Сейчас обсуждают

[Feo]

Часть «Лаборатории Касперского» продана американцам

Впервые в истории «Лаборатории Касперского» крупный пакет акций компании был продан профессиональному инвестору - американскому фонду General Atlantic. Часть своих бумаг продала председатель совета директоров Наталья Касперская.

Как сообщает CNews, американский фонд прямых инвестиций General Atlantic приобрел крупный пакет акций «Лаборатории Касперского». Это первый в истории антивирусного разработчика случай входа профессионального институционального инвестора в компанию.

Стороны не раскрывают ни размера приобретенной американцами доли в «Лаборатории Касперского», ни выплаченной суммы, но сообщают, что по завершении сделки General Atlantic станет вторым по величине акционером «Лаборатории». Представитель фонда - управляющий директор и глава европейского подразделения Джон Бернстайн (John Bernstein) войдет в состав совета директоров «Лаборатории Касперского».

Крупнейшим акционером компании останется Евгений Касперский, обладающий контрольным пакетом.

Исполнительный директор «Лаборатории Касперского» Евгений Буякин сообщил, что соглашение о продаже акций подписано, но «закрытие сделки еще требует подтверждения акционеров, а также определенных юридических формальностей». Ожидается, что это произойдет в течение 2-3 недель.

Часть акций, переданных фонду General Atlantic, ранее принадлежала одному из прежних акционеров компании, другая часть, которую Евгений Буякин назвал «символической», была выпущена дополнительно. По полученной информации, основным продавцом акций выступила сооснователь и председатель совета директоров «Лаборатории» Наталья Касперская. Акции Евгения Касперского в сделке не участвовали.

Наталья Касперская рассказала, что доля нового инвестора в «Лаборатории» составит «поменьше», чем 20%. По ее словам, у нее сохранилась существенная часть акций компании, и у нее нет планов покидать кресло председателя совета директоров, «если только акционеры не примут другого решения».

Вырученные средства она планирует вложить в собственные проекты. Это разработчик решений по защите от утечек Infowatch, компания «Наносемантика», которая занимается семантическим анализом письменной речи, и проект «Крибрум», который изучает репутацию компаний путем анализа их упоминаний в интернете и других медиасредах.

Инициатором сделки был General Atlantic: его исполнительный директор Джон Бернстайн говорит, что фонд давно занимался поиском производителя защитных решений для инвестирования и «около года назад обратился в «Лабораторию Касперского» с предложением о сотрудничестве».

По словам Евгения Буякина, при продаже акций речь не шла о привлечении инвестиционных средств в компанию: «цель партнерства - использовать стратегическую экспертизу фонда, которая понадобится «Лаборатории» в реализации амбициозных планов в корпоративном сегменте мирового рынка информационной безопасности».

Капитализацию «Касперского» оценил председатель правления «Финам» Владислав Кочетков, который полагает, что вся компания сейчас стоит $1,5 млрд при предположительной выручке в 2010 г. $540 млн.

Источник

[Feo]

ИТ-специалисты обнаружили новый тип DDoS-атак

Новый тип DDoS-атак был обнаружен специалистами за последние несколько месяцев. По словам исследователей, новый тип DDoS-атаки выходит за пределы классического определения атак подобного рода и затрагивает более высокие уровни стэка сетевых протоколов. Технические специалисты из компании Trustwave-SpuderLabs рассказали о новых образцах атак на технической конференции BlackHat в США. Кроме того, они предложили вероятные способы защиты от нового поколения DDoS-атак.

"DDoS-атака на четвертом уровне затрагивает одновременные подключения в нескольких сетевых уровнях, что вызывает блокировку сетевого канала, сообщает cybersecurity. Теоретически, можно использовать сразу все семь уровней сетевого протокола TCP/IP и провоцировать DDoS на уровне конечных приложений", - говорит Том Бреннан, директор Trustwave-SpuderLabs.

Бреннан говорит, что DDoS седьмого уровня возникает, когда клиент заходит на веб-сервер и делает запрос на соединение через запросы, например, HTTP Post, отвечающие за отправку данных веб-форм. Веб-сервер начинает ожидать получения данных формы, которые в реальности передаются очень медленно, но сервер держит канал приема открытым. "Что произойдет, если бы я смог отправить на одну машину более 20 000 Post-запросов и передавать данные по ним очень медленно? Эта разновидность DDoS-атаки сделала бы веб-сервер недоступным для настоящих пользователей", - говорит он.

Бреннан также сообщает, что им было создано программное обеспечение HTTPS POST Tool, позволяющее сетевым администраторам определять, насколько их машины подвержены новым типам DDoS-атак.

Специалист говорит, что в отличие от традиционных атак, блокируемых на уровне провайдеров, работать с новыми атаками сложнее. "Здесь происходит сдвиг основной парадигмы, так как нужно абстрагироваться от полосы пропускания сети и посмотреть на локальные ресурсы веб-сервера и платформы, обслуживаемой им. В конечном итоге количество трафика, которое необходимо заблокировать, гораздо меньше общего объема трафика на сервере", - говорит Райен Барнетт, старший технический специалист Trustwave – SpiderLabs.

