Пятница, 29 Ноября 2024, 02:13
"FloodBitt" - Свободное общение!
Приветствую Вас, Пролетом!

Главная
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Sasha, edik  
Безопасность в интернете: вируса, трояны и прочая нечисть
JesseДата: Среда, 21 Января 2009, 09:51 | Сообщение # 1
Главный специалист по флуду
Группа: Пользователи
Сообщений: 430
Репутация: 3
Статус: Offline
Downadup поразил уже 8,9 миллиона компьютеров

Ведущие провайдеры компьютерной безопасности предупреждают о быстром росте числа компьютеров, инфицированных червем Downadup (Conficker, Kido).

Впервые он был обнаружен 21 ноября 2008 года, а наиболее опасная его версия появилась в Сети непосредственно перед Новым Годом. Сейчас под этим названием известно целое семейство программ, которые весьма сложно удалить с ПК, особенно при инфицировании корпоративных сетей.

По оценкам F-Secure, за четыре дня число зараженных машин выросло с 2,4 миллиона до 8,9 миллиона. За всю прошлую пятницу компанией было зафиксировано 979499 уникальных IP, а за первые 12 часов следующего дня - 849967 адресов.

Творение украинских программистов, Downadup, использует несколько методов распространения. Среди них недавно закрытая патчем брешь MS08-067 в Windows Server Service, угадывание сетевых паролей и инфицирование USB-флэшек.

Типичной проблемой для владельца зараженного ПК является отключение от сети. Это происходит из-за того, что программа пытается взламывать пароли методом грубой силы, что вызывает срабатывание автоматического блокирования после определенного числа неудачных вводов.

В компьютере вирус защищает себя очень агрессивно. Он закрывает брешь в Windows, размещает себя в начале списка открываемых при загрузке системы программ, вносит изменения в реестр и в права доступа, предотвращающие его удаление. Обновленные версии Downadup загружаются с веб-сайтов, выбираемых из длинного списка по алгоритму, использующему текущие время и дату.

Напомним, вчера количество зараженных вирусом Downadup компьютеров составляло около 3,5 миллионов.


 
MaksimДата: Среда, 21 Января 2009, 14:32 | Сообщение # 2
Босс Флудерской конторы
Группа: Администраторы
Сообщений: 879
Репутация: 10
Статус: Offline
с КИС и обновлениями ничего не страшно!!! smile

Maksim aka Geophizik
 
JesseДата: Воскресенье, 25 Января 2009, 06:45 | Сообщение # 3
Главный специалист по флуду
Группа: Пользователи
Сообщений: 430
Репутация: 3
Статус: Offline
Мобильный вирус атакует

Мобильный вирус, способный без ведома абонента управлять его мобильным счетом и ранее зафиксированный только в России, обнаружен у пользователей одного из индонезийских мобильных операторов, говорится в сообщении "Лаборатории Касперского".

Таким образом, как констатирует старший вирусный аналитик "Лаборатории Касперского" Денис Масленников, слова которого приводятся в сообщении, "в обозримом будущем проблема незаконных операций по счетам абонентов сотовой связи в мобильной вирусной индустрии будет приобретать все большую актуальность, постепенно расширяя географию своего присутствия".

Найденное вредоносное программное обеспечение (ПО) для операционной системы Symbian относится к классу троянских программ. Без ведома владельцев телефонных номеров вирус отправляет SMS-сообщения на короткий сервисный номер с командой перевести часть средств абонента на другой счет, принадлежащий злоумышленникам.

Индонезийский вирус, как установили эксперты "Лаборатории Касперского", имеет пять вариаций. При этом программа настроена так, что средства с зараженного номера переводятся небольшими частями - от 45 до 90 центов.

"Лаборатория Касперского" является ведущим производителем систем защиты от вредоносного и не желательного программного обеспечения, хакерских атак и спама. Партнерская сеть "Лаборатории" объединяет более 2 тысяч компаний в более 100 странах мира.


 
MaksimДата: Вторник, 27 Января 2009, 15:52 | Сообщение # 4
Босс Флудерской конторы
Группа: Администраторы
Сообщений: 879
Репутация: 10
Статус: Offline
нефиг смартфоны брать! happy

Maksim aka Geophizik
 
JesseДата: Понедельник, 16 Марта 2009, 18:07 | Сообщение # 5
Главный специалист по флуду
Группа: Пользователи
Сообщений: 430
Репутация: 3
Статус: Offline
BitDefender выпустил "лекарство" для удаления червя Conficker

Румынский производитель антивируса BitDefender выпустил первую утилиту, предназначенную для полного удаления из заражённой системы червя Conficker (он же - Downadup). Об этом пишет «uinC.ru».

