КАРТА САЙТА
Sibnet.ru
Sibnet.ru

Sibnet.ru — это информационно-развлекательный интернет-проект, ориентированный на широкий круг Сибирского региона.
По данным Rambler Top100, Sibnet.ru является самым популярным порталом в Сибири.

Контакты:
АО "Ринет"
ОГРН 1025402475856
г. Новосибирск, ул. Якушева, д. 37, 3 этаж
отдел рекламы:
(383) 347-10-50, 347-06-78, 347-22-11, 347-03-97

Редакция: (383) 347-86-84

Техподдержка:
help.sibnet.ru
Авторизируйтесь,
чтобы продолжить
Некоторые функции доступны только зарегистрированным пользователям
Неправильный логин или пароль

Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!

Здравствуйте, гость ( Вход | Регистрация )



7 страниц V « < 4 5 6 7 >  
Ответить в эту темуОткрыть новую тему
> Новые вирусы, Отчеты
terraW
сообщение 28.5.2010, 1:22
Сообщение #101


L'Homme sans Ombre
Group Icon


Группа: Пользователи
Сообщений: 780
Регистрация: 31.12.2009
Из: город
Пользователь №: 187 410



Worm.Win32. FlyStudio.cu 25 мая, 2010
http://www.securitylab.ru/virus/394211.php
Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 1410674 байта или 1406646 байт (в зависимости от модификации). Написан на C++.
» Спойлер (нажмите, чтобы прочесть) «

---------------------------------------------------------------------
Новый Worm, но уже встречал на зараженном компьютере.. cool.gif

Virus.Win32. Sality.z 25 мая, 2010
http://www.securitylab.ru/virus/394210.php
Файловый вирус, который заражает исполняемые файлы Windows. Является вредоносным кодом, который содержится в исполняемых файлах Windows PE-EXE. Размер тела вируса ~ 64 к.б., вирус использует полиморфное шифрование из за чего размер тела варьируется.

Инсталляция
При запуске зараженного файла вирус внедряет свой код в адресное пространство зараженного процесса и запускает его в отдельном потоке, после чего возвращает управление программе-носителю.
Извлекает из своего тела файл:
%System%\drivers\<5 случайных прописных букв>.sys
– имеет размер 5184 байта.
и создает службу с именем «aic32p», запускающую извлеченный файл при каждой последующей загрузке Windows.

Заражение файлов
Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями: .EXE, .SCR
Вирус не заражает файлы размером больше 20 971 520 байт и меньше 4 096 байт. Заражаются только файлы, которые содержат в PE-заголовке секции:
TEXT
UPX
CODE
При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело.
Поиск файлов для заражения производится на всех разделах жесткого диска, съемных носителях и всех доступных для записи сетевых папках.

Деструктивная активность
Вирус добавляет исполняемый файл процесса, в котором работает его код в список доверенных процессов Windows Firewall.
» Спойлер (нажмите, чтобы прочесть) «

При помощи установленного в систему драйвера фильтрует сетевой трафик и запрещает доступ к адресам содержащим следующие строки:
cureit.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity.
spywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky
таким образом препятствуя обновлению установленных антивирусных программ.

Ищет и удаляет файлы с расширениями:
.vdb
.key
.avc
и содержащие в имени строку "drw".


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
the.h3rmit
сообщение 28.6.2010, 21:57
Сообщение #102


Молчун
Group Icon


Группа: Пользователи
Сообщений: 41
Регистрация: 24.9.2008
Пользователь №: 51 018



Репутация:   2  


Trojan-Dropper.Win32. Flystud.yo
Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 1405887 байт. Написан на C++.
» Спойлер (нажмите, чтобы прочесть) «


Backdoor.Win32. Shiz.ez
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 98304 байт. Упакован неизвестным упаковщиком, распакованный размер ~1300 к.б.
» Спойлер (нажмите, чтобы прочесть) «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
the.h3rmit
сообщение 1.7.2010, 9:07
Сообщение #103


