Вирусы и борьба с ними ..., ВСЕ О ВИРУСАХ. Опции

[Гость_ФЕНИКС_*]

Компания «Доктор Веб» сообщила о появлении новой модификации полиморфного сетевого червя Win32.HLLW.Shadow.based (также известного под именами Kido/Conficker), обеспечивающего основной функционал бот-сети Shadow. По прогнозам «Доктор Веб», с 1 апреля бот-сеть перейдет на новый режим работы.

Как пояснили в антивирусной компании, на компьютерах, зараженных ранее различными модификациями полиморфного червя Win32.HLLW.Shadow.based, появившимися в феврале и марте этого года, будет произведено обновление вредоносного ПО, в результате чего будет запущен генератор адресов к заранее подготовленным сайтам для получения с них инструкций по дальнейшей работе. Каждые сутки будет генерироваться 50 000 адресов, среди которых будет выбираться 500 адресов, через которые будут происходить попытки обновления вредоносного ПО. При этом процесс обновления будет тщательно регулироваться таким образом, чтобы не создавать значительную нагрузку на хостинг-серверы, на которых расположены данные вредоносные серверы. Такой работе бот-сети воспрепятствовать будет значительно сложнее, считают в «Доктор Веб».

Напомним, что Win32.HLLW.Shadow.based для своего распространения использует сразу несколько каналов, среди которых выделяются съёмные носители и сетевые диски. Червь также может распространяться с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067.

Компания Eset сообщила о том, что с 1 апреля возможно резкое увеличение DDoS- и спам-атак с использованием крупнейшей в истории интернета бот-сети, состоящей из компьютеров, зараженных семейством червей Conficker.

По данным Eset, новая версия червя – Сonficker.X – взаимодействует с управляющим пулом из 50 тыс. доменов. Это существенно усложняет борьбу с угрозой, поскольку при таком количестве постоянно обновляемых url-адресов отследить и блокировать команды от владельцев бот-сети компьютерам-зомби будет практически невозможно. Эксперты предполагают, что 1 апреля станет датой начала широкомасштабных атак на ПК пользователей. Это могут быть DDoS-атаки, рассылка спама, действия, направленные на заражение новых компьютеров и увеличение бот-нета.

Червь Conficker.X (также известный как Conficker.C или Conficker.D) был детектирован с помощью технологии компании Eset – ThreatSense. Вредоносная программа быстро распространяется по интернету и представляет собой еще большую угрозу, нежели ее предыдущие версии, отмечают в Eset.

Первая версия червя - Conficker.A – была зафиксирована специалистами Eset в ноябре 2008 г. С тех пор принцип действия вредоносной программы не изменился — заражая компьютеры, червь объединяет их в бот-нет. Conficker блокирует антивирусное ПО и доступ к сайтам производителей антивирусов, вносит изменения в работу локальной службы DNS. Помимо собственной вредоносной функции, червь выступает плацдармом для последующих атак, дополнительно скачивая и устанавливая другое вредоносное ПО.

По информации Eset, Conficker.X использует уязвимость MS08-067 в операционной системе MS Windows, распространяется с помощью внешних носителей, через p2p-сети и общие папки внутри локальных сетей.

Чтобы избежать заражения, специалисты Eset советуют использовать лицензионное антивирусное ПО, детектирующее данную угрозу, и следить за тем, чтобы на компьютере было установлены актуальные обновления операционной системы Windows. Антивирусные системы Eset NOD32 проактивно детектируют Conficker во всех его вариациях. С уже зараженного компьютера червь удаляется с помощью специальной утилиты.

«Аналитики Eset внимательно отслеживают распространение червя. Антивирусные решения Eset NOD32 успешно детектируют новую версию Conficker с помощью технологии проактивной защиты, гарантируя 100%-ое предотвращение заражения, – заявил Юрай Малчо, глава вирусной лаборатории Eset. – Способность Conficker заражать огромное количество компьютеров единовременно делает его одной из наиболее опасных сетевых угроз в истории. Главной задачей авторов червя является создание глобального бот-нета, позволяющего проводить массивные атаки на интернет-инфраструктуру».

