Вирусные угрозы-2016, Вредоносные программы

78% российских пользователей пострадали от программ-вымогателей

78% российских пользователей пострадали от программ-вымогателей

78% российских пользователей пострадали от программ-вымогателей, в частности, шифраторов. Это выяснила компания ESET, опросив больше 800 посетителей ИТ-портала «Мы ESET» в октябре 2016 года.

Программы-вымогатели блокируют доступ к личным файлам и требуют выкуп за его восстановление. Шифраторы, их наиболее опасная разновидность, выбирают на зараженном компьютере документы, фото, аудио и видео в популярных форматах .mov, .jpg, .zip, .ppt, .xls, .doc — десятки и сотни типов файлов. После обработки эти файлы сохраняются с новым расширением и не открываются. Сумма выкупа достигает десятков тысяч рублей.
Continue reading “78% российских пользователей пострадали от программ-вымогателей”

Вредоносные программы, Заражение браузера

Чистим систему от рекламных баннеров без переустановки

Многие пользователи, а порой и сервисные инженеры, в силу неопытности или обычной лени предпочитают переустановить систему, а не удалять рекламный софт вручную. Это влечет за собой длительную настройку ПК, установку драйверов и необходимого софта, организацию резервного копирования данных. В некоторых случаях это работа может затянуться на целый день. Однако очистить компьютер от нежелательного ПО не так уж и сложно; главное знать, куда посмотреть и что можно сделать.

Удаляем сторонние программы

Открываем меню «Программы и компоненты» и удаляем очевидный мусор: Пуск\Панель управления\Программы\Программы и компоненты

Удалить баннеры рекламы

Используем AdwCleaner

Запускаем программу AdwCleaner и нажимаем «Сканировать». Программа находит все известные ей «мусорные» модули и нежелательный софт. Вам остается подтвердить удаление кнопкой «Очистка».

Запускаем программу AdwCleaner
Continue reading “Чистим систему от рекламных баннеров без переустановки”

Вредоносные программы

Уязвимость в программном обеспечении операционных систем для смартфонов от компаний Apple и Google

INTERFAX.RU – Недавно стало известно об уязвимости в программном обеспечении операционных систем для смартфонов от компаний Apple и Google, которыми пользуются люди по всему миру, сообщило в среду агентство Associated Press.

Уязвимость получила название FREAK attack. На данный момент нет подтверждений того, что хакеры использовали ее для похищения информации.

Исследователи считают, что недостаток в ПО связан со сложностями американского законодательства в этой области, поскольку оно не совершенствовалось около десяти лет. По устаревшим правилам авторы программ вынуждены использовать несовершенные системы шифрования, если их продукт продается за рубежом. Такие правила действуют в интересах национальной безопасности США.
Continue reading “Уязвимость в программном обеспечении операционных систем для смартфонов от компаний Apple и Google”

Антивирусы, Вредоносные программы

Утилиты для борьбы с вирусами: Неделя #36 (1 сентября 2014)

Ниже в таблице вы найдёте статус по последним обновлениями утилит для борьбы с вредоносными программи от Лаборатории Касперского за Неделю #36 (1 сентября 2014):

Название утилиты Версия Статус
TDSSKiller 3.0.0.40 10 Июля 2014
XoristDecryptor 2.3.38.0 Обновлена (Последнее обновление – 11 Августа 2014)
RectorDecryptor 2.6.30.0 Обновлена (Последнее обновление – 13 Августа 2014)
RakhniDecryptor 1.5.11.0 Обновлена (Последнее обновление – 19 Августа 2014)
CapperKiller 1.0.10.0 10 Июня 2013
KidoKiller 3.4.14 25 Мая 2010
FippKiller 1.0.2 23 Июля 2012
RannohDecryptor 1.4.0.0 07 Мая 2014
ScatterDecryptor 1.0.0.0 29 Июля 2014
SalityKiller 1.3.6.0 12 Ноября 2010
VirutKiller 1.0.11.0 19 Ноября 2011
XpajKiller 1.6.6.0 25 Февраля 2013
ZbotKiller 1.3.0.0 27 Августа 2010
RadminerFlashRestorer 1.0.0 08 Февраля 2013
klwk 12.0.0.20 08 Февраля 2013
KatesKiller 1.2.2 21 Декабря 2009
PMaxKiller 1.0.1 08 Февраля 2013
DigitaCure 1.3 08 Февраля 2013
CleanAutoRun 1.2.0.0 03 Февраля 2013
Kaspersky Virus Removal Tool 11.0.0.1245 11 Марта 2013
Kaspersky Rescue Disk + WindowsUnlocker 10.0.32.17 20 Марта 2013
Flashfake Removal Tool 1.1 13 Апреля 2012

Подробную информацию вы можете найти на Портале технической поддержки.

