ЛЕТОПИСЕЦ


Join the forum, it's quick and easy

ЛЕТОПИСЕЦ
ЛЕТОПИСЕЦ
Вы хотите отреагировать на этот пост ? Создайте аккаунт всего в несколько кликов или войдите на форум.

ОПАСНОСТЬ!

Участников: 2

Перейти вниз

ОПАСНОСТЬ! Empty ОПАСНОСТЬ!

Сообщение  Admin Пт 04 Фев 2011, 15:22

Trojan.Winlock достучался до ЖЖ
03.02.2011

3 февраля 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о новом способе распространения троянцев, блокирующих Windows, — через комментарии в «Живом Журнале» (LiveJournal, LJ) — сервисе блогов, особо популярном у русскоязычных пользователей. Жертва, нажимая на полученный комментарий, попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом, где ей предлагается загрузить exe-файл, за которым скрывается Trojan.Winlock.

Социальные сети всегда были лакомым кусочком для вирусописателей. Тем не менее, до недавнего времени модификации Trojan.Winlock через них активно не распространялись. Объясняется это, в частности, тем, что активно использовались другие каналы: сайты для взрослых, файлообменники и другие интернет-ресурсы с сомнительным контентом.

В последние месяцы финансовая схема, которой пользуются авторы Trojan.Winlock¸ претерпела некоторые изменения. Прежде всего, это связано с трудностями использования злоумышленниками в тех же объемах коротких номеров, на которые жертвы должны были присылать платные SMS-сообщения. Кроме того, вирусописатели начали активно искать новые каналы распространения, одним из которых с недавнего времени стал «Живой Журнал».

В конце января 2011 года российские пользователи этого популярного сервиса блогов начали получать комментарии (с темой «Немного насущного оффтопа» или «Немного о насущном в оффтоп»), содержащие картинку, при клике на которую попадали на сайт фотохостинга, с которого уже отправлялись на интернет-ресурс с порнографическим контентом. Именно там им предлагалось скачать exe-файл, за которым скрывался печально известный Trojan.Winlock.

ОПАСНОСТЬ! Comment-mini

Если пользователь попадал в эту ловушку и загружал предлагаемый объект, Trojan.Winlock блокировал его компьютер, выдавая сообщение с требованием перевести на специальный номер определенную сумму денег (как правило, 300-400 рублей).

На сегодняшний день порядка половины всех обращений в службу технической поддержки «Доктор Веб» связано с проблемой заражения Trojan.Winlock. Чтобы вы не попали на удочку злоумышленников, специалисты компании «Доктор Веб» рекомендуют вам установить лицензионный антивирус с актуальными обновлениями, а также избегать посещения сомнительных интернет-ресурсов.

При заражении Trojan.Winlock рекомендуем посетить специальный сайт компании "Доктор Веб" - www.drweb.com/unlocker, созданный для помощи пользователям в разблокировке компьютеров.


Последний раз редактировалось: Admin (Ср 09 Фев 2011, 08:58), всего редактировалось 1 раз(а)
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Ирина Акаева Пт 04 Фев 2011, 22:26

Я когда аватарки раньше искала,то тоже нажму на аватару ,а открывается голая баба.Но вируса не было.А сейчас я нигде не лазею.

Ирина Акаева
Доктор
Доктор

Сообщения : 4936

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Ср 09 Фев 2011, 09:23

Послепраздничное затишье:вирусные угрозы января 2011 года
8 февраля 2011 года

Новый, 2011 год на вирусном фронте начался с относительного затишья, почти никаких «праздничных» сюрпризов не наблюдалось. В январе, как и ранее, доминировали вредоносные программы, направленные на прямое получение прибыли посредством вымогательства и кражи паролей к учетным записям систем дистанционного банковского обслуживания и электронных денежных систем.
Троянцы-шифровальщики

В начале года появились новые модификации троянцев, которые при заражении системы шифруют документы пользователей и предлагают расшифровать их при помощи специальной утилиты — разумеется, небесплатной.

ОПАСНОСТЬ! 1.1

В частности, в январе в вирусную базу Dr.Web были добавлены модификации Trojan.Encoder.94 и Trojan.Encoder.96.

Напоминаем, что неквалифицированные действия пользователей в случае шифрования файлов могут нанести данным непоправимый вред. Категорически не рекомендуется производить процедуры, связанные с восстановлением системы, удалять временные системные файлы или очищать кэш интернет-браузера, так как это может привести к невозможности восстановления файлов.

Кроме того, для расшифровки не рекомендуется использовать первую попавшуюся утилиту — высок риск испортить файлы окончательно. Вместо этого имеет смысл обратиться в вирусную лабораторию «Доктор Веб» с запросом помощи в лечении, выбрав в категории запроса «Запрос на лечение» и приложив несколько пар документов — в зашифрованном и незашифрованном виде.
Блокировщики Windows

В январе блокировщики Windows продолжили свое распространение, причем эти вредоносные программы стали более разнообразными. Вместе с новыми типами блокировщиков продолжили распространение и те, что были на слуху в предыдущие месяцы.

Если в последние несколько месяцев злоумышленники требовали за разблокировку системы в среднем 300–400 рублей, то в конце января получил распространение новый тип блокировщиков, требующих перечислить на счет мобильного телефона злоумышленников от 600 до 800 рублей.

Также в конце января было зафиксировано распространение блокировщиков Windows через блог-платформу LiveJournal (широко известную в России как ЖЖ). Получив комментарий в блоге и щелкнув по ссылке в нем, пользователь попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом. Там жертве мошенничества предлагается загрузить EXE-файл, за которым скрывается Trojan.Winlock.

Ниже представлена галерея изображений наиболее распространенных в январе блокировщиков Windows.

ОПАСНОСТЬ! 01.1ОПАСНОСТЬ! 02.1
Общая статистика интернет-мошенничества в январе

За прошедший месяц в среднем в сутки по случаям интернет-мошенничества в бесплатную техническую поддержку компании «Доктор Веб» обращалось 178 пользователей, что на 8% больше, чем в декабре 2010 года.

Количество обращений, связанных с вредоносными программами, требующими положить деньги на счет мобильного телефона злоумышленника, увеличилось до 80% (в ноябре количество таких обращений составило 60%, а в декабре — 70% от всех обращений).

При этом количество обращений по троянцам, требующим пополнить счет мобильного телефона с использованием соответствующих СМС-сервисов сотовых операторов, а не терминалов оплаты, увеличилось с 23% в декабре до 43% в январе.

Количество обращений по вредоносным программам, требующим отправить платное СМС-сообщение, продолжает снижаться и в январе 2011 года составило лишь 15% всех обращений.
Банковские бот-сети

Продолжают свое распространение клиенты бот-сетей, направленных на российских пользователей систем дистанционного банковского обслуживания и электронных денежных систем. Как правило, каждая модификация такого клиента направлена одновременно на множество целей, одна из которых может оказаться на зараженном компьютере.

Специалисты компании «Доктор Веб» фиксируют активность нескольких подобных бот-сетей, в частности WinSpy и IBank. Зараженные компьютеры по команде злоумышленников время от времени обновляют компоненты, которые составляют так называемую «полезную нагрузку» бот-сети. Обновление этих компонентов объясняется тем, что мошенники вынуждены противодействовать антивирусам, которые установлены на компьютерах пользователей, а также обусловлено меняющимися конкретными целями злоумышленников.

