Авторизируйтесь,
чтобы продолжить
Некоторые функции доступны только зарегистрированным пользователям
Неправильный логин или пароль

Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!

Здравствуйте, гость ( Вход | Регистрация )



7 страниц V « < 5 6 7  
Ответить в эту темуОткрыть новую тему
> Новые вирусы, Отчеты
di_con
сообщение 27.2.2011, 15:16
Сообщение #121


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 625
Регистрация: 22.11.2008
Пользователь №: 62 475



Репутация:   31  


Новый троянец распространяется под Mac OS X


Антивирусная компания Sophos в субботу сообщила об обнаружении нового опасного троянского программного обеспечения под операционную систему Mac OS X. Отметим, что обнаружение новых вирусов и троянцев под Mac OS X - это сравнительно редкое явление и каждый новый образец такого программного обеспечения является предметом пристального внимания пользователей данной операционной системы.

Новый код называется BlackHole RAT (Remote Access Trojan) и сейчас его достаточно легко найти на многих хакерских форумах. Честер Висниевски, антивирусный специалист компании Sophos, говорят, что на YouTube был в субботу размещен ролик, демонстрирующий работу данного троянца (http://www.youtube.com/watch?v=bGaQXOuMRaY...feature=related)

В Sophos говорят, что в их компании не видели данного троянского программного обеспечения в действии, хотя судя по демонстрации, разработка в значительной степени является концептуальной и показывает общий вектор направления развития возможных атак. Также в компании говорят, что его довольно легко можно адаптировать для "тихой" установки в Mac и последующей кражи данных.

Технически говоря, BlackHole - это вариант Windows-троянца darkComet, но судя по коду, он был написан другим разработчиков. darkComet сейчас доступен в исходных кодах, поэтому велика вероятность того, что Mac-троянец просто позаимствовал логику и некоторые аспекты работы первоначального троянца.



» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
di_con
сообщение 2.3.2011, 14:03
Сообщение #122


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 625
Регистрация: 22.11.2008
Пользователь №: 62 475



Репутация:   31  


Два вируса атакуют Android


» Спойлер (нажмите, чтобы прочесть) «



Обнаружена новая угроза для смартфонов: Android.Pjapps Trojan


» Спойлер (нажмите, чтобы прочесть) «



» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
di_con
сообщение 3.3.2011, 18:51
Сообщение #123


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 625
Регистрация: 22.11.2008
Пользователь №: 62 475



Репутация:   31  


Программа для взлома контакта по ID - троянец-вымогатель Trojan-Ransom.Win32.Vkont.a


«Лаборатория Касперского» обнаружила новый троянец-вымогатель Trojan-Ransom.Win32.Vkont.a. Распространяется он с сайта, на котором предлагается скачать «Программу для взлома контакта по ID»
» Спойлер (нажмите, чтобы прочесть) «






» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
di_con
сообщение 11.3.2011, 0:51
Сообщение #124


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 625
Регистрация: 22.11.2008
Пользователь №: 62 475



Репутация:   31  


Под видом обновления для Android скрывается троян

» Спойлер (нажмите, чтобы прочесть) «




» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
di_con
сообщение 11.3.2011, 15:52
Сообщение #125


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 625
Регистрация: 22.11.2008
Пользователь №: 62 475



Репутация:   31  


Trend Micro предупреждает о Linux-вирусе, атакующем маршрутизаторы


» Спойлер (нажмите, чтобы прочесть) «



» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
di_con
сообщение 12.3.2011, 23:46
Сообщение #126


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 625
Регистрация: 22.11.2008
Пользователь №: 62 475



Репутация:   31  


Ботмастера SpyEye пытались саботировать работу Abuse.ch

» Спойлер (нажмите, чтобы прочесть) «



» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
di_con
сообщение 16.3.2011, 22:01
Сообщение #127


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 625
Регистрация: 22.11.2008
Пользователь №: 62 475



Репутация:   31  


Платежные терминалы под атакой троянца


» Спойлер (нажмите, чтобы прочесть) «




» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
SanchoZZ
сообщение 17.3.2011, 2:17
Сообщение #128


