Авторизируйтесь,
чтобы продолжить
Некоторые функции доступны только зарегистрированным пользователям
Неправильный логин или пароль

Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!

Здравствуйте, гость ( Вход | Регистрация )



7 страниц V  1 2 3 > »   
Ответить в эту темуОткрыть новую тему
> Новые вирусы, Отчеты
MatLion
сообщение 23.10.2007, 14:51
Сообщение #1


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 550
Регистрация: 27.6.2007
Из: Новосибирск
Пользователь №: 954



Репутация:   17  


Отчет о вирусной активности от PandaLabs:

Практически 32% пользователей, имеющих на ПК установленное решение безопасности и прошедших сканирование на веб-сайте Infected or Not (http://www.infectedornot.com) на этой неделе, оказались заражены каким-либо видом вредоносного ПО. Что же касается незащищенных пользователей, среди них оказались заражены 44.71% компьютеров. "Полученные данные являются доказательством того, что пользователи чувствуют себя в безопасности, многие компьютеры заражаются даже при наличии установленной защиты. Традиционных решений безопасности уже недостаточно для того, чтобы бороться со всё увеличивающимся количеством новых вредоносных кодов, и поэтому их необходимо дополнять более мощными онлайн-решениями, такими как NanoScan и TotalScan,” объясняет Луис Корронс, технический директор PandaLabs.

Из новых образцов вредоносных кодов, появившихся на прошлой неделе, PandaLabs (www.viruslab.ru) решила обратить внимание на червей UzaScreener.A, Winko.G и Destructor.A.

UzaScreener.A проникает в компьютер под видом папки Windows - My_Personal_Data. Если пользователь попытается её открыть, то немедленно запустит червя.

Этот вредоносный код предназначен для перезагрузки компьютера при каждом ключении. Как только компьютер перезагрузится 10 раз, фон системного окна заменяется новым, содержащим следующий текст: "U.Z.A. Operating system”. Он также изменяет изображение, которое появляется при включении компьютера, и выполняет различные вредоносные действия для того, чтобы отключить диспетчер задач.

UzaScreener.A также демонстрирует следующее сообщение: "U.Z.A O/S is a virus made by ANJ which is dedicated to his very sweet and lovely wife, AAZ...With lots of love (U.Z.A O/S – это вирус, созданный ANJ и посвященный его очень милой и одинокой жене, AAZ…C любовью) ”.

Червь Winko.G распространяется посредством создания своих копий на всех возможных системных накопителях, включая съемные носители. Также он создает файл AUTORUN.INF, который запускается при каждом обращении к зараженным блокам.

Этот червь занимается загрузкой вредоносных кодов из семейств троянов Lineage и Gamania, предназначенных для кражи паролей к онлайновым играм на различных сайтах. Кроме того, он создает несколько новых записей в реестре Windows и уничтожает записи из отчета, который отображает сообщения о системных ошибках.

Destructor.A копируется на все накопители зараженной системы, в результате чего червь запускается при обращении пользователей к зараженному ресурсу. Данный вредоносный код одновременно запускает несколько процессов, замедляя работоспособность системы. Кроме того, он заменяет фон на новый со словом: "Destructor”.

Данный червь создает несколько записей в реестре Windows, что позволяет ему запускаться при каждой перезагрузке системы, и изменяет стартовую страницу Internet Explorer.

На этой неделе PandaLabs также собрала информацию о первых образцах спама в MP3-формате.

Источник viruslab.ru
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
MatLion
сообщение 24.10.2007, 12:36
Сообщение #2


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 550
Регистрация: 27.6.2007
Из: Новосибирск
Пользователь №: 954



Репутация:   17  


Троян под видом Скайпа

Обнаружен троян, маскирующейся под установочный файл Skype.
В процессе установки производится кража данных доступа к аккаунту Skype пользователя и другие пароли/логины, хранящиеся в базе Internet Explorer. Обнаруженный троян распространяется в файле 65404-SkypeDefenderSetup.exe с использованием логотипа Skype. При запуске перед пользователем появляется вполне правдоподобное окно интерфейса Skype для ввода пароля и логина, хотя наиболее внимательные заметят отличие кнопки "sign in" от таковой в настоящей программе.

Ни одна функция запущенной поддержки Skype кроме принятия информации для доступа к аккаунту не работает. Троян распространяется посредством спамовых рассылок и сообщений со ссылками в IM-клиентах. Представитель Skype отметил, что успех трояна в большей степени зависит от сообразительности пользователя, поэтому он не получит широкого распространения. Во всяком случае, пока Skype зарегестрировала всего несколько жалоб на поддельный VoIP-клиент. Кроме того, в трояне отсутствует функция самостоятельного распространения или копирования, что значительно снижает возможность повсеместного заражения им.


В Сети появился новый штамм трояна Trojan.Bayrob, впервые обнаруженного в марте

Сложный вредоносный код работает как прокси-сервер, подделывающий некоторые страницы eBay.com и ряда других платежных сайтов. Пострадала, по крайней мере, одна покупательница – она перевела $8650 за автомобиль, но деньги попали к хакерам.

Троян устанавливает на захваченный компьютер упрощенный вариант веб-сервера, отображающего подставные страницы eBay.com, а также Carfax.com, Autocheck.com, Escrow.com и некоторых других ресурсов.