Среди других угроз января можно отметить продолжение распространения в Западной Европе лжеантивирусов. На этот раз в «топе» таких ложных антивирусных программ находились System Tool 2011 и Antivirus Scan. Англоязычные пользователи Facebook также находятся под ударом — через спам-сообщения в этой социальной сети во второй половине прошедшего месяца зафиксировано распространение троянца Trojan.MulDrop1.62295 под видом «сюрприза» от другого пользователя соцсети.
Вредоносные файлы, обнаруженные в январе в почтовом трафике
01.01.2011 00:00 - 01.02.2011 00:00
1 Trojan.DownLoad1.58681 592254 (9.31%)
2 Trojan.Packed.20878 426750 (6.71%)
3 Trojan.Oficla.zip 313652 (4.93%)
4 Trojan.MulDrop.64589 311774 (4.90%)
5 Trojan.DownLoad.41551 271184 (4.26%)
6 Trojan.Packed.20312 261419 (4.11%)
7 Trojan.Oficla.38 148062 (2.33%)
8 Win32.HLLM.Beagle 117539 (1.85%)
9 Trojan.AVKill.2788 113477 (1.78%)
10 Trojan.PWS.Panda.114 95805 (1.51%)
11 Trojan.PWS.SpySweep.17 92209 (1.45%)
12 W97M.Killer 87092 (1.37%)
13 Trojan.MulDrop1.54160 73523 (1.16%)
14 Trojan.DownLoader1.17157 69678 (1.10%)
15 Win32.HLLW.Autoruner.35407 60963 (0.96%)
16 Trojan.PWS.Panda.387 52532 (0.83%)
17 Trojan.Oficla.48 52257 (0.82%)
18 Trojan.Oficla.73 52254 (0.82%)
19 Trojan.AVKill.3097 46052 (0.72%)
20 Win32.HLLM.MyDoom.54464 45653 (0.72%)
Всего проверено: 56,551,758,514
Инфицировано: 6,363,080

Вредоносные файлы, обнаруженные в январе на компьютерах пользователей
01.01.2011 00:00 - 01.02.2011 00:00
1 Win32.HLLP.Whboy.45 27057874 (43.80%)
2 Win32.HLLP.Neshta 13487529 (21.83%)
3 Win32.HLLP.Whboy.105 4525965 (7.33%)
4 Win32.HLLP.Rox 2224917 (3.60%)
5 Win32.Siggen.8 1583325 (2.56%)
6 Win32.HLLP.Novosel 1582034 (2.56%)
7 Win32.Antidot.1 1003419 (1.62%)
8 Trojan.Packed.21230 558842 (0.90%)
9 Win32.HLLP.Whboy 396674 (0.64%)
10 Win32.Sector.22 338383 (0.55%)
11 Trojan.MulDrop.54146 285091 (0.46%)
12 JS.Nimda 279705 (0.45%)
13 Win32.Virut.56 274936 (0.45%)
14 Win32.Virut.5 271705 (0.44%)
15 ACAD.Pasdoc 260004 (0.42%)
16 Win32.HLLW.Shadow.based 259855 (0.42%)
17 Trojan.DownLoad.32973 246686 (0.40%)
18 Trojan.MulDrop1.48542 243739 (0.39%)
19 Win32.Sector.21 208654 (0.34%)
20 Win32.Gael.3666 178199 (0.29%)
Всего проверено: 127,566,192,623
Инфицировано: 61,779,350
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Ирина Акаева Ср 09 Фев 2011, 09:57

Я невесте сына рассказала об этих угрозах.Представьте,ее крестный "попал".Кино скачивали,а выскочило-порно.Полюбопытствовали.Все.Появилось сообщение ,мол ,фильм какой-то супер,за него платить надо 2000р.,на номер МТС-вский покласть,тогда комп снова заработает.Мужик в райцентр прямо ночью хотел ехать класть.А ему сказали,что провайдер ЮТК,значит никакие МТС о задолженностях писать не могут,не выручай шакалов.Так он ездил систему переделывать-дешевле обошлось.А у Жени три дня назад атака была на ноутбук.Она испугалась,первый раз было,ноутбук новенький.Но у нее антивирусник.

Ирина Акаева
Доктор
Доктор

Сообщения : 4936

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Ср 09 Фев 2011, 12:41

Салье пишет:Но у нее антивирусник.
В принципе такое не пройдет, если успело попасть в базу АВ, но если до этого - намучаешься с восстановлением или переустановкой.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Чт 17 Мар 2011, 17:03

16 марта 2011 года

Компания «Доктор Веб» – российский разработчик средств информационной безопасности – сообщает об обнаружении троянца Trojan.PWS.OSMP, заражающего терминалы одной из крупнейших российских платежных систем. Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают напрямую к злоумышленникам.

Первоначально в операционную систему платежного терминала (ОС Windows) попадает BackDoor.Pushnik, представляющий собой вредоносную программу в виде исполняемого файла, написанного злоумышленниками на языке Delphi. Передается он через съемные носители, в частности USB Flash Drive. Как только такая «флешка» подключается к терминалу, происходит автозапуск бэкдора. В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит «задача» загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера.

Trojan.PWS.OSMP – одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. Попадая в операционную систему, троянец проверяет программное обеспечение, установленное на терминале и осуществляет поиск процесса maratl.exe, который является вполне легальной программой. Далее Trojan.PWS.OSMP встраивается в maratl.exe, меняя его память. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Средства, таким образом, попадают напрямую вирусописателям.

Последняя известная модификация Trojan.PWS.OSMP, появившаяся в конце февраля 2011 года, действует уже по другой схеме. Она крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.

Сейчас можно с уверенностью говорить, что Trojan.PWS.OSMP представляет наибольшую опасность для терминалов, подключенных к Интернету и использующих maratl.exe. Специалисты «Доктор Веб» уже передали всю известную им информацию компании — владельцу терминалов, которые находятся под угрозой. Надеемся, что это поможет решить проблему в кратчайшие сроки и уберечь пользователей от потери денежных средств.

По оценкам специалистов из процессинговой компании вероятность заражения терминалов этим троянцем является невысокой ввиду специфики обслуживания. По их словам, активность Trojan.PWS.OSMP на данный момент оценивается как низкая.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Вт 05 Апр 2011, 13:17

4 апреля 2011 года

Март 2011 года оказался богат на события в сфере информационной безопасности. В числе главных новостей — проникновение троянцев в платёжные терминалы и ликвидация крупнейшей в мире спам-сети — ботнета Win32.Ntldrbot, известного также под названием Rustock. Помимо этого, злоумышленники предприняли ряд заметных атак на социальные сети. Кроме того, как и следовало ожидать, катастрофа в Японии послужила темой множества спам-рассылок и спекуляций.
Закрытие ботнета Win32.Ntldrbot (Rustock)

17 марта 2011 года прекратил работу самый крупный генератор спама, ботнет Win32.Ntldrbot. 26 командных центров ботнета стали недоступны, и сотни тысяч ботов, оставшись без управления, впали в спячку.
По оценкам Microsoft, компьютер, заражённый Win32.Ntldrbot, рассылал до 10000 писем в час. При этом, по данным некоторых экспертов, в спам-сеть входило порядка 815 тысяч ботов. Таким образом, суммарный спам-трафик, создаваемый ботнетом Win32.Ntldrbot, можно оценивать в несколько миллиардов сообщений в сутки. Ответственность за обезглавливание ботнета Win32.Ntldrbot взяла на себя корпорация Microsoft, которая провела операцию совместно с американскими властями.
Win32.Ntldrbot, первые известные образцы которого датируются 2005 годом, стал одним из самых высокотехнологичных и сложных представителей актуального троянского ПО. Разработчик Win32.Ntldrbot несколько лет совершенствовал эту программу, а разбор кода троянца послужил источником множества аналитических публикаций.
Юридическим обоснованием операции был гражданский иск Microsoft против неустановленных лиц, стоявших за данным ботнетом. По распространённой версии, злоумышленниками являются наши соотечественники.
Пока сложно давать прогнозы относительно будущего спам-индустрии. Тот ощутимый урон, который нанесло ей закрытие крупнейшей спам-сети, может быть быстро возмещён ростом других ботнетов. Лидирующие позиции в распространении спама уже занял давно известный ботнет Win32.HLLM.Beagle, активность которого последние несколько лет была низкой. Обе спам-сети специализируются на т. н. фарм-спаме – рекламе лекарственных препаратов.
В дальнейшем стоит также быть готовыми к изменению архитектуры ботнетов в сторону децентрализации. Также высказываются предположения о возможности восстановления ботнета Win32.Ntldrbot.
Троянцы в терминалах

В марте 2011 года компания «Доктор Веб» заявила об обнаружении новой модификации троянца Trojan.PWS.OSMP, специализирующегося на заражении терминалов экспресс-оплаты. Этот троянец изменяет номера счетов получателей платежей. А последняя его модификация, вероятно, позволяет злоумышленникам создать виртуальный терминал.
Примечательно, что троянец был обнаружен не при анализе заражённого терминала, а при мониторинге бот-сети другого троянца, обеспечивающего пути проникновения Trojan.PWS.OSMP на терминалы.
Заражение терминалов происходит в два этапа. Сначала на терминал попадает BackDoor.Pushnik, который представляет собой запакованный исполняемый файл размером ~620 КБ, написанный на Delphi, и распространяется через сменные носители. После установки троянец получает управляющие данные от своих командных центров и, через несколько промежуточных шагов, загружает и запускает бинарный файл размером 60-70 КБ, содержащий Trojan.PWS.OSMP. Тот перебирает запущенные процессы в поисках процесса maratl.exe, являющегося частью программного окружения платёжных терминалов. В случае успеха троянец внедряется в процесс и изменяет счёт получателя непосредственно в памяти процесса, подставляя счета злоумышленников.
Последняя зафиксированная версия троянца реализует другую схему мошенничества. Trojan.PWS.OSMP копирует на свой сервер конфигурационный файл ПО платёжного терминала. Кража конфигурационного файла предполагает попытку создания поддельного терминала на компьютере злоумышленников, что должно позволить перенаправлять безналичные денежные средства на счета разработчиков троянца.