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 690
Регистрация: 10.12.2009
Из: Кемеровская обл. г.Топки
Пользователь №: 176 835



Репутация:   32  


Ботнет TDL4 сдаётся в аренду?
» Спойлер (нажмите, чтобы прочесть) «

Оригинал


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
di_con
сообщение 22.3.2011, 13:21
Сообщение #129


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 625
Регистрация: 22.11.2008
Пользователь №: 62 475



Репутация:   31  


SpyEye атакует смартфоны


» Спойлер (нажмите, чтобы прочесть) «



» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 25.6.2011, 18:05
Сообщение #130


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 238
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Rootkit.Boot.Cidox —новое семейство и все тот же надоедливый баннер


Новая эпидемия, разрослась буквально за 3-4 дня. Баннер, когда-то причинивший пользователям не мало хлопот по его удалению. Естественно, вирусописатели не стоят на месте, а продолжают модифицировать свое детище.
На сей раз, мы видим все тот же баннер с информацией, якобы об установке обновлений и нежелательном использовании интернета.
Прикрепленное изображение

На первый взгляд ничего особенного, лечится простым удалением библиотеки dll. Но...если было бы все так просто! smile.gif У некоторых пользователей после удаления этой самой зловредной библиотеки, баннер продолжал находиться в системе. Логи лечащих утилит показывают, что в системе все чисто. Даже зацепиться не за что. Естественно, пришлось применять различные методики обнаружения нового зловреда и того, что мешает нормальной работе браузеров (надоедливое "обновление", отображение исходного кода страницы). Путем работы нескольких людей (коллег), было предложено снять несколько слепков (копий, сделать карантин) загрузочной записи жесткого диска (MBR). В итоге, вроде-бы все чисто, но были обнаружены компоненты новой зловредной программы, но не само тело. По-видимому, тело само скрыто и защищается от обнаружения. Найдено и расшифровано ли тело до сих пор, сказать не могу, но то, что удалось обнаружить новое семейство вирусов Rootkit.Boot.Cidox и отчасти понять общий принцип работы, и даже занести в сигнатуры — это уже хорошо. smile.gif А лечится он с помощью перезаписи бут-сектора жесткого диска с консоли восстановления системы. Более подробный ход лечения и рекомендации, можно найти ниже. Думаю позже, уже будут подробные публикации, а пока так, все из первых рук для ознакомления smile.gif
Соответственно, если Вы обнаружили у себя подобный баннер, обращайтесь — обязательно поможем smile.gif


Тема с недавним лечением http://forum.sibnet.ru/index.php?showtopic=1007866
Способ перезаписи бут-сектора для XP — http://forum.sibnet.ru/index.php?s=&sh...t&p=9866262
Способ перезаписи бут-сектора для Win 7 и Vista — http://forum.sibnet.ru/index.php?s=&sh...t&p=9866443

Автор: Feo


UPD. На данный момент добавила сигнатуру ЛК, поэтому, может лечиться AVPTool (Kaspersky Virus Removal Tool) ( http://support.kaspersky.ru/avptool2010/all?qid=208637134 )
UPD. Так же TDSSKiller ( http://support.kaspersky.ru/faq/?qid=208639606 )

Сообщение отредактировал Feo - 30.6.2011, 17:57


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 28.6.2011, 23:39
Сообщение #131


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 238
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Новый руткит Popureb делает Windows неработоспособной


Microsoft накануне предупредила пользователей Windows о том, что им придется переустанавливать операционную систему, если их компьютер будет инфицирован новым руткитом, который скрывает от операционной системы главный загрузочный сектор. Речь идет о новом варианте троянца Popureb, который так глубоко размещается в системе, что единственная возможность полностью восстановить систему - это переустановить Windows или воспользоваться диском восстановления.

"Если ваша система была инфицирована Trojan:Win32/Popureb.E, мы советуем вам восстановить MBR при помощи CD восстановления, возвращающего систему к заводским настройкам", - говорит Чан Фенг, инженер Microsoft Windows Protection Center.