Вскоре после подачи заявки на участие в аукционе пользователь получает в почтовый ящик eBay («My Messages») сообщение о том, что он предложил самую высокую цену и может приобрести товар. В настоящем ящике сообщения нет – оно находится только на страницах, отображаемых трояном локально. Для покупки от пользователя требуют перевести деньги по указанным реквизитам.

Одна из пользовательниц eBay Motors таким образом перевела мошенникам $8650 за Джип Liberty 2005 г., выставлявшийся в течение 10 дней. Аукцион отказывается возместить ущерб, поскольку транзакция была проведена за пределами сайта.

Первоначально троян работал только для eBay. Новая версия «поддерживает» десяток сайтов.

Источник: inattack.ru


Сообщение отредактировал MatLion - 24.10.2007, 12:37
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
MatLion
сообщение 30.10.2007, 11:23
Сообщение #3


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 550
Регистрация: 27.6.2007
Из: Новосибирск
Пользователь №: 954



Репутация:   17  


Согласно данным, полученным с веб-сайта Infected or Not, Франция, Испания и США – самые зараженные страны

Недельный отчет Panda Security о вирусах и вторжениях

По данным, полученным с веб-сайта Infected or Not (http://www.infectedornot.com), на этой неделе Франция стала страной с самым высоким процентным соотношением зараженных ПК. В этой стране оказались заражены более 38% защищенных компьютеров (имеющих установленное активное и обновленное решение безопасности) и 55% незащищенных компьютеров.

Второе место занимает Испания, где заражены 32.41% защищенных компьютеров и 46.08% незащищенных компьютеров. США оказались на третьем месте, там заражены 31.04% и 41.16% ПК соответственно.

ПНП (потенциально нежелательная программа) MyWebSearch на этой неделе стала самым активным вредоносным кодом во всем мире. Она предназначена для установки в браузере поисковой панели и изменения результатов онлайнового поиска.
Рекламная программа Zango, предназначенная для демонстрации рекламы в то время, когда пользователи находятся в сети интернет, и ПНП FunWeb занимают на этой неделе второе и третье места.
Что же касается нового вредоносного ПО, в этом недельном отчете PandaLabs (www.viruslab.ru) мы рассмотрим 3 червей: Nussack.A, Nama.A и FlashJumper.M.
Nussack.A выполняет многочисленные вредоносные действия. Функции кейлоггера позволяют ему записывать нажатия на клавиши и клики мышкой. Кроме того, его действия часто бывают раздражающими, так как он: открывает и закрывает CD-DVD-привод, демонстрирует сообщение ”I Love Kasun” и вызывает мерцание окна Internet Explorer.
Для распространения червь копирует себя на различные съемные носители такие, как карты памяти USB, цифровые камеры и MP3-плееры.
Nama.A использует для распространения такой же способ. Он обманом заставляет пользователя запустить себя, а затем копируется в систему под именем XLS-файла, но при этом с расширением VBS. Затем он скрывает расширения всех файлов, чтобы пользователи не смогли заметить разницы между оригинальным файлом и копией червя.
Этот червь блокирует запуск программ при загрузке системы. Также он создает записи в реестре, которые влияют на производительность системы, и могут вывести её из строя, не будучи корректно исправленными после заражения.
Nama.A также выполняет другие вредоносные действия: скрывает опции Найти и Выполнить в меню Пуск и блокирует доступ к консоли MS-DOS.
FlashJumper.M – это червь, который копирует себя на носители, подключенные к системе, включая сетевые носители. Также он создает на всех из них файл autorun.inf, чтобы иметь возможность запускаться при доступе пользователей к накопителю через Windows explorer.
Этот червь также создает ключ в реестре Windows, чтобы запускаться при каждой загрузке системы.

Сообщение отредактировал MatLion - 30.10.2007, 11:23
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
MatLion
сообщение 6.11.2007, 10:49
Сообщение #4


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 550
Регистрация: 27.6.2007
Из: Новосибирск
Пользователь №: 954



Репутация:   17  


Хеллоуин породил новую версию StormWorm

Специалисты по безопасности предупреждают пользователей о том, что среди всех остальных писем, посвященных теме Хэллоуина, могут оказаться вредоносные. В одной из массовых спамерских рассылок читателям предлагается скачать и установить себе на рабочий стол "танцующего скелета".

Вместо скелета они получают новый вариант трояна Storm . Зараженные этой программой компьютеры становятся частью огромного ботнета, управляемого хакерами. Доступ к компьютерам-"зомби" из этой сети затем продают на "подпольных" форумах, после чего он используется для рассылки спама или проведения DoS-атак.
При участии зараженных Storm компьютеров рассылается 20% всего спама в мире.

Напомним, что первый раз Storm заявил о себе в январе этого года. С самого начала он ориентировался на письма-обманки – то о сильной непогоде в Европе (отсюда и название трояна), то о различных праздниках и широко обсуждаемых событиях. Были также модификации, где пользователю приходила ссылка якобы на электронную открытку или "интересный ролик" на YouTube.

В августе Storm эволюционировал технически - научился отвечать DoS-атакой по протоколу ICMP на любой компьютер, который пытается просканировать зараженную сеть и удалить вирус. Впрочем, основной движущей силой трояна является все же остается чрезмерное любопытство пользователей. Рекомендации антивирусных компаний о том, что не нужно открывать непонятно от кого пришедшие файлы или ссылки, которые звучат уже много лет, похоже, не могут изменить ситуацию.

Троян для Mac OS

В Сети появился троян OSX.RSPlug.A, работающий под Mac OS X и предназначенный для кражи платежных реквизитов.