Новые критические уязвимости в продукции Adobe

14 марта 2011 года Adobe объявила об обнаружении очередной уязвимости в проигрывателе Adobe Flash Player 10.2.152.33 и некоторых более ранних версиях.
Уязвимость позволяет злоумышленникам атаковать систему при помощи специально оформленного swf-файла. Она является общей для версий данного программного продукта для Windows, Mac OS, Linux, Solaris и ранних версий Android.
Обновления, закрывающие эту уязвимость, были выпущены только 21 марта. Таким образом, уязвимость оставалась актуальной в течение недели. Вскоре после этого в открытом доступе оказались исходные коды примера эксплуатации данной уязвимости.
Инструмент реализации атаки представляет собой xls-файл со встроенным swf-объектом:

ОПАСНОСТЬ! 1.1

Рис. 1. Встроенный swf-файл в таблице Excel.

Данный swf-файл загружает в память shell-код, затем выполняет атаку на уязвимый flash-проигрыватель, используя технику Heap Spray. Затем код swf-файла загружает второй swf-файл, который использует уязвимость интерпретатора байт-кода ActionScript CVE-2011-0609, общего для всех уязвимых систем.

Демонстрация уязвимости спровоцировала рассылки писем, содержащих во вложении троянский xls-файл, включающий в себя Exploit.SWF.169. При запуске троянского файла среда MS Excel на некоторое время перестаёт отвечать, при этом пользователь видит пустую таблицу со встроенным flash-роликом без изображения.

ОПАСНОСТЬ! 2.1

Рис. 2. Загрузка документа MS Excel, содержащего Exploit.SWF.169.

В это время Exploit.SWF.169 осуществляет свою локальную атаку, сохраняет на диск и запускает исполняемый файл с нагрузкой в виде Trojan.MulDrop1.64014 или Trojan.MulDrop.13648.

Атаки на социальные сети

На сегодняшний день социальные сети — популярная цель хакерских атак. Подтвердил это и прошедший месяц — атакам подверглись популярные сервисы LiveJournal и Facebook.

4 марта 2011 года была осуществлена массовая рассылка фишинговых писем от имени администрации сервиса LiveJournal, содержащих уведомления о блокировке и возможном удалении аккаунта на LiveJournal.

При этом в графе отправителя фишингового письма был указан адрес do-not-reply@livejournal.com, который действительно используется сервисом LiveJournal для рассылки уведомлений. Мошенническая ссылка, по которой предлагается перейти, ведёт на один из поддельных сайтов: livejorrnal.com или xn--livejurnal-ivi.com.

При переходе пользователь попадает на страницу, копирующую дизайн оригинального LiveJournal. Данные, которые здесь вводит пользователь, передаются мошенникам.

ОПАСНОСТЬ! 3.1

Рис. 3. Мошенническая страница, копирующая внешний вид LiveJournal.

Через несколько дней похожей атаке подвергся сервис Facebook. Его пользователи стали получать спам-сообщения, рассылаемые от имени действующих аккаунтов Facebook. В сообщениях содержалась короткая ссылка (такая методика часто используется при подобных атаках). При этом пользователь не может узнать заранее, куда такая ссылка ведёт. В данном случае она приводила на мошенническую страницу, копирующую дизайн Facebook. На этой странице размещалось уведомление с запросом личной информации пользователя. В случае заполнения полей запроса злоумышленники получали доступ к аккаунту жертвы, от имени которой в дальнейшем происходила аналогичная рассылка по списку друзей.
Очевидно, что злоумышленники продолжают совершенствовать технические приёмы и методы социальной инженерии при атаках с использованием социальных сетей.
30 марта 2011 года LiveJournal подвергся очередной DDoS-атаке. По оценкам администрации сервиса, самой масштабной за время его существования. Атака продолжалась несколько часов, в это время сервис был практически недоступен.

Волна спам-рассылок, связанных с катастрофой в Японии

Как и следовало ожидать, нашлись злоумышленники, готовые воспользоваться чужой бедой, и за катастрофой в Японии последовала волна спама соответствующей тематики.
Некоторые образцы спам-рассылок содержали призывы к пожертвованиям, при этом в качестве отправителя фигурировала одна из известных благотворительных организаций («Красный крест», «Армия спасения» и т. п.).
В теле письма, как правило, присутствовала ссылка на соответствующий мошеннический ресурс, готовый принимать пожертвования.

ОПАСНОСТЬ! 4.1

Рис. 4. Поддельная страница “Красного креста”.

В других случаях пользователей заманивали на вредоносные ресурсы. Например, в сообщении предлагалось просмотреть видеоролик о катастрофе, ссылка на который присутствовала в теле письма.

ОПАСНОСТЬ! 6.1

Рис. 5. Спам-рассылка с “видео” о катастрофе в Японии.

При попытке просмотра пользователь переходит на вредоносный сайт, с которого на его машину устанавливается Trojan.FakeAlert.

ОПАСНОСТЬ! 7.1

Рис. 6. Результат просмотра “видео” о катастрофе в Японии.

Множество подобных рассылок зафиксировано и у нас, и за рубежом. Пользуясь случаем, злоумышленники распространяют широкий спектр троянского ПО: лжеантивирусы, поддельные системные утилиты, всевозможные блокировщики...
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Сб 16 Апр 2011, 11:25

15 апреля 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает об обнаружении новой модификации вредоносной программы семейства Android.Spy, представляющей опасность для владельцев смартфонов на базе ОС Android. Попадая на мобильное устройство, троянец осуществляет спам-рассылки СМС-сообщений по команде злоумышленников без ведома владельца устройства. Кроме того, Android.Spy.54 добавляет в закладки браузера смартфона некоторые сайты. Наиболее вероятно, что новая угроза для платформы Android пришла из Китая.

Семейство вредоносных программ Android.Spy для ОС Android получило известность осенью 2010 года. Помимо чтения и записи контактов зараженного устройства, отправки, чтения и редактирования СМС, определения координат и ряда других возможностей, троянцы этого семейства имеют функцию автозагрузки. Некоторые модификации Android.Spy также могут загружаться при включении смартфона, однако их основная цель — сбор идентификационных данных, задание определенных параметров поиска в поисковом движке, а также переход по ссылкам.

Новая модификация троянца Android.Spy была обнаружена специалистами компании «Доктор Веб» 12 апреля 2011 года. В тот же день она была добавлена в вирусные базы Dr.Web. На данный момент ее детектирует только Dr.Web. Стоит отметить, что вредоносные программы под Android появляются все чаще. Так, буквально две недели назад была обнаружена новая версия СМС-троянца Android.SmsSend.

Android.Spy.54 был найден на китайском интернет-ресурсе www.nduoa.com — сборнике различных приложений для платформы Android. Троянец был встроен в программу Paojiao — виджет, позволяющий совершать звонки или отсылать СМС на выбранные номера. Стоит добавить, что распространение в составе легитимных программ является стандартной моделью для вредоносных программ семейства Android.Spy.

Новая модификация Android.Spy регистрирует фоновый сервис, который соединяется с сайтом злоумышленников, отсылая им идентификационные данные жертвы (в частности, Международный идентификатор мобильного оборудования IMEI и индивидуальный номер абонента IMSI). Кроме того, троянец загружает xml-файл, содержащий команды для спам-рассылки СМС с телефона жертвы и добавления определенных сайтов в закладки браузера.