Apple News, News, Вредоносные программы, Информационная безопасность, Полезно знать

Полицейские задержали двух москвичей, блокировавших айфоны

Полицейские задержали двух москвичей, блокировавших айфоны с целью вымогательства денег

Преступники угрожали удалить личные данные со смартфонов, если владельцы не перечислят деньги за разблокировку
Полицейские задержали двух москвичей, блокировавших айфоны
Полицейские задержали двух москвичей, блокировавших айфоны
© ИТАР-ТАСС/Павел Смертин

МОСКВА, 9 июня. /ИТАР-ТАСС/. Сотрудники управления “К” МВД России (подразделение Министерства внутренних дел России, осуществляющее борьбу с преступлениями в сфере информационных технологий, а также с незаконным оборотом радиоэлектронных средств и специальных технических средств) задержали двух москвичей, занимавшихся блокировкой устройств компании Apple, чтобы потом у их владельцев вымогать деньги за разблокировку аппаратов. Об этом ИТАР-ТАСС сообщили в пресс-центре МВД.
По словам представителя ведомства, еще весной в управление “К” МВД стали поступать сообщения о случаях дистанционного блокирования мобильных и стационарных устройств компании Apple и рассылке сообщений с требованием перечислить деньги за разблокировку, иначе хакеры угрожали удалить личные данные.
Continue reading “Полицейские задержали двух москвичей, блокировавших айфоны”

Вирусные угрозы 2014, Вредоносные программы, Новости Eset

Новая уловка мошенников – «Бесплатный билет на Rolling Stones!»

Eset Май 2014

«Бесплатный билет на Rolling Stones!»

Компания ESET предупреждает пользователей Facebook о новой уловке интернет-мошенников – спаме о «бесплатных билетах на концерт Rolling Stones».

Мошеннические посты с символикой Rolling Stones призывают перейти по ссылке на сторонний сайт, чтобы узнать подробности о розыгрыше билетов на концерт легендарных рокеров в рамках их мирового турне «14 On Fire».

Continue reading “Новая уловка мошенников – «Бесплатный билет на Rolling Stones!»”

Вирусные угрозы 2013, Вредоносные программы, Новости IT

Новая версия троянца угрожает серверам на базе ОС Linux

Новая версия троянца угрожает серверам на базе ОС Linux
Новая версия троянца угрожает серверам на базе ОС Linux

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает об обнаружении новой версии троянской программы Linux.Sshdkit, представляющей опасность для работающих под управлением ОС Linux серверов. Согласно собранной аналитиками «Доктор Веб» статистике, на сегодняшний день от действий троянцев данного семейства пострадало уже несколько сотен серверов, среди которых имеются серверы крупных хостинг-провайдеров.

О первых версиях вредоносной программы Linux.Sshdkit компания «Доктор Веб» сообщала в феврале 2012 года. Данный троянец представляет собой динамическую библиотеку. При этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.

Специалисты компании «Доктор Веб» перехватили несколько управляющих серверов предыдущей версии Linux.Sshdkit. Кроме того, удалось собрать статистику не только по количеству зараженных машин, но и определить их адреса. Всего в течение мая 2013 года троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.
Continue reading “Новая версия троянца угрожает серверам на базе ОС Linux”

Антивирусы, Вирусные угрозы 2013, Вредоносные программы, Компьютерная безопасность, Полезно знать

Внимание!Спам «Одноклассников», новые вирусные угрозы 2013

Статья с форума антивируса Avast…

Автор

В последнее время мы заметили, что в наших URL-фильтрах с вредоносными программами появилось много легитимных доменов. Сначала мы думали, у нас большая проблема с ложными срабатываниями, но после анализа мы обнаружили некоторую закономерность.
Все ссылки пришли с сервера популярной социальной сети «Одноклассники». Пользователи этой сети получают поддельные сообщения со ссылками на фотографии.
Ссылки ведут на домены, которые выглядят совершенно невинно, и были зарегистрированы достаточно давно. Но все они являлись доменами 3 или 4 уровня, и привели к нескольким вредоносным IP-адресам: 69.197.136.99, 94.249.188.224 и 178.63.214.97, 94.249.189.21.
Continue reading “Внимание!Спам «Одноклассников», новые вирусные угрозы 2013”

Вирусные угрозы 2013, Вредоносные программы, Компьютерная безопасность, Полезно знать

Угроза вирусов 2013!!! Хакеры рассылают вирусы от лица московских приставов

xakersvirusМосковские судебные приставы сообщают о мошенниках, которые от их лица рассылают пользователям письма с вредоносными программами, передает РИА Новости.

По информации ведомства, размещенной на сайте столичного главка службы в понедельник, представители местного бизнеса и обычные жители в последнее время начали жаловаться на письма, в которых говорится о начале процедуры судебного разбирательства в отношении них. В этих сообщениях содержатся ссылки, через которые якобы можно проверить эти сведения.

