# Services
# Services
# Администрация
# Администрация
$iD
 PM
FreeCat
PM
|
|
| |
Компания Microsoft обнаружила опасный фальшивый антивирус
Компания Microsoft обнаружила опасный фальшивый антивирус
| Автор:
$iD
@ Сегодня, 15:08 |
Компания Microsoft распространила предупреждения о новой вирусной эпидемии, распространяемой через браузеры. Программа-вредитель под кодовым названием Rogue:MSIL/Zeven автоматически определяет тип браузера, а затем очень похоже имитирует соответствующие диалоги браузера с предупреждением о вирусной угрозе. Фальшивые диалоги предупреждений почти неотличимы от настоящих – далеко не каждый пользователь сможет с первого взгляда определить подделку. Эта уловка представляет собой разновидность социальной инженерии, но в данном случае авторы вируса полагаются на то, что пользователи доверяют своим браузерам – подобная тактика обнаружена впервые. Кроме фальшивых окон с предупреждениям, вирус позволяет якобы просканировать ваши файлы. Кроме того, вирус предупреждает пользователей о неустановленных вовремя обновлениях, а еще предлагает вам изменить ваши настройки приватности и безопасности. Во время сканирования фальшивый антивирус находит зараженные файлы, однако не удаляет их, предлагая купить полную версию за деньги. Когда пользователь пытается купить продукт, открывается новое окно браузера в так называемом «безопасном режиме» с шифрованием передаваемых данных, правда в данном конкретном случае не приносит жертве никакой пользы. Наконец, веб-страница фальшивого антивируса крайне похожа на страницу известного бесплатного антивируса Microsoft Security Essentials. Скопированы даже награды, полученные пакетом MSE, и ссылка на центр антивирусной защиты Microsoft Malware Protection Center. Хотя новый вирус очень хорош (как вирус, конечно), но у него тоже есть недостатки. Его цель – заставить пользователя загрузить и установить некую программу, а также забрать у пользователя некоторую сумму, чего точно никогда не рекомендуют разработчики трех браузеров, в работу которых вмешивается новый вирус. Кроме всего прочего, страница предупреждения Firefox содержит явную опечатку ("Get me ouR of here"). Подозрительно и то, что веб-страница сообщает о гарантии на покупку. Часто оказывается, что якобы зараженные файлы, которые обнаружил фальшивый антивирус, вообще отсутствуют на компьютере. Все эти признаки должны немедленно насторожить пользователя – как бы то ни было, новая программа-вредитель отличается невиданным доселе уровнем имитации настоящих антивирусов и детализации. Несмотря на огромный прогресс в создании вирусов, пользователи могут эффективно защищаться от таких угроз, используя старое, но до сих пор актуальное правило – никогда не загружать и не устанавливать какие-либо файлы только потому, что какая-то веб-страница просит вас сделать это.
|
|
Комментарии: 0 ::
Подробней
|
|
Новый троян выдает себя за обновление для TweetDeck
Новый троян выдает себя за обновление для TweetDeck
| Автор:
$iD
@ 2.9.2010, 18:34 |
Пользователей микроблога Twitter подстерегает опасность в виде нового трояна. Аналитики компании Sophos сообщают о том, что новый троян маскируется под «важное обновление» для TweetDeck — популярного клиента для работы с микроблогами. Для установки «обновления» пользователям предлагается пройти по указанной в сообщении ссылке. После перехода по ссылке на компьютер пользователя устанавливается вредоносная программа, которую эксперты Sophos идентифицируют как Troj/Agent-OOA. После заражения троян получает доступ к аккаунту пользователя и использует его для дальнейшего распространения вредоносной ссылки. В тексте сообщения, сопровождающего ссылку, говорится, что выход «обновления» для TweetDeck приурочен к Осеннему банковскому выходному — официальному выходному дню в Англии, который приходится на последний понедельник августа.
|
|
Комментарии: 0 ::
Подробней
|
|
Хакеры: уязвимость в ColdFusion серьезнее, чем утверждает Adobe
Хакеры: уязвимость в ColdFusion серьезнее, чем утверждает Adobe
| Автор:
ITResource
@ 18.8.2010, 13:55 |
Уязвимость, пропатченная недавно в сервере приложений Adobe ColdFusion, может быть более серьезной, чем предполагалось. Во всяком случае, опубликованный в открытом доступе код эксплоита для нее позволяет хакерам получить над уязвимой системой полный контроль.