[Гость_Stitch_*]

Новый троянец распространяется под Mac OS X

2011-02-27 12:15

Антивирусная компания Sophos в субботу сообщила об обнаружении нового опасного троянского программного обеспечения под операционную систему Mac OS X. Отметим, что обнаружение новых вирусов и троянцев под Mac OS X - это сравнительно редкое явление и каждый новый образец такого программного обеспечения является предметом пристального внимания пользователей данной операционной системы.

Новый код называется BlackHole RAT (Remote Access Trojan) и сейчас его достаточно легко найти на многих хакерских форумах. Честер Висниевски, антивирусный специалист компании Sophos, говорят, что на YouTube был в субботу размещен ролик, демонстрирующий работу данного троянца (http://www.youtube.com/watch?v=bGaQXOuMRaY&feature=related)

В Sophos говорят, что в их компании не видели данного троянского программного обеспечения в действии, хотя судя по демонстрации, разработка в значительной степени является концептуальной и показывает общий вектор направления развития возможных атак. Также в компании говорят, что его довольно легко можно адаптировать для "тихой" установки в Mac и последующей кражи данных.

Технически говоря, BlackHole - это вариант Windows-троянца darkComet, но судя по коду, он был написан другим разработчиков. darkComet сейчас доступен в исходных кодах, поэтому велика вероятность того, что Mac-троянец просто позаимствовал логику и некоторые аспекты работы первоначального троянца.

[Гость_Moshkin_*]

Очередная вымогалка
 sms.jpg ( 45.31 килобайт ) Кол-во скачиваний: 8

В такую ерунду многие дистрибутивы запакованы .
После команды РАСПАКОВАТЬ будет вымогать отправить SMS .

Не было времени копать ( где сидит ) , но просто так я ее не нашел .
KIS ничего не видит .
При каждом запуске машины будет появляться .

Как я убрал розовый порно-баннер висящий по середине экрана
http://blog.jawsik.com/?p=457&cp=3
( один из вариантов )

Можно у касперского почитать : http://www.kaspersky.ru/find?words=%E2%FB%...mp;x=12&y=5
http://support.kaspersky.ru/viruses/solutions?qid=208638485

[Гость_Moshkin_*]

Microsoft Security Essentials RUS 2.0.719.0 Final
Официальный релиз антивирусного пакета Microsoft Security Essentials (MSE) для борьбы с вирусами на клиентских ПК.



Русскую версию Microsoft Security Essentials для Windows Vista и Windows 7 можно скачать для 32-bit и 64-bit версий.

Пакет распространяется бесплатно владельцам лицензионных копий Windows и обеспечивает защиту в реальном времени от вирусов, шпионских программ, руткитов и троянцев.

Ранее компания уже предлагала платное решение Windows OneCare, однако пакет Microsoft Security Essentials стал оптимальнее, в том числе из-за отсутствия платы за антивирусную защиту. Если OneCare предлагал управляемый извне брандмауэр, оптимизацию настроек ПК, резервное копирование и восстановление, управление несколькими ПК и общее использование принтеров, то пакет Microsoft Security Essentials по составу функций ближе к корпоративному решению Forefront Client Security.

Компания Microsoft выделяет 5 основных функций Microsoft Security Essentials: уничтожение наиболее опасных вредоносных программ, удаление известных вирусов, защиту в реальном времени, также удаление известных шпионских программ, в том числе в реальном времени. Одной из наиболее примечательных функций пакета является технология DSS (Dynamic Signature Service), которая позволяет отправлять профиль подозрительных файлов непосредственно разработчикам антивируса. В ответ пользователь должен получить новую сигнатуру вируса с инструкциями по удалению вновь обнаруженной вредоносной программы.

Программа работает в фоновом режиме и выводит предупреждения только в тех случаях, если ей необходимо решение пользователя. Security Essentials, по утверждениям сотрудников Microsoft, ограничивает объем ресурсов, необходимых ей для работы. Она также обновляет базу данных вредоносных программ в реальном времени.

Ресурс AV–Test.org провел исследование наиболее популярных бесплатных защитных программ. Приложение Microsoft Security Essentials смогло идентифицировать 97,8% всех известных на тот момент вирусов.