На некоторых вредоносных порносайтах при попытке пользователя просмотреть видео выводится сообщение об отсутствии кодека для QuickTime и предлагается загрузить его по ссылке. Вместо кодека пользователь получает троян, заменяющий адрес DNS-сервера. Подставной сервер используется для перенаправления веб-запросов к eBay, PayPal и различным банковским сайтам на вредоносный сайт. При установке «кодека» система запрашивает у пользователя пароль администратора, сообщает The Register со ссылкой на Intego.

На сайте расположено несколько версий трояна, предназначенных для разных стран. Троян записывает в crontab (аналог «Планировщика задач» Windows) задачу с правами root, ежеминутно запрашивающую доступность хакерского DNS-сервера.

В Mac OS X 10.4 нет возможности увидеть, какой DNS-сервер используется системой. 10.5 предоставляет такую функцию в разделе «Advanced Network», но пользователь/администратор может только просмотреть информацию.

Источник: inattack.ru

Компания "Лаборатории Касперского" подвела итоги анализа вирусной активности в интернете в прошлом месяце.

По данным "Лаборатории Касперского" в конце октября киберпреступники осуществили две массовые рассылки вредоносных программ. В первом случае злоумышленники попытались незаконным путем получить персональную информацию о пользователях платежной системы "Яндекс.Деньги". Для этого мошенники создали несколько десятков поддельных сайтов и осуществили массовую рассылку писем от имени администрации сервиса. В письмах получателю предлагалось перейти по указанной ссылке и подтвердить свои регистрационные данные. Однако из-за ошибки, сделанной при составлении ссылки, при нажатии на нее в клиентах Microsoft Outlook/Outlook Express фишерский сайт не открывался. В результате, особой пользы преступникам рассылка не принесла, однако троян Fraud.ay, использовавшийся злоумышленниками, попал на второе место вирусной двадцатки Касперского.

Вторая атака была более результативной. Электронную почту наводнили письма, содержащие в качестве вложения PDF-файл, эксплуатирующий опасную дыру в продуктах компании Adobe. При открытии такого PDF-документа происходило выполнение вредоносного кода, в результате чего в систему жертвы загружался троян PDF-URI.k. Эта вредоносная программа попала на шестую строку рейтинга Касперского.

В целом же, большую часть мест в вирусном хит-параде Касперского занимают старые и давно известные вредоносные программы, в число которых входят NetSky, Mydoom, Bagle, Feebs, Nyxem, Scano и Lovegate. Полностью октябрьская двадцатка выглядит следующим образом:

1. Email-Worm.Win32.NetSky.q - 20,11%
2. Trojan-Spy.HTML.Fraud.ay - 10,83%
3. Email-Worm.Win32.NetSky.aa - 9,07%
4. Worm.Win32.Feebs.gen - 5,97%
5. Email-Worm.Win32.Mydoom.l - 5,85%
6. Exploit.Win32.PDF-URI.k - 5,17%
7. Email-Worm.Win32.NetSky.t - 4,94%
8. Email-Worm.Win32.Bagle.gt - 4,31%
9. Email-Worm.Win32.Nyxem.e - 4,16%
10. Net-Worm.Win32.Mytob.c - 4,12%
11. Email-Worm.Win32.NetSky.x - 2,72%
12. Email-Worm.Win32.Scano.gen - 2,61%
13. Net-Worm.Win32.Mytob.t - 2,37%
14. Virus.Win32.Virut.a - 1,87%
15. Net-Worm.Win32.Mytob.u - 1,75%
16. Email-Worm.Win32.NetSky.b - 1,40%
17. Email-Worm.Win32.LovGate.w - 1,28%
18. Net-Worm.Win32.Mytob.dam - 1,28%
19. Exploit.Win32.IMG-WMF.y - 1,07%
20. Trojan-Spy.HTML.Paylap.bg - 1,07%

Сообщение отредактировал MatLion - 6.11.2007, 10:50
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
MatLion
сообщение 6.11.2007, 17:11
Сообщение #5


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 550
Регистрация: 27.6.2007
Из: Новосибирск
Пользователь №: 954



Репутация:   17  


Включаете вы свой Windows, а там...


Изображение


Всё бы ладно, пиратская винда, пусть и корпоративная, у которой кастрировано средство активации. Но если ткнуть кнопку с ключиком жёлтым можно увидеть вот это:
Изображение

Это естественно развод. Это нынче в рунете сейчас вирус такой гуляет. Название и как от него излечиться к сожалению не знаю. Те, кто заразится:

— грузимся в безопасном режиме (консоль именно!)
— в консоли набираем (regedit)
— regedit
— по адресу
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftW indows NTCurrentVersionWinlogon]
ключ "Shell"="Explorer.exe" < — если не такой а подобие ( …system32driversVinlogon.exe ) то это вирус, замените на ключ "explorer.exe"
— сканим регистр на наличие "driversVinlogon.exe" и мочим наглухо
— рестарт ( через консоль должно работать C:WINDOWSsystem32shutdown.exe )
— грузим в нормальном режиме и проходим полный скан антивирем

ДАВАЙТЕ ПОМОЖЕМ БЛИЖНЕМУ!!! КОМУ НЕ ТРУДНО ПРОЦЕТИРУЙТЕ ЭТОТ ПОСТ ЧТО БЫ КАК МОЖНО БОЛЬШЕ НАРОДУ УЗНАЛО ОБ ЭТОМ МАРАЗМЕ!!!!
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
MatLion
сообщение 12.11.2007, 10:15
Сообщение #6


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 550
Регистрация: 27.6.2007
Из: Новосибирск
Пользователь №: 954



Репутация:   17  



PandaLabs сообщает: самыми активными угрозами октября были трояны и рекламное ПО

По данным, полученным с помощью онлайнового антивирусного решения Panda ActiveScan (www.viruslab.ru), в октябре наиболее активными угрозами стали трояны и рекламное ПО. Они стали причиной 25.97% и 23.37% обнаруженных заражений соответственно.