В своем руководстве Adobe предупреждает о том, что несанкционированный переход от директория к директорию может привести к раскрытию данных. Брешь имеется на ColdFusion 9.0.1 и более ранних версиях ColdFusion для Windows, Mac OS X и Unix.
Однако минимум два исследователя заявили, что данный баг следует рассматривать, как критический, поскольку он позволяет хакерам получить контроль над серверами. Более того, простой поиск в Сети позволяет выявить администраторов, беззаботно оставивших открытыми файлы ColdFusion, что существенно упрощает проведение атаки.
По словам эксперта HP Рафаля Лоса, баг позволяет не только получить доступ к системным файлам, но и загрузить скрипты, помогающие взломать сервер и получить доступ к базе данных.
Примерно в одно время с постом Рафаля Лоса хакер, известный под ником Carnal0wnage, опубликовал код атаки, гарантированно эксплуатирующей данную брешь. Вдобавок к этому, хакер и эксперт по тестам на проникновение Эдриан Пастор предупредил, что уязвимость позволяет атакующим зайти в систему с правами администратора ColdFusion без необходимости взламывать криптографический хэш.
|
|
Комментарии: 0 ::
Подробней
|
|
В Рунете началась вирусная ICQ-эпидемия
В Рунете началась вирусная ICQ-эпидемия
| Автор:
$iD
@ 17.8.2010, 20:36 |
Тысячи пользователей стали жертвой нового ICQ-вируса Snatch, запустив пришедший к ним по сети ICQ одноименный .exe-файл. Вирусная эпидемия началась около полудня 16 августа; на момент написания заметки в блогосфере были сотни сообщений о вирусе. После запуска snatch.exe вредоносная программа берет под свой контроль ICQ-аккаунт и рассылает по всему списку контактов свои копии. Настоятельно рекомендуется не принимать и не запускать этот файл. Так как в будущем название файла может измениться, стоит обратить внимание на его размер. В случае snatch.exe он составляет 916,5 килобайта. Захватив ICQ-аккаунт, вирус способен поддерживать короткий диалог с пользователями в списке контактов. Вот некоторые фразы, которым его обучили создатели: "глянь ))", "нет, глянь )))", "ну мини игра типа )", "привет!". Так как вирус распространяется в виде исполняемого файла .exe, в опасности находятся только пользователи Windows. Стоит отметить, что по состоянию на 16 августа большинство антивирусов не реагируют на данный файл. Согласно отчету Virus Total, snatch.exe опознали как вредоносную программу лишь 9 антивирусов из 42: Authentium, BitDefender, Emsisoft, F-Prot, F-Secure, GData, Ikarus, Panda и Sunbelt. В "Лаборатории Касперского" сообщили, что в случае заражения следует в диспетчере задач Windows удалить процесс с именем snatch.exe, после чего удалить само тело червя (скачанную программу) и по возможности сменить пароль от своей учетной записи ICQ.