Для администраторов уже есть некоторые модули, позволяющие бороться с такими типами атак, например Apache 2.2 имеет модуль mod_reqtimeout и опцию RequestReadTimeout, которая работает на весь сервер сразу, но не на конкретные обслуживаемые сайта. Кроме того, можно настроить защиту при помощи WebApplication Firewall (WAF), а также коммерческого продукта WebDefend.

Барнетт говорит, что возможность измерять производительность приложений, а также отслеживание потока трафика также частично позволит решить проблему. "Самым лучшим способом защиты, конечно, является метод при котором мусорные запросы блокируются не веб-сервером, а шлюзами, которые анализируют трафик. Кроме того, возможно писать приложения с более защищенным кодом, который будет пресекать подобные попытки запросов", - рассказывает специалист.

Источник

[Feo]

AVAST выпускает антивирус с виртуальной песочницей

Компания AVAST Software планирует выпустить следующую версию своего антивируса avast! 6.0, в которой будет включена новая функция: «виртуальная песочница» (AutoSandbox virtualization).

В настоящее время невозможно быть на 100% уверенным в том, что на компьютере отсутствуют какие-либо угрозы. Компания предоставляет своим пользователям возможность проверки файлов и приложений на наличие угроз вне физической машины, для предотвращения их проникновения на компьютер, как сообщил технический директор компании AVAST Software Ондрей Влчек.

Иными словами, новая функция AutoSandbox представляет собой виртуальную среду, которая является подобием виртуального компьютера. Запуск и проверка файлов и приложений осуществляется автоматически внутри этой среды. AutoSandbox самостоятельно предложит пользователю проверить подозрительное приложение. Если в ходе проверки антивирус заподозрил наличие угрозы, то созданная виртуальная среда просто отключится, блокируя дальнейшее распространение вредоноса.

Кроме того, как сообщают специалисты, песочница проста в использовании, а для ее создания от пользователя не потребуется каких-либо специальных знаний. Причем он самостоятельно сможет выбрать: запустить файл или приложение внутри виртуальной среды, запустить файл за ее пределами или отключить запуск файлов вообще.

Это беспроигрышный вариант для всех пользователей, считает г- Влчек.

Данная функция будет доступна пользователям avast! как платных, так и бесплатных версий: avast! Free Antivirus, Pro Antivirus и Internet Security suite премиум класса.

Источник

[Laperuz]

На самом деле это лишь одна из многих новых функций, который появятся в новой версии

[Feo]

Facebook вводит новые меры безопасности

Администрация социальной сети предлагает пользователям перейти на безопасное соединение. Это нововведение появилось сразу после того, как хакеры взломали личную страницу основателя Facebook Марка Цукерберга.

Согласно источнику, в настоящий момент в Facebook подключение через HTTPS используется для передачи паролей на сервер при входе пользователя под своим логином. Но совсем скоро у каждого появится возможность просмотра страниц через SSL протокол. Заметим, что такую возможность уже имеют пользователи, которые заходят в соцсеть со стороны Туниса. Это связано с тем, что местное правительство устроило слежку за своими подданными, установив на аутентификационной странице кейлоггер, который перехватывал их данные.

Данная функция будет вводиться постепенно и в течение нескольких недель станет доступна всем. Однако, несмотря на то, что можно было бы просто установить данную функцию по умолчанию для всех, в Facebook решили предоставить пользователю некий выбор и подтвердить свое согласие изменив настройки в своем аккаунте.

Кстати сказать, например, компания Google автоматически подключает пользователей Gmail через зашифрованное соединение, а также предлагает возможность использования такого протокола при осуществлении поиска. У Microsoft такая возможность предусмотрена для пользователей Hotmail, однако оно не может работать совместно с Redmond Outlook Hotmail Connector и Windows Live Mail. Компании Yahoo! и MySpace тоже предложили своим пользователям перейти на защищенное соединение.

Помимо этого в Facebook вводится еще одна мера безопасности: «социальная аутентификация». По словам представителей компании, такая мера необходима если аккаунт пользователя будет скомпрометирован. Для возможности его восстановления он должен будет опознать своих друзей по предложенным фотографиям. По мнению специалистов, хакеры могут узнать пароль доступа, но друзей знает только сам пользователь.

Источник

[Feo]

Порносайты остаются основным источником интернет-угроз

Согласно результатам исследования BitDefender, в ходе которого оценивались риски и последствия, связанные с посещением порносайтов, компьютеры 63% пользователей, искавших в Сети «взрослый» контент, подвергались заражению вирусами и троянами несколько раз. Таким обарзом, сайты для взрослых остаются основным источником компьютерных угроз, говорится в отчете BitDefender.

Специалисты BitDefender изучали психологические аспекты использования контента для взрослых, а также практические последствия и типы вредоносного ПО, распространяемого через порносайты, передает CNews. Более 72% из 2017 опрошенных в ходе исследования подтвердили, что искали в Сети и посещали сайты для взрослых (из них 78% мужчин и 22% женщин). Кроме того, выяснилось, что впечатляюще большую долю контента (91%) составляют видеоролики, которые можно скачать на локальный компьютер различными способами, в том числе через торрент-клиенты и напрямую с веб-сайтов. Второе по популярности место заняли различные видео-сервисы реального времени (например, видео-чаты), набрав 72% популярности, отметили в BitDefender.