Один из признаков того, что устанавливаемое приложение содержит подобный вредоносный функционал, — требование дополнительных разрешений для работы. В частности, если для игры в ее оригинальном виде нужен лишь доступ в Интернет, то в инфицированной версии количество привилегий будет намного выше. Если вам известно, что приложение (или игра), которое вызвало у вас интерес, не имеет функций работы с СМС, звонками, контактами и т. п., устанавливать его не рекомендуется.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Пт 17 Июн 2011, 09:57

Trojan.Rmnet крадет пароли от ftp-клиентов, заражая MBR

16 июня 2011 года
Компания "Доктор Веб" сообщает о появлении новой модификации уже известного семейства вредоносного ПО Win32.Rmnet, способной заражать главную загрузочную запись (MBR). Благодаря этому Trojan.Rmnet запускается раньше установленного на компьютере антивируса, что значительно затрудняет детектирование и локализацию угрозы. Основное назначение этого троянца – кража паролей от популярных ftp-клиентов.

ОПАСНОСТЬ! Demetra

Trojan.Rmnet проникает на компьютер посредством зараженных флеш-накопителей или при запуске инфицированных исполняемых файлов. Иными словами, распространяется, как типичный вирус, поскольку обладает способностью к саморепликации – копированию самого себя без участия пользователя. Троянец инфицирует файлы с расширениями .exe, .dll, .scr, .html, .htm, а в некоторых случаях — .doc и xls, при этом программа способна создавать на съемных накопителях файл autorun.inf. Непосредственно после своего запуска троянец модифицирует главную загрузочную запись, регистрирует системную службу Micorsoft Windows Service (она может играть в операционной системе роль руткита), пытается удалить сервис RapportMgmtService и встраивает в систему несколько вредоносных модулей, отображающихся в Диспетчере задач Windows в виде четырех строк с заголовком iexplore.exe.
Главная функция троянца – поиск и похищение паролей от наиболее популярных среди пользователей ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Эта информация впоследствии может быть использована злоумышленниками для реализации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. Как минимум, при помощи указанных сведений вирусописатели смогут получить доступ к хранящимся на пользовательских сайтах папкам и файлам, удалить или изменять их. Кроме того, вредоносные модули Trojan.Rmnet могут осуществлять мониторинг сетевого трафика и реализовывать функционал бэкдора.

ОПАСНОСТЬ! MBR

Согласно статистике компании «Доктор Веб» данная вредоносная программа не менее месяца находится в «топе» выявленных угроз. Чтобы защититься от Trojan.Rmnet, пользователю достаточно провести экспресс-сканирование системы с помощью Dr.Web, который автоматически исправит поврежденную загрузочную запись, вылечит инфицированные файлы и удалит зараженную службу.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Сб 18 Июн 2011, 00:20

Новая модификация Android.Wukong похищает деньги пользователей Android
17.06.2011

...в вирусные базы были добавлены сигнатуры четырех новых модификаций вредоносной программы для мобильной ОС Android — Android.Wukong (4-7), похищающей средства со счетов пользователей путем отправки платных SMS-сообщений.
Новые версии троянца Android.Wukong были встроены в программное обеспечение, распространяемое с нескольких сайтов на территории Китая. В частности, он был обнаружен на одном из крупнейших сборников ПО www.nduoa.com, содержащем более 11000 приложений.

ОПАСНОСТЬ! Screen1

Вредоносная программа попадает на мобильное устройство в случае загрузки его владельцем инфицированного приложения и запускается в качестве фонового процесса операционной системы. Затем троянец получает с удаленного сервера номер платного сервиса, на который с интервалом в 50 минут осуществляет отправку SMS, начинающихся со строки "YZHC". Помимо этого вредоносная программа старается скрыть следы своей деятельности, удаляя из памяти смартфона отосланные ею сообщения и входящие SMS с информацией о приеме платежа оператором.

ОПАСНОСТЬ! Screen2
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Вт 21 Июн 2011, 01:39

BackDoor.Termuser открывает несанкционированный доступ к зараженным компьютерам
20.06.2011

Компания «Доктор Веб» обращает внимание пользователей на появление вредоносной программы BackDoor.Termuser, реализующей на зараженном компьютере функции бэкдора и открывающей к нему доступ злоумышленникам.

Предположительно, этот бэкдор может устанавливаться в систему при помощи другого вредоносного ПО или загружаться в процессе просмотра инфицированных веб-сайтов. Непосредственно после загрузки в память BackDoor.Termuser копирует себя под случайным именем в системную папку Windows, либо во временную папку, если попытка записи в системную директорию не увенчалась успехом. Затем вредоносная программа регистрирует и запускает службу Network Adapter Events, после чего пытается остановить и удалить сервисы установленного в системе антивирусного ПО.

ОПАСНОСТЬ! Windows%20XP%20Professional-2011-06-17-18-18-10

Непосредственно после своей инсталляции BackDoor.Termuser собирает информацию о зараженном компьютере (включая версию операционной системы, IP-адрес, имя локального пользователя) и отправляет ее на удаленный сервер, затем загружает оттуда архив с программой BeTwinServiceXP.exe (удалённый рабочий стол RDP), распаковывает его и устанавливает приложение, отправляя злоумышленникам отчёт об успешном завершении этой операции. Затем вредоносная программа регистрирует в системе нового пользователя с именем TermUser, включает его в локальные группы «администраторы» и «пользователи удалённого рабочего стола», после чего скрывает пользователя при входе в систему. Наконец, BackDoor.Termuser копирует во временную папку файл троянца Trojan.PWS.Termuser и запускает его. Данный троянец выводит на экран стандартное окно авторизации Windows и блокирует его закрытие до тех пор, пока пользователь не введет свои логин и пароль, которые автоматически записываются в зашифрованном виде в реестр.

Загрузившись в операционной системе, бэкдор BackDoor.Termuser не только не позволяет запускать антивирусные программы, но также способен выполнять поступающие из удаленного центра команды и передавать управление компьютером злоумышленникам. В целях профилактики заражения этим вредоносным ПО пользователям рекомендуется регулярно устанавливать обновления безопасности Windows, а также выполнять проверку компьютера антивирусом Dr.Web.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Чт 30 Июн 2011, 07:03

Вредоносный зоопарк для жертв Trojan.VkBase.47
29.06.2011


Поисковые сервисы стремительно эволюционируют на благо пользователей, совершенствуя методики обработки запросов, неуклонно повышая быстродействие и релевантность отчетов. Однако не брезгуют современными технологиями и вирусописатели. Новая модификация троянской программы Trojan.VkBase.47, которую обнаружили специалисты компании «Доктор Веб», способна использовать для загрузки многочисленных вредоносных объектов на компьютер жертвы список, полученный из распределенной сети серверов.

На сегодняшний день это сорок седьмая по счету модификация семейства Trojan.VkBase., которое вот уже более семи месяцев не дает покоя пользователям. Данный троянец разработан злоумышленниками для скрытой загрузки на компьютер жертвы различных вредоносных программ: их список он получает с помощью поискового запроса, направляемого распределенной сети серверов.

ОПАСНОСТЬ! Winlog

Инфицируя компьютер, Trojan.VkBase.47 копирует себя в папку установки Windows, а затем создает в реестре раздел HKLM\SOFTWARE\services32.exe. Там он формирует ряд записей, предназначенных для контроля результативности заражения системы. Одновременно с этим троянец создает специальный файл журнала, куда заносятся сведения обо всех запущенных в настоящий момент процессах. Если среди них обнаруживаются идентификаторы стандартных модулей антивирусных программ, Trojan.VkBase.47 завершает работу. В противном случае троянец индексирует в реестре записи, относящиеся к системе безопасности Windows, останавливает Windows Firewall и изменяет конфигурацию безопасности Attachment Manager — в результате этого отключаются стандартные предупреждения при попытке запуска в системе загруженных из Интернета исполняемых файлов.

Вслед за этим Trojan.VkBase.47 сохраняет на диске файл сценария командного интерпретатора cmd.exe и запускает его на исполнение. Данный сценарий в свою очередь копирует исполняемый файл троянца в подпапку \Update.1 системной директории под именем svchost.exe, добавляет этот файл в отвечающую за автозагрузку ветвь системного реестра, отключает User Account Control и добавляет себя в исключения Windows Firewall. Будучи запущенной одновременно с операционной системой, вредоносная программа реализует свою основную задачу: соединившись с несколькими удаленными узлами, Trojan.VkBase.47 получает от них список IP-адресов, по которым троянец посылает поисковые запросы для нахождения новых вредоносных приложений, а затем скачивает и устанавливает их на зараженный компьютер
.