Вредоносное ПО Popureb перезаписывает загрузочный сектор - место жесткого диска, которое операционная система начинает считывать в первую очередь после того, как получает управление от BIOS. Popureb отлавливает операции записи, ориентированные на MBR, после чего размещает там свой код. Троянец имитирует часть системных функций операционной системы и размещается в бут-секторе, оставаясь невидимым как для операционной системы, так и для антивирусного ПО, передает cybersecurity.

Сейчас на сайте Windows Protection Center размещены инструкции по восстановлению MBR для операционных систем XP, Vista и Windows 7.

Фенг говорит, что в основном троянцы подобного рода размещаются в системе для последующего заражения систем другими образцами вредоносного ПО. В начале 2010 года был зафиксирован троянский код Alureon, направленный на Windows XP и делающей ОС неработоспособной после установки апдейтом из Windows Update.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 10.7.2011, 1:07
Сообщение #132


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 238
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Trojan.Mayachok.2: анализ первого известного VBR-буткита


В процессе изучения статистики появившихся за последнее время угроз складывается впечатление, что модификация загрузочной записи в процессе инфицирования — новое модное веяние среди разработчиков вредоносного ПО. Особое место среди подобных программ занимает троянец Trojan.Mayachok.2, инфицирующий Volume Boot Record и нарушающий работу популярных браузеров.

Заражение системы

Перед началом атаки на инфицируемый компьютер дроппер вредоносной программы проверяет зараженность системы. Для этого на основе серийного номера системного раздела генерируется CLSID и проверяется его наличие в системном реестре: если в ветке HKLM\Software\Classes\CLSID отсутствует соответствующий раздел, то заражение продолжается.

В операционных системах Windows Vista и Windows 7 троянец пытается повысить собственные права. Этот весьма примитивный способ уже не раз использовался другими вредоносными программами: постоянный перезапуск самой себя с запросом на повышение привилегий. Опытный пользователь с легкостью может завершить такой назойливый процесс в «Диспетчере задач».
Изображение


Дроппер несет в себе как 32-битный, так и 64-битный драйвер, в будущем способный обеспечить загрузку основного функционала данной вредоносной программы. На диске сохраняется соответствующий драйвер в зависимости от разрядности пользовательской операционной системы. Он может быть записан как в начало диска (до первого активного раздела), если там достаточно места, так и в его конец. Несложно заметить, что в логике троянца присутствует ошибка: так, например, если загрузочным разделом окажется не первый, то троянский драйвер может перезаписать случайные данные любого раздела до загрузочного, т. к. позиция для записи выбирается случайно в пределах свободных (как считает троянец) секторов.

Только после этого начинается заражение VBR (Volume Boot Record). Вредоносная программа отказывается от заражения, если файловая система раздела имеет формат, отличный от NTFS. Анализируя загрузочную запись, троянец находит удобное место для своего размещения и перезаписывает имеющийся там код. Оригинальный код упаковывается при помощи библиотеки aplib (http://www.ibsensoftware.com) и дописывается следом за вирусным. Номер начального сектора размещенного ранее на диске драйвера и его размер также «прошиваются» в тело зараженной VBR.

Здесь следует еще раз сказать о необычности механизма заражения. Вирусы, модифицирующие MBR (Master Boot Record) и BOOT-секторы, известны еще со времен DOS, в то время как современные ОС предоставляют новые возможности, в том числе и для вирусописателей. В рассматриваемом нами случае BOOT-сектор является первым сектором VBR, который, например, для раздела NTFS занимает 16 секторов. Таким образом, классическая проверка только загрузочного сектора не может обнаружить вредоносный объект, т. к. он располагается дальше — внутри VBR.

После заражения системы Trojan.Mayachok.2 сбрасывает на диск небольшое приложение, предназначенное для автоматической перезагрузки системы. Стоит отметить, что аналогичным образом ведет себя и другой буткит — Trojan.Hashish. В завершение своей работы троянец пытается «замести следы» и удалить себя.

Запуск из VBR
Изображение

Сравнение первых секторов VBR чистой и зараженной системы, красным показаны различия — код вирусного загрузчика


Получив управление, вирусный загрузчик действует по классической для MBR/BOOT-вирусов схеме. «Откусывает» себе небольшой кусок системной памяти, переносит себя туда и перехватывает прерывание int 13h для просмотра содержимого считываемых с диска секторов. Затем он целиком загружает с диска свой драйвер и распаковывает на прежнее место оригинальный код VBR. Управление возвращается системному загрузчику.

Далее идет череда снятий/установок перехватов в загружаемых модулях, таких как ntldr, bootmgr, osloader.exe, winload.exe и т. д., в зависимости от используемого операционной системой загрузчика. Следует отметить, что помимо обычных перехватов (сплайсинга) в ключевых мостах используются аппаратные отладочные регистры (dr0-dr7) и трассировка (пошаговое исполнение) кода. Это придает универсальность троянцу и одновременно является естественным способом обхода защиты целостности некоторых загрузочных модулей. В итоге в области памяти режима ядра (kernelmode memory) оказывается загруженный и готовый к работе вирусный драйвер.

Драйвер загрузчика
Точка выхода вирусного драйвера вызывается дважды. Это связано с тесной работой зараженного VBR и драйвера. Поскольку код вирусного VBR составляет всего 2078 байт, часть функционала авторы решили перенести в тело драйвера. При первом вызове он добавляет себя в списки из LOADER_PARAMETER_BLOCK: в LoadOrderList как копия первого модуля в списке (а это ядро ОС) и в BootDriverList как загрузочный драйвер, якобы прописанный в \Registry\Machine\System\CurrentControlSet\Services\null. Таким образом, вредоносная программа имитирует свою загрузку в качестве обычного boot-драйвера.

Второй раз драйвер вызывается операционной системой, которая уверена, что сама загрузила его. Данные манипуляции приводят к некоторым побочным эффектам.

Например, в системе появляется драйвер Null, но при более внимательном рассмотрении оказывается, что он был создан ядром (ntoskrnl.exe).
Изображение

В то же время среди загруженных модулей есть еще одно «ядро», в котором параметры DllBase и SizeOfImage принадлежат вредоносному драйверу.
Изображение


В качестве экспресс-проверки системы на наличие или отсутствие заражения можно использовать простую команду «echo hello >nul», которая на неинфицированной системе успешно выполняется, а на зараженной выдает сообщение об ошибке.
Изображение

Изображение

Задачей драйвера является инжект (внедерение) своего кода в запущенные процессы.
Изображение

64-битный драйвер, красным выделены динамические библиотеки, которые упакованы aplib


Внедрение кода осуществляется обычной установкой нотификаций через функции PsCreateProcessNotifyRoutine и PsCreateProcessNotifyRoutine с последующим вызовом асинхронной функции через механизм APC. В процессе исследования выяснилось, что 64-битный драйвер несет «на борту» две библиотеки. При этом полезная нагрузка находится только в одной из них, а вторая, по всей видимости, является «заделом на будущее».
Изображение

32-битный драйвер, который осуществляет заброс шелл-кода в процессы


В остальном же драйвер не представляет особого интереса. На сегодняшний день используемый Trojan.Mayachok.2 механизм заражения является уникальным среди известных угроз. Специалисты компании «Доктор Веб» предполагают, что в недалеком будущем стоит ожидать использования подобной техники заражения другими вредоносными программами.



» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
RolikJorik
сообщение 12.8.2011, 23:05
Сообщение #133


Пока и ещё думаю!
Group Icon


Группа: Активисты soft.sibnet.ru
Сообщений: 2 858
Регистрация: 16.11.2007
Из: РОССИЯ
Пользователь №: 10 737



Репутация:   146  


Троян TrojanDropper:Win32/Vundo.L интересный образец вредоносного файла (хешсумма SHA1:fbe71968d4c5399c2906b56d9feadf19a35beb97, определяется как троян, специально разработанного хакерами для кражи учетных данных пользователей таких социальных сетей как Вконтакте.ру и перенаправляющая посетителей на 92.38.209.252, но весьма необычным способом. Подробнее по ссылке..