В ходе исследования было установлено, что 69% пользователей заходят на порносайтоы из дома, 25% с работы и только 6% из других мест (интернет-кафе и т.п.). Основными причинами доступа к «взрослому» контенту называют желание расслабиться (54% опрошенных) и любопытство (38%).

«Наше исследование подтверждает, что пользователям стоит дважды подумать, прежде чем посещать порносайты, ведь они продолжают быть излюбленной площадкой киберпреступников, — отметила Сабина Датку, аналитик электронных угроз и коммуникаций компании BitDefender. — Более 60% опрошенных подтвердили, что неоднократно имели проблемы с безопасностью своих компьютеров после посещения сайтов для взрослых. Цель данного исследования — заставить пользователей задуматься, насколько развлечения, предоставляемые такими сайтами, стоят потери работоспособности компьютера и кражи личных данных».

Источник

[SanchoZZ]

Group-IB: Хакеры планировали похитить более 36 млн рублей из 96 банков

МОСКВА, 1 фев – РИА Новости, Иван Шадрин.
Группа российских хакеров планировала украсть более 36 миллионов рублей со счетов 457 клиентов в 96 российских и зарубежных банках, сообщили во вторник РИА Новости представители компании Group-IB, занимающейся расследованиями киберпреступлений. По информации пресс-службы ГУВД Москвы, установлено, что к преступлению причастны семь хакеров, принимаются меры по их задержанию.
В ходе расследования дела Управлением экономической безопасности (УЭБ) ГУВД по Москве, которому помогала Group-IB, сотрудникам правоохранительных органов удалось получить доступ к информации с сервера управления ботнетом, которую преступники могли использовать для осуществления доступа к счетам клиентов банков.
"Злоумышленники использовали вредоносное ПО для кражи ЭЦП (электронных цифровых подписей) клиентов банков, чтобы впоследствии осуществлять кражи денежных средств. Кроме того, хакеры применяли DDoS-атаки для сокрытия факта кражи денежных средств и задержки определения факта мошенничества", - сообщил генеральный директор Group-IB Илья Сачков.
По словам директора Центра антивирусных исследований компании ESET Александра Матросова, который также принимал участие в расследовании по этому делу, для получения информации о банковских счетах злоумышленники использовали троянскую программу Win32/TrojanDownloader.Carberp.W.

» Спойлер (нажмите, чтобы прочесть) «

ieC6x

"Она собирает информацию о пользователе и системе и отправляет на сервер злоумышленников. Также бот может делать снимки экрана, перехватывать нажатия клавиш, содержимое буфера обмена и отправлять на сервер. Троянец имеет возможность самоудаления и установки дополнительных вредоносных модулей, крадет цифровые сертификаты для популярных систем дистанционного банковского обслуживания", - пояснил РИА Новости Александр Матросов.

Троянская программа рассылалась через ботнет. Кроме того, хакеры использовали фишинговую схему – от имени банков рассылали пользователям поддельные письма с требованием ввести логин и пароль от аккаунта пользователя в системе дистанционного банковского обслуживания. В противном случае злоумышленники от имени банка обещали заморозить счет пользователя.

По оценкам специалистов Group-IB, всего на счетах, с которых мошенники планировали похитить деньги, находилось более 36 миллионов рублей. В компании также отметили, что большинство банков, на клиентов которых планировалась атака, находятся на территории России.

Атаки на системы дистанционного банковского обслуживания случаются все чаще. В середине января хакеры, используя краденные данные о банковском счете, похитили около 5 миллионов рублей со счета одной из небольших российских компаний.
"В течение прошлого года аналитики компании ESET уже не раз отмечали ярко выраженную тенденцию роста, как числа самих инцидентов, связанных с мошенничеством в системах ДБО, так и количества вредоносных программ, способствующих подобным кибепреступлениям", - рассказал РИА Новости Александр Матросов. По словам эксперта, вероятнее всего, в 2011 году данная тенденция продолжит набирать силу.

Оригинал

[RolikJorik]

В LiveJournal зафиксирована масштабная эпидемия трояна-вымогателя Trojan.Winlock

» Спойлер (нажмите, чтобы прочесть) «

Вирусные аналитики компании "Доктор Веб" предупреждают о новом способе распространения вредоносной программы Trojan.Winlock, блокирующей работу Windows и шантажирующей своих жертв. На сей раз под прицел злоумышленников попала блог-платформа LiveJournal.com, которую киберпреступники стали активно использовать в качестве одного из каналов тиражирования трояна-вымогателя.
В частности, в конце января 2011 года российские пользователи упомянутого онлайнового сервиса начали получать комментарии (с темой "Немного насущного оффтопа" или "Немного о насущном в оффтоп"), содержащие изображение со ссылкой на сайт фотохостинга, перенаправляющего посетителей на интернет-ресурс с порнографическим контентом. Именно там ни о чем не подозревающим пользователям предлагалось скачать исполняемый файл, за которым скрывался печально известный Trojan.Winlock.
Как сообщается на сайте компании "Доктор Веб", на сегодняшний день порядка половины всех обращений в службу технической поддержки связано с проблемой заражения Trojan.Winlock.
Эксперты по информационной безопасности призывают пользователей проявлять бдительность, ни в коем случае не вестись на уловки мошенников и не отправлять SMS в обмен на коды разблокировки. Для восстановления доступа к компьютеру можно воспользоваться бесплатными сервисами drweb.com/unlocker либо sms.kaspersky.ru.