"Троянов можно использовать для целого ряда криминальных действий, которые приносят своим создателям крупную прибыль либо напрямую посредством кражи информации, которую можно использовать для онлайнового мошенничества, либо косвенно за счет выставления рекламщикам счетов за рассылку спама по бот-сетям", объясняет Луис Корронс, технический директор PandaLabs. "Рекламные коды также могут приносить очень хорошую прибыль, в основном за счет недобросовестных маркетинговых компаний, которые платят создателям такого вида вредоносных кодов за демонстрацию нежелательной рекламы".

Следом за троянами и рекламными кодами идут черви, вид вредоносного ПО, который встречается всё реже и реже из-за новой динамики вредоносного ПО. Данный вид вредоносного кода, который некогда становился причиной самых громких вирусных эпидемий в истории, сегодня отходит на второй план. В октябре всего лишь 8.31% заражений было вызвано этим видом угроз.

Среди других угроз, вызвавших проблемы в прошлом месяце, оказались backdoor-трояны (3.97%), шпионское ПО (3.16%), дозвонщики (2.84%) и боты (2.33%).

Самым активным экземпляром вредоносного ПО стал троян Downloader.MDW. За ним следует рекламный код PC-Prot, который представлен в рейтинге впервые, а третье место занимает троян Downloader.OZB.

Далее по порядку идут троян Lineage.BZE, backdoor-троян W32/IRCbot.BEP.worm и черви Brontok.H и Puce.E.

Замыкают список вредоносные коды, которые не фигурировали в рейтинге прошлого месяца: backdoor-троян Hupigon.AZG, троян Dropper.UN и скрипт Sdbot.ftp, используемый червями данного семейства для распространения через FTP.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
MatLion
сообщение 14.11.2007, 11:41
Сообщение #7


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 550
Регистрация: 27.6.2007
Из: Новосибирск
Пользователь №: 954



Репутация:   17  


Трояны в Google Pack

Троянские видеокодеки, распространяемые через порносайты, теперь предлагаются в составе пакетов легального ПО. В конце прошлой недели троянский кодек был обнаружен в Google Pack на одном из подставных сайтов, представленном как аффилиат крупнейшего поискового портала.

ИБ-специалисты обнаружили и удалили сайт, однако не исключено, что подобное поведение распространителей троянов повторится. Google Pack включает в себя набор полезных бесплатных программ, таких как Firefox, Skype, Adobe Reader и утилиты для защиты от вредоносного кода.

До сих пор троянские кодеки распространялись только через порносайты. Посетителю, желающему посмотреть видео, сообщали, что для этого необходимо установить кодек, и предлагали исполняемый файл. Таким образом распространяется и троян для Mac OS X, OSX.RSPlug.A, крадущий реквизиты.


Индийские новости дарят троянов

Около 430 различных хакерских программ распространяет сейчас сайт IndiaTimes.

Многие из них, по словам представителей одной компаний, специализирующейся на IT-безопасности, не распознаются антивирусными программами и используют ранее не изученные уязвимости Windows-систем, что ставит пользователей в поистине угрожающие условия. Специалисты призвали пользователей Интернета воздержаться от посещения сайта IndiaTimes.

К сегодняшнему дню проблема должна быть решена, однако мы не рекомендуем заходить на сайт IndiaTimes, чтобы проверить обещания индусских администраторов.=)) При этом большинство страниц на сайте издания все же остались "чистыми".

Интересно, что именно в Индии произошла другая нашумевшая история - сайт Полицейской академии "пригрел на своей груди" фишеров, обиравших клиентов Bank of America. Более наглые фишеры активно используют мощности госсайтов Украины и Китая.

Seagate выпустил новую партию жестких дисков с трояном

1800 внешних жестких дисков компании Seagate, выпускаемых под брэндом Maxtor Basics 500G, с записанными на них вирусами были проданы на Тайване.

Бюро расследований министерства юстиции Тайваня, получив жалобы от недовольных покупателей, решило изучить проблему подробнее.

Результатом стали неожиданные выводы о том, что виноваты во всем власти Китая. "В последние годы китайское правительство ведет шпионскую программу, опирающуюся на использование информационных технологий и Интернета", - решили в бюро расследований.

Загруженный на жесткие диски вирус отсылает информацию на два сайта, расположенных в Пекине, выяснили в бюро и решили, что устройства большого объема выбраны неспроста – именно их часто используют государственные организации Тайваня для хранения разного рода баз данных.

