Мобильный вирус, способный без ведома абонента управлять его мобильным счетом и ранее зафиксированный только в России, обнаружен у пользователей одного из индонезийских мобильных операторов, говорится в сообщении "Лаборатории Касперского".

Таким образом, как констатирует старший вирусный аналитик "Лаборатории Касперского" Денис Масленников, слова которого приводятся в сообщении, "в обозримом будущем проблема незаконных операций по счетам абонентов сотовой связи в мобильной вирусной индустрии будет приобретать все большую актуальность, постепенно расширяя географию своего присутствия".

Найденное вредоносное программное обеспечение (ПО) для операционной системы Symbian относится к классу троянских программ. Без ведома владельцев телефонных номеров вирус отправляет SMS-сообщения на короткий сервисный номер с командой перевести часть средств абонента на другой счет, принадлежащий злоумышленникам.

Индонезийский вирус, как установили эксперты "Лаборатории Касперского", имеет пять вариаций. При этом программа настроена так, что средства с зараженного номера переводятся небольшими частями - от 45 до 90 центов.

"Лаборатория Касперского" является ведущим производителем систем защиты от вредоносного и не желательного программного обеспечения, хакерских атак и спама. Партнерская сеть "Лаборатории" объединяет более 2 тысяч компаний в более 100 странах мира.

Румынский производитель антивируса BitDefender выпустил первую утилиту, предназначенную для полного удаления из заражённой системы червя Conficker (он же - Downadup). Об этом пишет «uinC.ru».

По мнению аналитиков BitDefender, удалить червь тяжело из-за того, что он имеет встроенный собственный сервис обновления, а также собственный алгоритм формирования тела трояна, основанный на текущей дате ОС. Червь также каждый день формирует собственный набор DNS-имен сайтов, с которых он скачивает собственное обновление, что позволяет вирусописателям упростить процедуру обновления как самого кода червя, так и его функционала.

Напомним, что червь использует уязвимость в сервисе Windows Server ОС Windows 2000, XP, Vista, Server 2003 and Server 2008 и использует для своего распространения переполнение буфера, возможность получения которой была обнаружена экспертами по компьютерной безопасности.

Как сообщалось ранее, этим червём было поражено больше 9 млн. компьютеров, что вывело его на второе место по количеству заражений - после червя Slammer, появившегося в 2003 году.

Добавлено (07 Май 2009, 08:27)
---------------------------------------------
В статью The New York Times о компьютерном вирусе попало вредоносное ПО

Статья ресурса была поражена той же уязвимостью, о которой рассказывала
Из-за XSS-уязвимости на сайте компании McAfee, занимающейся компьютерной безопасностью, червем была заражена статья он-лайн издания The New York Times, которое скопировало информацию с ресурса.

Об этом на днях сообщил популярный технологический блог ReadWriteWeb.

Как информирует PC World, Статья с сайта фирмы была перепечатана интернет-изданием The New York Times. Однако, вместо того чтобы перенести образец вредоносного кода в виде текста, они интегрировали его в интернет-страницу. В результате статья оказалась пораженной той же уязвимостью, о которой рассказывала. В итоге читатели получали перенаправление на вредоносный ресурс и лишались персональной информации.

Так как газета The New York Times достаточно известное издание, ее тексты постоянно копируются для размещения на других сайтах. Сколько интернет-страниц в итоге пострадало от XSS-уязвимости - неизвестно. По некоторым сведениям, проблема на странице "The New York Times до сих пор не устранена.

Напомним, 26 апреля исполнилось 10 лет со времени первой глобальной компьютерной атаки. Написанный тайваньским студентом вирус CIH, известный также как Чернобыль, заразил около полумиллиона компьютеров по всему миру.

Р.С. всем привет и с праздниками!

Maksim aka Geophizik

Добавлено (17 Май 2009, 13:36)
---------------------------------------------
Киберпреступники активно используют социальные сети для распространения ложных антивирусов
17.05.2009

По данным PandaLabs, недавно появился 56-ой вариант червя Boface. Каждый из этих вариантов червя был разработан специально для распространения вредоносных программ через Facebook. Высокая популярность социальных сетей с их широкими возможностями позволяет оперативно распространять угрозы на большое количество пользователей. В частности, вариант BJ использует Facebook для загрузки и установки ложного антивируса, который обманывает пользователей и заявляет им, что их ПК заражен, а в дальнейшем предлагает им купить данный ложный антивирус.

Согласно данным, полученным с помощью бесплатного онлайн-сканера Panda ActiveScan, с 1 августа 2008 года около 1% всех компьютеров были заражены червем Boface.