Основная опасность Trojan.VkBase.47 кроется в том, что данный троянец благодаря встроенной функции поиска может инсталлировать на инфицированном компьютере широчайший список вредоносных программ.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Сб 02 Июл 2011, 01:40

Trojan.Janda модифицирует MBR и загружает вредоносную программу

1 июля 2011 года

Модификация загрузочной записи операционной системы, похоже, стала своего рода повальным увлечением среди вирусописателей. Хотим обратить внимание пользователей на продолжающееся распространение еще одной вредоносной программы — Trojan.Janda, вносящей изменения в главную загрузочную запись (Master Boot record, MBR) в ОС Windows.
После своего запуска Trojan.Janda создает в папке установки Windows файл с именем fxsst.dll, создавая «конкуренцию» загрузке аналогичного файла, расположенного в подпапке %windir%\system32, и являющегося стандартной библиотекой легитимного модуля поддержки факсового сервиса (Fax Service).
При перезагрузке операционной системы наступает заключительная фаза заражения: от имени explorer.exe инфицируется загрузочная запись MBR и на первой дорожке диска размещается небольшая программа, предназначенная для скачивания файлов из Интернета (до добавления вирусной записи она эвристически детектировалась как DLOADER.Trojan), затем исходная троянская библиотека fxsst.dll удаляется.
На иллюстрации можно увидеть содержимое инфицированной первой дорожки жесткого диска:

ОПАСНОСТЬ! Track0

При каждом последующем запуске системы этот даунлоудер сохраняется в корневую директорию диска под именем window и прописывается в ветке системного реестра, отвечающей за автоматический запуск приложений. После успешной загрузки он самоудаляется.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Сб 02 Июл 2011, 12:00

Trojan.MailGrab.61: «накрутка» сайтов и сбор адресов e-mail с помощью зараженных компьютеров
01.07.2011


Обращаем внимание пользователей на угрозу заражения персональных компьютеров вредоносной программой Trojan.MailGrab.61. Этот троянец предназначен для повышения посещаемости указанных злоумышленниками сайтов и сбора адресов электронной почты.
Проникнув в операционную систему, Trojan.MailGrab.61 создает во временной папке свою копию со случайным именем и расширением .dll, после чего согласно встроенному в него списку возможных путей установки наиболее популярных программ пытается создавать в них собственные копии с именем характерной для каждого приложения динамической библиотеки. Затем троянец копирует себя в директорию установки используемого по умолчанию браузера под видом одной из них, на случай если в его списке отсутствует браузер пользователя. В перечне приложений, которые способен инфицировать Trojan.MailGrab.61, присутствует множество ftp-клиентов и такие программы как Outlook Express, The Bat!, Windows Mail, Windows Media Player, WinRAR, PHP Expert Editor, Notepad ++, Windows Photo Viewer, DVD Maker, Total Commander, FAR, а также некоторые другие. Поскольку системный загрузчик по умолчанию ищет необходимые библиотеки сначала в текущей папке, то в момент старта инфицированной программы Trojan.MailGrab.61 загружается в адресное пространство ее процесса под видом стандартной динамической библиотеки и отмечает свой изначальный установщик на удаление после перезагрузки системы.

ОПАСНОСТЬ! String

Будучи загруженной в память, данная вредоносная программа определяет версию операционной системы и пытается установить, является ли процесс, в который она внедрилась, браузером. Если это действительно так, Trojan.MailGrab.61 отправляет на принадлежащий злоумышленникам сервер сообщение об успешной установке, а в ответ получает зашифрованный список URL сайтов, посещаемость которых следует повысить. Вслед за этим троянец начинает отправлять на эти сайты циклические http-запросы. Троянская программа перехватывает все отправляемые в сеть данные и сканирует их на наличие адресов электронной почты, которые в случае обнаружения сохраняются в файле Windows\inf\jer.pnf. Содержимое этого файла также передается злоумышленникам, а после успешной отсылки данной информации — удаляется. Таким образом троянец пополняет спамерские базы данных.
Для удаления этой вредоносной программы достаточно проверить операционную систему сканером антивирусной программы.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Сб 23 Июл 2011, 20:10

Trojan.VkSpam рассылает спам в ВКонтакте.ру
20.07.2011
Trojan.VkSpam, предназначена для массовой рассылки сообщений в социальной сети ВКонтакте.ру. Следует отметить, что аналогичный троянец был зафиксирован в начале мая текущего года. Поскольку синтаксис конфигурационных файлов этих вредоносных программ идентичен, можно предположить, что они созданы одним и тем же автором.
Распространение Trojan.VkSpam происходит благодаря спам-рассылкам на сайте ВКонтакте.ру: как правило, пользователям предлагается принять участие в опросе и получить за это ценные призы, «голоса» или другие бонусы. Вредоносная программа маскируется под приложение, собирающее мнение участников опроса о нововведениях данной социальной сети, либо под программу для сбора статистики о посещении страницы пользователя ВКонтакте.ру. И в том и в другом случае троянец демонстрирует на экране компьютера окно, предлагающее ввести в соответствующую форму логин и пароль учетной записи: это якобы необходимо для установки соответствующего приложения.

ОПАСНОСТЬ! Vkspam_login

Воспользовавшись полученными учетными данными, Trojan.VkSpam начинает массовую рассылку сообщений по списку контактов пользователя. Непосредственно перед этим троянец связывается с одним из нескольких командных серверов и получает оттуда конфигурационный файл, в котором указаны параметры рассылки, а также может присутствовать ссылка на другую вредоносную программу, которую Trojan.VkSpam загружает из Интернета и устанавливает на зараженном компьютере. Как правило, в получаемом с удаленного узла исполняемом файле содержится троянец семейства Trojan.Hosts или Trojan.PWS.

Пользователям социальной сети ВКонтакте.ру рекомендуется внимательнее относиться к получаемым сообщениям и избегать ввода своих учетных данных в подозрительные окна, появляющиеся на экране компьютера. Следует помнить, что большинство легитимных приложений данной социальной сети не требует в процессе своей установки передачи данных учетной записи, а также не предлагает скачать из Интернета какие-либо дополнительные компоненты или модули. Обратите внимание и на то обстоятельство, что официальные уведомления от администрации социальной сети демонстрируются обычно в левой панели сайта, а сообщения с предложением поучаствовать в опросе либо установить счетчик посещений страницы, отображающиеся в основном поле, могут содержать вредоносные ссылки. Кроме того, от заражения компьютера данными троянцами надежно защищает антивирусное программное обеспечение
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Чт 28 Июл 2011, 14:20

Trojan.CryptLock.1 шифрует файлы пользователей
27 июля 2011 года

Предупреждаем пользователей о появлении вредоносной программы Trojan.CryptLock.1, шифрующей файлы на жестком диске компьютера и вымогающей у пользователя деньги. Троянец объединяет в себе вредоносный функционал как печально знаменитого Trojan.Winlock, так и Троjan.Encoder, который получил меньшее распространение, однако также представляет существенную опасность для пользователей.

Запустившись на инфицированном компьютере, троянец Trojan.CryptLock.1 выводит на экран окно, содержащее следующий текст:

ОПАСНОСТЬ! Screen1

В обмен на отправленное жертвой письмо вымогатели обещают отослать сообщение с реквизитами для проведения платежа. В отличие от окон, демонстрируемых троянцами семейства Trojan.Winlock, данное окно может быть закрыто сочетанием горячих клавиш или с помощью Диспетчера задач.

Вредоносный функционал Trojan.CryptLock.1 кроется в другом: троянец шифрует обнаруженные на жестком диске файлы с расширениями AVI, MP3, PNG, PSD, PDF, CDR, JPG, JPEG, RAR, ZIP, DOCX, DOTX, XLSM, XLSX, DOC, XLS, LNK, ISO, DBF, XML, TXT, DBO, DBA, MPG, MPG4, WMA, WMV, GIF, PHP, CGI, HTM, HTML и некоторыми другими. После успешного заражения Trojan.CryptLock.1 создает на диске файл с именем КАК РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ — How to decrypt your files.txt, содержащий дальнейшие инструкции, согласно которым для расшифровки данных злоумышленники требуют заплатить им некоторую сумму.