Письма приходят с адреса info@fssprus.ru, который не входит в список адресов ведомственной служебной почты ФССП. «Федеральная служба судебных приставов предупреждает, что, осуществляя переход по указанной в письме ссылке, Вы подвергаете свой компьютер опасности заражения вредоносным программным обеспечением», – говорится в пресс-релизе.

Антивирусы, Вирусные угрозы 2013, Вредоносные программы, Компьютерная безопасность

Троян Win32/Qhost по-прежнему популярен в России

Компания ESET представила отчет о наиболее активных угрозах февраля 2013 года. Троянская программа Win32/Qhost по-прежнему возглавляет рейтинг угроз по России. Несмотря на то, что за февраль уровень ее распространенности претерпел спад, она остается самой активной. По сравнению с январем, ее рейтинг опустился почти на 3% и составил 12,53%.

 

Вредоносные объекты HTML/IFrame и HTML/ScrInject, которые встраиваются злоумышленниками в веб-страницы входят в пятерку угроз, у них 2,24% и 2,84% соответственно. В то же время их рейтинг значительно снизился по сравнению с январем. Например, уровень HTML/IFrame снизился больше чем в два раза, с 4,95% до 2,24%. Также упал рейтинг трояна Win32/Spy.Ursnif, за февраль он составил 2,89%. В феврале рост испытал Win32/Bicololo, его рейтинг составил 2,78%. В этом месяце в десятку также попал файловый вирус Win32/Sality с показателем 0,85% и положительной динамикой. Win32/TrojanDownloader.Carberp продолжает сдавать свои позиции, в этом месяце его рейтинг опустился ниже процента и составил 0,81%.

Глобальный рейтинг угроз в этом месяце отметился тремя представителями файловых инфекторов: Win32/Sality (3,01%), Win32/Ramnit (1,81%) и Win32/Virut (1,15%). Причем каждый из них продемонстрировал положительную динамику роста. Рост также претерпели Win32/Dorkbot (2,01%), INF/Autorun (2,82%) и HTML/IFrame (3,28%).

Материалы по теме:

Источник:

Постоянный URL новости: http://www.3dnews.ru/software-news/642460

Антивирусы, Вирусные угрозы 2013, Вредоносные программы, Информационная безопасность, Компьютерная безопасность, Полезно знать

Внимание! Опасное заражение в сети! Шифрует ваши файлы!Письмо в архиве с расширением .hta!

Письмо в архиве с расширением .hta!

Антивирусные компании бессильны!

В общем-то начинается все банально! На компьютер, допустим,
к секретарю приходит поздравительное или благодарственное письмо с файлом в архиве с паролем. Реквизиты и название атакуемой фирмы берут из справочников в интернете!

Примерно письмо будет такого содержания:

Вторник, 26 февраля 2013, 3:53 +04:00 от anastasiyakomarovacorp@rambler.ru:

Добрый день, Меня зовут Анастасия я представляю ООО «ТОМТС». Мне дали задание отправить благодарственное письмо на компанию Атакуемая Компания за работу в сфере «Сферы услуги атакуемой Компании». Мне нужен Ваш почтовый адрес, из моих данных только: г. Москва, Ялтинская, 1а Если Вас не затруднит дополните и уточните данные.

————————————————————-
С Уважением, Анастасия Комарова Менеджер по связи с общественностью ООО «ТОМТС» 121099, г.Москва, Новинский бульвар, д.8 тел +7 (496) 2 62-62-62 доп 469

Далее секретарь вскрывает архив (после пароля на архив файл самораспаковывается) и вирус-шифровщик зашифровывает файлы на компьютере компании добавляя в них расширение допустим .FTCODE ну или любое на усмотрение вымогателей.
Шифруются файлы Word, Exel, базы данных 1C, jpg ….и многие другие вместе с ярлыками программ установленных в системе.
Читать далее на http://wordpress.drcomp.su/?p=2779
Антивирусы, Взлом сайтов, Вредоносные программы, Информационная безопасность, Компьютерная безопасность

Linux.Sshdkit атакует Linux-серверы

 

В связи с участившимися случаями взлома веб-серверов, работающих под управлением операционной системы Linux, компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — провела собственное расследование данных инцидентов. Специалисты выяснили, что одним из способов кражи паролей на серверах с ОС Linux стало использование троянца, добавленного в базы Dr.Web под именем Linux.Sshdkit.

Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. Механизм распространения троянца пока еще до конца не изучен, однако имеются основания полагать, что его установка на атакуемые серверы осуществляется с использованием критической уязвимости. Последняя известная специалистам «Доктор Веб» версия данной вредоносной программы имеет номер 1.2.1, а одна из наиболее ранних — 1.0.3 — распространяется на протяжении довольно-таки длительного времени.

После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации данного процесса. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер посредством протокола UDP. IP-адрес управляющего центра «зашит» в теле троянской программы, однако адрес командного сервера каждые два дня генерируется заново. Для этого Linux.Sshdkit применяет весьма своеобразный алгоритм выбора имени командного сервера.

Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию. Используемый данной вредоносной программой алгоритм генерации адреса командного сервера показан на иллюстрации ниже.

Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец передает на удаленные узлы похищенные с атакованных серверов логины и пароли.

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Администраторам серверов, работающих под управлением ОС Linux, специалисты «Доктор Веб» рекомендуют проверить операционную систему. Одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ.
Источник http://news.drweb.com/?i=3332&c=23&lng=ru&p=0

Антивирусы, Вредоносные программы, Информационная безопасность, Компьютерная безопасность

Новый винлокер насмешил специалистов

 

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — уже неоднократно публиковала новостные материалы, посвященные вредоносным программам семейства Trojan.Winlock. Подобные троянцы-вымогатели, блокирующие нормальную работу операционной системы и требующие у жертвы заплатить определенную сумму за ее разблокировку, известны уже довольно давно. Тем не менее, одна из недавно обнаруженных версий данного троянца удивила даже повидавших всякое специалистов «Доктор Веб».

Троянцы-блокировщики семейства Trojan.Winlock демонстрируют своим жертвам требования об оплате на разных языках: например, в феврале 2012 года специалистами компании «Доктор Веб» была обнаружена вредоносная программа Trojan.Winlock.5490, угрожающая шариатским судом арабским пользователям, незадолго до этого в вирусные базы были добавлены винлоки на французском, немецком и итальянском языках. Однако вредоносная программа, получившая обозначение Trojan.Winlock.8026, озадачила вирусных аналитиков «Доктор Веб» прежде всего тем, что они так и не смогли определить, на каком языке написано отображаемое на экране заблокированного компьютера сообщение:

screen

Троянец представляет собой примитивную форму, созданную с использованием среды разработки Delphi, код которой содержит не меньше нелепых ошибок, чем демонстрируемый на экране текст. Форма разработана с помощью стандартного конструктора Delphi, ничем не упакована, исполняемый файл вредоносной программы занимает более 7 Мб, а все ресурсы (включая код разблокировки) хранятся в приложении в открытом виде. По всей видимости, коварный злоумышленник создавал эту грозную вредоносную программу второпях, пока родители не вернулись с работы и не заставили его делать домашнее задание по русскому языку. В качестве альтернативы можно предположить, что перед нами проявление итогов либерализации российского законодательства в области миграционной политики, благодаря которому трудовые мигранты из ближнего зарубежья, пока еще не в достаточной степени владеющие русским языком, постепенно осваивают все новые и новые специальности.

Сигнатура Trojan.Winlock.8026 успешно добавлена в вирусные базы, и потому троянец не представляет опасности для пользователей антивирусного ПО Dr.Web. Впрочем, он не представляет серьезной опасности и сам по себе: если по ошибке или в силу роковой случайности вы запустили данную вредоносную программу на своем компьютере, то, хорошенько отсмеявшись, воспользуйтесь кодом 141989081989 для его разблокировки.

Антивирусы, Вредоносные программы, Компьютерная безопасность, Полезно знать

«Доктор Веб» предупреждает о вредоносной почтовой рассылке

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о массовой почтовой рассылке, с помощью которой распространяется вредоносная программа Trojan.PWS.UFR.3010. Данный троянец предназначен для кражи паролей от многих прикладных программ.

26–27 декабря 2012 года пользователи Интернета стали получать электронные письма об оплате некоего счета, содержащие вложенный ZIP-архив. В тексте сообщений, как правило, предлагается проверить банковские реквизиты платежного поручения. Один из вариантов такого письма показан на иллюстрации ниже.

screen

Обращают на себя внимание сразу несколько фактов. Прежде всего, настораживают имя архива ([FILENAME].JPG.zip) и ошибки в тексте письма. Внутри архива располагается исполняемый файл, причем расширение вредоносного приложения (.exe) отделено от имени большим количеством точек с целью скрыть его в окне Проводника. Подобный способ «спрятать» истинное расширение файла применяется злоумышленниками на протяжении многих лет и считается весьма тривиальным. Правда, предшественники справлялись со своей задачей гораздо успешнее: вместо точек они использовали большое количество пробелов, поэтому пользователям Проводника Windows становилось весьма непросто определить истинный тип файла. Следует отметить, что распространители троянца не потрудились даже заменить значок приложения на что-то нейтральное: видимо, наступившая пора школьных экзаменов не оставляет достаточного времени для экспериментов.

screen

Сама вредоносная программа, детектируемая антивирусным ПО Dr.Web как Trojan.PWS.UFR.3010, создана с помощью широко известного конструктора утилит для кражи паролей UFR Stealer, свободно распространяемого на хакерских форумах как минимум с 2010 года. Воспользоваться этой программой может любой подросток, не обладающий даже минимальными знаниями в области программирования. Полученное с помощью конструктора вредоносное приложение способно красть пароли от большинства популярных браузеров, почтовых клиентов, FTP-клиентов, программ мгновенного обмена сообщениями и других приложений (например, игры World of Tanks), а также отправлять данные с использованием протокола FTP на удаленный сервер или по электронной почте. Список подверженных риску программ можно увидеть на иллюстрации ниже.

screen

Анализ FTP-сервера злоумышленников показал, что в общей сложности заражению подверглось как минимум несколько сотен компьютеров, а за последние сутки — не менее 120 ПК.