Молчун
Group Icon


Группа: Пользователи
Сообщений: 41
Регистрация: 24.9.2008
Пользователь №: 51 018



Репутация:   2  


Trojan.Win32.Agent.bsgm
Вредоносная программа, заражающая файлы на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 22987 байт. Упакована при помощи MEW. Распакованный размер – около 162 КБ. Написана на Visual Basic.
» Спойлер (нажмите, чтобы прочесть) «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
the.h3rmit
сообщение 4.7.2010, 8:42
Сообщение #104


Молчун
Group Icon


Группа: Пользователи
Сообщений: 41
Регистрация: 24.9.2008
Пользователь №: 51 018



Репутация:   2  


Trojan.Win32. Agent2.dbw
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 8704 байта. Написана на C++.
» Спойлер (нажмите, чтобы прочесть) «


Trojan-Downloader.Win32. FraudLoad.xdau
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 22528 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 51 КБ. Написана на C++.
» Спойлер (нажмите, чтобы прочесть) «


Exploit.JS. Pdfka.ciu
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в Adobe Reader и Adobe Acrobat. Является PDF-документом, содержащим сценарии языка JavaScript. В зависимости от модификации имеет размер около 45 КБ.
» Спойлер (нажмите, чтобы прочесть) «


Exploit.Win32. Pidief.asz
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в Foxit Reader. Является PDF-документом, содержащим сценарии языка JavaScript. Имеет размер 9827 байт.
» Спойлер (нажмите, чтобы прочесть) «


P2P-Worm.Win32. Palevo.gul
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 116736 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 123 Кб. Написана на C++.
» Спойлер (нажмите, чтобы прочесть) «


Сообщение отредактировал the.h3rmit - 4.7.2010, 8:46
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
the.h3rmit
сообщение 5.7.2010, 8:40
Сообщение #105


Молчун
Group Icon


Группа: Пользователи
Сообщений: 41
Регистрация: 24.9.2008
Пользователь №: 51 018



Репутация:   2  


Trojan-Downloader.JS. Agent.fio
Троянская программа. Является HTML-страницей, содержащей сценарии языка JavaScript. Имеет размер 6765 байт.
» Спойлер (нажмите, чтобы прочесть) «


Trojan-Dropper.Win32. Agent.cbjo
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 23552 байта. Упакована UPX. Распакованный размер – около 47 КБ. Написана на C++.
» Спойлер (нажмите, чтобы прочесть) «


Trojan-GameThief.Win32. OnLineGames.vagi
Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Является приложением Windows (PE EXE-файл). Имеет размер 21728 байт. Упакована при помощи UPX. Распакованный размер – около 86 КБ. Написана на С++.
» Спойлер (нажмите, чтобы прочесть) «


Trojan-Downloader.Win32. FraudLoad.gsw
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 45056 байт. Написана на C++.
» Спойлер (нажмите, чтобы прочесть) «


Trojan-Dropper.Win32. Agent.cdqo
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 20480 байт. Написана на C++.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
the.h3rmit
сообщение 6.7.2010, 10:58
Сообщение #106


Молчун
Group Icon


Группа: Пользователи
Сообщений: 41
Регистрация: 24.9.2008
Пользователь №: 51 018



Репутация:   2  


Exploit.JS. Pdfka.cic
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в продуктах Adobe Acrobat и Adobe Reader. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 1990 байт.
» Спойлер (нажмите, чтобы прочесть) «


Exploit.JS. Agent.axr
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в MS Internet Explorer. Представляет собой HTML документ, который содержит в себе сценарии языка Java Script. Имеет размер 1548 байт.
» Спойлер (нажмите, чтобы прочесть) «


Exploit.Java. CVE-2009-3867.d
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в Sun Microsystems Java (CVE-2009-3867). Является Java-классом (class-файл). Имеет размер 3177 байт.
» Спойлер (нажмите, чтобы прочесть) «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
the.h3rmit
сообщение 12.7.2010, 11:05
Сообщение #107