Луис Коронс, Технический директор PandaLabs: «Экстраполируя эти данные на количество пользователей Facebook (около 200 миллионов), мы пришли к цифре в 2 миллиона пользователей, которые могут быть заражены. Возросшее количество вариантов существующих вредоносных программ говорит о том, что кибер-преступники стараются заражать как можно больше пользователей и увеличивать свои финансовые поступления». При этом почти 40% заражений приходится на США. Количество заражений данным типом вредоносных программ демонстрирует экспоненциальный рост: в апреле 2009 года уровень роста составил 1200% по сравнению с августом 2008 года.

Новый червь Boface.BJ попадает на компьютеры несколькими путями: вложения в сообщениях электронной почты, скачивание через Интернет, файлы, передаваемые через каналы ftp, IRC, сети p2p и пр. При этом пользователи не осознают того, что они заражены. Червь начинает свою деятельность не раньше чем через 4 часа после заражения компьютера. После того, как пользователь заходит на Facebook и вводит свои авторизационные данные, червь рассылает сообщение всем пользователям сети, включая зараженного пользователя, со ссылкой на просмотр видео файла. Вы можете посмотреть картинку при помощи следующей ссылки: http://www.flickr.com/photos/panda_security/3528707512/

Любой, кто кликнет на данную ссылку, попадет на ложную страницу YouTube (с названием «YuoTube»): http://www.flickr.com/photos/panda_security/3527896167/. На этой странице пользователям предложат посмотреть видео, но перед этим им необходимо будет скачать и установить медиа-проигрыватель. Как только пользователь соглашается это сделать, на его компьютер незаметно будет установлен фальшивый антивирус.

С момента установки этот «антивирус» будет показывать сообщения о том, что компьютер заражен и что пользователь должен приобрести соответствующее решение. В частности, изображение интерфейса одного из ложных антивирусных продуктов Вы можете увидеть при помощи следующей ссылки: http://www.flickr.com/photos/panda_security/3528707634/

Луис Корронс: «Пользователи социальных сетей обычно доверяют сообщениям, которые они получают, таким образом, количество прочтений и нажатий очень велико. Очевидно, что в дополнении к мероприятиям по безопасности пользователи должны вооружиться проверенными способами защиты и основами личной секретности, чтобы не пасть жертвами мошенничества и не содействовать его размножению».

Добавлено (08 Июнь 2009, 22:10)
---------------------------------------------
В интернете появился троян - убийца файлов

Компания «Доктор Веб» сообщила о появлении в Интернете опасного трояна, уничтожающего все файлы и папки на зараженном компьютере. Первые случаи инфицирования Trojan.KillFiles.904 зафиксированы в начале июня 2009 года.

Проникая в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные и съемные диски в порядке от Z до A. В найденном диске троян начинает удалять папки и файлы, перебирая их названия по алфавиту. Если удалить файл не удается, к примеру, по причине его использования, троян делает его скрытым, сообщает securitylab. Особая опасность заключается в том, что действия Trojan.KillFiles.904 касаются всех файлов и папок, находящихся на жестком диске компьютера жертвы, за исключением системных. Таким образом, пользователь может потерять все данные на дисках, при этом его операционная система продолжит свою работу.

Уникальным для современных вредоносных программ свойством данного трояна является нанесение максимального урона пользователю. В отличие от получивших в последнее время широкое распространение программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо финансовых вложениях и не пытается что-либо украсть – он просто уничтожает всю информацию, хранящуюся в зараженной системе.

Можно предположить, что данный троян, появившийся в начале июня 2009 года, продолжает традицию вируса Win32.HLLW.Kati, также известного как Penetrator, который повреждает файлы форматов Microsoft Word и Excel, а также фотографии и мультимедийные файлы. За тем исключением, что Trojan.KillFiles.904 представляет еще большую угрозу.

Очень опасный резидентный полиморфный Win32-вирус. Размер вируса - более 20Kb. Заражает KERNEL32.DLL и PE EXE-файлы, при заражении записывает свой код в конец файла и модифицирует необходимые поля в PE-заголовке для того, чтобы получить управление при старте зараженного файла. Вирус также добавляет зараженные файлы в архивы различных типов - ACE, RAR, ZIP, CAB, ARJ, и в некоторые версии самораспаковывающихся архивов - SFX ACE и RAR.

При заражении обычных PE-файлов вирус шифрует себя полиморфик-кодом, а при заражении KERNEL32.DLL оставляет свой код незашифрованным.