Однако, версия о заговоре против непризнанной республики Тайвань не подтвердилась. Чуть позже журналисты опубликовали другой материал, опирающийся на исследования "Лаборатории Касперского". Как оказалось, троян Virus.Win32.AutoRun.ah, записанный на жесткие диски, оказался менее вредным. Никакие базы данных он не ворует, а лишь отправляет своим хозяевам пароли от онлайн-игр и зачем-то удаляет с диска mp3-файлы (странно, правда?)=)

Компания Seagate не стала уточнять, на какой именно стадии производства произошла запись вирусов, зато пообещала всем покупателям жестких дисков бесплатную 60-дневную версию Kaspersky Anti-Virus 7.0 (Жесть!))

Напомним, что это уже не первый случай появления трояна Virus.Win32.AutoRun.ah на внешних устройствах хранения данных. Не так давно, в сентябре, червь был обнаружен в модели Maxtor 3200 Personal Storage, продаваемой в Нидерландах. Тогда Seagate свою вину отрицала, основываясь на том, что диски не имели никакого предварительно загруженного ПО, поэтому непонятно откуда там мог взяться вирус.


Иточник: inattack.ru


По данным, полученным на прошлой неделе с веб-сайта Infected or Not, 14% компьютеров оказались заражены активным вредоносным ПО

Недельный отчет Panda Security о вирусах и вторжениях
Примерно 14% компьютеров, просканированных на прошлой неделе на веб-сайте Infected or Not (http://www.infectedornot.com) с помощью онлайновых сканеров NanoScan и TotalScan, оказались заражены активным вредоносным ПО, то есть угрозами, которые в момент сканирования выполняли на ПК какие-либо вредоносные действия.

25% проверенных компьютеров оказались заражены латентным вредоносным ПО, т.е. установленными в системе вредоносными кодами, но не действующими на момент проверки.

На 72% от общего числа просканированных компьютеров имелась какая-либо антивирусная защита. Однако наличие такой защиты не гарантирует полной безопасности, поскольку практически 30% всех защищенных ПК оказались заражены вредоносными кодами.

Теперь уже недостаточно иметь на компьютере традиционную защиту, работающую на основе сигнатурных файлов. Необходимо дополнить её предупреждающими технологиями, способными обнаруживать угрозы посредством анализа их поведения, а также периодическими проверками с помощью утилит, которые выявляют гораздо большее количество вредоносного ПО”, подтверждает Луис Корронс, технический директор PandaLabs. Он продолжает: ”NanoScan и TotalScan – вот примеры таких утилит, они работают в соответствии с принципом коллективной безопасности. Эта система не просто сверяется с единым сигнатурным файлом, но и использует обширную базу знаний, расположенную на серверах Panda, что позволяет вышеперечисленным утилитам обнаруживать гораздо больше вредоносных кодов”.

По данным, полученным с помощью TotalScan, вредоносными кодами, которые нанесли наибольший ущерб на прошлой неделе, стали рекламные коды Zango и Navipromo, а также шпионская программа Virtumonde.

Среди появившихся новых кодов PandaLabs (www.viruslab.ru) особо выделяет троянов Astry.A и EbodaR.A.

Astry.A блокирует у пользователя возможность изменения настроек Windows Explorer с помощью опции Свойства папки. Кроме того, он демонстрирует несколько сообщений, одно - в начале сессии, второе - в определенные моменты, устанавливаемые самим трояном.

Более того, Astry.A редактирует информацию, отображаемую в закладке Вид в опции Свойства папки Windows Explorer.

EbodaR.A – это троян, который устанавливается на компьютерах в результате эксплуатации уязвимости, присутствующей в некоторых версиях Acrobat Reader. Также в системе должен быть установлен браузер Internet Explorer 7.

Для того, чтобы воспользоваться брешью безопасности, злоумышленники пересылают вредоносные PDF-файлы в электронных сообщениях. Если пользователь запускает файл – выполняется команда Windows XP, которая отключает системный брандмауэр. Затем с определенного интернет-адреса загружается троян, который затем запускается.

Сразу после установки EbodaR.A может загружать на зараженный компьютер другие вредоносные файлы.

Источник: viruslab.ru

Сообщение отредактировал MatLion - 14.11.2007, 11:41
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
MatLion
сообщение 21.11.2007, 11:40
Сообщение #8


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 550
Регистрация: 27.6.2007
Из: Новосибирск
Пользователь №: 954



Репутация:   17  


MSN опять грызет червь

Специалисты компании Aladdin обнаружили нового трояна, распространяющегося через службу обмена мгновенными сообщения MSN. Уже спустя несколько часов после первого обнаружения (случившегося вечером 18 ноября), червь захватил более 11 тысяч систем. Ежечасно участниками бот-сети, управляемой с помощью одного из каналов IRC, становятся около сотни новых компьютеров.

Троян рассылает свои копии в виде выполняемых файлов под видом картинок с расширением jpg, находящихся в zip-архиве. При этом зараженные файлы приходят пользователям MSN в основном от контактов из списка, аккаунты которых были уже взломаны. Одна из особенностей червя - использование сразу нескольких процессов для захвата новых машин; червь крадёт пароли, рассылает вредоносное ПО и спам.

Эксперты Aladdin отмечают, что впервые засеченный ими IM-троян распространяется также и через VPN-сети. Таким образом, попав на компьютер через MSN, он сканирует сеть на предмет уязвимых компьютеров, так что его объектами его нападений могут становиться и системы, не использующие интернет-пейджер MSN.

Источник: inattack.ru

75% новых вредоносных кодов, появившихся в третьем квартале 2007 года - трояны
Такие данные были получены из отчета PandaLabs об активности вредоносного ПО в третьем квартале 2007 года. Отчет также содержит сравнительный обзор утилит, наиболее часто используемых кибер-преступниками для установки вредоносных кодов с использованием эксплойтов


Екатеринбург, 20 ноября 2007г.