Молчун
Group Icon


Группа: Пользователи
Сообщений: 41
Регистрация: 24.9.2008
Пользователь №: 51 018



Репутация:   2  


Trojan-Downloader.JS. Agent.fig
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Представляет собой HTML документ, содержащий сценарии Java Script. Имеет размер 15509 байт.
» Спойлер (нажмите, чтобы прочесть) «


Trojan-Clicker.JS. Iframe.bb
Троянская программа, открывающая в браузере различные веб-страницы без ведома пользователя. Представляет собой сценарий языка Java Script, размещенный на HTML странице. Имеет размер 44578 байт.
» Спойлер (нажмите, чтобы прочесть) «


Trojan.Win32. Agent2.cqzi
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на C++.
» Спойлер (нажмите, чтобы прочесть) «


P2P-Worm.Win32. Palevo.fuc
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 89600 байт. Написана на C++.
» Спойлер (нажмите, чтобы прочесть) «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
rsm
сообщение 16.8.2010, 21:27
Сообщение #108


Молчун
Group Icon


Группа: Пользователи
Сообщений: 6
Регистрация: 3.8.2010
Пользователь №: 287 406



Репутация:   0  


ICQ-вирус Snatch - инфа на: http://www.lenta.ru/news/2010/08/16/icq/
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
makadjamba
сообщение 19.8.2010, 15:27
Сообщение #109


Болтун :)
Group Icon


Группа: Модераторы
Сообщений: 8 723
Регистрация: 15.7.2010
Из: Усолье-Сибирское
Пользователь №: 281 112



Репутация:   335  


Друзья!!! По последним данным в инете появился новый вирус под именем Snatch.

Такая информация поступает в ICQ-клиенты от пользователей из списка контактов:

Входящий файл: Snatch
Размер: 916,50 Кб
Внешний IP: 195.184.79.22
Внутренний IP: 0.0.0.0

Всем пользователям сети категорически не рекомендуем принимать этот файл. Учтите, это может быть опасно для вашего компьютера!

Так как в будущем название файла может измениться, стоит обратить внимание на его размер. В случае snatch.exe он составляет 916,5 килобайта.

Захватив ICQ-аккаунт, вирус способен поддерживать короткий диалог с пользователями в списке контактов. Вот некоторые фразы, которым его обучили создатели: "глянь ))", "нет, глянь )))", "ну мини игра типа )", "привет!".

Так как вирус распространяется в виде исполняемого файла .exe, в опасности находятся только пользователи Windows. Стоит отметить, что по состоянию на 16 августа большинство антивирусов не реагируют на данный файл.

Согласно отчету Virus Total, snatch.exe опознали как вредоносную программу лишь 9 антивирусов из 42: Authentium, BitDefender, Emsisoft, F-Prot, F-Secure, GData, Ikarus, Panda и Sunbelt.



Честно я сам чуть не словил его! Сволочь умеет отвечать примитивно. Насторожило название поэтому не принимал. Да и мало ли) задница тоже предупреждать умеет))

Как удалить вирус вручную!!!!
В случае если «аська» уже заражена червем Snatch.exe и антивирус не может его распознать, порядок действий должен быть такой:
1)Запустить диспетчер задач (Ctrl+Alt+Del) и принудительно завершить процесс Snatch.exe.
2)Открыть папку, в которую сохранился вирус, и удалить его вручную. Далее удалить Snatch.exe из корзины.
3)Вычистить реестр Windows от всех ссылок на Snatch. Запуск реестра: открыть меню «Пуск» и набрать в командной строке «regedit», потом с помощью кнопки F3 произвести поиск по слову Snatch и удалить все ссылки на вирус.
4)Также не помешает переустановить ICQ и сменить пароль.


Сообщение отредактировал makadjamba - 19.8.2010, 15:28
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
o-kaipov
сообщение 27.8.2010, 9:31
Сообщение #110


Всё проходит...
Group Icon


Группа: Пользователи
Сообщений: 1 596
Регистрация: 7.10.2009
Пользователь №: 147 149



Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 23.12.2010, 20:06
Сообщение #111


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



"Доктор Веб": Новый троян отключает антивирусы излишне любопытным пользователям "ВКонтакте"

Изображение

Антивирусная компания "Доктор Веб" предупреждает о появлении нового метода противодействия работе антивирусов, реализованном в трояне Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети "ВКонтакте".

Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, после запуска которого открывается окно Проводника Windows. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса.

После того как поиск завершен, производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов, отмечают специалисты "Доктор Веб".

Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались.

После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут.

После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой.

При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создается иллюзия, что антивирусная защита системы продолжает работать в штатном режиме.

Таким образом, отмечают эксперты, хотя большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 10.1.2011, 2:52
Сообщение #112


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Новая угроза: USB устройство со встроенным кейлоггером

Исследователь в области информационной безопасности разработал миниатюрный программируемый кейлоггер, который может быть встроен в компьютерную мышь или клавиатуру.

Разработчик и эксперт в области информационной безопасности Адриан Криншоу создал программируемый кейлоггер “PHUKD” (Programmable HID USB Keystroke Dongle), которое может быть встроено в плату любого USB устройства. Устойство разработано на на базе USB микроконтроллера Teensy.

Заметим, что Криншоу, при создании своего устройства преследовал благие намерения. Он хотел упростить процесс тестирования для экспертов, специализирующихся на проведении тестов вручную.

Однако, создатель обнаружил, что его устройство может быть использовано не только тестерами, но и злоумышленниками. Дело в том, что помимо того, что PHUKD имеет небольшие габариты, может быть запрограммировано на выполнение огромного количества задач, например, активироваться при запуске операционной системы. Причем соответствующие алгоритмы можно написать на языке С, а микроконтроллер доступен в любом магазине.

На своем сайте, разработчик рассказал как его детище, встроенное в обычную компьютерную USB мышь, может превратиться в инструмент злоумышленника и при нажатии соответствующих клавиш незаметно передавать данные с компьютера на удаленный сервер.

По мнению экспертов, это огромный и одновременно опасный шаг от обычных кейлоггеров, поскольку обнаружить его без соответствующего оборудования будет крайне затруднительным.



» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 13.1.2011, 22:41
Сообщение #113


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Сюрприз для любителей халявы

Программы для взлома коммерческого ПО, к сожалению, пользуются определенной популярностью. Обратили на них внимание и вирусописатели, подготовив пару сюрпризов для любителей халявы.

Недавно нами (ЛК) был обнаружен троянец-дроппер, который выдает себя за генератор ключей для продуктов «Лаборатории Касперского». Файл называется kaspersky.exe, а в поле “Company” его свойств указано “Trend Micro Inc”.
Изображение
Отображение вредоносного дроппера в проводнике


После запуска файла на экране появляется окно генератора ключей с предложением выбрать продукт для взлома. После выбора одного из пунктов, программа начинает генерировать ключ.
Изображение
Окно работающего кейгена


Пока любитель бесплатного сыра ожидает результата, на его компьютере уже орудуют два других зловреда, которые были тайком установлены и запущены дроппером.

Один из них «Лаборатория Касперского» детектирует как Trojan.MSIL.Agent.aor. Эта вредоносная программа ворует регистрационную информацию от других программ и пароли, в основном, к онлайн-играм, заботливо собирая украденные данные в одном файле. Фрагмент этого файла приведен на скриншоте ниже.
Изображение
Фрагмент файла, который заполняется регистрационными данными
от соответствующего ПО


Этот зловред также изменяет системный файл hosts, блокируя таким образом доступ к некоторым сайтам. Например, сайты virustotal.com и virusscan.jotti.org, предоставляющие сервис сканирования файлов многими антивирусными вендорами, будут недоступны для пользователя.

Фрагмент измененного hosts-файла:
Код
##Do not touch this file, changing it will cause SERIOUS damage to your computer
127.0.0.1 virustotal.com
127.0.0.1 www.virustotal.com
127.0.0.1 www.virusscan.jotti.org/
127.0.0.1 www.virusscan.jotti.org/en
127.0.0.1 www.virusscan.jotti.org/en

Второй установленный дроппером зловред — типичный бэкдор, который работает также в качестве кейлоггера, собирая информацию о нажатиях на клавиши. Детектируется он как Trojan.Win32.Liac.gfu.

