Компьютерный форум
Правила
Вернуться   Компьютерный форум > Компьютерные форумы > Новости
Перезагрузить страницу Вирус
Ответ
 
Опции темы Опции просмотра
  (#1 (permalink)) Старый
TheChemicalBrothers TheChemicalBrothers вне форума
Seller of dead fish
 
Аватар для TheChemicalBrothers
 
Сообщений: 2,578
Сказал(а) спасибо: 51
Поблагодарили 161 раз(а) в 156 сообщениях
Регистрация: 09.08.2011
Exclamation Вирус - 21.08.2012, 09:40

Червь Dorifel шифрует файлы Word и Excel

Антивирусные компании предупреждают об эпидемии нового червя Dorifel, который шифрует документы Word и Excel.



Вирус обнаружили сначала на территории Нидерландов, потом он появился и в Германии. Вполне возможно, что эпидемия охватит и другие страны. Dorifel распространяется различными путями, в том числе в приложениях по электронной почте. Говорят, что в Нидерландах он буквально «парализовал работу коммерческих компаний и государственных организаций».

Вредоносная программа занесена в сигнатурные базы как Trojan-Ransom.Win32.Dorifel (Emsisoft) или Worm.Win32.Dorifel (Kaspersky). «Лаборатория Касперского» предупредила об угрозе ещё 10 августа.

Исследователи «Лаборатории Касперского» внимательно изучили сервер, с которого Dorifel скачивает вредоносные модули — и обнаружили, что он неправильно сконфигурирован, так что есть возможность посмотреть файлы в некоторых разделах сервера. Они с удовольствием воспользовались этим шансом и обнаружили на сервере много интересного, в том числе новый тип Java-эксплойта (теперь он классифицирован как Exploit.Java.CVE-2012-0507.oq и Exploit.Java.Agent.hl), фальшивый антивирус (Trojan-FakeAV.Win32.SmartFortress2012.ctq), лог-файлы с финансовой информацией: номерами кредитных карт, CCV и именами, статистику заражений Dorifel, веб-инжекты для фишинговых сайтов, административные панели для наборов эксплойтов.



Антивирусные компании предупреждают, что червь Dorifel распространяется не в одиночку, а с целым набором других вредоносных программ. Признаком заражения является сетевой трафик на IP-адреса 184.82.162.163 и 184.22.103.202.


░▒▓█▀▄▀■■▀▄▀█▓▒░
Ответить с цитированием
  (#2 (permalink)) Старый
TheChemicalBrothers TheChemicalBrothers вне форума
Seller of dead fish
 
Аватар для TheChemicalBrothers
 
Сообщений: 2,578
Сказал(а) спасибо: 51
Поблагодарили 161 раз(а) в 156 сообщениях
Регистрация: 09.08.2011
Exclamation Trojan.Mayachok.17516 - новая модификация трояна - 28.08.2012, 09:15

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует о распространении новой модификации троянской программы семейства Trojan.Mayachok, добавленной в вирусные базы Dr.Web под именем Trojan.Mayachok.17516

Несмотря на то, что эта угроза имеет определенное сходство с широко распространенным троянцем Trojan.Mayachok.1, в ее архитектуре выявлен и ряд существенных отличий.

Trojan.Mayachok.17516 представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем flash_player_update_1_12.exe и запускается на исполнение.


В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

Вредоносная библиотека пытается встроиться в другие процессы с использованием регистрации в параметре реестра AppInit_DLLs, при этом, в отличие от Trojan.Mayachok.1, Trojan.Mayachok.17516 «умеет» работать не только в контексте процессов браузеров, но также в процессах svchost.exe и explorer.exe (Проводник Windows). Примечательно, что в 64-разрядных системах вредоносная программа работает только в этих двух процессах. Троянец использует для своей работы зашифрованный конфигурационный файл, который он сохраняет либо во временную папку, либо в служебную папку %appdata%.

Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. С использованием процесса explorer.exe Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д. Сигнатура данной угрозы добавлена в базы антивирусного ПО Dr.Web. Для пользователей программных продуктов «Доктор Веб» Trojan.Mayachok.17516 не представляет серьезной угрозы.
Описание Trojan.Mayachok.17516
Добавлен в вирусную базу Dr.Web: 2012-08-13
Описание добавлено: 2012-08-27

Троянская программа, реализованная в виде динамической библиотеки. Имеются версии для 32-разрядной и 64-разрядной версий Windows. Устанавливается в систему с использованием дроппера, представляющего собой исполняемый файл. Данное приложение расшифровывает библиотеку, сохраняет ее со случайным именем в папку %windir%\System32\%random%.dll и регистрирует в параметре реестра AppInit_DLLs.