Судя по количеству допущенных в тексте демонстрируемого троянцем сообщения пунктуационных ошибок, а также исходя из того, что Trojan.CryptLock.1 использует достаточно примитивный однобайтный алгоритм шифрования, у «группы инициативных программистов», стоящих за этой угрозой, как раз в разгаре школьные каникулы, и родители разрешили им немного попользоваться собственным компьютером.

В настоящий момент сигнатура Trojan.CryptLock.1 добавлена в вирусные базы Dr.Web, в самое ближайшее время на сайте компании «Доктор Веб» будет размещено средство дешифровки пострадавших от действия троянца файлов.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Пт 29 Июл 2011, 20:20

Trojan.SMSSend вымогает у пользователей деньги за установку бесплатного ПО
28 июля 2011 года

Вредоносные программы семейства Trojan.SMSSend присутствуют в вирусных базах в широчайшем ассортименте. Основная причина этого кроется в относительной простоте создания троянцев данного типа, причем с этой задачей может легко справиться пользователь, даже близко не знакомый с основами программирования.
Вредоносные программы, относящиеся к семейству Trojan.SMSSend, не рассылают СМС на платные номера (как это можно было бы предположить исходя из их названия), хотя первые версии этих троянцев, представлявшие собой мобильные приложения, промышляли именно этим. Современные модификации Trojan.SMSSend предлагают это сделать самому пользователю.
Trojan.SMSSend обычно представляет собой запакованный архив со встроенным инсталлятором, в процессе работы которого предлагается отправить платное СМС-сообщение на короткий сервисный номер для продолжения процесса установки и, соответственно, получения доступа к содержимому архива. Самое интересное заключается в том, что внутри такого архива находится, как правило, либо программа, которую легально и абсолютно бесплатно можно загрузить из других источников, либо попросту какой-нибудь ненужный файл.
Недавно в вирусную лабораторию компании «Доктор Веб» поступил еще один экземпляр такого троянца. Его особенность заключается в том, что инсталлятор практически полностью копирует установщик антивирусного приложения Dr.Web:

ОПАСНОСТЬ! 007

Правда, вирусописатели все-таки умудрились допустить в интерфейсе своего творения одну досадную ошибку:

ОПАСНОСТЬ! 008

Естественно, троянец требует от пользователя отправить платное СМС-сообщение на короткий сервисный номер. Внутри архива располагается дистрибутив, который можно скачать с нашего сайта бесплатно.
Источником «заразы» в данном случае являются многочисленные сайты так называемых «партнерских программ», вроде достаточно известных в определенных кругах ресурсов Center Cash или «ЗипПро», предлагающих создать такой самораспаковывающийся архив всем желающим. Мы не будем приводить ссылки на конкретные проекты данного типа, их создатели прекрасно знают, о чем идет речь.
Казалось бы, вполне здравая идея — помогать разработчикам полезного ПО, предоставляя программистам возможность использовать платные сервисные номера в качестве одного из способов получения дохода от продажи продуктов. Однако это как раз тот самый случай, когда благими намерениями вымощена прямая дорога в вирусную базу. Ведь достаточно посмотреть на предлагаемые стили оформления этих самых «платных архивов», чтобы понять, на какую именно аудиторию они рассчитаны и с какой конкретно целью были созданы такие сервисы:


ОПАСНОСТЬ! 01_drw
ОПАСНОСТЬ! 002
ОПАСНОСТЬ! 003
ОПАСНОСТЬ! Ffox

Вот только некоторые названия наиболее востребованных клиентами таких сервисов «тем оформления»: Dr.Web, ChromeSetup, Firefox-Setup, install_flash_player, install_icq, magentsetup, OperaSetup, photoshop_setup, qipinfium, RusPhotoshopSetup, skype.
Мы еще раз хотим напомнить пользователям, что антивирусные продукты Dr.Web не требует отправки платных СМС. Не устанавливайте на свои компьютеры никаких программ, требующих послать сообщение на короткий номер — скорее всего, лишившись денег, вы получите какой-либо ненужный или бесполезный файл.
Разработчикам ПО мы искренне советуем не связываться с подобными «партнерскими программами», предлагающими создание «платных архивов»: ваша продукция может распознаваться антивирусным ПО как вредоносная программа со всеми вытекающими последствиями.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Вт 02 Авг 2011, 10:06

Trojan.Mayachok.1 избрал новые цели для атаки
1 августа 2011 года

Участились в последнее время случаях заражения персональных компьютеров вредоносной программой Trojan.Mayachok.1. Данный троянец крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.
В конце прошлой недели была зафиксирована волна заражений, в ходе которой пользователи неожиданно столкнулись с невозможностью выйти в Интернет: вместо запрашиваемых ими сайтов в окне браузера демонстрировалось сообщение: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. […] Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение». Если пользователь следовал указаниям злоумышленников и вводил свой телефонный номер в соответствующую форму, а затем отвечал на входящее СМС, с его счета незамедлительно списывались средства.

ОПАСНОСТЬ! Rostelecom

Были зафиксированы случаи блокировки доступа в Интернет с подменой сайта «Ростелеком», однако этим аппетиты злоумышленников не ограничивались: вот неполный список интернет-ресурсов, страницы которых может подменить этот троянец: youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru.
Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение.

ОПАСНОСТЬ! Help_mail
ОПАСНОСТЬ! Help_vkontakte
ОПАСНОСТЬ! Odnoklassniki
ОПАСНОСТЬ! Youtube

Один из подтвержденных методов распространения данной вредоносной программы — рассылка в социальной сети «В контакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании этой программы имеется ссылка, по которой и загружается Trojan.Mayachok.1.
Запустившись на инфицированном компьютере, троянец создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер.
После этого Trojan.Mayachok.1 сохраняет в папку
C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.
Данная троянская программа распознается при сканировании дисков компьютера. Если вы уже стали жертвой данного троянца, обновите вирусные базы и проведите сканирование дисков вашего компьютера.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Сб 13 Авг 2011, 11:13

Win32.Induc.2 — новый троянец в среде Delphi
12.08.2011

Появилась новая угроза, добавленная в вирусные базы под именем Win32.Induc.2. Этот троянец заражает среду разработки Delphi таким образом, что все созданные с ее помощью приложения оказываются инфицированными вредоносным ПО.
Основное отличие Win32.Induc.2 от Win32.Induc заключается в том, что новая версия троянца несет в себе функциональную нагрузку, а не просто способна создавать собственные копии.
Win32.Induc.2 написан на языке Delphi. Троянец прописывает ярлык своего исполняемого файла в стандартной папке автозагрузки Windows под именем APMV и снабжает его случайным ярлыком. Стартовав при следующем запуске операционной системы, Win32.Induc.2 выполняет поиск папки, в которую установлена среда разработки Delphi, записывает копию самого себя в файл defines.inc и модифицирует файл sysinit.pas таким образом, что при запуске инфицированной программы троянец сохраняется в файле с именем ~.exe и запускается на выполнение.
Затем Win32.Induc.2 осуществляет пересборку модуля sysinit, вслед за чем возвращает содержимое папки Source в исходное состояние с целью затруднить определение присутствия вредоносной программы в системе. Полученный в результате компиляции dcu-файл троянец помещает в папку /lib, что приводит к заражению всех создаваемых пользователем Delphi программ.

ОПАСНОСТЬ! Induk

Троянец пытается отыскать и заразить все копии среды разработки Delphi, расположенные на дисках инфицированного компьютера. Одновременно с этим Win32.Induc.2 осуществляет мониторинг запущенных процессов и автоматически завершается, если пользователь пытается открыть окно Диспетчера задач.
Как уже упоминалось, данная модификация троянца несет определенную функциональную нагрузку, которая реализована весьма любопытным образом. Во вредоносном файле «зашито» несколько URL, ссылающихся на «аватарки» пользователей ряда интернет-форумов. Внутри самих «аватарок», в свою очередь, скрыта закодированная строка, содержащая другой URL, по которому троянец скачивает с удаленного узла зашифрованный exe-файл. Таким образом, в Win32.Induc.2 реализована функция загрузки и запуска исполняемых файлов, способных нанести вред операционной системе.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Чт 25 Авг 2011, 13:19

Количество модификаций троянца Android.SmsSend увеличилось в десять раз с начала года и на 36% — в августе
24.08.2011

Десятикратный рост с начала 2011 года числа модификаций троянцев семейства Android.SmsSend, представляющих опасность для владельцев мобильных устройств на базе ОС Android.
Авторы троянцев семейства Android.SmsSend, известного с августа 2010 года, используют ту же мошенническую схему, которая применяется при распространении Trojan.SmsSend для настольных ПК.
Жертва скачивает с одного из веб-сайтов нужное ей приложение. Например, браузер для мобильных устройств Opera Mini. В процессе его инсталляции на экране неожиданно появляется предложение отправить несколько СМС на короткий номер для продолжения установки. В ответ пользователь обычно получает ссылку и пароль, который необходимо ввести в соответствующую форму на сайте злоумышленников. После этого ему предоставляется возможность полностью загрузить требуемую программу. Суть мошенничества заключается в том, что, если бы изначально пользователь обратился не на веб-страницу злоумышленников, а на сайт разработчиков соответствующего ПО, то он мог бы скачать это приложение совершенно бесплатно.