Так, запустив якобы генератор ключей для Kaspersky Internet Security, можно “поселить” на своем компьютере парочку серьезных зловредов, с которыми придется бороться KIS. Если, конечно, сгенерированные ключи сработают.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 15.1.2011, 22:06
Сообщение #114


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Гибрид ZeuS и SpyEye уже в продаже

Исследователи в области безопасности компании McAfee предупреждают о появлении на черном рынке нового инструментария для мошенников - "SpyEye / ZS Builder", созданного на базе двух опасных ботнетов ZeuS и SpyEye. Сборка появилась лишь несколько дней назад, однако ее выход может стать серьезной угрозой.

Напомним, что несколько месяцев назад создатель популярного среди киберпреступников ботнета ZeuS, объявил об уходе, передав все права на свое детище другому разработчику и создателю ботнета SpyEye, известного под ником «harderman». Последний же сообщил, что планирует создать новый, более мощный инструмент, взяв «лучшее» от упомянутых ботнетов.

Согласно экспертам, сборка обладает интерфейсом SpyEye, однако ее функционал дополнен некоторыми возможностями ZeuS. Кроме того, создатель улучшил функцию извлечения паролей; добавил уведомление по Jabber; включил модуль VNC, а также функции автоматического распространения и обновления; разработал «уникальную» программную заглушку и усовершенствовал систему создания скриншотов. При этом новый ботнет предлагается по цене существенно ниже, чем ее предшественники, что может послужить росту его популярности в мире киберпреступников.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 20.1.2011, 23:03
Сообщение #115


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



SMS-троянцы - новый виток

Вчера "Лабораторией Касперского" была зафиксирована очередная SMS-спам рассылка, содержащая ссылку на вредоносную программу для мобильных телефонов и смартфонов: Trojan-SMS.J2ME.Smmer.f. Отправителем мог значиться обычный мобильный телефонный номер, например, +79671*****2. Текст спам-сообщения выглядел следующим образом:

Poluchen MMS podarok ot "Katya" dlya abonenta <телефонный номер получателя> Posmotret: http://load***.ru/606.jar

Сама вредоносная программа маскируется под "виртуальную открытку":
Изображение

По ссылке в спам-сообщении находится очередной SMS-троянец, который детектируется ЛК как Trojan-SMS.J2ME.Smmer.f. О другой подобной рассылке ЛК писали ранее. Чем же отличаются эти случаи?

В случае рассылки годичной давности SMS-троянец пытался отправить SMS-сообщения на платный короткий номер 8353, стоимость сообщения на который равна ~180 рублям. SMS-троянец из вчерашней рассылки отправляет ровно два сообщения: первое - на короткий номер 3116; второе - на короткий номер 8464.
Изображение

Стоимость сообщения на любой из данных коротких номеров равна... 0 рублям! В очередной раз всплывает старый вопрос: "Где деньги?"

Дело в том, что данные короткие номера используются одним из операторов сотовой связи для перевода денежных средств с одного мобильного телефона на другой. Если один абонент хочет осуществить такую операцию, то ему необходимо отправить SMS-сообщение на номер 3116 следующего вида:
Номер_телефона_получателя Сумма_перевода

Trojan-SMS.J2ME.Smmer.f отправляет первое сообщение на короткий номер 3116 с текстом "9654*****2 200". Это значит, что баланс мобильного телефона зараженного пользователя уменьшится на 200 рублей из-за вредоносной программы. Но зачем SMS-троянцу отправлять второе бесплатное SMS-сообщение на короткий номер 8464 с текстом "1". Данная SMS'ка необходима для подтверждения перевода средств с одного телефона на другой.

Наблюдались похожие вредоносные программы уже два года назад, однако их целью были пользователи оператора сотовой связи в Индонезии.