По мнению аналитиков BitDefender, удалить червь тяжело из-за того, что он имеет встроенный собственный сервис обновления, а также собственный алгоритм формирования тела трояна, основанный на текущей дате ОС. Червь также каждый день формирует собственный набор DNS-имен сайтов, с которых он скачивает собственное обновление, что позволяет вирусописателям упростить процедуру обновления как самого кода червя, так и его функционала.

Напомним, что червь использует уязвимость в сервисе Windows Server ОС Windows 2000, XP, Vista, Server 2003 and Server 2008 и использует для своего распространения переполнение буфера, возможность получения которой была обнаружена экспертами по компьютерной безопасности.

Как сообщалось ранее, этим червём было поражено больше 9 млн. компьютеров, что вывело его на второе место по количеству заражений - после червя Slammer, появившегося в 2003 году.


 
MaksimДата: Вторник, 17 Марта 2009, 18:01 | Сообщение # 6
Босс Флудерской конторы
Группа: Администраторы
Сообщений: 879
Репутация: 10
Статус: Offline
а как его определить? ты бы ссылки на утилиту дал...

Maksim aka Geophizik
 
JesseДата: Вторник, 17 Марта 2009, 18:36 | Сообщение # 7
Главный специалист по флуду
Группа: Пользователи
Сообщений: 430
Репутация: 3
Статус: Offline
НА сайте BitDefender, этой утилиты еще нет.
Для Нод32 http://download.eset.com/special/EConfickerRemover.exe
Для Касперского http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.3.3.zip


 
MaksimДата: Среда, 18 Марта 2009, 11:53 | Сообщение # 8
Босс Флудерской конторы
Группа: Администраторы
Сообщений: 879
Репутация: 10
Статус: Offline
вот у меня установлен КИС 8 с постоянно обновляющимися базами, т.е. защита должна быть на высоте!
сейчас проверю утилитой...


Maksim aka Geophizik
 
MaksimДата: Среда, 18 Марта 2009, 12:06 | Сообщение # 9
Босс Флудерской конторы
Группа: Администраторы
Сообщений: 879
Репутация: 10
Статус: Offline
ну вот, как я и думал, все пучком good good good
Прикрепления: 9704947.jpg (47.9 Kb)


Maksim aka Geophizik
 
JesseДата: Четверг, 07 Мая 2009, 08:27 | Сообщение # 10
Главный специалист по флуду
Группа: Пользователи
Сообщений: 430
Репутация: 3
Статус: Offline
У меня тоже все ок, хоть и стоит НОД32+ фаервол

Добавлено (07 Май 2009, 08:27)
---------------------------------------------
В статью The New York Times о компьютерном вирусе попало вредоносное ПО

Статья ресурса была поражена той же уязвимостью, о которой рассказывала
Из-за XSS-уязвимости на сайте компании McAfee, занимающейся компьютерной безопасностью, червем была заражена статья он-лайн издания The New York Times, которое скопировало информацию с ресурса.

Об этом на днях сообщил популярный технологический блог ReadWriteWeb.

Как информирует PC World, Статья с сайта фирмы была перепечатана интернет-изданием The New York Times. Однако, вместо того чтобы перенести образец вредоносного кода в виде текста, они интегрировали его в интернет-страницу. В результате статья оказалась пораженной той же уязвимостью, о которой рассказывала. В итоге читатели получали перенаправление на вредоносный ресурс и лишались персональной информации.

Так как газета The New York Times достаточно известное издание, ее тексты постоянно копируются для размещения на других сайтах. Сколько интернет-страниц в итоге пострадало от XSS-уязвимости - неизвестно. По некоторым сведениям, проблема на странице "The New York Times до сих пор не устранена.

Напомним, 26 апреля исполнилось 10 лет со времени первой глобальной компьютерной атаки. Написанный тайваньским студентом вирус CIH, известный также как Чернобыль, заразил около полумиллиона компьютеров по всему миру.


 
SashaДата: Суббота, 09 Мая 2009, 12:03 | Сообщение # 11
Главный специалист по флуду
Группа: Модераторы
Сообщений: 328
Репутация: 3
Статус: Offline
Quote
Conficker, Kido

У меня в свое время старый нод обе эти шняги на компе находил.