Для работы в бесплатной программе необходим компьютер с установленной Windows XP SP2 или SP3, Vista или Windows 7, которые проходят проверку подлинности.

http://www.anti-virus-free.ru/microsoft.shtml
http://ru.wikipedia.org/wiki/Microsoft_Security_Essentials

[Гость_Stitch_*]

Обновление Dr.Web CureIt!: усиленный и автоматический режимы сканирования

26.12.2011

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает об обновлении платной и бесплатной версий утилиты Dr.Web CureIt!. В рамках обновления добавлена функция сбора и отправки обезличенной статистики в аналитическую лабораторию «Доктор Веб». Кроме того, упразднена необходимость заполнения анкеты перед скачиванием лечащей утилиты.

Теперь многочисленные пользователи Dr.Web CureIt! со всего мира смогут принять участие в сборе полезной статистической информации. Это поможет компании «Доктор Веб» анализировать глобальную вирусную обстановку и еще быстрее совершенствовать используемые в продуктах Dr.Web алгоритмы детектирования и лечения. Отметим, что данные, отправляемые в аналитическую лабораторию «Доктор Веб», исключают информацию, которая позволила бы идентифицировать пользователя, — высылаются сугубо статистические данные о результатах сканирования и общие сведения о программно-аппаратном обеспечении ПК. Данная функция постоянно включена в бесплатной версии утилиты, но актуальна не для всех языковых локализаций: о наличии функции пользователь узнает из соответствующего предупреждения. Пользователи платной версии могут отказаться от передачи статистики.

Помимо этого, запуск бесплатной версии Dr.Web CureIt! теперь возможен только под учетной записью администратора. Платная версия утилиты способна работать и под другими учетными записями.

Также в платной версии Dr.Web CureIt! появилась возможность сканирования в полностью автоматическом режиме: после запуска утилиты из командной строки с ключом /go сканер сразу начинает проверку, не требуя от пользователя каких-либо действий. Кроме того, пользователям платной версии стал доступен усиленный режим сканирования, ранее протестированный на бесплатной версии и предназначенный для противодействия троянцам-блокировщикам.

Обе версии утилиты Dr.Web CureIt! доступны на сайте «Доктор Веб»

[sergej1]

Самый знаменитый троян современности написан на неизвестном языке программирования

Владислав Мещеряков


Создание червя Duqu потребовало разработки специального языка программирования

Часть трояна Duqu написана на неизвестном языке программирования, созданного специально для разработки этого вируса, утверждают в «Лаборатории Касперского». По мнению экспертов, это указывает на многомиллионные инвестиции в разработку Duqu и на государственный заказ по его созданию.

Важный фрагмент кода известного трояна Duqu написан на неизвестном до сих пор языке программирования, рассказал CNews главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

Фрагмент кода, написанный на неизвестном языке программирования, получил в «Лаборатории Касперского» название «Фреймворк Duqu». Он предназначен для обмена информацией между модулем, внедряемым в операционную систему заражаемого ПК и командными серверами Duqu.

По словам эксперта, при изучении Duqu аналитиками «Лаборатории Касперского» было проверено около трех десятков языков программирования, «включая Brainfuck и Haskell». «Мы пытаемся распознать его с ноября 2011 г. Мы спросили самых серьезных специалистов-реверсеров в Microsoft, но не нашли языка, который бы создавал подобный код», - говорит Александр Гостев.

Напомним, что о трояне Duqu стало известно 1 сентября 2011 г. По предположению экспертов, этот троян был создан для точечных атак и кражи информации из компьютеров промышленных объектов, а также правительственных и коммерческих структур Ирана.

Duqu создан на единой программной платформе с другим знаменитым компьютерным червем Stuxnet, который в 2011 г. поразил иранские атомные станции, а также проник в сети целого ряда других предприятий по всему миру. По мнению экспертов «Лаборатории Касперского», над обоими троянами работала одна и та же группа авторов. В отличие от Stuxnet, Duqu предназначен не столько для непосредственных вредоносных действий в зараженной системе, сколько для организации канала доставки и установки в систему дополнительных троянских модулей.

