Рубрика «Блог компании ESET NOD32» - 31

в 7:49, , рубрики: Блог компании ESET NOD32, Вирусы (и антивирусы)

Программа Orbit Downloader (Innoshock) представляет из себя менеджер загрузок (download manager) и используется для ускорения загрузки файлов из интернета, а также содержит возможности по скачиванию видео из популярных сервисов, например, YouTube. Он выпускается, по крайней мере, с 2006 г. и как многие другие программы доступен для использования на бесплатной основе. Разработчик этого менеджера загрузки получает доход от инсталляторов, таких как OpenCandy, который используется для установки ПО сторонних производителей и позволяет отображать рекламные объявления для получения прибыли.

Менеджер загрузок Orbit Downloader используется для DDoS атак

Подобный вид рекламы представляет из себя уже довольно типичное явление и является одной из причин, по которой аналитики ESET могут причислить подобное ПО к семейству «потенциально нежелательных приложений» (Potentially Unwanted Application, PUA). Подобный процесс классификации программ к PUA является довольно рутинной работой для аналитиков и требует тщательного изучения всех деталей, поскольку причины по которым ПО может быть отнесено к PUA определяются индивидуально.

Читать полностью »

в 11:40, , рубрики: Блог компании ESET NOD32, Вирусы (и антивирусы), руткит, метки: ,

В начале мая мы опубликовали анализ руткита Win32/Rootkit.Avatar. Однако в нем не доставало информации об устаналиваемой им на зараженные системы полезной нагрузке и плагинах. Наша антивирусная лаборатория отслеживала активность этой вредоносной программы. В середине июля мы обнаружили еще один дроппер Win32/Rootkit.Avatar, в котором присутствовала информация об активных C&C серверах для взаимодействия. Александр Матросов, Евгений Родионов и Антон Черепанов выполнили подробный анализ этого руткита, из которого видно, что он продолжает свою активность. Мы так же раскрываем новую информацию о методах самозащиты руткита в режиме ядра.

Руткит Аватар и HiddenFsReader

Читать полностью »

в 9:07, , рубрики: cybercrime, Блог компании ESET NOD32, метки:

Вчера я наткнулся на интересный аккаунт в твиттере, который привлек внимание странными твитами, адресованными ресерчерам. Внимание привлекли следующие свойства:

  • Твиты были адресованы секьюрити ресерчерам (Микко Хиппонен, tachion24, Charlie aka Kafeine, Брайану Кребсу и Security Obscurity aka SecObscurity), которые занимаются, в т. ч. исследованиями наборов эксплойтов (exploit kits) и пишут о них.
  • Название аккаунта «paunch big hecker» недвусмысленно намекает на известного человека под ником Paunch, автора Blackhole exploit kit.
  • Содержание твитов намекает на то, что это ссылки на страницы статистики наборов эксплойтов (Nuclear Pack, Cool Exploit Kit), причем указываются сами названия наборов.

Такое своеобразное название аккаунта очевидно было выбрано для того, чтобы привлечь больше внимания.

Наборы эксплойтов для секьюрити ресерчеров

Читать полностью »

в 21:09, , рубрики: MS13-061, windows, Блог компании ESET NOD32, информационная безопасность, метки:

Компания отозвала Critical фикс MS13-061, который был выпущен в рамках Patch Tuesday и нацелен на исправление Remote Code Execution уязвимостей в Exchange Server версий 2007, 2010 и 2013. В частности проблемы возникли с установкой патча на системы Exchange Server 2013 «the Content Index for mailbox databases shows as Failed and the Microsoft Exchange Search Host Controller service is renamed.».

Microsoft отзывает MS13 061

В случае если патч был установлен, следует воспользоваться KB 2879739 для исправления ситуации.
Читать полностью »

в 8:59, , рубрики: windows, Блог компании ESET NOD32, информационная безопасность

Вчера компания Microsoft выпустила набор security-обновлений для своих продуктов, среди которых было обновление MS13-063, которое исправляет возможность обхода таких «смягчающих» механизмов эксплуатирования как DEP & ASLR. Техника обхода этих механизмов в эксплойтах была продемонстрирована ресерчерами NSFocus Security Labs на конференции CanSecWest и VUPEN на Pwn2Own 2013.