]]>Скан с вирустотала]]>
|
|
Комментарии: 2 ::
Подробней
|
|
Новые модификации трояна ZeuS прикрываются цифровой подписью «Лаборатории Касперского»
Новые модификации трояна ZeuS прикрываются цифровой подписью «Лаборатории Касперского»
| Автор:
$iD
@ 5.8.2010, 17:15 |
Компания Trend Micro сообщила об обнаружении в Сети вредоносных файлов с цифровой подписью, практически полностью совпадающей с подписью антивирусной компании «Лаборатория Касперского». После внимательного изучения подписи специалисты Trend Micro выявили явные расхождения между подделкой и оригиналом. Так, помимо того, что поддельная подпись включает неверное значение хеш-функции, она оказалась просроченной. Наиболее вероятно, что для создания фальшивки злоумышленники использовали подпись утилиты ZbotKiller от «Лаборатории Касперского», полагают в Trend Micro. В ходе дальнейшего изучения обнаруженных файлов специалистам Trend Micro удалось идентифицировать зловредов. Ими оказались модификации печально известного трояна ZeuS (ZBOT) – TSPY_ZBOT.BWP, TROJ_ZBOT.BYM и TROJ_ZBOT.KJT. Примечательно, что это не первый случай подделки злоумышленниками легальных цифровых подписей. Так, червь Stuxnet распространялся с подписью корпорации Realtek Semiconductors, а его более поздняя модификация – с подписью компании JMicron Technology. Специалисты Trend Micro уже оповестили об инциденте «Лабораторию Касперского».
|
|
Комментарии: 6 ::
Подробней
|
|
Протокол защиты данных WPA2 взломан
Протокол защиты данных WPA2 взломан
| Автор:
$iD
@ 26.7.2010, 22:27 |
Независимая группа исследователей сообщила об обнаружении уязвимости в протоколе шифрованная данных WPA2. Этот протокол применяется при защите информации в сетях WiFi и на сегодня считается самым стойким протоколом WiFi для защиты информации. WPA2 на сегодня является стандартизированным и широко используемым средством безопасности. Компания AirTight Networks, где и была обнаружена указанная уязвимость, говорит, что ей подвержены все сети, совместимые со стандартом IEEE802.11 Standard (Revision, 2007). Уязвимость, получившая название Hole 196, будет продемонстрирована на конференции Defcon 18, которая открывается на этой неделе в американском Лас-Вегасе. Hole 196 использует метод атаки типа Man-in-the-middle, где пользователь, авторизованная в сети WiFi может перехватывать и дешифровывать данные, передаваемые и принимаемые другими пользователями этой же WiFi-сети. Код эксплоита разработчики намерены сделать общедоступным, чтобы все желающие смогли с ним ознакомиться, а стандартизирующие органы смогли внести коррективы в WP2. WPA2 определяется стандартом IEEE 802.11i, принятым в июне 2004 года, и призван заменить WPA. В нём реализовано CCMP и шифрование AES, за счет чего WPA2 стал более защищенным, чем свой предшественник. С 13 марта 2006 года поддержка WPA2 является обязательным условием для всех сертифицированных Wi-Fi устройств. WPA2 использует два типа ключей 1) Pairwise Transient Key (PTK), который уникален для каждого клиента для защиты личного трафика и 2) Group Temporal Key (GTK) для защиты широковещательных данных, помогающих отличить одну сеть от другой. По данным исследователей, PTK могут обнаружить адресный спуфинг, а вот GTK такого механизма не имеет. Точных данных о механизме взлома пока нет, но известно, что исследователи создали открытый Драйзер MadWiFi, который может подделывать MAC-адреса, заставляя серверы передавать информацию поддельным клиентским систем. Технически, с помощью такой атаки можно не только слушать чужие данные, но и организовывать атаки на разнообразные ресурсы, используя ресурсы подконтрольной сети. "Исследования показывают, что год от года все больше случаев ударов по безопасности компаний наносят их же сотрудники, которые похищают собственные корпоративные сведения", - говорит один из разработчиков эксплоита Сохейл Ахмад.