Специалисты «Доктор Веб» предупреждают: во избежание заражения вредоносными программами не следует открывать вложения в сообщениях электронной почты, полученных из неизвестных источников.

Вопросы и ответы, Вредоносные программы, Заражение браузера, Компьютерная безопасность, Полезно знать, Полезные советы

Есть такой вид обмана – вам приходит СМС с текстом

Есть такой вид обмана - вам приходит СМС с текстом
Есть такой вид обмана – вам приходит СМС с текстом

Есть такой вид обмана – вам приходит СМС с текстом “Абонент Лена оставил вам сообщение. Открыть: ” и дается ссылка. При переходе по этой ссылке ваш браузер будет атакован, и в случае успешной атаки на телефоне выполнится программный код, который отправит незаметно СМС на короткий номер. В результате с вашего мобильного счета спишутся деньги, и выглядеть это будет так, будто вы сами отправили такую СМСку.

Что делать, чтобы не стать жертвой:

1. Не открывайте ссылки из СМСок, скорее всего никто из ваших знакомых никогда не будет с вами делится интересной ссылкой через СМС.
2. Обновляйте ваш браузер регулярно, если вы его сами установили из каталога приложений. Новые версии обычно исправляют обнаруженные уязвимости.
3. Задумайтесь об установке антивируса на телефон. Да, уже пришло время.

Расскажите своим друзьям об этом виде мошенничества.

Антивирусы, Вредоносные программы, Информационная безопасность, Компьютерная безопасность, Новости IT, Полезно знать

Eset предупреждает о мошенниках в сети

ESET NOD32 20 декабря 2012

Уважаемые коллеги, партнеры, пользователи!

Компания ESET предупреждает о недобросовестных продавцах!

На сайтах Topsdelka.ru и Biglion.ru зафиксирована продажа нелицензионных версий антивируса ESET NOD32 Smart Security 5.

В последнее время участились случаи продаж пиратской продукции на так называемых «купинаторах» – сайтах, предоставляющих товары по максимально выгодной цене.

Чтобы убедиться, что покупаемый через Интернет товар является официальным продуктом компании ESET с гарантией качества, просим Вас внимательно ознакомиться с условиями реализации продукции на территории России на сайте www.esetnod32.ru.

В целях безопасности и гарантированного обслуживания убедительная просьба приобретать продукты компании ESET у официальных партнеров.

Если Вы стали жертвой покупки пиратской программы, просим незамедлительно сообщить нам по указанным ниже контактам.

С уважением,
Компания ESET

Вредоносные программы, Заражение браузера

Вредоносный скрипт на сайте Opera

Вредоносный скрипт на сайте Opera

Главная » Hot News » Вредоносный скрипт на сайте Opera

Как минимум несколько часов с главной страницы портала http://portal.opera.com осуществлялась атака drive-by с использованием эксплойт-пака Blackhole. Вредоносный скрипт внедрили на сайт известным способом — с помощью рекламного баннера через постороннюю рекламную сеть.

Вредоносный скрипт на сайте Opera

Таким способом уже неоднократно заражали сайты российских СМИ и многие другие ресурсы, но портал Opera пострадал впервые. Код в баннере открывал фрейм, куда загружается вредоносный контент из внешнего источника. В случае с сайтом Opera загружался скрипт in.cgi с сайта gxxx750.com, сообщает антивирусная компания BitDefender. С помощью эксплойт-пака Blackhole проверялись уязвимости на компьютерах пользователей и, в случае наличия таковых, загружался свежий, недавно скомпилированный вариант зловреда ZBot (Trojan.Zbot.HXT). Он загружался с российского FTP-сервера, скорее всего, тоже ставшего жертвой взлома. Из-за неправильной конфигурации FTP тот позволил посторонним лицам разместить вредоносные файлы на своём хостинге. Компания Opera узнала о заражении вчера, после публикации пресс-релиза BitDefender. В качестве временной меры она временно отключила рекламу на сайте.

Источник http://www.xakep.ru

Вопросы и ответы, Вредоносные программы, Полезные советы, Удаление порнобаннеров

Как удалить порноинформер Windows заблокирован! Приложением Microsoft Security Essentials …Пополнить номер абонента Билайн +79676716403 на сумму 1000 рублей и тд…

Уж сколько раз твердили миру…закончилась лицензия на антивирус — купи продление!!! Ан нет ничего люди не боятся и продолжают лазить по просторам нета с незащищенным компьютером.
История получается такого содержания…
Итак попадает в руки комп с блокировкой рабочего стола следующего типа:

Пополнить номер абонента Билайн +79676716403 на сумму 1000 рублей

Windows заблокирован!
Приложением Microsoft Security Essentials

Текст на баннере следующего содержания:
Windows заблокирован!
Приложением Microsoft Security Essentials был заблокирован неправомерный доступ к материалам порнографического содержания, а также, копирование и тиражирование видеоматериалов содержащих элементы насилия либо педофилии….