Мы уже писали про механизмы EMET v4, в котором появилась возможность противодействия к использованию метода ntdll!LdrHotPatchRoutine для загрузки кода нужной библиотеки в памяти, обходя т. о. ограничения накладываемые DEP&ASLR. LdrHotPatchRoutine используется ОС как часть «хот патчинга» (исправления компонентов без применения перезагрузки) и позволяет загружать динамические библиотеки из различных мест, включая сеть (через UNC адреса). MS13-063 вводит для ОС исправление, аналогичное по возможностям тому, что было продемонстрировано в EMET.

ntdll!LdrHotPatchRoutine & DEP/ASLR bypass (MS13 063)

Эксплуатирование LdrHotPatchRoutine тесно связано с обходом ASLR при использовании всем известной структуры UserSharedData (KUSER_SHARED_DATA), которая проецируется по жестко заданным адресам в режиме пользователя (0x7ffe0000) и в режиме ядра (0xffdf0000). Структура используется для быстрого доступа компонентов ОС, работающих в режиме пользователя и ядра к некоторым разделяемым служебным данным (информация отладки, таймера, версия ОС и др.). При использовании некоторых указателей на функции в UserSharedData атакующий может быстро выяснить адрес необходимой функции. В частности, 64-битные версии Windows до Windows 8 хранили в этой структуре указатели на функции 32-битной версии ntdll, которую ОС использует для WoW64.

Читать полностью »

в 20:01, , рубрики: patch tuesday, windows, Блог компании ESET NOD32, информационная безопасность, метки:

Microsoft анонсировали выпуск серии обновлений, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (8 августа) секьюрити-фиксы покрывают более 20 уникальных уязвимостей (3 исправления со статусом Critical и 5 со статусом Important). Детальный отчет (включая сопоставления исправлений с CVE ID) Вы можете найти здесь. Одно из обновлений MS13-059 нацелено на исправление одиннадцати Critical уязвимостей в браузере Internet Explorer (начиная с 6-й версии и заканчивая новейшим IE 10 для всех ОС Windows XP — 8 — RT, x32 и x64, серверных версий ОС как Moderate). Уязвимости относятся к типу Remote Code Execution и могут использоваться для скрытной установки вредоносного кода (drive-by). Для применения исправления нужна перезагрузка.

Обновление MS13-063 устраняет уязвимости CVE-2013-2556, CVE-2013-3196, CVE-2013-3197, CVE-2013-3198 типа Elevation of Privelege в 32-битных Windows XP, Windows Server 2003, Windows 8 и во всех версиях Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. CVE-2013-2556 присутствует в коде реализации Address Space Layout Randomization (ASLR). Уязвимость позволяет атакующему обойти возможности ASLR и заранее рассчитать нужный адрес загрузки компонента в памяти. Т. е. такая возможность потенциально может быть частью эксплойта, который эксплуатирует другую уязвимость типа Remote Code Execution для удаленного исполнения кода. Другие три уязвимости присутствуют в коде ядре и связаны с использованием memory-corruption в NT Virtual DOS Machine (NTVDM) для запуска своего кода в режиме ядра. Эти уязвимости были обнаружены ресерчерами VUPEN в рамках Pwn2Own 2013.

Microsoft выпустили очередной набор обновлений, август 2013

Критическое обновление MS13-061 устраняет три RCE уязвимости (CVE-2013-2393, CVE-2013-3776, CVE-2013-3781) в Microsoft Exchange Server 2007, 2010 и 2013. Уязвимости могут быть использованы злоумышленниками через специально сформированный файл при его просмотре через интерфейс в браузере Outlook Web Access. При этом атакующий может запустить произвольный код на Exchange Server.

Читать полностью »

в 20:33, , рубрики: 0day, firefox 17, mozilla, Блог компании ESET NOD32, информационная безопасность, метки: ,

Как уже отмечалось в предыдущем посте, посвященном аресту основателя Freedom Hosting, некоторые веб-сайты доменов .onion (Tor-домены), располагающиеся на хостинге у «Freedom Hosting» подверглись атаке. Речь идет о компрометации ПО веб-серверов, которые внедряют специальный IFRAME к веб-страницам. После открытия такой страницы и активации IFRAME, пользователь перенаправляется на набор эксплойтов, где ему доставляется специальный JavaScript (heap spraying exploit), эксплуатирующий незакрытую уязвимость в браузере Mozilla Firefox версии 17 (которая является актуальной для Tor Browser Bundle). Вредоносный скрипт описан здесь.

https://blog.torproject.org/blog/hidden-services-current-events-and-freedom-hosting

The person, or persons, who run Freedom Hosting are in no way affiliated or connected to The Tor Project, Inc., the organization coordinating the development of the Tor software and research. In the past, adversarial organizations have skipped trying to break Tor hidden services and instead attacked the software running at the server behind the dot onion address. Exploits for PHP, Apache, MySQL, and other software are far more common than exploits for Tor. The current news indicates that someone has exploited the software behind Freedom Hosting. From what is known so far, the breach was used to configure the server in a way that it injects some sort of javascript exploit in the web pages delivered to users. This exploit is used to load a malware payload to infect user's computers. The malware payload could be trying to exploit potential bugs in Firefox 17 ESR, on which our Tor Browser is based. We're investigating these bugs and will fix them if we can.

