Вирусы и борьба с ними ..., ВСЕ О ВИРУСАХ. Опции

[Гость_ФЕНИКС_*]

Компания «Доктор Веб» сообщила о появлении новой модификации полиморфного сетевого червя Win32.HLLW.Shadow.based (также известного под именами Kido/Conficker), обеспечивающего основной функционал бот-сети Shadow. По прогнозам «Доктор Веб», с 1 апреля бот-сеть перейдет на новый режим работы.

Как пояснили в антивирусной компании, на компьютерах, зараженных ранее различными модификациями полиморфного червя Win32.HLLW.Shadow.based, появившимися в феврале и марте этого года, будет произведено обновление вредоносного ПО, в результате чего будет запущен генератор адресов к заранее подготовленным сайтам для получения с них инструкций по дальнейшей работе. Каждые сутки будет генерироваться 50 000 адресов, среди которых будет выбираться 500 адресов, через которые будут происходить попытки обновления вредоносного ПО. При этом процесс обновления будет тщательно регулироваться таким образом, чтобы не создавать значительную нагрузку на хостинг-серверы, на которых расположены данные вредоносные серверы. Такой работе бот-сети воспрепятствовать будет значительно сложнее, считают в «Доктор Веб».

Напомним, что Win32.HLLW.Shadow.based для своего распространения использует сразу несколько каналов, среди которых выделяются съёмные носители и сетевые диски. Червь также может распространяться с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067.

Компания Eset сообщила о том, что с 1 апреля возможно резкое увеличение DDoS- и спам-атак с использованием крупнейшей в истории интернета бот-сети, состоящей из компьютеров, зараженных семейством червей Conficker.

По данным Eset, новая версия червя – Сonficker.X – взаимодействует с управляющим пулом из 50 тыс. доменов. Это существенно усложняет борьбу с угрозой, поскольку при таком количестве постоянно обновляемых url-адресов отследить и блокировать команды от владельцев бот-сети компьютерам-зомби будет практически невозможно. Эксперты предполагают, что 1 апреля станет датой начала широкомасштабных атак на ПК пользователей. Это могут быть DDoS-атаки, рассылка спама, действия, направленные на заражение новых компьютеров и увеличение бот-нета.

Червь Conficker.X (также известный как Conficker.C или Conficker.D) был детектирован с помощью технологии компании Eset – ThreatSense. Вредоносная программа быстро распространяется по интернету и представляет собой еще большую угрозу, нежели ее предыдущие версии, отмечают в Eset.

Первая версия червя - Conficker.A – была зафиксирована специалистами Eset в ноябре 2008 г. С тех пор принцип действия вредоносной программы не изменился — заражая компьютеры, червь объединяет их в бот-нет. Conficker блокирует антивирусное ПО и доступ к сайтам производителей антивирусов, вносит изменения в работу локальной службы DNS. Помимо собственной вредоносной функции, червь выступает плацдармом для последующих атак, дополнительно скачивая и устанавливая другое вредоносное ПО.

По информации Eset, Conficker.X использует уязвимость MS08-067 в операционной системе MS Windows, распространяется с помощью внешних носителей, через p2p-сети и общие папки внутри локальных сетей.

Чтобы избежать заражения, специалисты Eset советуют использовать лицензионное антивирусное ПО, детектирующее данную угрозу, и следить за тем, чтобы на компьютере было установлены актуальные обновления операционной системы Windows. Антивирусные системы Eset NOD32 проактивно детектируют Conficker во всех его вариациях. С уже зараженного компьютера червь удаляется с помощью специальной утилиты.

«Аналитики Eset внимательно отслеживают распространение червя. Антивирусные решения Eset NOD32 успешно детектируют новую версию Conficker с помощью технологии проактивной защиты, гарантируя 100%-ое предотвращение заражения, – заявил Юрай Малчо, глава вирусной лаборатории Eset. – Способность Conficker заражать огромное количество компьютеров единовременно делает его одной из наиболее опасных сетевых угроз в истории. Главной задачей авторов червя является создание глобального бот-нета, позволяющего проводить массивные атаки на интернет-инфраструктуру».

[Гость_Moshkin_*]

Kaspersky.com - Вирусные новости - TDSS

TDSS
28 июн 2010
******************************************************************

1. TDSS


TDSS - руткит, являющийся на сегодняшний день самым мощным и
сложным представителем данного класса вредоносных программ. Этот зловред
может скрывать присутствие в системе любых других вредоносных программ и
предоставлять им расширенные возможности в зараженной системе.

"Лаборатория Касперского" уделяет повышенное внимание
проблемам, связанным с детектированием и лечением активного TDSS. В
статье Вячеслава Русакова и Сергея Голованова рассказывается о
руткит-технологиях, реализованных в TDSS, методах его распространения и
о том, как злоумышленники наживаются с помощью этого руткита.

TDSS взял на вооружение функцию заражения драйверов, которые
обеспечивают его загрузку и работу на самых ранних этапах старта ОС. Как
следствие, идентификация TDSS в системе является серьезной проблемой, а
его лечение - нелегкой задачей.

Распространяется TDSS через партнерскую программу с привлечением любых
возможных средств доставки вредоносного кода на компьютеры пользователей
и атакует компьютеры по всему миру. Общее количество зараженных руткитом
машин оценивается в 3 миллиона. Деньги пособники авторов TDSS получают в
зависимости от числа заражений и локализации инфицированных машин.
Дороже всего киберпреступники оценивают зараженные компьютеры на
территории США, так что не удивительно, что около половины
зомби-компьютеров под управлением TDSS находится в этой стране.

Сегодня на черном рынке можно найти ботнеты под управлением TDSS - как
правило, это зомби-сети, состоящие примерно из 20 тыс. зараженных
компьютеров. Административные панели ботнетов расположены в Китае,
Люксембурге, Гонконге, Голландии и России. Руткит обладает широкими
возможностями, и его использование зависит только от пожеланий авторов и
задач арендаторов или покупателей ботнета, построенного на этой
вредоносной программе.

В статье приводятся результаты исследования нескольких ботнетов,
созданных на основе TDSS. За время наблюдений экспертов за одним из
таких ботнетов на него загружались и спам-боты, и фальшивые антивирусы,
и троянцы для кражи персональных данных. На начало июня TDSS,
инфицировавший компьютеры в исследуемых ботнетах, распространяли около
2000 партнеров. Для заражения злоумышленники использовали фальшивые
кодеки, которые требовалось установить якобы для просмотра видео на
неком сайте, генераторы ключей для популярных программ, вместе с
которыми загружался руткит, различные наборы эксплойтов и т.д.

TDSS - крайне опасная и технологически сложная технологически
вредоносная программа. Анализ TDSS позволил предположить, что его
создатели русские или, по крайней мере, русскоговорящие. Авторы зловреда
следят за разработками антивирусных компаний и мгновенно реагируют,
выпуская новую исправленную версию руткита. Поэтому в ближайшее время
следует ожидать изменения руткит-функционала в сторону большего
противодействия анти-руткит технологиям.

Пользователи продуктов "Лаборатории Касперского" защищены от
TDSS. Однако специалисты компании напоминают о необходимости
своевременного обновления антивирусных баз.

С полной версией статьи о TDSS можно ознакомиться на сайте
www.securelist.com/ru .