Для активации системы необходимо:
Пополнить номер абонента Билайн +79676716403 на сумму 1000 рублей и тд…и тп
Читать далее на WORDPRESS.DRCOMP.SU

Антивирусы, Вредоносные программы, Новости IT, Полезно знать

Обзор вирусной активности в октябре: лютые троянцы-шифровальщики, вредоносный спам в Skype и многое другое

В первой половине октября 2012 года был замечен резкий всплеск активности троянцев-шифровальщиков — от пользователей поступало значительное число запросов на лечение файлов, подвергшихся воздействию данных вредоносных программ. Также в октябре наметилась активизация почтовых рассылок, содержащих вредоносные вложения: по каналам электронной почты активно распространялся троянец Trojan.Necurs.97, а в начале месяца злоумышленники организовали массовую вредоносную рассылку с использованием Skype.

Вирусная обстановка

Среди угроз, детектированных в октябре с использованием лечащей утилиты Dr.Web CureIt!, лидирует Trojan.Mayachok различных модификаций, при этом на дисках чаще всего обнаруживаются файлы троянца BackDoor.IRC.NgrBot.42, которые он передает. На втором месте по частоте обнаружений значатся файлы, содержащие уязвимость Java Runtime Environment (JRE) Exploit.CVE2012-1723.13, на третьем месте расположился троянец Trojan.Mayachok.17994, а вот абсолютный лидер летней вирусной статистики, Trojan.Mayachok.1, сместился уже на четвертую позицию. Помимо прочего, среди часто встречающихся на компьютерах пользователей угроз следует отметить многочисленные модификации троянцев семейства Trojan.SMSSend, а также вредоносные программы Win32.HLLP.Neshta (файловый вирус, известный еще с 2005 года), Trojan.Mayachok.17986, полиморфный файловый инфектор Win32.Sector.22, бэкдоры BackDoor.IRC.NgrBot.146 и BackDoor.Butirat.201. Десятка наиболее популярных вредоносных программ, обнаруженных на инфицированных компьютерах с использованием лечащей утилиты Dr.Web CureIt!, показана в представленной ниже таблице.

Угроза %
Trojan.MayachokMEM.4 2,34
BackDoor.IRC.NgrBot.42 2,18
Exploit.CVE2012-1723.13 1,64
Trojan.Mayachok.17994 1,47
Trojan.Mayachok.1 1,29
Java.Downloader.697 1,18
Trojan.SMSSend.2363 0,96
Win32.HLLP.Neshta 0,93
Trojan.Mayachok.17986 0,82
Win32.Sector.22 0,71

Распределение обнаруженных в течение месяца угроз по классам показано на следующей диаграмме:

screen

Ботнеты

Специалисты компании «Доктор Веб» продолжают отслеживать статистику изменения численности наиболее активных на сегодняшний день бот-сетей. Так, широко известный ботнет Backdoor.Flashback.39, который составляют инфицированные компьютеры под управлением операционной системы Mac OS X, в течение месяца сократился очень незначительно: по данным на 30 октября популяция этого троянца составляет 105730 инфицированных «маков», в то время как на 30 сентября число зараженных «макинтошей» не превышало 109372. Прирост бот-сети Backdoor.Flashback.39 практически остановился, однако владельцы Apple-совместимых компьютеров, судя по всему, не торопятся проводить антивирусную проверку своих машин, чтобы окончательно избавиться от данного троянца.

Как и предполагалось ранее, в начале октября бот-сеть Win32.Rmnet.12 преодолела по числу зараженных ПК пятимиллионную отметку, а к концу месяца достигла пяти с половиной миллионов инфицированных рабочих станций, побив по темпам прироста сентябрьский рекорд. Динамика изменения численности этого ботнета показана на приведенном ниже графике:

screen

Как уже упоминалось ранее, файловый вирус Win32.Rmnet.12 наиболее широко распространен в странах Юго-Восточной Азии, однако зафиксированы случаи заражения и на территории России — всего в нашей стране насчитывается 132445 машин, инфицированных файловым вирусом Win32.Rmnet.12, что составляет 2,39% от общей численности ботнета. При этом максимальное количество экземпляров Win32.Rmnet.12 по статистике обнаружилось в Москве (18,9% от общего числа заражений по России), на втором месте — Хабаровск с показателем 13,2%, почетное третье место занимает Санкт-Петербург (8,9%), далее следуют Ростов-на-Дону (5,2%), Владивосток (3,4%) и Иркутск (2,9%).