Вирус, использующий ресурсы графического процессора эксперты Symantec поймали в свои сети образец "живого" вируса, эксплуатирующего ресурсы ГП для атак на криптографические алгоритмы.

Сообщение отредактировал RolikJorik - 17.8.2011, 22:48


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
RolikJorik
сообщение 30.8.2011, 21:34
Сообщение #134


Пока и ещё думаю!
Group Icon


Группа: Активисты soft.sibnet.ru
Сообщений: 2 858
Регистрация: 16.11.2007
Из: РОССИЯ
Пользователь №: 10 737



Репутация:   146  


Новый сетевой червь распространяется через протокол Windows RDP


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
RolikJorik
сообщение 3.9.2011, 22:01
Сообщение #135


Пока и ещё думаю!
Group Icon


Группа: Активисты soft.sibnet.ru
Сообщений: 2 858
Регистрация: 16.11.2007
Из: РОССИЯ
Пользователь №: 10 737



Репутация:   146  


Зафиксирован новый способ мошенничества на «установке» и «активации» платных «обновлений» возможно вирус и старый, но способ новый. smile.gif а на новый способ и новый вирь отыщется.

G Data обнаружила новый троян для активации Windows - Лаборатория G Data Software определяет эту программу-вымогателя, как Trojan.Generic.KDV.340157 (Engine A) and Win32:Trojan-gen (Engine B ) код разблокировки: QRT5T5FJQE53BGXT9HHJW53YT предоставлен Panda Согласно сообщению аналитиков Panda, этот образец пока распространяется среди германоговорящих пользователей сети, при помощи спам- рассылок или через P2P сети.

Trojan.Bioskit.1 заражает BIOS компьютера - После проведенного специалистами «Доктор Веб» исследования оказалось, что в него также заложены механизмы, позволяющие заразить BIOS материнской платы компьютера.

Файлы *.txt представляют опасность в Windows

Сообщение отредактировал RolikJorik - 18.9.2011, 0:52


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
RolikJorik
сообщение 21.10.2011, 15:42
Сообщение #136


Пока и ещё думаю!
Group Icon


Группа: Активисты soft.sibnet.ru
Сообщений: 2 858
Регистрация: 16.11.2007
Из: РОССИЯ
Пользователь №: 10 737



Репутация:   146  


Symantec сообщила о появлении новой угрозы Duqu - По результатам анализа кода нового трояна, специалисты Symantec выявили поразительное сходство с кодом Stuxnet. Основной целью Duqu являются разведданные об имеющемся на предприятии оборудовании и системах, используемых для управления производственным циклом. Это может быть любая информация, которая будет полезна для организации нападения, начиная от простых служебных и заканчивая классифицированными конструкторскими документами: файлы, в том числе на съемных носителях; скриншоты; логи с клавиатуры; список запущенных процессов; данные учетных записей пользователей; названия открытых окон; сетевая информация; сведения о домене; имена дисков и др.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 29.1.2012, 16:53
Сообщение #137


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 238
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Компания Symantec сообщила о крупнейшей вирусной атаке на пользователей Android.


Новый вредоносный код под названием Android.Counterclank был размещен в онлайн-магазине Android Market в 13 различных приложениях. Многие из них до сих пор остаются там.

Android.Counterclank представляет собой "троян", который собирает пользовательскую информацию, вплоть до технических данных производителя устройства. Также приложение начинает отображать рекламные сообщения и баннеры на смартфоне.

«Есть ряд признаков, по которым можно опознать наличие троянца. Например, у вас может возникнуть вопрос, почему приложение запрашивает данные на модификацию настроек браузера или передачу GPS-координат. Впрочем, у большинства пользователей не возникает таких вопросов», - сообщает один из сотрудников компании.

Список зараженных Android.Counterclank приложений:

» Спойлер (нажмите, чтобы прочесть) «


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

7 страниц V « < 5 6 7
Ответить в эту темуОткрыть новую тему
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 21.7.2019, 14:24
Редакция: (383) 347-86-84

Техподдержка: (383) 347-22-44
help.sibnet.ru
Размещение рекламы:
тел: (383) 347-06-78, 347-10-50

Правила использования материалов