Бесплатная разблокировка Windows от Trojan.Winlock
Бесплатная разблокировка Windows от Trojan.Winlock

[di_con]

AVAST создаст крупнейший в мире сервис репутационной оценки

Такой сервис появится благодаря новому плагину для обозревателя, который будет включен в инсталляционный пакет последней версии антивируса avast! 6.0 и многомиллионной пользовательской аудитории компании, считают в AVAST Software.

По мнению специалистов компании плагин WebRep - первая система в индустрии, объединяющая рейтинг-гид, созданный на основании данных пользователей и «вирусные сенсоры» в avast! CommunityIQ. Он разработан для того, чтобы оградить пользователей как всех видов угроз, распространяющихся через интернет, начиная от зараженных легитимных ресурсов и заканчивая мошенническими сайтами.

Принцип действия заключается в том, что WebRep, взаимодействуя с результатами поиска, осуществляет проверку согласно рейтинговой системе. В итоге пользователь получает от вирусной лаборатории информацию об имеющемся на сайте вредоносном программном обеспечении и сведения о надежности ресурса. Оценка формируется, исходя из данных, полученных от самих пользователей, которые зарегистрированы в сети CommunityIQ, а программа, таким образом, автоматически проверяет ресурсы на наличие вредоносов. Кроме того, благодаря тому, что плагин имеет возможность проверки содержания, пользователи смогут избежать посещения сайтов, содержащих нецензурный контент, и получения спам-сообщений через социальную сеть.

По словам технического директора Ондрея Влчека, благодаря тому, что в сети CommunityIQ уже зарегистрировано 100 миллионов пользователей этот плагин является наиболее продвинутым среди имеющихся на рынке решений. А к моменту выхода антивируса, накопленных данных будет достаточно, чтобы помочь пользователям избежать существующей проблемы.

В дальнейшем, компания рассчитывает проверить огромное количество сайтов посредством WebRep, чтобы сделать интернет безопасней для всех.

Источник

[Laperuz]

Другое дело, что на данный момент(2 бета-версии) поддерживаются пока только IE и Firefox. Планируется в скором времени поддержка хрома, а вот опера, похоже, будет обделена вниманием, по крайней мере в ближайшее время. Причем на официальном форуме разработчиков вопрос про оперу задавался не раз, но ответ от разработчиков так и не был получен. Другие пользователи объясняют отсутствие поддержки оперы низким процентом пользователей этого браузера. Но уж куда денутся, и оперу будут поддерживать.

[Feo]

Другие пользователи объясняют отсутствие поддержки оперы низким процентом пользователей этого браузера.

Странное такое заявление, однако

[Necromancer]

Странное такое заявление, однако

Для России - да. А вот за рубежом, в Европе, Штатах, АФАИК, опера имеет что-то ~7-10% пользователей.

[Laperuz]

Но,учитывая, что данный плагин показывает репутацию сайта на основании голосов пользователей, лишние 7-10 %(а в пересчете на людей получается немалое количество) явно бы не помешали.

[Necromancer]

Суммарная рыночная доля Opera и Opera Mobile в декабре 2010 года составляла ▲2,23 %. Кроме того, доля Opera Mini составляла ▲0,98 %[2]. Однако в России процент пользователей браузера гораздо выше среднемирового. На январь 2011 Опера вместе с Оперой Mini занимала первое место по популярности в России с ▲35,5 % пользователей[3]

[di_con]

«Доктор Веб» и «МегаФон» против эпидемии Trojan.Winlock

Российский разработчик средств информационной безопасности «Доктор Веб» и компания «МегаФон» объявляют о запуске совместного проекта по противодействию эпидемии троянцев-вымогателей семейства Trojan.Winlock, блокирующих ОС Windows на компьютерах пользователей. Теперь для разблокировки своего компьютера абонентам «МегаФона» достаточно отправить бесплатное SMS на специальный номер.

» Спойлер (нажмите, чтобы прочесть) «

Trojan.Winlock — семейство вредоносных программ-вымогателей, блокирующих или затрудняющих работу с ОС Windows и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера путем отправки SMS на номер с premium-тарификацией. Пути распространения Trojan.Winlock и подобных вирусов разнообразны, но в большинстве случаев заражение происходит через уязвимости браузеров при просмотре зараженных сайтов. Trojan.Winlock отключает диспетчер задач, не позволяет загрузить компьютер не только в безопасном режиме, но и загрузить другую систему с другого жесткого диска данного компьютера.

Теперь абоненты, которые в результате действий Trojan.Winlock лишены возможности выйти в Интернет со своего компьютера, смогут оперативно разблокировать Windows с помощью мобильного телефона. Для получения кода разблокировки достаточно отправить на номер 5665 бесплатное SMS-сообщение в следующем формате: «ХХХХ_YYYYYYYY», где ХХХХ — номер, на который злоумышленники просят отправить SMS, YYYYYY — текст SMS. В ответ абоненты совершенно бесплатно получат код активации, снимающий блокировку Windows. При наличии телефона с доступом в Интернет можно также воспользоваться мобильным сайтом «Доктор Веб» с бесплатным разблокировщиком от Trojan.Winlock — http://www.drweb.com/unlocker/mobile.