Согласно данным, полученным из отчета PandaLabs 3Квартал 2007, 75% от общего числа новых вредоносных кодов, появившихся в третьем квартале 2007 года – трояны. (С отчетом на англ. языке, можно ознакомиться здесь:
http://pandalabs.pandasecurity.com/archive...mber-2007.aspx)

“Трояны по-прежнему остаются наиболее многочисленной категорией нового вредоносного ПО. Причина в том, что данный вид вредоносных кодов представляет собой идеальный инструмент новой динамики распространения вредоносных кодов, в рамках которой кибер-преступники жаждут получать от своих атак финансовую прибыль”, объясняет Луис Корронс, технический директор PandaLabs.

Рекламное ПО (12%) и черви (11%) заняли второе и третье места по количеству новых образцов, появившихся за последние три месяца.

По количеству заражений трояны также возглавили список. По итогам третьего квартала, они стали причиной 32% от общего числа обнаружений вредоносного ПО в компьютерах пользователей. На втором месте, с коэффициентом заражения 24%, оказалось рекламное ПО.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
XadoR
сообщение 9.3.2008, 3:15
Сообщение #9


Тярлецкий ачец!
Group Icon


Группа: VIP
Сообщений: 8 604
Регистрация: 8.3.2008
Из: The union of the Soviet Sotsialestichesky Republics
Пользователь №: 24 158



Репутация:   1937  


Ужос-ужасный! Фаервол, антивирь усё есть. Фсёравно ппц страшно. hung.gif
Invison Power Board 3.x.x Моды | хуки | дополнения

Сообщение отредактировал XadoR - 23.5.2011, 16:31
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
BOPOH[VII]
сообщение 9.4.2008, 21:24
Сообщение #10


Всегда в теме
Group Icon


Группа: Sibnet-club
Сообщений: 322
Регистрация: 24.7.2007
Из: Ленинск-Кузнецкий
Пользователь №: 2 551



Репутация:   20  


Беда такая...у мя мр3 плеер...дома день работал нормально...пошел к подруге скинул на него инфу...пришел домой воткнул в USB, а он не определяется...на следующий день пошел в училище,решил попробывать там...там тоже самое)))Вечером пришел ко мне друг...с телефоном,воткнули в USB он не определяется,пришел он домой и дома тоже самое...)))Хелп
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Dear Tony
сообщение 10.4.2008, 8:36
Сообщение #11


МЕГА флудер
Group Icon


Группа: Sibnet-club
Сообщений: 1 472
Регистрация: 11.12.2007
Пользователь №: 13 083



Репутация:   108  


Модель плеера?
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Tabon
сообщение 10.4.2008, 8:52
Сообщение #12


Ы
Group Icon


Группа: Sibnet-club
Сообщений: 918
Регистрация: 15.7.2007
Из: Новокузнецк
Пользователь №: 2 088



Цитата
' date='9.4.2008, 20:24' post='627566']
Беда такая...у мя мр3 плеер...дома день работал нормально...пошел к подруге скинул на него инфу...пришел домой воткнул в USB, а он не определяется...на следующий день пошел в училище,решил попробывать там...там тоже самое)))Вечером пришел ко мне друг...с телефоном,воткнули в USB он не определяется,пришел он домой и дома тоже самое...)))Хелп

кранты плееру.

ЗЫ а причем здесь вирусы???
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
BOPOH[VII]
сообщение 10.4.2008, 11:05
Сообщение #13


Всегда в теме
Group Icon


Группа: Sibnet-club
Сообщений: 322
Регистрация: 24.7.2007
Из: Ленинск-Кузнецкий
Пользователь №: 2 551



Репутация:   20  


Ну ко мне еще и с телефоном подходили,т.е за этот день сломалось :2 плерера,телефон,фотоаппарат(Такого просто быть неможет что в один день у всей техники либо что то сломалось,либо у всех шнуры накрылись...)Вчера еще вечером у мя винт разогнялся...и на стенку кинулся)))Короче набрал такие обороты и бух(((Теперь новый надо покупать
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
ROTOR
сообщение 10.4.2008, 11:19
Сообщение #14


stupid .
Group Icon


Группа: Sibnet-club
Сообщений: 8 642
Регистрация: 5.11.2007
Пользователь №: 9 592



Репутация:   457  


Цитата
Ну ко мне еще и с телефоном подходили,т.е за этот день сломалось :2 плерера,телефон,фотоаппарат(Такого просто быть неможет что в один день у всей техники либо что то сломалось,либо у всех шнуры накрылись...)Вчера еще вечером у мя винт разогнялся...и на стенку кинулся)))Короче набрал такие обороты и бух(((Теперь новый надо покупать

Вам батюшку надо в квартиру пригласить.Пусть осветит. =)
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
BOPOH[VII]
сообщение 11.4.2008, 22:42
Сообщение #15


Всегда в теме
Group Icon


Группа: Sibnet-club
Сообщений: 322
Регистрация: 24.7.2007
Из: Ленинск-Кузнецкий
Пользователь №: 2 551