Различные сервисы, предлагаемые мобильными операторами, созданы для удобства пользователей. Данная конкретная услуга мобильного перевода позволяет пополнить баланс абонента, который в этом нуждается. Однако, как мы видим, злоумышленники всегда пытаются обратить легальные сервисы в нелегальное средство обогащения.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 24.1.2011, 20:07
Сообщение #116


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Разработан троян - перехватчик для Android

Группой исследователей в области безопасности создан экспериментальный образец трояна для операционной системы Android. Зловред предназначен для прослушивания и перехвата персональных данных во время разговора или набора текстовых сообщений.

Как сообщается, троян «Soundminer» замаскирован под приложение, которое по функциональному предназначению напоминает диктофон. Однако, этот «диктофон» при установке запрашивает доступ ко всем приложениям и функциям телефона, включая доступ к сети, доступ к внешним и внутренним устройствам хранения информации, а также к аппаратным функциям устройства, такие как: подсветка экрана, светодиодная подсветка или доступ к микрофону.

С момента установки, программа, пребывая в фоновом режиме, без каких-либо уведомлений записывает все звонки и передаваемые сообщения. Затем производится местный анализ данных и сбор нужной информации. Причем зловред работает в двухстороннем режиме, то есть, «на мушку» берется и собеседник жертвы. Кроме того, программа снабжена функцией перехвата и распознавания тоновых сигналов при наборе с виртуальной клавиатуры, которые затем конвертируются в числовые значения.

Исследователи также предусмотрели момент передачи «ценной информации» злоумышленнику. Дело в том, что самостоятельно программа не может отправлять данные на удаленный сервер, поскольку у нее нет таких полномочий, иначе это вызвало бы подозрения при установке. Было решено разработать еще одно приложение «Deliverer», которое будет иметь доступ к сети. Учитывая то, что разработчики операционной системы исключили возможность обмена информацией между двумя приложениями без уведомления пользователя, ученые снабдили новое приложение возможностью «читать» любые изменения подсветки экрана или уровня звука. Таким образом, перехватчик, изменив определенным образом эти паратметры, может передать собранную информацию «Deliverer», а уж последний доведет дело до конца.

Согласно мнению исследователей, в качестве защиты от такого зловреда можно предусмотреть редактируемый список номеров телефонов, для которых запись звуковых сообщений будет запрещена. Однако создание такой возможности пока только в планах.

Свою разработку ученые планируют представить на очередном симпозиуме Network & Distributed System Security Symposium, который пройдет в Сан – Диего, штат Калифорния.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 26.1.2011, 22:24
Сообщение #117


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Пользователи ICQ подверглись новой атаке

Исследователи в области безопасности компании «Лаборатория Касперского» предупреждают пользователей о распространении вредоносных рекламных сообщений через ICQ.

За последние несколько дней, мы получили многочисленные отчеты с компьютеров, зараженных фэйковым антивирусом (scareware) Antivirus 8.
Изображение

Пользователи получали уведомления лже-антивируса тогда, когда система находилась в режиме неактивности (простоя). В ходе наших исследований выяснялось, что эти уведомления будут отображаться тогда, когда ICQ пытается показать новую рекламу.

Мы установили ICQ и подождали несколько минут, чтобы появилась реклама. В итоге, получили следующее:
Изображение
Эта страница находилась на хостинге ****.charlotterusse.eu.

Судя по наличию на странице фрейма, можно сказать, что рекламный сервер был взломан, не так ли? Не совсем. Мы провели несколько исследований и обнаружили, что других серверов нет, кроме как charlotterusse.com - по-настоящему принадлежащего брэнду одежды.

Это значит, что кто-то создал видимость работы действующего магазина, чтобы рекламное агентство не заблокировало размещение рекламы, поскольку очевидные мошеннические заявки отсеиваются.

Но самое интересно то, что эти самые "кто-то" сделали вид, что их сервер якобы взломали, тем самым, снимая с себя ответственность на распространение вредоносного кода. А вину возлагать на взломщиков. Рекламное агентство, скорее всего, даст только предупреждение злоумышленникам, давая им повод в дальнейшем заражать компьютеры пользователей.

