреждают, что в ближайшие месяцы этот вредоносный модуль, скорее всего, получит еще более широкое распространение.



В список наиболее популярных вирусов впервые вошел Win32. Sality. М. Это очень опасный полиморфный вирус, который активизировался несколько недель назад. Данный вирус рассылается с помощью другого вируса, червя семейства Bagle.

Интересно, что Топ-10 месячного рейтинга охватывает более 60% от общего числа вирусов. Глава Лаборатории BitDefender отметил, что в Интернете можно наблюдать практически "естественный отбор" версий вирусов, где многочисленные, но менее жизнеспособные формы вытесняются более успешными.

 Отправлено: 08.04.07 21:53. Заголовок: Re:

Podloso - первый вирус для iPod

"Лаборатория Касперского" предупредила пользователей о появлении первого вируса, заражающего музыкальные плееры iPod. Однако сильно волноваться не стоит - вирус, получивший название Podloso, не представляет реальной угрозы, поскольку является представителем "концептуальных" вирусов.

Вирус, обнаруженный специалистами "Лаборатории Касперского", представляет собой файл, который может запускаться и работать на музыкальных плеерах iPod. Для работы вируса на плеере iPod обязательно должна была установлена операционная система Linux. После записи на iPod пользователя вредоносная программа устанавливает себя в папку, в которой содержатся демо-версии программ. Автоматический запуск Podloso невозможен, запустить его может только сам пользователь.



Если владелец плеера запускает вредоносный файл, Podloso сканирует жесткий диск плеера и заражает все исполняемые файлы в формате .elf. Когда пользователь затем пытается запустить такие файлы, на экране устройства появляется сообщение You are infected with Oslo the first iPodLinux Virus.

Вирус Podloso относится к вредоносным программам класса proof-of-concept, или так называемым "концептуальным" вирусам. Подобные программы, как правило, создаются с целью доказать возможность заражения той или иной новой для вирусописателей платформы и не несут вредоносного потенциала. Кроме того, Podloso не может самостоятельно распространяться: для заражения устройства нужно, чтобы вирус был записан в память плеера пользователем. Таким образом, первый вирус для музыкальных плееров iPod не обладает какой-либо вредоносной функциональностью и не несет опасности для владельцев плееров iPod, однако доказывает возможность написания вредоносных программ для данных устройств в будущем.

 Отправлено: 09.04.07 16:40. Заголовок: Re:

Для PSP там еще вирусов не придумали?

 Отправлено: 11.04.07 23:00. Заголовок: Re:

Комбинированные атаки и червь Grum.A - главные угрозы последней недели

Компания Panda Software Russia представила отчет о популярных угрозах последней недели. Специалисты компании предупреждают пользователей о трояне Ldpinch.AAI, черве Grum.A., а также об опасной комбинированной атаке, совершенной Spamta.VK и Spamtaload.DT.

Одним из событий, вызвавших наибольшее беспокойство PandaLabs на этой неделе, стала комбинированная атака, которая была совершена червем Spamta.VK и трояна Spamtaload.DT. Spamta.VK – подключается к определенным серверам и рассылает огромное количество электронных сообщений. Такие сообщения содержат файл, обычно это исполняемый файл, со скрытой копией Spamtaload.DT. После заражения компьютера троян загружает на него копию Spamta.VK, таким образом, повторяя весь цикл инфицирования заново.

Spamtaload.DT прячется в файле с привычным текстовым значком. Каждый раз при запуске он показывает сообщение об ошибке.



Ldpinch.AAI – это троян, предназначенный для кражи паролей к нескольким видам программ: почтовым клиентам, браузерам, FTP-клиентам и др. Цель достигается благодаря тому, что вредоносная программа получает информацию из конфигурационных файлов и записей в реестре, которые оставляют вышеперечисленные программы.

Ldpinch.AAI также ведет сбор данных об активности пользователя в интернете и отслеживает все активные процессы. Всю эту информацию он затем пересылает своему создателю через веб-форму, для чего вмешивается в работу некоторых брандмауэров.

Червь Grum.A прячется в электронных сообщениях, предлагающих протестировать фальшивую бета-версию Internet Explorer 7. В теле зараженного письма находится большая картинка, щелкнув по которой пользователь якобы может загрузить бета-версию. Однако, переходя по ссылке, он фактически сам скачивает червя себе на компьютер.

 Отправлено: 18.04.07 14:08. Заголовок: Re:

Отчет о спаме за март от "Лаборатории Касперского"

Известный разработчик антивирусных приложений «Лаборатория Касперского» опубликовала отчет об основных тенденциях спама в Рунете за март этого года.

Согласно данным компании, марте доля спама в почтовом трафике оставалась стабильной и составляла 70-80% от всей почты.