Репутация:   20  


это просто не реально/читал на форуме что если не определяется,то значит полетела связь между мостами,и мол нуна покупать PCI контролер USB,но у мя вот все по другому...излогаю все в следующих строках,помогите/...прикол такой,ставлю модем...его дрова...и он работает,так же и мышь только без дров...а вставляю карт ридер с карточкой,комп зависает,вытакскиваю....продолжает работать как ни в чем не бывало(((Вставляю фотик,комп его подключает,пишет что найдено новое устр,и может работать,а после вылазиет "трехпалая вилка" и говорит что устройство не определено...Думал может вирусина на винте сидит,купил сегодня новый,тоже самое...Потом подумал может диск с виндой погнал,нашел другой,тоже самое...что делать?!
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Spartak13
сообщение 15.4.2008, 16:42
Сообщение #16


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 940
Регистрация: 12.4.2008
Из: Омск
Пользователь №: 29 149



Репутация:   81  


если хотите могу дать описания многим вирусам если интересно....
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
BOPOH[VII]
сообщение 19.4.2008, 22:03
Сообщение #17


Всегда в теме
Group Icon


Группа: Sibnet-club
Сообщений: 322
Регистрация: 24.7.2007
Из: Ленинск-Кузнецкий
Пользователь №: 2 551



Репутация:   20  


Ага очень,только охото по моему что бы отписались,да еще и ключ на каспера ...
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Spartak13
сообщение 20.4.2008, 7:21
Сообщение #18


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 940
Регистрация: 12.4.2008
Из: Омск
Пользователь №: 29 149



Репутация:   81  


Зачем тебе касперский , установи Nod32 + AVZ и не будет больше никогда проблем+ ключи не надо искать а обновления с бесплатных серверов)))


вот немного описания разных вирусов....

Trojan-Proxy.Win32. Xorpix.ar

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Является приложением Windows (PE EXE-файл). Имеет размер около 17 КБ. Упакована при помощи UPack, размер распакованного файла — около 258 КБ.

Инсталляция

После запуска троянец создает в папке %Documents and Settings%\%All Users%\%Common Documents%\Settings файл arm32.dll. Файл имеет атрибут «скрытый».

Устанавливает загрузку своей библиотеки при старте процесса Winlogon (во время загрузки системы):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg]
"Asynchronous"="dword: 0x00000001"
"DllName"="%Documents and Settings%\%All Users%\%Common Documents%\Settings\arm32.dll"
"Startup"="arm32reg"
"Impersonate"="dword: 0x00000001"

Троян непрерывно проверяет наличие данного ключа реестра и восстанавливает его в случае ручного удаления.

Деструктивная активность

Троянец загружает с сайта злоумышленника файл конфигурации, необходимый для своей работы и сохраняет его в следующую папку:
%Documents and Settings%\%All Users%\%Common Documents%\Settings\desktop.ini

После этого троян запускает процесс iexplore.exe и внедряет в него свой код. Данный процесс открывает произвольный TCP-порт в системе. После чего номер открытого порта троян отправляет злоумышленнику.

Таким образом злоумышленник получает возможность работать в сети от имени зараженного компьютера без ведома пользователя.


VirTool.MSWord. Aspee

Макро-вирус для Microsoft Word 97. Является документом MSWord (DOC-файл). Имеет размер 29184 байта. Написан на макроязыке MSWord.

Деструктивная активность
Данная вредоносная программа используется как компонент других макро-вирусов. Реализует функции шифрования произвольным ключом строковых выражений. Для чего используется:
AntiSocial Poly-Encryption Engine v.1.0
By Lys Kovick For The Alcoholic Anarchists of America (AAA)

Другие названия
VirTool.MSWord.Aspee («Лаборатория Касперского») также известен как: VirTool.Macro.Word97.Aspee («Лаборатория Касперского»), W97M/Generic (McAfee), W97M.AntiSocial.I,K (Symantec), W97M.AntiSocial (Doctor Web), WM97/Aspee-A (Sophos), W97M/Antisocial (Grisoft), W97M/Generic (Panda)


Trojan.Win32.VB.ami

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на Visual Basic.
После запуска троянец посылает следующий HTTP-запрос:
ne***.com/rankboost.php?0
Результатом этого запроса является страница, содержащая текст следующего скрипта JavаScript, который будет выполнен сразу же после выполнения запроса.
В этом скрипте происходит получение содержимого веб-страницы, генерируемой скриптом cs.php по адресу ne***.com/deliver/cs.php через 99 секунд после выполнения предыдущего скрипта. На этой странице размещено два других скрипта. В первом происходит анализ размера окна браузера, и если оно больше или равно 300 пикселям, то происходит перенаправление на сайт ne***.com. В противном случае выполняется скрипт, посылающий поисковый запрос на один из следующих поисковиков:
bit***.com
xit***.com
При каждом вызове скрипта cs.php для поискового запроса генерируется новое слово. Новый вызов повторяется через определенный промежуток времени для следующего слова поиска.