Firefox 17 0day via Freedom Hosting

Читать полностью »

в 8:14, , рубрики: Блог компании ESET NOD32, Вирусы (и антивирусы)

Файловые вирусы уже хорошо известны и давно изучены, но подобные инфекторы, в абсолютном большинстве случаев, нацелены на модификацию 32-битных файлов. Одно из таких семейств — Expiro (Xpiro) было обнаружено достаточно давно и мало чем может удивить сегодня. Однако недавно нашей антивирусной лабораторией была обнаружена новая модификация Expiro, которая способна заражать 64-битные файлы. Кроме того, тело этой модификации является универсальным и полностью кроссплатформенным, так как может заражать 32-битные и 64-битные файлы (и наоборот, т. е. из зараженных 32-битных файлов заражать 64-битные). В нашей системе именований вирус получил название Win64/Expiro.A (aka W64.Xpiro или W64/Expiro-A). При этом 32-разрядные зараженные файлы обнаруживаются как Win32/Expiro.NBF.

Инфектор нацелен на получение максимального деструктивного профита и выполняет заражение исполняемых файлов как на локальных, так и на сетевых дисках. В полезную нагрузку этой вредоносной программы входит установка расширений для браузеров Google Chrome и Mozilla Firefox. Вредоносный код похищает хранимые на компьютере цифровые сертификаты и пароли браузера Internet Explorer, Microsoft Outlook, FTP-клиента FileZilla. Такие расширения служат для перенаправления пользователя на вредоносные URL, а также похищение различной конфиденциальной информации. Вирус отключает ряд сервисов на скомпрометированном компьютере, включая Windows Defender и центр обеспечения безопасности (Windows Security Center), а также может завершать ряд процессов.

Читать полностью »

в 14:30, , рубрики: Tor, Блог компании ESET NOD32, информационная безопасность, метки: ,

Ботнеты, использующие возможности анонимной сети TOR, не являются чем-то принципиально новым и уже обсуждались несолько лет назад на конференции Defcon 18 («Resilient Botnet Command and Control with Tor»). В прошлом году мы смогли подтвердить некоторые интересные факты, касающиеся использования этих идей в настоящих ботнетах используемых злоумышленниками. Эта тема уже обсуждалась в начале 2013 г. в блоге Rapid7 («Skynet, a Tor-powered botnet straight from Reddit»). В начале июля ресерчер Данчо Данчев опубликовал информацию о командных серверах C&C руткита, использующего TOR.

Этим летом мы отмечали рост ботнетов, которые используют TOR. В июле было обнаружено два различных семейства вредоносных программ, использующих скрытый протокол сервиса TOR для взаимодействия с командным C&C сервером. Такой сервис хорошо подходит при организации скрытого канала связи, но в то же время является довольно медленным способом кражи больших объемов данных с зараженного компьютера. Для киберпреступников этот путь использования скрытой службы протокола общения с C&C является предпочитетельным при получении обновлений о данных конфигурации или загрузки дополнительных вредоносных модулей.

Читать полностью »

в 18:50, , рубрики: KINS, Блог компании ESET NOD32, метки:

С тех пор как злоумышленники, фактически, прекратили продажи вредоносного банковского ПО в прошлом году, АВ-индустрия не наблюдала появления новых «игроков» на этом рынке. Однако вчера, наши коллеги из RSA Security опубликовали собственные наблюдения, согласно которым на одном из подпольных форумов был выставлен на продажу новый crimeware toolkit под названием KINS. Стандартная версия этого банковского вредоносного тулкита, которая включает в себя дроппер, DLL-библиотеки и Zeus-подобные веб-инжекты стоит $5,000. Дополнительные модули могут быть приобретены за $2,000. Вторая неприятная новость заключается в том, что этот тулкит включает в себя буткит-компонент, что значительно повышает его выживаемость на скомпрометированных компьютерах.

Читать полностью »

1...1020...303132...37
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js