ОПАСНОСТЬ! Screen00ОПАСНОСТЬ! Screen01ОПАСНОСТЬ! Screen02

Существование большого числа модификаций Android.SmsSend объясняется примитивностью этих вредоносных программ с точки зрения архитектуры, а также простотой их изготовления для вирусописателей.
Помимо этого, существуют так называемые «партнерские программы» и специальные конструкторы, с помощью которых любой школьник может создать собственную версию Android.SmsSend, не обладая даже базовыми навыками программирования. Только за истекшие семь с половиной месяцев количество версий Android.SmsSend выросло в десять раз. Всего с начала месяца выявлено 22 неизвестные ранее версии троянца против среднего показателя, составляющего 5–7 новых детектов в месяц. Таким образом, можно говорить о 36-процентном росте числа версий данной угрозы только в августе 2011 года.
Очевидно, что столь резкое увеличение количества вариаций Android.SmsSend обусловлено выгодностью для вирусописателей финансовой модели, включающей производство и распространение этих троянцев, а также прибылью, получаемой от беспечных пользователей, мобильные устройства которых оказались инфицированы. Вполне вероятно, что указанная тенденция будет сохраняться и в дальнейшем. На приведенном ниже графике показана динамика обнаружения новых версий Android.SmsSend с начала текущего года.

ОПАСНОСТЬ! Graph
Рост количества новых модификаций Android.SmsSend с начала года

Вирусописатели периодически изменяют исходный код своих приложений с целью избежать детектирования их творений антивирусным ПО. Пользователям мобильных устройств, работающих под управлением ОС Android, рекомендуется предварительно поискать в Интернете информацию о приложениях, которые они планируют установить, и, если такие приложения распространяются бесплатно, не отправлять никаких сообщений на предлагаемые злоумышленниками телефонные номера. Кроме того, можно обезопасить себя от установки вредоносного ПО, загружая его только из проверенных источников, таких как официальный Android Market.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Чт 01 Сен 2011, 15:28

Злоумышленники взломали 21 000 сайтов в Рунете для распространения Trojan.Mayachok
31.08.2011


Обнаружен массовый взлом веб-сайтов (более 21 000 на 31 августа 2011 года), с которых на компьютеры пользователей под видом драйверов загружается вредоносное ПО, в том числе печально известный троянец Trojan.Mayachok.1. Призываем пользователей проявлять внимательность, а владельцев веб-сайтов в Рунете — проверить свои интернет-ресурсы на предмет наличия посторонних каталогов и файлов.

Был обнаружен ряд веб-сайтов, имеющих в своей структуре отдельный подсайт, никак не связанный с основной тематикой данных интернет-ресурсов. Оформление этих «встроенных» страниц идентично и отличается лишь незначительными деталями. Все они предлагают пользователям загрузить драйверы различных устройств. Ссылка на файл драйвера перенаправляет пользователя на промежуточный сайт, например ipurl.ru (сайт биржи трафика), а уже оттуда на другой ресурс, с которого под видом драйвера загружается троянская программа Trojan.Mayachok.1. Кроме того, ссылки с некоторых взломанных сайтов ведут на поддельные службы файлового обмена. По состоянию на 12.00 31 августа 2011 года было выявлено более 21 000 адресов веб-сайтов, распространяющих это вредоносное ПО. Имеются все основания предполагать, что владельцы или администраторы этих ресурсов стали жертвами хищения паролей от FTP-клиентов, для чего злоумышленники могли воспользоваться многочисленными троянскими программами.
Среди десятков тысяч взломанных ресурсов можно отметить серверы общества «Православная семья», сайт российской организации буддистов, сервер «Алтайского краевого объединения профсоюзов», а также многочисленные сайты различных коммерческих и некоммерческих организаций. Получить список взломанных сайтов можно с использованием, например, поискового запроса файл samsung syncmaster драйвер упакован в архив.

ОПАСНОСТЬ! 001
ОПАСНОСТЬ! 002

Напоминаем, что вредоносная программа Trojan.Mayachok.1, о которой мы уже неоднократно писали в наших новостях и обзорах, блокирует нормальную работу браузеров на инфицируемом компьютере. В начале июля 2011 года атаке этой троянской программы подверглись пользователи интернет-провайдера «Ростелеком», а в августе Trojan.Mayachok.1 стал, согласно данным статистики, одной из самых распространенных угроз.

ОПАСНОСТЬ! Rostelecom1

Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение. Среди блокируемых троянцем сайтов замечены youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Запустившись на инфицированном компьютере, троянец создает в каталоге system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временный каталог под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в каталог
C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.
Поскольку взлому подверглись тысячи интернет-ресурсов в Рунете, можно смело говорить о том, что угроза весьма серьезная: имеет место массовая компрометация администраторских учетных записей. Пользователям советуем загружать драйверы только с официальных сайтов разработчиков соответствующего оборудования.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Чт 01 Сен 2011, 15:45

Trojan.Fakealert.23300 борется с антивирусами
31.08.2011


Предупреждаеь пользователей о распространении троянской программы Trojan.Fakealert.23300. Отличительной особенностью данного троянца в сравнении с другими представителями семейства является то, что он оснащен механизмами загрузки и запуска на инфицированной машине исполняемых файлов.
Вредоносные программы семейства Trojan.Fakealert известны уже довольно давно, в настоящее время в вирусных базах насчитывается более 24 тысяч модификаций данного троянца. Традиционно Trojan.Fakealert представляет собой лжеантивирус, при запуске сообщающий пользователю о наличии на его компьютере вредоносного ПО, для удаления которого требуется приобрести платную версию этого «продукта». В большинстве случаев никаких вредоносных программ, кроме самого Trojan.Fakealert, на машине жертвы нет. Разновидностей подобных лжеантивирусов, отличающихся названием, оформлением и количеством «определяемых» ими «угроз», существует великое множество, однако большинство из них действуют по одной и той же схеме: их задача — напугать пользователя и заставить его заплатить за решение несуществующей проблемы. Несколько иначе действует Trojan.Fakealert.23300.
В апреле 2011 года через бот-сеть BlackEnergy начала распространяться спам-рассылка, в сообщения которой был вложен ZIP-архив с троянцем Trojan.DownLoad.64325. Он, в свою очередь, загружал и запускал на компьютере пользователя Trojan.Fakealert.23300. Сами «письма счастья» содержали информацию о посылке, которая якобы вскоре будет доставлена получателю послания.

ОПАСНОСТЬ! Image001

Запустившись на компьютере жертвы, Trojan.Fakealert.23300 копирует себя в папку C:\Documents and Settings\All Users\Application Data\ под именем qWTmtLDywFob.exe и вносит ряд изменений в системный реестр с целью отключить Диспетчер задач и прописать ссылку на указанный выше исполняемый файл в ветке, отвечающей за автозагрузку приложений. Кроме того, троянец проверяет языковую версию операционной системы: если Windows имеет русскую, польскую, украинскую или чешскую локализацию, Trojan.Fakealert.23300 прекращает свою работу. В ресурсах троянца содержатся версии отображаемых им сообщений на нескольких языках, в том числе на английском, немецком и французском.