Численность ботнета Win32.Rmnet.16 также понемногу продолжает увеличиваться — динамику этого процесса можно проследить на представленной ниже диаграмме. Общая численность сети на 30 октября 2012 года составила 254838 инфицированных ПК, что на 16373 компьютера больше по сравнению с показателями на начало месяца.

screen

Вредоносный спам

В октябре 2012 года был отмечен рост числа рассылок вредоносных программ с использованием различных средств коммуникации: так, начало месяца ознаменовалось массовым распространением сообщений с использованием программы Skype. Рассылаемые злоумышленниками послания содержали короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки на компьютер жертвы начиналась загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляла вредоносная программа, добавленная в базы Dr.Web под именем Trojan.Spamlink.1.

screen

Во второй половине октября активизировались злоумышленники, использующие в своих целях электронную почту. Поступавшие пользователям письма рассылались от имени интернет-магазина Amazon.com, корпорации Microsoft, почтовой службы FedEx, также были замечены массовые рассылки якобы от имени платежной системы PayPal с сообщением о переводе средств, и нескольких авиакомпаний с предложением подтвердить бронирование авиабилета. В большинстве случаев подобное сообщение содержало ссылку на веб-страницу, включающую сценарий, при выполнении которого посетитель переадресовывался на другой веб-сайт. В свою очередь этот сайт передавал браузеру файл, содержащий сценарий на языке JavaScript, при выполнении которого на компьютер пользователя загружались две вредоносные программы: широко известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97. Мы подробно рассказывали о подобных вредоносных рассылках в одном из своих новостных материалов, но по-прежнему рекомендуем пользователям проявлять осторожность и не переходить по ссылкам в сообщениях электронной почты, полученных из неизвестных источников.

Наконец, в последних числах октября кибермошенники организовали массовую СМС-рассылку якобы от имени компании «Доктор Веб», в сообщениях которой пытались вынудить пользователей «отписаться» от некоей информационной услуги, а на самом деле — заставить их подключиться к псевдоподписке с абонентской платой. Принадлежащие злоумышленникам веб-сайты были незамедлительно добавлены специалистами Dr.Web в базы нерекомендуемых ресурсов.

Угрозы для Android

С точки зрения угроз для мобильной платформы Android октябрь 2012 года прошел относительно спокойно. В течение месяца вирусные базы D.Web пополнились записями для нескольких вредоносных программ семейства Android.SmsSend. Напомним, что эти троянцы представляют опасность тем, что в процессе своей работы выполняют отправку дорогостоящих СМС-сообщений и подписывают владельцев мобильных устройств на различные контент-услуги, за пользование которыми взимается определенная денежная сумма.

Также в базы была добавлена запись для троянца Android.FakeLookout.1.origin, распространявшегося в каталоге Google Play под видом некоего программного обновления. Эта вредоносная программа имела возможность красть пользовательские СМС-сообщения, а также различные файлы, находящиеся на карте памяти, и отправлять их на удаленный сервер. Несмотря на потенциальную опасность раскрытия частной информации, троянец не является серьезной угрозой для пользователей Android, т. к. на момент удаления из каталога его успели установить не более 50 человек.

Ко всему прочему, в октябре была обнаружена новая модификация вредоносной программы семейства Android.Gongfu, внесенная в вирусные базы под именем Android.Gongfu.10.origin.

Угроза месяца: Trojan.GBPBoot.1

Одной из наиболее интересных вредоносных программ, обнаруженных в октябре сотрудниками антивирусная лаборатории компании «Доктор Веб», можно назвать троянца, получившего наименование Trojan.GBPBoot.1.

С точки зрения реализуемых данной вредоносной программой функций, Trojan.GBPBoot.1 можно назвать довольно примитивным: он способен загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы. Этим его деструктивный функционал исчерпывается. Однако интересна эта вредоносная программа прежде всего тем, что имеет возможность серьезно противодействовать попыткам ее удаления.

В процессе заражения компьютера один из модулей троянца модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. Сама вредоносная программа реализована в виде библиотеки, которая регистрируется на инфицированном компьютере в качестве системной службы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

В антивирусном ПО Dr.Web реализованы механизмы поиска и лечения данной угрозы, включая функцию восстановления поврежденной загрузочной записи. Более подробно узнать о внутреннем устройстве троянца Trojan.GBPBoot.1 можно из опубликованного компанией «Доктор Веб» информационного материала.

Другие угрозы октября

В начале октября специалистами «Доктор Веб» было зафиксировано распространение вредоносной программы Trojan.Proxy.23012, предназначенной для массовой рассылки спама. С подробной информацией об этой угрозе можно ознакомиться в соответствующей статье, опубликованной на сайте news.drweb.com.