Trojan-Downloader.Win32.Nurech.l

Троянская программа, которая осуществляет загрузку из интернета и запуск на компьютере пользователя других вредоносных программ. Программа является приложением Windows (PE EXE-файл). Имеет размер 5554 байта. Упакована при помощи FSG. Распакованный размер — около 32 КБ. Написана на C++.
Первоначально данный троянец был разослан при помощи спам рассылки.
После запуска троянец производит чтение последних 255 байт своего тела. В них в зашифрованном виде расположены ссылки на файлы для скачивания (%URL%). После расшифровки проверяется правильность строки со ссылкой (первый символ должен быть «H» или «h»). В случае анализируемого объекта это следующие ссылки:
marina.users.*************.com/1/1.exe — детектируется Антивирусом Касперского как Trojan-Spy.Win32.BZub.gd, 96984 байта;
marina.users.*************.com/1/zupacha.exe — детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Cimuz.ci, 17920 байт;
marina.users.*************.com/1/chii.exe — детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Cimuz.bw, 48128 байт.
Загруженные файлы сохраняются в корневом каталоге Windows (%WinDir%).
После загрузки каждого из файлов происходит их последующий запуск на исполнение.
Ниже приведен пример зараженного письма:



Email-Worm.Win32. Warezov.jv

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Во вложение червь помещает не свою копию, а компонент, который загружает из интернета новейшие обновления червя с различных сайтов злоумышленника.
Червь является приложением Windows (PE EXE-файл), имеет размер 101083 байт. Упакован при помощи Upack. Размер в распакованном виде — около 376 КБ.

Инсталляция

При запуске червь копирует свой исполняемый файл в папку Windows с именем tpup.exe и запускает его с ключом “s”:
%WinDir%\tpup.exe
Извлекает из своего тела файл e1.dll (размер 6144 байт):
%System%\e1.dll
Для автоматической загрузки своих компонент при последующих стартах Windows червь создает параметры в ключах автозагрузки системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
tpup=%WinDir%\tpup.exe s
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs=<имя случайной системной библиотеки> e1.dll

Распространение через email

Поиск адресов для отправки зараженных писем производится в адресных книгах Outlook, а так же в файлах на жестком диске пользователя.
Найденные адреса электронной почты сохраняются в файле:
%WinDir%\tpup.wax

Деструктивная активность

По всем найденным адресам электронной почты червь рассылает письма, содержащие во вложении троянский загрузчик, который скачивает из интернета основной исполняемый файл червя:
Тема письма выбирается из списка:
* Error
* Good Day
* hello
* Mail Delivery System
* Mail server report
* Mail Transaction Failed
* picture
* Server Report
* Status
* test
Текст письма выбирается из списка:
* Mail transaction failed. Partial message is available.
* The message cannot be represented in 7-bit ASCII encoding and has been sent
as a binary attachment.
* The message contains Unicode characters and has been sent as a binary attachment.
* Mail server report.
Our firewall determined the e-mails containing worm copies are being sent from
your computer.
Nowadays it happens from many computers, because this is a new virus type
(Network Worms).
Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail
addresses and sends the copies of itself to these e-mail addresses
Please install updates for worm elimination and your computer restoring.
Best regards,
Customers support service
Имя файла вложения содержит следующие строки в своем имени:
* body
* data
* doc
* docs
* document
* file
* message
* readme
* test
* text
* Update-KB<случайные цифры>-x86

И расширения zip или doc.exe или txt.exe, перед которыми следует длинная последовательность пробелов.
В процессе работы создает файлы:
%WinDir%\tpup.dat
%WinDir%\tpup.s

Компонент червя:
%System%\e1.dll

Внедряется в случайно выбранные процессы в системе и служит для отключения антивирусной защиты компьютера. Данный компонент пытается завершить процессы антивирусов и персональных брандмауэров и остановить их службы.
Также червь загружает список ссылок на файлы в интернете с различных сайтов злоумышленника, после чего скачивает файлы по этим ссылкам и сохраняет их во временную папку Windows с временными именами и запускает их.

блин если все вирусы описывать да тут тогда и 50 страниц не хватит)))Меня бы в сотрудники Sibnet взяли я бы тогда помог с этим делом...)
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
_- Stalker -_
сообщение 8.5.2008, 15:58
Сообщение #19



Group Icon


Группа: VIP
Сообщений: 7 850
Регистрация: 14.2.2008
Из: г. Бийск
Пользователь №: 20 654



Репутация:   2811  


Сюда захожу Очень Редко, Просто интересно почитать smile.gif
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
kaa
сообщение 13.5.2008, 10:24
Сообщение #20


melomaniaq
Group Icon


Группа: I love music
Сообщений: 5 581
Регистрация: 28.6.2007
Из: Черногорск
Пользователь №: 1 046



В начале 2008 г. аналитики компании «Доктор Веб» обнаружили образцы Win32.Ntldrbot – руткита, который полтора года оставался невидимым для всех антивирусных компаний. Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам, и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама. По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей мира и способна рассылать ежедневно до 30 млрд спам-сообщений. Основная область «специализации» этой сети - ценные бумаги и фармацевтика.

Причиной столь длительного «безнаказанного» функционирования руткита стала невозможность обнаружения образцов поздних версий программы (а именно версии Rustock.C) ни антивирусными компаниями, ни вирусописателями. Большинство антивирусных вендоров отказались признавать даже само существование Win32.Ntldrbot, ссылаясь на то, что «нет жертвы - нет преступления». Но специалисты компании «Доктор Веб» доказали, что Win32.Ntldrbot не миф. На сегодня службой вирусного мониторинга компании «Доктор Веб» обнаружено порядка 600 экземпляров данного руткита. Сколько их существует на самом деле в мире неизвестно.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

7 страниц V  1 2 3 > » 
Ответить в эту темуОткрыть новую тему
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 20.7.2019, 21:07
Редакция: (383) 347-86-84

Техподдержка: (383) 347-22-44
help.sibnet.ru
Размещение рекламы:
тел: (383) 347-06-78, 347-10-50

Правила использования материалов