 
MaksimДата: Воскресенье, 10 Мая 2009, 10:23 | Сообщение # 12
Босс Флудерской конторы
Группа: Администраторы
Сообщений: 879
Репутация: 10
Статус: Offline
так "кидо" вроде новая угроза...

Р.С. всем привет и с праздниками!


Maksim aka Geophizik
 
JesseДата: Воскресенье, 17 Мая 2009, 13:36 | Сообщение # 13
Главный специалист по флуду
Группа: Пользователи
Сообщений: 430
Репутация: 3
Статус: Offline
Quote (Maksim)
так "кидо" вроде новая угроза... Р.С. всем привет и с праздниками!

Ну ей уже больше полу года...
Quote (Alvarez)
дайте ответ и закрывайте тему

Тему закрывать рано cool

Добавлено (17 Май 2009, 13:36)
---------------------------------------------
Киберпреступники активно используют социальные сети для распространения ложных антивирусов
17.05.2009

По данным PandaLabs, недавно появился 56-ой вариант червя Boface. Каждый из этих вариантов червя был разработан специально для распространения вредоносных программ через Facebook. Высокая популярность социальных сетей с их широкими возможностями позволяет оперативно распространять угрозы на большое количество пользователей. В частности, вариант BJ использует Facebook для загрузки и установки ложного антивируса, который обманывает пользователей и заявляет им, что их ПК заражен, а в дальнейшем предлагает им купить данный ложный антивирус.

Согласно данным, полученным с помощью бесплатного онлайн-сканера Panda ActiveScan, с 1 августа 2008 года около 1% всех компьютеров были заражены червем Boface.

Луис Коронс, Технический директор PandaLabs: «Экстраполируя эти данные на количество пользователей Facebook (около 200 миллионов), мы пришли к цифре в 2 миллиона пользователей, которые могут быть заражены. Возросшее количество вариантов существующих вредоносных программ говорит о том, что кибер-преступники стараются заражать как можно больше пользователей и увеличивать свои финансовые поступления». При этом почти 40% заражений приходится на США. Количество заражений данным типом вредоносных программ демонстрирует экспоненциальный рост: в апреле 2009 года уровень роста составил 1200% по сравнению с августом 2008 года.

Новый червь Boface.BJ попадает на компьютеры несколькими путями: вложения в сообщениях электронной почты, скачивание через Интернет, файлы, передаваемые через каналы ftp, IRC, сети p2p и пр. При этом пользователи не осознают того, что они заражены. Червь начинает свою деятельность не раньше чем через 4 часа после заражения компьютера. После того, как пользователь заходит на Facebook и вводит свои авторизационные данные, червь рассылает сообщение всем пользователям сети, включая зараженного пользователя, со ссылкой на просмотр видео файла. Вы можете посмотреть картинку при помощи следующей ссылки: http://www.flickr.com/photos/panda_security/3528707512/

Любой, кто кликнет на данную ссылку, попадет на ложную страницу YouTube (с названием «YuoTube»): http://www.flickr.com/photos/panda_security/3527896167/. На этой странице пользователям предложат посмотреть видео, но перед этим им необходимо будет скачать и установить медиа-проигрыватель. Как только пользователь соглашается это сделать, на его компьютер незаметно будет установлен фальшивый антивирус.

С момента установки этот «антивирус» будет показывать сообщения о том, что компьютер заражен и что пользователь должен приобрести соответствующее решение. В частности, изображение интерфейса одного из ложных антивирусных продуктов Вы можете увидеть при помощи следующей ссылки: http://www.flickr.com/photos/panda_security/3528707634/

Луис Корронс: «Пользователи социальных сетей обычно доверяют сообщениям, которые они получают, таким образом, количество прочтений и нажатий очень велико. Очевидно, что в дополнении к мероприятиям по безопасности пользователи должны вооружиться проверенными способами защиты и основами личной секретности, чтобы не пасть жертвами мошенничества и не содействовать его размножению».


 
MaksimДата: Воскресенье, 17 Мая 2009, 16:43 | Сообщение # 14
Босс Флудерской конторы
Группа: Администраторы
Сообщений: 879
Репутация: 10
Статус: Offline
такое есть и vkontakte.ru, переходит по ссылке на vkohtaktu.ru или что то типа того...

Maksim aka Geophizik
 
JesseДата: Понедельник, 08 Июня 2009, 22:10 | Сообщение # 15
Главный специалист по флуду
Группа: Пользователи
Сообщений: 430
Репутация: 3
Статус: Offline
Quote (Maksim)
переходит по ссылке на vkohtaktu.ru или что то типа того...