Библиотека встраивается в процессы браузеров, а также в процессы explorer.exe и svchost.exe, если последний запущен с параметром "-k netsvcs".

Функционал: скачивание и запуск исполняемых файлов, перехват сетевых функций браузеров, скрытый запуск браузеров, накрутка посещаемости веб-страниц, обновление, поддержка связи с удаленным командным центром.


░▒▓█▀▄▀■■▀▄▀█▓▒░
Ответить с цитированием
  (#3 (permalink)) Старый
Kolyan Kolyan вне форума
Member
 
Аватар для Kolyan
 
Сообщений: 1,924
Сказал(а) спасибо: 114
Поблагодарили 109 раз(а) в 109 сообщениях
Регистрация: 06.06.2012
Адрес: Томск
По умолчанию 28.08.2012, 09:20

Не дурно
Ответить с цитированием
  (#4 (permalink)) Старый
TheChemicalBrothers TheChemicalBrothers вне форума
Seller of dead fish
 
Аватар для TheChemicalBrothers
 
Сообщений: 2,578
Сказал(а) спасибо: 51
Поблагодарили 161 раз(а) в 156 сообщениях
Регистрация: 09.08.2011
Exclamation Новый 0-day эксплойт Java используется для таргетированных атак - 28.08.2012, 10:55

Похоже, пользователям на всех платформах (Mac, Windows, Linux) лучше отключить виртуальную машину Java на своих компьютерах и деактивировать Java-плагин в браузере, пока Oracle не выпустит патч для обнаруженной [forbidden link].

Дело в том, что для этой уязвимости уже существует готовый эксплойт, который сегодня-завтра начнёт активно применяться злоумышленниками: уже зафиксированы первые случаи атак. Вчера разработчики Rapid7 сообщили, что готовят к выпуску соответствующий модуль Metasploit. Они уже протестировали его на полностью пропатченной Windows 7 SP1 с Java 7 Update 6. Есть информация, что в ближайшее время новый эксплойт добавят в популярный набор Blackhole, и тогда с опасностью вплотную столкнутся миллионы обычных пользователей интернета. По предварительной информации, эксплойт работает во всех браузерах.

Известный независимый исследователь в сфере ИТ-безопасности Брайан Кребс поговорил с разработчиками Blackhole — они сообщили, что стоимость подобной Java-уязвимости на чёрном рынке составляет до $100 000, если готовый эксплойт продают для эксклюзивного использования. В данном случае его использовали для таргетированной атаки с целью шпионажа авторы вредоносной программы Poison Ivy, которая попала в руки исследователей из антивирусных компаний. До настоящего момента им удавалось держать информацию в секрете — но вчера в открытом доступе опубликован Proof-of-Concept, и теперь ничто не мешает злоумышленникам использовать эксплойт в своих целях, защиты против него не существует.

Oracle выпускает патчи раз в 4 месяца, и следующий выпуск запланирован на 16 октября, почти через два месяца. Oracle очень редко выпускает внеплановые патчи, но для такой уязвимости всё-таки может сделать исключение. Всем известно, насколько большой вред могут нанести Java-экслойты, в связи с широкой популярность Java-машины на всех платформах.


░▒▓█▀▄▀■■▀▄▀█▓▒░
Ответить с цитированием
Ads
Ответ

Метки
hack , virus

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вирус. Lumma Любые вопросы от новичков 44 24.03.2012 07:25
Вирус KyPMAH Любые вопросы от новичков 2 20.02.2012 11:06
Вирус или не вирус? lur Любые вопросы от новичков 1 05.11.2011 19:08
Вирус Acer-69 Любые вопросы от новичков 3 05.11.2011 01:13
Вирус SOS!!! wanchester Любые вопросы от новичков 5 29.09.2011 18:27
вирус Serfer575 Любые вопросы от новичков 11 23.08.2011 12:42
Вирус bory Софт и программы 13 06.01.2010 15:59
Вирус!!! Sашка Антивирусы 5 16.03.2009 02:02
вирус fdnj Антивирусы 3 07.03.2009 21:34
Вирус Den2000 Pascal 9 04.01.2009 15:02
Вирус goldrex Антивирусы 1 24.11.2008 07:47
вирус DVG Антивирусы 9 14.04.2008 16:50



Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Нardforum.ru - компьютерный форум и программирование, форум программистов