«Совместный проект с «Доктор Веб» — это очередной шаг «МегаФона» в рамках глобальной кампании по противодействию мошенничеству. Мы уверены, что только активные и скоординированные усилия всех заинтересованных сторон и внедрение передовых технологий способны решить эту значимую проблему и минимизировать ущерб от незаконных действий мошенников», — говорит Сергей Хренов, начальник Департамента по борьбе с мошенничеством ОАО «МегаФон».

«Мы считаем очень важным подключение компании «МегаФон» к активной борьбе с компьютерными преступлениями. Уже давно стало понятно, что усилий только антивирусных компаний в деле противодействия преступной модели, основанной на троянских программах типа Winlock, явно недостаточно. Совместными действиями с оператором мобильной связи мы обязательно добьемся позитивных результатов, поставив барьер на пути троянских программ и нейтрализовав механизмы монетизации мошеннических схем», — отмечает Борис Шаров, генеральный директор компании «Доктор Веб».

Модификации вредоносных программ семейства Trojan.Winlock получили широкое распространение в России с конца 2009 года. Начало 2011 года ознаменовалось новой волной троянцев-вымогателей. Сейчас жертвой злоумышленников может стать любой пользователь подключенного к Интернету компьютера. Многие абоненты, пострадавшие от троянца-вымогателя, идут на поводу у вирусописателей, отправляя SMS на дорогостоящие номера с premium-тарификацией для разблокировки ОС Windows и не восстанавливая при этом работоспособность своего компьютера.

Источник

[Feo]

«Лаборатория Касперского» отвоевала РЖД у Trend Micro

После почти пятилетнего расставания «Лаборатория Касперского» сумела вернуть в число своих клиентов крупнейшего госзаказчика — ОАО «Российские железные дороги» (РЖД). Сегодня российский антивирусный разработчик сообщил о внедрении своего решения безопасности в информационной сети железнодорожного перевозчика.

С 2005 г. безопасностью ИТ-инфраструктуры РЖД занимался японско-американский разработчик Trend Micro, вытеснивший, в свою очередь, с железнодорожного рынка «Лабораторию Касперского».

Говоря о новом внедрении в РЖД, в «Лаборатории Касперского» ограничились крайне скупыми подробностями, рассказав лишь, что теперь в сети РЖД будет использована разработка Kaspersky Total Space Security, максимально полное решение корпоративного класса. Помимо традиционной защиты рабочих станций и серверов и контроля сетевого трафика и почты, Total Space Security способна обеспечивать защитой смартфоны.

Свое видение возвращения «Лаборатории Касперского» в РЖД изложил CNews региональный менеджер представительства Trend Micro в России Вениамин Левцов, выделивший две основные причины происшедшего. Первой из них стала «ценовая битва» между поставщиками, в которой возможности снижения цены для Trend Micro были ограничены маржой партнерского канала. Второй существенной причиной смены в РЖД поставщика безопасности Левцов назвал отсутствие у продуктов Trend Micro сертификата ФСТЭК на момент принятия решения заказчиком.

Наконец, заметил Вениамин Левцов, корпоративные правила РЖД предусматривают использование защитных программ как минимум двух различных производителей, что является обычной практикой для многих крупных организаций. В силу этого продукты Trend Micro сохранили присутствие в ИТ-инфраструктуре РЖД. Как рассказал Левцов, они защищают шлюзы из корпоративного интранета в интернет. Число таких шлюзов он уточнить отказался.

О сроках действия договора между «Лабораторией Касперского» и РЖД участники сделки умолчали, однако, сообщили, что железнодорожники смогут получать бесплатные обновления ПО в течение всего срока действия соглашения.

Иные подробности о внедрении в «Касперском» сообщить отказались. В РЖД пообещали ответить на вопросы CNews через несколько дней, «по мере прохождения документооборота».

Сумму сделки стороны также не раскрыли, и CNews попросил оценить ее Александра Чачаву, президента Leta Group, которая занимается дистрибуцией в России антивирусных решений ESET, конкурента «Лаборатории Касперского».

По информации CNews, ИТ-инфраструктуру РЖД составляют более 280 тыс. рабочих станций, более 300 корпоративных серверов, и 64 мейнфрейма.

По словам Чачавы, при таком крупном заказе «не может идти речи о стандартных прайс-листах», поэтому оценку внедрения проще всего проводить на основе данных об известных публичных конкурсах в организациях аналогичного масштаба. Эксперт вспомнил, как в июне 2010 г. «Лаборатория Касперского» выиграла конкурс «Почты России», в котором разыгрывалось право поставки антивирусных продуктов примерно для 200 тыс. компьютеров. Победа досталась разработчику с заявкой немногим «меньше» предельной цены, которая составляла 240 млн руб. Однако, по мнению Чачавы, при нынешней конкуренции на антивирусном рынке цена на поставку такого числа лицензий ниже.