Мне такое присылали cool

Добавлено (08 Июнь 2009, 22:10)
---------------------------------------------
В интернете появился троян - убийца файлов

Компания «Доктор Веб» сообщила о появлении в Интернете опасного трояна, уничтожающего все файлы и папки на зараженном компьютере. Первые случаи инфицирования Trojan.KillFiles.904 зафиксированы в начале июня 2009 года.

Проникая в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные и съемные диски в порядке от Z до A. В найденном диске троян начинает удалять папки и файлы, перебирая их названия по алфавиту. Если удалить файл не удается, к примеру, по причине его использования, троян делает его скрытым, сообщает securitylab. Особая опасность заключается в том, что действия Trojan.KillFiles.904 касаются всех файлов и папок, находящихся на жестком диске компьютера жертвы, за исключением системных. Таким образом, пользователь может потерять все данные на дисках, при этом его операционная система продолжит свою работу.

Уникальным для современных вредоносных программ свойством данного трояна является нанесение максимального урона пользователю. В отличие от получивших в последнее время широкое распространение программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо финансовых вложениях и не пытается что-либо украсть – он просто уничтожает всю информацию, хранящуюся в зараженной системе.

Можно предположить, что данный троян, появившийся в начале июня 2009 года, продолжает традицию вируса Win32.HLLW.Kati, также известного как Penetrator, который повреждает файлы форматов Microsoft Word и Excel, а также фотографии и мультимедийные файлы. За тем исключением, что Trojan.KillFiles.904 представляет еще большую угрозу.


 
MaksimДата: Четверг, 11 Июня 2009, 13:31 | Сообщение # 16
Босс Флудерской конторы
Группа: Администраторы
Сообщений: 879
Репутация: 10
Статус: Offline
обновил защиту, никого я не боюсь wink

Maksim aka Geophizik
 
JesseДата: Суббота, 29 Августа 2009, 22:51 | Сообщение # 17
Главный специалист по флуду
Группа: Пользователи
Сообщений: 430
Репутация: 3
Статус: Offline
Virus.Win32.Crypto - очень опасный резидентный полиморфный Win32-вирус

Очень опасный резидентный полиморфный Win32-вирус. Размер вируса - более 20Kb. Заражает KERNEL32.DLL и PE EXE-файлы, при заражении записывает свой код в конец файла и модифицирует необходимые поля в PE-заголовке для того, чтобы получить управление при старте зараженного файла. Вирус также добавляет зараженные файлы в архивы различных типов - ACE, RAR, ZIP, CAB, ARJ, и в некоторые версии самораспаковывающихся архивов - SFX ACE и RAR.

При заражении обычных PE-файлов вирус шифрует себя полиморфик-кодом, а при заражении KERNEL32.DLL оставляет свой код незашифрованным.

Вирус использует анти-отладочные приемы, отключает антивирусные резидентные мониторы Avast, AVP, AVG и Amon, уничтожает антивирусные файлы данных AVP.CRC, IVP.NTZ, ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS, SMARTCHK.MS, SMARTCHK.CPS, AGUARD.DAT, AVGQT.DAT; портит данные в файле LGUARD.VPS (антивирусная база данных?); не заражает файлы-антивирусы с именами: TB, F-, AW, AV, NAV, PAV, RAV, NVC, FPR, DSS, IBM, INOC, ANTI, SCN, VSAF, VSWP, PANDA, DRWEB, FSAV, SPIDER, ADINF, SONIQUE, SQSTART.

Одной из главных отличительных особенностей вируса является тот факт, что он шифрует системные библиотеки Windows (DLL-файлы). При этом используется механизм шифрования "на-лету" - при необходимости вирус расшифровывает тело библиотеки, а затем шифрует обратно. В результате библиотеки являются работоспособными только при наличии в системе резидентного вируса, а после удаления вируса из системы - остаются зашифрованными (примерно то же самое, что делает вирус Onehalf). Для шифрования библиотек вирус использует криптографическую систему, встроенную в Windows (Crypt API).
Вирус "несовместим" с некоторыми версиями Windows. При этом вирус либо не заражает KERNEL32.DLL и, соответственно, системную память, либо неспособен заражать PE EXE-файлы.