|
|
Комментарии: 2 ::
Подробней
|
|
В сети обнаружен второй вариант червя Stuxnet
В сети обнаружен второй вариант червя Stuxnet
| Автор:
$iD
@ 22.7.2010, 0:11 |
Антивирусная компания Eset сообщила об обнаружении второго варианта сетевого червя Stuxnet, использующего недавно обнаруженную уязвимость в операционной системе Windows. Новая версия предназначена для атаки промышленных решений компании Siemens. Второй вариант червя, получивший название jmidebs.sys, может распространяться через USB-накопители, используя незакрытую на сегодня уязвимость в Windows, затрагивающую неверный парсинг файлов-ярлыков с расширением lnk. Как и оригинал Stuxnet, второй вариант червя также подписан сертификатом, используемым для верификации приложений, инсталлируемых в систему. В новой версии червя сертификат был куплен у компании Verisign компанией JMicron Technology Corp, зарегистрированной на Тайване. Первый Stuxnet использовал сертификат, выданный компании Realtek Semiconductor, хотя Verisign на тот момент его уже отозвала. В Eset говорят, что обе компании имеют на Тайване офисы почти по соседству в научном парке Хсинчу. "Мы редко видим такие профессиональные операции. Либо хакеры похитили сертификаты у обеих компаний, либо кто-то купил их по поддельным документам. Сейчас невозможно сказать, по какой причине атакующие сменили сертификаты. Возможно, первый сертификат уже был внесен в блеклисты, возможно такая тактика распространения была задумана изначально", - говорит старший специалист по антивирусным исследованиям Пьер-Марк Бюрео. В Eset говорят, что хоть пока компания и занята изучением второго варианта червя, очевидно, что он очень похож на первый вариант, хотя создана вторая версия была для атаки на системы Siemens SCADA (supervisory control and data acquisition). Дата компиляции второго варианта червя - 14 июля. В компании отмечают, что второй вариант Stuxnet сложнее первого, хотя и в нем есть некоторые изъяны. Кроме того, тот факт, что злоумышленники используют Stuxnet именно как сетевой червь, а не троян, также вводит в заблуждение. Единственным логичным объяснением на сегодня являет то, что злоумышленники просто пробуют разные подходы для атаки SCADA. Работает червь довольно просто: он находит целевую систему Siemens SCADA и при помощи стандартного пароля пытается проникнуть в систему, а затем скопировать заданные файлы на удаленные системы. В Siemens говорят, что рекомендуют клиентам не использовать пароли по умолчанию, кроме того на сайте компании появились детальные инструкции по удалению вредоносного кода.
|
|
Комментарии: 0 ::
Подробней
|
|
В Сети зафиксирован всплеск активности червя Stuxnet
В Сети зафиксирован всплеск активности червя Stuxnet
| Автор:
$iD
@ 20.7.2010, 22:19 |
Антивирусная компания Eset предупредила о распространении червя Win32/Stuxnet. Червь используется для атак на ПО класса SCADA, системы управления и контроля, используемые в промышленности. По данным Вирусной лаборатории Eset, Win32/Stuxnet был обнаружен несколько дней назад. На сегодняшний день наибольшее распространение угроза получила в США и Иране, на которые пришлось 58% и 30% инфицированных компьютеров в мире соответственно. Третьей по уровню проникновения страной стала Россия, на долю которой приходится около 4% зараженных ПК. «Обнаруженный нами червь представляет собой пример атаки, использующей уязвимость «нулевого дня», – отмечает Юрай Малхо, глава Вирусной лаборатории Eset в Братиславе. – Поскольку в данном случае действия злоумышленников направлены на системы класса SCADA, то, по сути, мы имеем дело с использованием вредоносного ПО для промышленного шпионажа». Win32/Stuxnet представляет большую угрозу для промышленных предприятий. При запуске этой вредоносной программы используется ранее неизвестная уязвимость в обработке файлов с расширением LNK, содержащихся на USB-накопителе. Выполнение вредоносного кода происходит благодаря наличию уязвимости в Windows Shell, связанной с отображением специально подготовленных LNK-файлов. Новый способ распространения может повлечь появление других злонамеренных программ, использующих такую технологию заражения, поскольку на данный момент уязвимость остается открытой. «Злоумышленники постарались разработать свою программу таким образом, чтобы она привлекала к себе как можно меньше внимания, - комментирует Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства Eset. - Способ заражения Win32/Stuxnet тоже уникален, так как ПО использует неизвестную ранее уязвимость. А возможность проникновения вируса на ПК через USB-накопители позволяет в короткие сроки получить большую распространенность». Win32/Stuxnet также может обходить технологию HIPS (Host Intrusion Prevention System), которая защищает от попыток внешнего воздействия на систему. Это стало возможным благодаря наличию во вредоносной программе файлов, имеющих легальные цифровые подписи. «Скорее всего, создание Win32/Stuxnet имеет целевую направленность, так как общеизвестных способов монетизации при анализе данного вредоносного ПО выявлено не было, – добавляет Александр Матросов. – Что касается географии распространения червя, высокое проникновение угрозы именно в США, возможно, связано с целевой атакой, задачей которой является промышленный шпионаж». Распространение Win32/Stuxnet в странах мира:
США -- 57,71%
Иран -- 30,00%
Россия -- 4,09%
Индонезия -- 3,04%
Фарерские острова -- 1,22%
Великобритания -- 0,77%
Турция -- 0,49%
Испания -- 0,44%
Индия -- 0,29%
Остальные страны -- 1,73%
|
|
Комментарии: 1 ::
Подробней
|
|
В Windows 2000 и XP обнаружена 0-day уязвимость
В Windows 2000 и XP обнаружена 0-day уязвимость
| Автор:
$iD
@ 8.7.2010, 23:15 |
Сразу два независимых исследователя компьютерной безопасности объявили об обнаружении опасной уязвимости в операционных системах Windows 2000 и XP. Причиной уязвимости стала системная библиотека классов Microsoft Foundation Classes (Mfc42.dll). Использование уязвимости позволяет злоумышленникам выполнить произвольный программный код через переполнение буфера в функции "UpdateFrameTitleForDocument()" стандартного класса CFrameWnd.
Первым, кто обнаружил уязвимость был некий "fl0 fl0w", который опубликовал эксплоит, использующий эту уязвимость для выполнения произвольного кода на примере архиватора PowerZip. Однако, автор этого эксплоита, скорее всего, не подозревал, что уязвимости подвержены все приложения, использующие эту функцию стандартной библиотеки Mfc42.dll. Это упущение было исправлено специалистами компании Secunia, которые определили истинные причины возможности выполнения произвольного программного кода на уязвимых системах и более точно выделили список операционных систем, которые подвержены этой уязвимости.
Компания Microsoft заявила о том, что ей известно об обнаруженной уязвимости и ее специалисты изучают уязвимость, а разработчики работают над ее устранением. После того, как исправленная библиотека будет протестирована, она станет доступна пользователям уязвимых систем через систему автоматического обновления компании Microsoft.
]]>Эксплойт]]>
|
|
Комментарии: 0 ::
Подробней
|
|
На форум требуются Ньюсмекеры!
На форум требуются Ньюсмекеры!
| Автор:
$iD
@ 7.7.2010, 23:03 |
Нашему порталу в срочном порядке требуются Ньюсмейкеры!
Требования:
1. (Самое главное!) Желание помогать.
2. Время: уделять хотя бы 1 час.
3. Дружелюбие, терпение.
Все кандидатуры просьба оставлять в этой теме, они будут рассматриваться незамедлительно. Так же писать какую конкретно на какую тему вы бы хотели писать сообщения. Желательно оставляйте свои контакты: icq, jabber, e-mail (у кого нет желания палиться - можно отправлять контактные данные мне в ПМ).
p.s. Все активные и достойные после испытательного срока будут приниматься в команду.
-- Для чего все это?
* Нам бы хотелось восстановить интерес к порталу, вернуть посещаемость и значимость портала. Наполнить портал интересной и актуальной информацией.
|
|
Комментарии: 6 ::
Подробней
|
|
| |
Новые сообщения
Новые сообщения
Активные участники
Активные участники
Новички
Новички
|
ProLogic.Su > Портал