При своем опыте работы с российскими тяжелыми заказчиками «Лаборатория Касперского» далеко не всегда выходит победителем из схватки с менее раскрученными конкурентами. Так, Trend Micro удается на протяжении 5 лет выигрывать конкурсы «Газпром нефти» на поставку защитного ПО, в том числе и в тех случаях, когда в них участвует «Лаборатория Касперского».

Источник

[SanchoZZ]

100% Virus Free Podcast #26
В этот раз у нас в гостях Александр Поляков, технический директор компании Digital Security. В начале года Александру довелось выступить на конференции Black Hat DC 2011, что собственно и побудило нас записать этот подкаст.

» Спойлер (нажмите, чтобы прочесть) «

• как попасть в число докладчиков на Black Hat
• почему в России нет исследовательских конференции в области ИБ такого уровня
• какие доклады больше всего запомнились и какова атмосфера самой конференции
• безопасность SAP или что угрожает бизнес-процессам крупных организаций
• возможные вектора атак на SAP и не только
• пара слов о проекте ERPScan

Скачать .mp3

[RolikJorik]

На ноутбуках Samsung R525, R540 обнаружен кейлоггер, вероятно установленный производителем

» Спойлер (нажмите, чтобы прочесть) «

Все мы помним историю 2005 года с руткитом Sony, устанавливаемым в систему с музыкальных дисков. Жесткий прессинг в СМИ, коллективные иски, вмешательство Федеральной Торговой Комиссии США… История та обошлась Sony недешево, более чем в полмиллиарда долларов. Казалось бы, урок из этого должны были извлечь все производители…

Но, как провидчески тогда заметил Марк Руссинович, обнаруживший руткит, «Потребители не имеют никаких гарантий, что другие компании не решатся на подобное». Как же он был прав.

Итак, февраль 2011 года. Мухамед Хассан, недавний выпускник университета г. Норвича (Англия) по специальности «защита информации» и владелец фирмы NetSec Consulting, покупает в магазине новый ноутбук Samsung R525 и начинает его настраивать. После установки Оси и начальной настройки, он не бросается сразу ставить Оперы, аськи, и торрентыприкладной софт. Первым делом он ставит защитный пакет (неназванный) и запускает полное сканирование системы. К немалому его удивлению, обнаруживается кейлоггер StarLogger, живущий в папке С:\Windows\SL.

StarLogger — это коммерческий кейлоггер, который, помимо сайта разработчика, можно найти на разных файлопомойках и шароварных каталогах. Судя по описанию, он записывает все нажатия клавиш во всех окнах, включая поля с паролями. Логи регулярно отправляет на мыло; также может снимать и аттачить скриншоты. После боле тщательного исследования системы, Мухамед приходит к выводу, что зловред мог быть установлен только производителем. Видимо, не поверив в это до конца, он вычистил систему и продолжил пользоваться своим ноутбуком.

Однако через некоторое время появились проблемы с драйверами видео. Он, не долго думая, просто вернул ноут в магазин (неплохо, да?) и в другом магазине купил модельку постарше, R540. Ну, вы уже догадались, да? Тот же самый StarLogger в той же папке. Версию ложного срабатывания можно было смело отбросить, тем более что раньше используемый уже 6 лет сканер никогда не ошибался.

Погуглив немного на эту тему, Хассан нашел обсуждение годовалой давности, где народ жаловался на зависания при сканировании ноутбуков Samsung на руткиты. Но прямой связи со StarLogger в поисковиках не обнаружилось.

Хассан позвонил в саппорт Самсунга с намерением разобраться по-взрослому. Инцидент зарегистрирован за № 2101163379 (мотаем на ус, как надо начинать общение с саппортом). Вначале саппорт упорно отрицал (также как и Sony в свое время) возможность присутствия подобного софта на их ноутбуках. Однако после того, как им медленно и внятно объяснили, что программа обнаружена в одном и том же месте, на двух ноутбуках двух разных моделей, купленных в разных местах, они сменили тактику и стали переводить стрелки на Microsoft. «Мы только производим железо, а весь софт от Microsoft, к ним и обращайтесь». После новой серии препирательств, поняв, что разозленный клиент это чревато, саппорт первой линии сдался и перевел инцидент на старшего.

Старший вначале и сам не мог понять, как эта программа могла оказаться на новом ноутбуке, и попросил Мухамеда повисеть немного. Затем он подтвердил, что да, Самсунг сознательно установил эту программу на ноутбук для того, чтобы, как он выразился, «следить за производительностью машины и понимать, как она используется». Другими словами, Самсунг захотел собирать данные об использовании ноутбука без получения согласия на это владельца.

По сравнению с Sony, руткит которой ставился в систему с музыкального диска, купленного отдельно, Самсунг пошел еще дальше и ставит свой кейлоггер прямо на заводе. Ждет ли его такая же волна коллективных исков? Другие производители непременно будут с интересом следить за развитием событий.

Перед публикацией этой информации в Network World редакция связалась с тремя представителями PR службы Самсунга и попросила комментариев. За неделю, данную им на ответ, не ответил никто.

via Network World

UPDATE:

PCWorld сообщает, что Самсунг все-таки ответил в лице Jason Redmond, что компания расследует заявления Хассана. «Мы относимся к этим заявлениям очень, очень серьезно» — заявил он. Ранее ему не было известно ни об этой проблеме, ни о компании Willebois Consulting, разработчике кейлоггера.