Однако, в марте произошли изменения в самых популярных темах спама. Впервые, начиная с августа 2006 года, в тройку лидеров не попала тематика "Личные финансы".



Основную массу спама этой тематики последние полгода составляли англоязычные письма с графическими вложениями, рекламировавшие те или иные акции. Несмотря на то, что русскоязычные пользователи не входят в целевую аудиторию такой рекламы, многим из них "финансовый спам" хорошо знаком.

В марте 2007 доля "финансового спама" сократилась вдвое. По мнению руководителя группы спам-аналитиков "Лаборатории Касперского" Анны Власовой, это сокращение обусловлено тем, что спам-фильтры разных производителей научились распознавать "финансовый спам", пользователи перестали реагировать на него, а официальные органы Канады и США пообещали защитить инвесторов от этой угрозы, что, несомненно, создало некоторый риск для спамеров.

Наиболее популярной темой спама в прошлом месяце было "Образование" (18,6%), на второй месте - Медикаменты; товары и услуги для здоровья" (16%) и на третьем – "Компьютеры и Интернет" (8,5 %). В марте также была заметной тема "Недвижимость": в первые 10 дней месяца ее доля резко выросла со стабильных 2-3% до 7% от общего объема спам-почты, но потом вновь упала до стандартных значений.

Спам тематики "Недвижимость" представлен как предложениями риэлтерских услуг, так и объявлениями о продаже/аренде квартир, домов, складов, земельных участков и т.п. Письма, относящиеся к данной тематике, в подавляющем большинстве русскоязычные.

Безусловным же лидером последнего месяца по агрессивности и массовости рассылок спам-аналитики "Лаборатории Касперского" считают рекламу медикаментов, в которой используются те же графические технологии, что и в "финансовом спаме".

 Отправлено: 19.04.07 17:19. Заголовок: Re:

Новая уязвимость в Windows DNS касается всех ОС, кроме Vista

Компания Sophos, которая занимается вопросами безопасности, сообщила об обнаружении нового червя, который может сделать компьютер уязвимым для удаленных атак.

Незакрытая уязвимость касается интерфейса сервера Windows DNS и его Remote Procedure Call (RPC). Червь, который получил название W32/Delbot-AI, может атаковать сервер, отсылая поврежденные RPC-пакеты.



Используя червь, хакеры могут получить удаленный доступ к компьютерам. Microsoft говорит, что уязвимость касается практически всех версий Windows 2000, Windows Server 2003 и Windows XP. Новой операционной системы Vista ошибка не касается.

Интересно, что в W32/Delbot-AI также включена возможность использовать уязвимость в антивирусной программе от Symantec. Правда, эта дыра была закрыта год назад.

 Отправлено: 19.04.07 17:22. Заголовок: Re:

PandaLabs: четверка самых опасных вирусов недели

Компания PandaLabs представила отчет о популярных угрозах последней недели. Специалисты компании предупреждают пользователей о троянах Cimuz.EL и Gogo.A, а также двух червях: UsbStorm.A и Nurech.Z.

Cimuz.EL предназначен для кражи с компьютеров всех видов паролей. Данный вредоносный код загружается поэтапно. Сначала компьютер заражается частью кода, который затем подгружает другие компоненты трояна. Именно эти компоненты являются наиболее опасными. Троян крадет и сохраняет информацию о зараженном компьютере (пароли к электронной почте и другим программам, данные об аппаратном и программном обеспечении, IP, месторасположении и др.), а также встраивает библиотеку DLL в Internet Explorer и собирает все данные, которые пользователи вводят в онлайновых формах. Всю полученную информацию Cimuz.EL затем периодически пересылает через веб-сервер своему создателю.



Троян Gogo.A – это новый вредоносный код, предназначенный для кражи данных, которые пользователи вводят с клавиатуры в интернете. Для этого он устанавливается в виде дополнительного модуля Internet Explorer и ведет учет активности пользователя. Когда пользователь набирает какие-либо ключевые слова, Gogo.A активируется и начинается записывать нажатия на клавиши.

Затем Gogo.A переправляет собранную информацию своему создателю. Этот троян использует свойства руткита, то есть скрывает свои процессы и тем самым старается избежать обнаружения антивирусными приложениями.

UsbStorm.A – это червь, который распространяется путем копирования самого себя на съемные носители, например карты памяти USB. Когда один из таких носителей подключают к компьютеру, червь активируется и заражает ПК. UsbStorm.A записывается в память компьютера, где и прячется в ожидании новых накопителей для распространения. Находясь на компьютере, он также проверяет в интернете наличие обновленных версий самого себя.