Это лишь один пример такой ситуации, когда безвредная программа может атаковать компьютеры. И, соответственно показывает, что независимо от обстоятельств, защита от вредоносных программ просто необходима.

Мы так же отослали уведомление менеджеру рекламного агентства, но ответа до сих пор не получили.

Перевел Feo



» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 28.1.2011, 23:02
Сообщение #118


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Еще один эксплойт для уязвимостей в Adobe Reader

Утром 27 января зарегистрирован новый эксплойт, который стал 50-миллионным образцом, попавшим в базу данных вирусного программного обеспечения.

Согласно источнику, эксплойт обнаружен в PDF файле, который пытался проникнуть в систему, эксплуатируя уязвимость в Adobe Reader. Вредонос пока не идентифицирован и не имеет названия, однако антивирусные продукты компаний Authentium, Eset, F-Prot, Kaspersky и McAfee обнаружили подозрительный объект, провозгласив об этом: "HEUR:Exploit.Script.Generic". Что касается остальных антивирусов, то тут остается надеяться, что они отреагируют на характерное поведение зловреда при открытии файла.

Новый образец лишь подтверждает то, что злоумышленники не пытаются использовать уязвимости в операционных системах или обозревателях для проникновения в систему; вместо этого вирусописатели сосредоточились на использовании ошибок в коде приложений. Помимо Adobe Reader они используют уязвимости в плагинах Flash и Java. В случае если на компьютере установлена устаревшая версия приложения с известными уязвимостями, то проникновение в систему становистя минутным делом. В связи с этим эксперты настоятельно советуют пользователям обновлять их программное обеспечение до актуального состояния.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
di_con
сообщение 9.2.2011, 9:54
Сообщение #119


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 625
Регистрация: 22.11.2008
Пользователь №: 62 475



Репутация:   31  


Новинка от кибермошенников: подписка без уведомления


«Лаборатория Касперского» предупреждает пользователей о появлении новой схемы работы кибермошенников с использованием СМС-блокеров. В отличие от традиционного алгоритма, когда для получения кода разблокировки компьютера необходимо было выслать на указанный номер платное СМС-сообщение, теперь злоумышленники пошли более «гуманным» путем. В окне, которое появляется на Рабочем столе, пользователя просят указать номер телефона, на который совершенно бесплатно приходит СМС с кодом разблокировки. На чем же зарабатывают мошенники?

После разблокировки на телефон «счастливчика» с завидной регулярностью и частотой начинают приходить СМС-сообщения сомнительного содержания, а его баланс стремится к нулю, сообщает Лаборатория Касперского. Оказывается, что, введя свой номер мобильного телефона и подтвердив его подлинность, пользователь автоматически принимает условия некого лицензионного соглашения, которое помимо всего прочего включает услугу «Подписка», естественно, предоставляемую на платной основе.

Как правило, избавиться от подобной «услуги» можно, обратившись к оператору мобильной связи с требованием отписаться от ненужной Подписки. Существует и другой способ: не выполнять условия соглашения со своей стороны, то есть не оплачивать навязанную услугу. Для этого достаточно в течение определенного времени (обычно неделю) не пополнять баланс. Однако, согласитесь, сегодня прожить без мобильного телефона хотя бы день, может далеко не каждый, не говоря уже о неделе.



» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
di_con
сообщение 26.2.2011, 20:54
Сообщение #120


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 625
Регистрация: 22.11.2008
Пользователь №: 62 475



Репутация:   31  


Испанские эксперты предупредили об опасном троянском коне


» Спойлер (нажмите, чтобы прочесть) «



» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

7 страниц V « < 4 5 6 7 >
Ответить в эту темуОткрыть новую тему
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 29.3.2024, 8:14
Редакция: (383) 347-86-84

Техподдержка:
help.sibnet.ru
Размещение рекламы:
тел: (383) 347-06-78, 347-10-50

Правила использования материалов