Вирус использует анти-отладочные приемы, отключает антивирусные резидентные мониторы Avast, AVP, AVG и Amon, уничтожает антивирусные файлы данных AVP.CRC, IVP.NTZ, ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS, SMARTCHK.MS, SMARTCHK.CPS, AGUARD.DAT, AVGQT.DAT; портит данные в файле LGUARD.VPS (антивирусная база данных?); не заражает файлы-антивирусы с именами: TB, F-, AW, AV, NAV, PAV, RAV, NVC, FPR, DSS, IBM, INOC, ANTI, SCN, VSAF, VSWP, PANDA, DRWEB, FSAV, SPIDER, ADINF, SONIQUE, SQSTART.

Одной из главных отличительных особенностей вируса является тот факт, что он шифрует системные библиотеки Windows (DLL-файлы). При этом используется механизм шифрования "на-лету" - при необходимости вирус расшифровывает тело библиотеки, а затем шифрует обратно. В результате библиотеки являются работоспособными только при наличии в системе резидентного вируса, а после удаления вируса из системы - остаются зашифрованными (примерно то же самое, что делает вирус Onehalf). Для шифрования библиотек вирус использует криптографическую систему, встроенную в Windows (Crypt API).
Вирус "несовместим" с некоторыми версиями Windows. При этом вирус либо не заражает KERNEL32.DLL и, соответственно, системную память, либо неспособен заражать PE EXE-файлы.

Инсталляция в систему

При первом запуске зараженного файла в незараженной системе вирус запускает свою процедуру инсталляции, которая заражает файл KERNEL32.DLL, находящийся в системном каталоге Windows. При заражении вирус правит таблицу экспортов KERNEL32 и устанавливает на свой код адреса нескольких функций работы с файлами (CreateFile, OpenFile, __lopen, CopyFile, MoveFile, MoveFileEx, LoadLibrary, LoadLibraryEx, FreeLibrary - как ANSI-функции, так и UNICODE).

В результате при следующей загрузке Windows код вируса остается в системной памяти как часть KERNEL32, и при вызове перечисленных выше функций управление передается на код вируса.
Вирус использует обычный для Win32-вирусов прием для того, чтобы записать свой код в файл KERNEL32.DLL (эта библиотека постоянна загружена в памяти и Windows блокирует запись в этот файл). Вирус копирует файл KERNEL32.DLL из системного каталога в основной каталог Windows, заражает эту копию и записывает команду "апдейта" в файл WININIT.INI. В результате при перезагрузке Windows уничтожает KERNEL32.DLL в системном каталоге и замещает его зараженной копией. После заражения KERNEL32.DLL вирус возвращает управление программе-носителю.

Заражение файлов

При перезагрузке Windows код вируса оказывается загруженным в память Windows и получает управление при обращениях к файлам. При первом таком обращении вирус запускает процедуру размножения - эта процедура сканирует все доступные диски от C: до Z:, ищет на них PE EXE-файлы и архивы и заражает их.

Для того, чтобы замаскировать свою активность, вирус выполняет процедуру размножения в фоновом режиме и плюс к этому делает задержки при начале сканирования очередного диска.

При заражении PE EXE-файлов вирус увеличивает размер последней секции файла, шифрует себя полиморфик-методом и записывает результат в эту секцию, затем корректирует необходимые поля PE-заголовка. Стартовый адрес зараженного файла устанавливается на код вируса (на полиморфный расшифровщик).

При записи зараженных файлов в архивы вирус использует внешние утилиты архивации - создает зараженный EXE-файл и вызывает архиватор, который и добавляет вирусный файл к архиву. Зараженные файлы получают имена, случайно выбранные из списка:

INSTALL, SETUP, RUN, SOUND, CONFIG, HELP, GRATIS, CRACK, UPDATE, README
При этом к имени добавляется символ '!' - либо в начало, либо в конец имени.

Шифрование DLL-файлов

При инсталляции в систему вирус создает свой ключ шифрования (при помощи крипто-библиотеки Crypt API, встроенной в Windows). Используя этот ключ и перехват функций работы с библиотеками (LoadLibrary и FreeLibrary) вирус шифрует/расшифровывает DLL-библиотеки "на-лету".

Вирус не шифрует виблиотеки со стандартными именами: SFC, MPR, OLE32, NTDLL, GDI32, RPCRT4, USER32, RSASIG, SHELL32, CRYPT32, RSABASE, PSTOREC, KERNEL32, ADVAPI32, RUNDLL32, SFCFILES. Не шифруются также библиотеки, перечисленные в:

System\CurrentControlSet\Control\SessionManager\KnownDLLs

System\CurrentControlSet\Control\SessionManager\Known16DLLs

Вирус сохраняет свой ключ шифрования в системном реестре в ключе:

SOFTWARE\Microsoft\Cryptography\UserKeys\Prizzy/29A

и дает этому ключу имя Kiss Of Death