Отдельный информационный материал был посвящен троянцу-загрузчику, активно распространявшемуся в октябре с использованием ресурсов пиринговой сети Trojan.PWS.Panda.2395. Данная вредоносная программа характеризуется весьма любопытным механизмом заражения, подробно описанным в опубликованной на сайте Dr.Web обзорной статье.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

 01.10.2012 00:00 – 31.10.2012 23:00
1 Trojan.Necurs.97 1.40%
2 Trojan.Oficla.zip 1.20%
3 JS.Redirector.145 1.13%
4 Trojan.PWS.Stealer.946 0.84%
5 JS.Redirector.150 0.80%
6 Win32.HLLM.MyDoom.54464 0.58%
7 Exploit.CVE2010-3333.6 0.53%
8 BackDoor.Andromeda.22 0.53%
9 Trojan.PWS.Panda.786 0.47%
10 Trojan.DownLoader6.56603 0.47%
11 Win32.HLLM.MyDoom.33808 0.42%
12 Trojan.Siggen4.25819 0.42%
13 BackDoor.Kuluoz.3 0.38%
14 Trojan.Packed.18626 0.36%
15 Trojan.DownLoader7.6770 0.31%
16 Win32.HLLM.Beagle 0.31%
17 Win32.HLLM.Netsky.35328 0.29%
18 Trojan.PWS.UFR.2334 0.29%
19 Trojan.Winlock.6566 0.27%
20 SCRIPT.Virus 0.24%

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

 01.10.2012 00:00 – 31.10.2012 23:00
1 Adware.Downware.533 0.82%
2 SCRIPT.Virus 0.51%
3 Tool.Unwanted.JS.SMSFraud.10 0.38%
4 Adware.Downware.179 0.34%
5 Tool.Skymonk.6 0.31%
6 Trojan.Fraudster.329 0.31%
7 Trojan.Fraudster.296 0.30%
8 Adware.Downware.426 0.29%
9 Win32.HLLW.Autoruner.59834 0.27%
10 Win32.HLLW.Shadow 0.27%
11 Tool.Unwanted.JS.SMSFraud.15 0.26%
12 Trojan.Fraudster.320 0.26%
13 Trojan.Fraudster.344 0.25%
14 Trojan.Fraudster.347 0.25%
15 Adware.InstallCore.53 0.25%
16 Trojan.Siggen4.23472 0.24%
17 JS.IFrame.317 0.23%
18 Exploit.CVE2012-1723.13 0.23%
19 Trojan.SMSSend.2363 0.23%
20 Adware.Downware.316 0.23%

 

Взлом сайтов, Вредоносные программы

Ответ в поддержку Яндекса.Заражение сайтов паразитными скриптами, что можно и нужно предпринять!

Заражение сайтов паразитными скриптами, что можно и нужно предпринять!

В отношении сайтов http://svadbavideo.su, http://blog.svadbavideo.su, http://drcomp.su, http://blog.drcomp.su and http://wordpress.drcomp.su были произведены следующие действия:

1.По логам на сервере определены подозрительные ip-адреса и отсечены в файле .htaccess
2.В файле .ftpaccess запрещены все доступы по ftp кроме моего (сделано для всех важных папок)
3.На самом сайте в панели управления сменен пароль доступа, включен доступ только по моему ай-пи-адресу и убраны все дополнительные доступы по фтп (заранее были включены логи доступа и ошибок для всех сайтов и блогов, тк включаются они, как выяснилось только по предварительному запросу)
4.На самих сайтах были проверены вручную все файлы c возможным потенциальным заражением (index.php, index.html, index.hml в сайтах на wordpress еще и futer.php b и тд…)
5.Убраны все ненужные плагины кроме основных и шаблоны (папка templates)
6.Оставшиеся шаблоны обновлены до последних версий и проверены вручную на наличие паразитного кода
7.Дополнительно в сайтах на движке WordPress установлены последние обновления движка и защитные плагины, помогающие обнаружить зловредные коды и потенциальных взломщиков:
BulletProof Security
TAC (Theme Authenticity Checker) и тд
Дополнительно сайты были помещены в систему защиты сайтов SiteGuard.ru с cообщением найденного паразитного кода.
Все работы на всякий случай проводились с компьютера на Linux (Mandriva) для исключения возможности заражения с компьютера пользователя.Остальные доступы на всякий случай были проверены несколькими антивирусами, вирусов на них обнаружено не было…
После этого паразитного кода не наблюдалось с 14.00 22 февраля и по настоящее время…Ранее он появлялся примерно раз в 2-3 часа после удаления…Если интересно логи доступа и ошибок могу выслать вашим сотрудникам для борьбы с этим явлением…
Расшифрованный код я высылал в предыдущих сообщениях…если интересно могу выслать его незашифрованным.
Еще раз интересуюсь, как можно привлечь к ответственности того кто этим занимается если нам удастся доказать с какого ip-адреса были сделаны эти изменения…Так как помимо времени и головной боли сами сайты много потеряли и в рейтинге и в посещениях и престижности…
Если таких нелюдей не наказывать они будут продолжать заниматься своим грязным делом и все по кругу повториться…
Давайте работать и бороться с этим совместными силами!!!
С уважением, Виктор!