Троян Duqu применяется для точечных атак на промышленные объекты. Оценивая масштабы заражения Duqu, Александр Гостев говорит «о числе инцидентов, в каждом из которых могло пострадать разное количество ПК». Например, в одном из них было заражено около 50 компьютеров в сети одной компании. В общей сложности известно «примерно о 25 жертвах Duqu по всему миру», из которых «Лабораторией Касперского» было обнаружено 15-17 инцидентов. Скорее всего, в общей сложности их менее 100, полагает эксперт.

В «Лаборатории Касперского» предполагают, что язык программирования, использованный при написании Duqu, «был разработан с целью не только затруднить понимание сторонними лицами особенностей операции по кибершпионажу и взаимодействия с командными серверами, но и отделить этот проект от работы других групп, участвовавших в создании Duqu и отвечавших за написание дополнительных элементов вредоносной программы».

«Нет никаких сомнений, что Stuxnet и Duqu были написаны в интересах какого-то правительства, но какого конкретно, доказательств нет, - говорит Александр Гостев. - Если такого языка программирования никто не видел, это означает серьезный софтверный проект, миллионы долларов, затраченные на разработку, и дополнительный факт в подтверждение того, что за Duqu стоят правительства».

Примечательно, что 4 марта 2012 г. бывший глава Агентства национальной безопасности США Майкл Хэйден (Michael Hayden) в интервью телеканалу CBS заметил, что Stuxnet «был хорошей идеей». При этом генерал не рассказал, какое государство стоит за созданием этого трояна, преемником которого стал Duqu.

Эксперты «Лаборатория Касперского» обратились к сообществу программистов с просьбой связаться с ними всем, кому известно о средстве разработки, языке или компиляторе, который может генерировать код Duqu.

http://www.cnews.ru/news/top/index.shtml?2012/03/07/480558

[Гость_Stitch_*]

написан на неизвестном языке программирования

На матерном наверное

[wertyfox]

У меня большая проблема!
Закупил оптом 50 шт Kaspersky Internet Security 2012 с лицензией на 1 год и уже распродал людям.
А в нашем регионе появился вирус, который Касперский не признает. Уже все те компьютеры с лицензией заражены и размножают вирус через флэшки!
Очень большая просьба ко всем неравнодушным, отправить этот вирус в Лабораторию Касперского на исследование. Потому что для того чтобы они обратили на него внимание нужно много запросов!
Прислать вирус в лабораторию
Или на электронную почту: newvirus@kaspersky.com



Вирус размножается, создает в корне диска С: скрытую папку Win / куда себя и прописывает, а также прописывается в System32. На флешке все папки делает скрытыми, а вместо них прописывает себя с теми же именами и пикторамой папки.

Другие антивирусы с ним справляются корректно!



Сам вирус здесь!
Пароль на архив:
virus

[Гость_VINT78_*]

Ну ты попал,неужели реально так??? Думаю лаборатория в курсе и выбросят обновление....

Кстати,ту хрень что ты выслал,антивирус от майкрософта тоже не определил,
может нод в очередной раз болеет??

[goblin944]

У меня нод орёт на него. И Dr.Web тоже - WIN 32.HLLW.Napad , Trojan.Starter.1014
А вот что выдаёт Virus Total

[Гость_VINT78_*]

Категория: Вирус-червь

Описание: Эта опасная программа самостоятельно распространяется по сети.

Рекомендуемое действие: Немедленно удалите это программное обеспечение.

Программой Security Essentials обнаружены программы, из-за которых могут подвергаться опасности конфиденциальные данные или возможно повреждение компьютера. Можно сохранить доступ к файлам, используемым этими программами, не удаляя их (не рекомендуется). Для доступа к этим файлам выберите действие "Разрешить" и нажмите кнопку "Применить действия". Если этот параметр недоступен, войдите в систему как администратор или обратитесь за помощью к администратору безопасности.


Вот и антивирус от майкрософта заработал,после того,как извлек его в папку,а в архиве не хотел видеть!
Кстати,успешно его и прибил!!!