[RolikJorik]

Скрипт LizaMoon найден уже на 500 тысячах сайтов
Задача скрипта LizaMoon проста — перенаправлять пользователя, зашедшего на зараженный сайт, на другой сайт, который создан злоумышленниками.
Далее пользователь видит сообщение о том, что безопасность его компьютера под угрозой, и «сканер» обнаружил всякие там бреши в защите. После того, как пользователь нажимает «ОК», начинается «сканирование» компьютера, в результате чего находится большое количество «вирусов». После окончания работы этого «сканера» пользователю предлагается удалить все вирусы, путем скачивания «антивируса» на свой ПК. Само собой, вместо эффективного антивируса наивный юзер получает руткит, блокирующий работу некоторых вполне нормальных программ.
При попытке запуска такой программы, фальшивый антивирус сообщает о том, что на ПК обнаружен троянчик, и тут же выводится сообщение с предложением удалить найденный «троян». При нажатии копки «удалить», зловредное ПО предлагает установить еще более «эффективный инструмент» для борьбы с этими вирусами. В общем, к концу такой проверки своего ПК на наличие вирусов пользователь получает целый зверинец вирусов и троянов, которые начинают работать на благо создателя.
Фальшивый антивирус, к слову, называется Windows Stability Center, и за его «полную версию» пользователю еще и предлагают заплатить.

[SanchoZZ]

Ликвидация крупнейшей спам-сети и другие вирусные события марта 2011 года (Dr.Web)

» Спойлер (нажмите, чтобы прочесть) «

Март 2011 года оказался богат на события в сфере информационной безопасности. В числе главных новостей — проникновение троянцев в платёжные терминалы и ликвидация крупнейшей в мире спам-сети — ботнета Trojan.Spambot, известного также под названием Rustock. Помимо этого, злоумышленники предприняли ряд заметных атак на социальные сети. Кроме того, как и следовало ожидать, катастрофа в Японии послужила темой множества спам-рассылок и спекуляций.

Закрытие ботнета Trojan.Spambot

17 марта 2011 года прекратил работу самый крупный генератор спама, ботнет Trojan.Spambot. 26 командных центров ботнета стали недоступны, и сотни тысяч ботов, оставшись без управления, впали в спячку.

По оценкам Microsoft, компьютер, заражённый Trojan.Spambot, рассылал до 10000 писем в час. При этом, по данным некоторых экспертов, в спам-сеть входило порядка 815 тысяч ботов. Таким образом, суммарный спам-трафик, создаваемый ботнетом Trojan.Spambot, можно оценивать в несколько миллиардов сообщений в сутки. Ответственность за обезглавливание ботнета Trojan.Spambot взяла на себя корпорация Microsoft, которая провела операцию совместно с американскими властями.

Trojan.Spambot, первые известные образцы которого датируются 2005 годом, стал одним из самых высокотехнологичных и сложных представителей актуального троянского ПО. Разработчик Trojan.Spambot несколько лет совершенствовал эту программу, а разбор кода троянца послужил источником множества аналитических публикаций.

Юридическим обоснованием операции был гражданский иск Microsoft против неустановленных лиц, стоявших за данным ботнетом. По распространённой версии, злоумышленниками являются наши соотечественники.

Пока сложно давать прогнозы относительно будущего спам-индустрии. Тот ощутимый урон, который нанесло ей закрытие крупнейшей спам-сети, может быть быстро возмещён ростом других ботнетов. Лидирующие позиции в распространении спама уже занял давно известный ботнет Win32.HLLM.Beagle, активность которого последние несколько лет была низкой. Обе спам-сети специализируются на т. н. фарм-спаме – рекламе лекарственных препаратов.

В дальнейшем стоит также быть готовыми к изменению архитектуры ботнетов в сторону децентрализации. Также высказываются предположения о возможности восстановления ботнета Trojan.Spambot.

Троянцы в терминалах

В марте 2011 года компания «Доктор Веб» заявила об обнаружении новой модификации троянца Trojan.PWS.OSMP, специализирующегося на заражении терминалов экспресс-оплаты. Этот троянец изменяет номера счетов получателей платежей. А последняя его модификация, вероятно, позволяет злоумышленникам создать виртуальный терминал.

Примечательно, что троянец был обнаружен не при анализе заражённого терминала, а при мониторинге бот-сети другого троянца, обеспечивающего пути проникновения Trojan.PWS.OSMP на терминалы.

Заражение терминалов происходит в два этапа. Сначала на терминал попадает BackDoor.Pushnik, который представляет собой запакованный исполняемый файл размером ~620 КБ, написанный на Delphi, и распространяется через сменные носители. После установки троянец получает управляющие данные от своих командных центров и, через несколько промежуточных шагов, загружает и запускает бинарный файл размером 60-70 КБ, содержащий Trojan.PWS.OSMP. Тот перебирает запущенные процессы в поисках процесса maratl.exe, являющегося частью программного окружения платёжных терминалов. В случае успеха троянец внедряется в процесс и изменяет счёт получателя непосредственно в памяти процесса, подставляя счета злоумышленников.