Наконец, Nurech.Z – это червь, который попадает в компьютеры вместе с электронными сообщениями под различными заголовками, связанными с массовым распространением вредоносного ПО: "Нападение червей!", "Шпионская тревога!" "Вирусная тревога!" и др. В качестве отправителя указана "Поддержка клиентов (Customer Support)", чтобы пользователь поверил, что сообщение пришло из надежного источника. Такое сообщение содержит ZIP-архив, в котором якобы находится патч безопасности для защиты от вредоносного ПО. На самом же деле в этом архиве прячется червь.

Попав на компьютер, Nurech.Z ищет адреса электронной почты для рассылки зараженных сообщений. Более того, червь имеет в своем составе два руткита: один из них помогает скрывать процессы для затруднения обнаружения, а другой ищет электронные адреса, создает файлы .gif с паролями и рассылает спам-сообщения.

 Отправлено: 21.04.07 20:42. Заголовок: Re:

Червь Rinbot.Q использует уязвимость в Windows DNS Server

Специалисты PandaLabs предупредили пользователей о распространении червя Rinbot.Q, который использует уязвимость в Windows DNS Server, которая недавно была обнародована. Патча для этой бреши пока что не выпущено.



Попав на компьютер, червь проверяет, есть ли на ПК программы для анализа сетевого трафика, такие как, например, Ethereal. Если он их находит, то сразу уничтожает, чтобы не быть обнаруженным. После этого Rinbot.Q помещает себя в автозагрузку и загружает другие вредоносные программы, что дает кибер-преступникам возможность быстро и тихо распространять их наиболее опасные коды.

 Отправлено: 21.04.07 20:44. Заголовок: Re:

Апрельская эпидемия Warezov.nf

"Лаборатория Касперского" предупредила пользователей о вирусной угрозе, вызванной распространением червя Warezov.nf. По оценкам экспертов, доля вредоносной программы в почтовом трафике составляет около 70-80 % от общей массы.

Вредоносный код распространяется через интернет в виде вложений в зараженные электронные письма. В аттачмент червь помещает не свою копию, а компонент, способный загружать из интернета другие вредоносные программы. Warezov.nf скачивает с сайтов злоумышленника и устанавливает в систему различное вредоносное программное обеспечение, позволяющее получить доступ к зараженному компьютеру.



Кроме этого, червь завершает различные процессы и удаляет антивирусное программное обеспечение, установленное на компьютере пользователя. После заражения компьютера червь рассылает письма со своим компонентом по всем найденным адресам электронной почты.

На пике эпидемии присутствие Warezov.nf увеличило общее количество вредоносных программ в почтовом трафике почти до 10%. Таким образом, примерно каждое десятое письмо являлось носителем той или иной вредоносной программы. По состоянию на вечер 19 апреля эксперты "Лаборатория Касперского" зафиксировали стабилизацию и последующий спад эпидемии вредоносной программы Warezov.nf.

 Отправлено: 27.04.07 20:35. Заголовок: Re:

Червь Ymeak.А расползается по P2P-сетям

Компания BitDefender предупредила пользователей сетей P2P о новой угрозе. Речь идет о черве Ymeak.А, который стремительно распространился благодаря тому, что он удачно замаскирован под инсталлятор многих популярных программ.



После запуска червь показывает сообщение «The setup file is corrupted», чтобы пользователь решил, что скачал поврежденный файл. Однако на самом деле вредоносная программа запускает и устанавливает троян RBot. Попав на ПК, троян начинает распространяться, используя программы Limewire, Shareaza, Bearshare, Morpheus или Morpheus Ultra.

При этом, он изменяет название в случайном порядке, выбирая его в случайном порядке из определенного потока прямых участков загрузки. Таким образом, для пользователей червь всегда имеет привлекательное название.

 Отправлено: 02.05.07 22:14. Заголовок: Re:

Вирус-романтик и другие вредоносные модули недели от Panda Software

Компания Panda Software Russia представила отчет о популярных угрозах последней недели. Специалисты компании предупреждают пользователей о троянах Evilx .A и Clagge .G, а также о черве Ridnu .С.

Создатели Ridnu .C, скорее всего, не были лишены чувства юмора, поэтому этот червь вполне может претендовать на звание самого романтичного вредоносного модуля. Его основная цель – написание записок нежного содержания в Блокноте, как только последний открывается пользователем. В таких сообщениях обычно следующий текст: "дорогая моя принцесса, я хочу забрать тебя в свой дворец" или "Я скучаю по твоей прелестной улыбке". Также он создает файл под названием "Сообщение для моей принцессы" на рабочем столе. При запуске этот червь открывает Блокнот и демонстрирует одно из вышеперечисленных сообщений.



Ridnu .C также демонстрирует свои сообщения, когда пользователи пытаются воспользоваться опцией Запуск в меню Пуск Windows. Кроме этого Ridnu .C каждые несколько секунд открывает лоток привода для чтения компакт-дисков и постоянно включает и выключает монитор. Данный червь распространяется в электронных сообщениях, которые сам и создает. Файл, в котором содержится червь, обычно носит одно из следующих названий "Sahang dan Timah .scr ", "Bangka Island . scr" или " Pantai Pasir Padi. scr".