Инсталляция в систему

При первом запуске зараженного файла в незараженной системе вирус запускает свою процедуру инсталляции, которая заражает файл KERNEL32.DLL, находящийся в системном каталоге Windows. При заражении вирус правит таблицу экспортов KERNEL32 и устанавливает на свой код адреса нескольких функций работы с файлами (CreateFile, OpenFile, __lopen, CopyFile, MoveFile, MoveFileEx, LoadLibrary, LoadLibraryEx, FreeLibrary - как ANSI-функции, так и UNICODE).

В результате при следующей загрузке Windows код вируса остается в системной памяти как часть KERNEL32, и при вызове перечисленных выше функций управление передается на код вируса.
Вирус использует обычный для Win32-вирусов прием для того, чтобы записать свой код в файл KERNEL32.DLL (эта библиотека постоянна загружена в памяти и Windows блокирует запись в этот файл). Вирус копирует файл KERNEL32.DLL из системного каталога в основной каталог Windows, заражает эту копию и записывает команду "апдейта" в файл WININIT.INI. В результате при перезагрузке Windows уничтожает KERNEL32.DLL в системном каталоге и замещает его зараженной копией. После заражения KERNEL32.DLL вирус возвращает управление программе-носителю.

Заражение файлов

При перезагрузке Windows код вируса оказывается загруженным в память Windows и получает управление при обращениях к файлам. При первом таком обращении вирус запускает процедуру размножения - эта процедура сканирует все доступные диски от C: до Z:, ищет на них PE EXE-файлы и архивы и заражает их.

Для того, чтобы замаскировать свою активность, вирус выполняет процедуру размножения в фоновом режиме и плюс к этому делает задержки при начале сканирования очередного диска.

При заражении PE EXE-файлов вирус увеличивает размер последней секции файла, шифрует себя полиморфик-методом и записывает результат в эту секцию, затем корректирует необходимые поля PE-заголовка. Стартовый адрес зараженного файла устанавливается на код вируса (на полиморфный расшифровщик).

При записи зараженных файлов в архивы вирус использует внешние утилиты архивации - создает зараженный EXE-файл и вызывает архиватор, который и добавляет вирусный файл к архиву. Зараженные файлы получают имена, случайно выбранные из списка:

INSTALL, SETUP, RUN, SOUND, CONFIG, HELP, GRATIS, CRACK, UPDATE, README
При этом к имени добавляется символ '!' - либо в начало, либо в конец имени.

Шифрование DLL-файлов

При инсталляции в систему вирус создает свой ключ шифрования (при помощи крипто-библиотеки Crypt API, встроенной в Windows). Используя этот ключ и перехват функций работы с библиотеками (LoadLibrary и FreeLibrary) вирус шифрует/расшифровывает DLL-библиотеки "на-лету".

Вирус не шифрует виблиотеки со стандартными именами: SFC, MPR, OLE32, NTDLL, GDI32, RPCRT4, USER32, RSASIG, SHELL32, CRYPT32, RSABASE, PSTOREC, KERNEL32, ADVAPI32, RUNDLL32, SFCFILES. Не шифруются также библиотеки, перечисленные в:

System\CurrentControlSet\Control\SessionManager\KnownDLLs

System\CurrentControlSet\Control\SessionManager\Known16DLLs

Вирус сохраняет свой ключ шифрования в системном реестре в ключе:

SOFTWARE\Microsoft\Cryptography\UserKeys\Prizzy/29A

и дает этому ключу имя Kiss Of Death


 
MaksimДата: Понедельник, 31 Августа 2009, 18:40 | Сообщение # 18
Босс Флудерской конторы
Группа: Администраторы
Сообщений: 879
Репутация: 10
Статус: Offline
дай ссылку откуда ты это взял

Maksim aka Geophizik
 
JesseДата: Понедельник, 31 Августа 2009, 22:30 | Сообщение # 19
Главный специалист по флуду
Группа: Пользователи
Сообщений: 430
Репутация: 3
Статус: Offline
Quote (Maksim)
дай ссылку откуда ты это взял

http://portal.d-market.com.ua/novosti....jj.html


 
AndreyДата: Воскресенье, 11 Апреля 2010, 18:12 | Сообщение # 20
Ведуший флудер
Группа: Пользователи
Сообщений: 179
Репутация: 2
Статус: Offline
ставьте линь и можно спать спокойно - как написал на моем форуме один человечек...

ftp://91.203.62.201/
мой фтп теперь доступен с мира! и это только начало ;)
 
  • Страница 1 из 1
  • 1
Поиск:


Copyright MyCorp © 2024
Хостинг от uCoz