Последняя зафиксированная версия троянца реализует другую схему мошенничества. Trojan.PWS.OSMP копирует на свой сервер конфигурационный файл ПО платёжного терминала. Кража конфигурационного файла предполагает попытку создания поддельного терминала на компьютере злоумышленников, что должно позволить перенаправлять безналичные денежные средства на счета разработчиков троянца.

Новые критические уязвимости в продукции Adobe

14 марта 2011 года Adobe объявила об обнаружении очередной уязвимости в проигрывателе Adobe Flash Player 10.2.152.33 и некоторых более ранних версиях.

Уязвимость позволяет злоумышленникам атаковать систему при помощи специально оформленного swf-файла. Она является общей для версий данного программного продукта для Windows, Mac OS, Linux, Solaris и ранних версий Android.

Обновления, закрывающие эту уязвимость, были выпущены только 21 марта. Таким образом, уязвимость оставалась актуальной в течение недели. Вскоре после этого в открытом доступе оказались исходные коды примера эксплуатации данной уязвимости.

Инструмент реализации атаки представляет собой xls-файл со встроенным swf-объектом:

Рис. 1. Встроенный swf-файл в таблице Excel.

Данный swf-файл загружает в память shell-код, затем выполняет атаку на уязвимый flash-проигрыватель, используя технику Heap Spray. Затем код swf-файла загружает второй swf-файл, который использует уязвимость интерпретатора байт-кода ActionScript CVE-2011-0609, общего для всех уязвимых систем.

Демонстрация уязвимости спровоцировала рассылки писем, содержащих во вложении троянский xls-файл, включающий в себя Exploit.SWF.169. При запуске троянского файла среда MS Excel на некоторое время перестаёт отвечать, при этом пользователь видит пустую таблицу со встроенным flash-роликом без изображения.

Рис. 2. Загрузка документа MS Excel, содержащего Exploit.SWF.169.

В это время Exploit.SWF.169 осуществляет свою локальную атаку, сохраняет на диск и запускает исполняемый файл с нагрузкой в виде Trojan.MulDrop1.64014 или Trojan.MulDrop.13648.

Атаки на социальные сети

На сегодняшний день социальные сети — популярная цель хакерских атак. Подтвердил это и прошедший месяц — атакам подверглись популярные сервисы LiveJournal и Facebook.

4 марта 2011 года была осуществлена массовая рассылка фишинговых писем от имени администрации сервиса LiveJournal, содержащих уведомления о блокировке и возможном удалении аккаунта на LiveJournal.

При этом в графе отправителя фишингового письма был указан адрес do-not-reply@livejournal.com, который действительно используется сервисом LiveJournal для рассылки уведомлений. Мошенническая ссылка, по которой предлагается перейти, ведёт на один из поддельных сайтов: livejorrnal.com или xn--livejurnal-ivi.com.

При переходе пользователь попадает на страницу, копирующую дизайн оригинального LiveJournal. Данные, которые здесь вводит пользователь, передаются мошенникам.

Рис. 3. Мошенническая страница, копирующая внешний вид LiveJournal.

Через несколько дней похожей атаке подвергся сервис Facebook. Его пользователи стали получать спам-сообщения, рассылаемые от имени действующих аккаунтов Facebook. В сообщениях содержалась короткая ссылка (такая методика часто используется при подобных атаках). При этом пользователь не может узнать заранее, куда такая ссылка ведёт. В данном случае она приводила на мошенническую страницу, копирующую дизайн Facebook. На этой странице размещалось уведомление с запросом личной информации пользователя. В случае заполнения полей запроса злоумышленники получали доступ к аккаунту жертвы, от имени которой в дальнейшем происходила аналогичная рассылка по списку друзей.

Очевидно, что злоумышленники продолжают совершенствовать технические приёмы и методы социальной инженерии при атаках с использованием социальных сетей.

30 марта 2011 года LiveJournal подвергся очередной DDoS-атаке. По оценкам администрации сервиса, самой масштабной за время его существования. Атака продолжалась несколько часов, в это время сервис был практически недоступен.

Волна спам-рассылок, связанных с катастрофой в Японии

Как и следовало ожидать, нашлись злоумышленники, готовые воспользоваться чужой бедой, и за катастрофой в Японии последовала волна спама соответствующей тематики.

Некоторые образцы спам-рассылок содержали призывы к пожертвованиям, при этом в качестве отправителя фигурировала одна из известных благотворительных организаций («Красный крест», «Армия спасения» и т. п.).

В теле письма, как правило, присутствовала ссылка на соответствующий мошеннический ресурс, готовый принимать пожертвования.

Рис. 4. Поддельная страница “Красного креста”.

В других случаях пользователей заманивали на вредоносные ресурсы. Например, в сообщении предлагалось просмотреть видеоролик о катастрофе, ссылка на который присутствовала в теле письма.

Рис. 5. Спам-рассылка с “видео” о катастрофе в Японии.

При попытке просмотра пользователь переходит на вредоносный сайт, с которого на его машину устанавливается Trojan.FakeAlert.


Рис. 6. Результат просмотра “видео” о катастрофе в Японии.

Множество подобных рассылок зафиксировано и у нас, и за рубежом. Пользуясь случаем, злоумышленники распространяют широкий спектр троянского ПО: лжеантивирусы, поддельные системные утилиты, всевозможные блокировщики...

Оригинал статьи: ТЫК