Троян Evilx. A изменяет записи реестра Windows, относящиеся к брандмауэру. Благодаря этому он может открывать любые веб-страницы и загружать любые файлы, даже те, которые содержат вредоносное ПО.

Для того чтобы затруднить своё обнаружение, троян снабжен двумя руткитами, которые скрывают его процессы, а также создаваемые им записи и файлы. Evilx .A заметает следы за счет удаления оригинального файла, с которым он попал в компьютер.

Clagge . G предназначен для загрузки вредоносного ПО из интернета. Этот троян заходит на различные ссылки, откуда загружает копию трояна Cimuz . BE, который крадет информацию с компьютеров. При первом запуске троян прописывается в автозагрузке.

 Отправлено: 04.05.07 21:40. Заголовок: Re:

Отчет о популярных вирусах апреля от Лаборатории Касперского

Специалисты "Лаборатории Касперского" представили обзор вирусной активности за апрель текущего года. Они отмечают, что в последнее время вирусописатели избрали новую тактику – они рассылают множество вариантов своих творений в течение короткого периода времени. Многие из этих вариантов попадают в первую двадцатку, но их "множественность" в данном случае играет против них. Из-за этого создатели таких программ, как Warezov и Zhelatin, регулярно устраивают эпидемии, попадают в новости и составляют львиную долю работы антивирусных лабораторий всего мира, а на первое место попадают одиночные черви, такие как Netsky.t.



На втором месте двадцатки один из вариантов семейства Warezov - Warezov.ms, который стал главным возмутителем спокойствия в апреле. Однако специалисты лаборатории Касперского прогнозируют, что в мае этого представителя семейства Warezov ждет судьба всех его предшественников - практически полное исчезновение. В подтверждение этому приводят интересную статистику: от бушевавших осенью-зимой вариантов Warezov в апреле уцелел только вариант .do.

Червь Zhelatin формально представлен в рейтинге таким же количеством вариантов, как и Warezov - тремя. Однако в процентном выражении его показатели гораздо скромней, чем у конкурента - 16, 18 и 20 места.

Рейтинг вредоносных программ показывает, что на новые уровни своего развития выходит фишинг. Масштабы фишинг-атак уже вполне сравнимы с масштабами эпидемий почтовых вирусов.

 Отправлено: 09.05.07 13:24. Заголовок: Re:

Три новых трояна: предупреждение от Panda Software

Компания Panda Software Russia представила отчет о популярных угрозах последней недели. Специалисты компании предупреждают пользователей о троянах Banker.HIK, Wsnpoem.AW и Dadlam.A.

Banker.HIK принадлежит к получившей категории "банковских троянов" и специально разработан для кражи информации, которая вводится пользователями в онлайновых формах, в основном принадлежащих бразильским банкам, таким как Banco do Brasil или CEF. Троян открывает фальшивые окна, в которых пользователи и вводят свои банковские данные. Понятно, что эти сведения затем оказываются в распоряжении злоумышленников.



Banker.HIK также отслеживает посещение пользователем определенных веб-страниц. Этот троян помещается в автозагрузку под названием logon.exe, благодаря чему запускается каждый раз при перезагрузке системы. Один из отличительных признаков Banker.HIK – это то, что он выбрасывает сообщение с текстом "Socket Error # 11004" , благодаря чему его становится проще обнаружить. Троян Wsnpoem.AW также занимается кражей паролей. Этот вредоносный код удаляет все cookies на компьютере, чтобы заставить пользователей набирать вручную данные для входа на разные защищенные сайты.

Wsnpoem.AW также вносит изменения в реестр и создает новые файлы в папке автозагрузки Windows, благодаря чему каждый раз загружается вместе с перезагрузкой компьютера.

Троян Dadlam.A прячется в видеофайле и при запуске демонстрирует видеозапись порно-содержания для того, чтобы отвлечь пользователя. Кроме того, Dadlam.A изменяет файл boot.ini и создает задание, заставляющее компьютер перезагружаться в 6:00.

Наиболее опасное действие Dadlam.A – это наличие в нем двух вредоносных программ. Первая из них, IRCbot.ASM, действует как backdoor, сканируя все порты компьютера, чтобы выяснить, какой из них легче всего использовать для проникновения. Вторая, Downloader.OBW, загружает на зараженный компьютер другие вредоносные программы.

Dadlam.A не может распространяться сам по себе, для этого ему необходимы действия пользователя, поэтому в систему он попадает через традиционные каналы, его загружает другая вредоносная программа или он сам загружается с вредоносной веб-страницы.