После успешного запуска Trojan.Fakealert.23300 останавливает процесс антивирусной программы Microsoft Security Essentials, проверяет, не запущен ли он в виртуальной машине (в этом случае троянец прекращает свою работу), отключает проверку электронной цифровой подписи для загруженных программ и сохранение зоны, откуда был запущен файл, а также устанавливает пониженный рейтинг опасности файлам с расширениями .zip; .rar; .nfo; .txt; .exe; .bat; .com; .cmd; .reg; .msi; .htm; .html; .gif; .bmp; .jpg; .avi; .mpg; .mpeg; .mov; .mp3; .m3u; .wav; .scr. Затем троянец отключает в настройках Проводника демонстрацию скрытых и системных файлов, запрещает пользователю смену обоев Рабочего стола Windows (вместо них устанавливается черная заливка), очищает список последних открытых документов в Главном меню, прячет значки в Панели быстрого запуска и меню «Пуск», после чего демонстрирует на экране сообщение об ошибке жесткого диска и предлагает выполнить его проверку с помощью специальной утилиты.

ОПАСНОСТЬ! Image005

Вслед за этим троянец должен сохранить на диск файл из собственных ресурсов, содержащий ту самую «утилиту для проверки винчестера». Предполагается, что утилита выполнит «проверку» диска, обнаружит на нем «ошибки», после чего предложит пользователю приобрести полную версию этой программы, которая якобы позволит их исправить. По крайней мере, именно такой функционал, по всей видимости, закладывали в Trojan.Fakealert.23300 его разработчики. Однако благодаря допущенным в его коде ошибкам данная функция не работает в полученном вирусной лабораторией образце (впрочем, это совершенно не означает, что она не будет работать в других модификациях). Интерфейс этой «утилиты для проверки дисков» показан на предложенных ниже иллюстрациях:

ОПАСНОСТЬ! Image007
ОПАСНОСТЬ! Image009
ОПАСНОСТЬ! Image011

Trojan.Fakealert.23300 способен загружать зашифрованные исполняемые файлы и запускать их на инфицированном компьютере: в настоящее время он скачивает с удаленного узла троянец семейства TDSS. Есть основания полагать, что Trojan.Fakealert.23300 создан с использованием специального конструктора. Следовательно, в ближайшем будущем можно ожидать появления новых модификаций этой вредоносной программы.

В последнее время наблюдается отчетливая тенденция расширения функциональности угроз семейства Trojan.Fakealert, а также комбинирования свойств лжеантивирусов с вредоносными программами других типов. В частности, в антивирусную лабораторию «Доктор Веб» регулярно поступают образцы троянских программ семейства Trojan.MulDrop, наподобие приложения Trojan.MulDrop2.54093, которое при запуске демонстрирует на экране окно лжеантивируса, но при этом обладает другим вредоносным функционалом: устанавливает на зараженный компьютер извлеченную из собственного исполняемого файла вредоносную программу. В целях безопасности не забывайте регулярно осуществлять сканирование жестких дисков вашего компьютера.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Ср 07 Сен 2011, 01:05

Облава на подпольные сайты
06.09.2011

В первых числах сентября 2011 года, вскоре после выявления многочисленных случаев взлома веб-сайтов, расположенных в российском сегменте Интернета, в распоряжении аналитиков оказался список доменов, на которые осуществлялось перенаправление пользователей с подвергшихся компрометации ресурсов. Проанализировав эту информацию, специалисты выяснили, что на каждом из IP-адресов таких узлов, как правило, размещается еще несколько сайтов, многие из которых содержат различный сомнительный контент — поддельные службы файлового обмена, а также сайты, предлагающие на платной основе различные услуги, например, гадания, хиромантию, подбор диет, составление родословных, поиск угнанных автомобилей и даже лечение от прыщей. Встречались среди них и откровенно порнографические ресурсы. Множество подобных веб-сайтов содержало ссылки на другие узлы, для которых также составлялся список соседствующих с ними на одном хосте сайтов. Все полученные ссылки проверялись вручную. Таким образом была выявлена целая сеть, состоящая из сайтов сомнительного содержания. Один из фрагментов такой сети показан на предложенной ниже иллюстрации.
ОПАСНОСТЬ! Map
Большинство выявленных IP-адресов принадлежали провайдерам из Великобритании, Нидерландов, Виргинских островов, Гибралтара, и лишь незначительная их часть располагалась на территории Российской Федерации. Обнаруженные в ходе проверки адреса были добавлены в списки. Есть основания предполагать, что число подобных сомнительных ресурсов сильно недооценено: только на одном хосте может располагаться более полусотни фальшивых файлообменников или иных сайтов схожей тематики.
Работа по выявлению и блокировке сайтов сомнительного содержания будет продолжена и в дальнейшем.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

ОПАСНОСТЬ! Empty Re: ОПАСНОСТЬ!

Сообщение  Admin Вс 11 Сен 2011, 18:33

Бот-нет BackDoor.IRC.NgrBot вышел из тени
09.09.2011

Сообщаем о новых случаях заражения пользовательских компьютеров вредоносной программой BackDoor.IRC.NgrBot, с использованием которой злоумышленники создали крупную бот-сеть.

Один из способов распространения троянца — модули флеш-памяти. При подключении «флешки» к USB-порту BackDoor.IRC.NgrBot копируется под случайным именем в папку %RECYCLER% и создает файл автозапуска autorun.inf. Оказавшись на незараженной машине, троянец скрывает системные папки в корне жесткого диска и создает вместо них ярлыки, при открытии которых запускается вредоносная программа. Затем BackDoor.IRC.NgrBot сохраняет себя под случайным именем в системную папку %APPDATA%, прописывается в ветке реестра, отвечающей за автозагрузку приложений, и запускается на выполнение. Вслед за этим BackDoor.IRC.NgrBot встраивается в процесс explorer.exe и все запущенные процессы, кроме skype.exe и lsass.exe, после чего исходный файл удаляется из места, откуда он был первоначально загружен. После запуска троянец проверяет свою целостность: если она нарушена, вредоносная программа стирает загрузочный сектор жесткого диска, а также несколько расположенных ниже секторов и демонстрирует на экране сообщение:
«This binary is invalid.
Main reasons:
- you stupid cracker
- you stupid cracker...
- you stupid cracker?!»
Затем троянец пытается получить привилегии для перезапуска системы.
Если заражение произошло, BackDoor.IRC.NgrBot авторизуется на управляющем IRC-сервере, отсылает об этом отчет и начинает получать различные директивы, среди которых могут быть команды обновления бота, переключения на другой канал IRC, удаления бота, передачи статистики, начала DDoS-атаки, включения редиректа — всего предусмотрено несколько десятков команд. Одной из особенностей данной бот-сети является регулярное криптование ботов, которые закачиваются на инфицированные компьютеры в процессе очередного цикла обновления. Таким образом вирусописатели пытаются затруднить детектирование угрозы антивирусным ПО.
Помимо этого, BackDoor.IRC.NgrBot позволяет злоумышленникам реализовывать следующие функции:
* управление такими программами, как ipconfig.exe, verclsid.exe, regedit.exe, rundll32.exe, cmd.exe, regsvr32.exe;
* блокировка доступа к сайтам компаний-производителей антивирусного ПО и ресурсам, посвященным информационной безопасности;
* перехват и отправка злоумышленникам данных учетных записей при посещении пользователем различных сайтов (включая PayPal, YouTube, Facebook, AOL, Gmail, Twitter и др.);
* перехват и передача злоумышленникам сообщений, отправленных пользователем на сайтах Facebook, Twitter, В Контакте и т.д.;
* перенаправление пользователя на различные фишинговые сайты.
Каждый из составляющих сеть ботов генерирует собственное имя исходя из версии установленной на инфицированном компьютере операционной системы, ее локализации, прав, с которыми запущен троянец, а также иных данных. Согласно имеющейся в распоряжении специалистов компании «Доктор Веб» информации, только 2 сентября 2011 года ботами построенной на базе BackDoor.IRC.NgrBot сети было выполнено 60806 редиректов пользователей на фишинговые сайты, имитирующие оформление банковских систем www.davivienda.com и colpatria.com.
ОПАСНОСТЬ! 188.72.238.235_colpatria.comОПАСНОСТЬ! 188.72.238.235_Davivienda

Таким образом, можно сделать косвенные выводы о численности ботов, составляющих сеть BackDoor.IRC.NgrBot. Данная бот-сеть действует и в настоящий момент: специалистами осуществляется непрерывный мониторинг ее активности.
Admin
Admin
АДМИНИСТРАТОР
АДМИНИСТРАТОР

Сообщения : 2883

https://letopisec.forum2x2.ru

Вернуться к началу Перейти вниз

Вернуться к началу


 
Права доступа к этому форуму:
Вы не можете отвечать на сообщения