Рубрика «Вирусы (и антивирусы)» - 5

Google зафиксировал вирусы на сайте крупнейшего хостинг-провайдера HC.RU

image

Оригинал документа по ссылке: www.google.ru/safebrowsing/diagnostic?site=hc.ru/
(Дата публикации 18.12.2013. Нужно полагать, с течением времени, содержание документа может изменится, поэтому прикладываю скрин)

Суть документа гласит, что на данное время сайт hc.ru не является разносчиком вирусов, однако за последние 90 дней на нем была зафиксирована подозрительная активность 12 раз. В целом, Google просканировал 569, из которых 46 представляли т.н. вредоносное ПО — 39 эксплойтов, 7 троянов, 1 скриптинг-эксплойт. Вопрос: если на сайте www.hc.ru (по сути, лице Хостинг-Центра) были обнаружены вирусы, то какова застрахованность сайтов, обслуживаемых данной хостинг-компанией?

Читать полностью »

Компания заручившись поддержкой ФБР и Europol начала операцию по выведению из строя одного из самых крупных на сегодняшний день ботнетов, который приносил злоумышленникам большие деньги. Вредоносным кодом ZeroAccess (aka ZAccess, Sirefef) скомпрометировано более 2 млн. компьютеров и он используется злоумышленниками для выполнения различных мошеннических операций и извлечения материальной выгоды, один из самых известных компонентов — кликер, который позволяет генерировать переходы по рекламным ссылкам на компьютерах ничего не подозревающих пользователей (с предполагаемой ежемесячной прибылью киберпреступников $2,7 млн).

Microsoft начали охоту за ZeroAccess

Про одну из последних модификаций этой вредоносной программы мы писали в блоге. Современная версия ZAccess использует скрытное заражение системного файла services.exe (aka SCM). Причем вредоносный код имеет в своем арсенале и компоненты для 64-битной версии Windows. Подобный способ обеспечения своего выживания является достаточно эффективным, при этом нужно отметить, что авторы этого вредоносного ПО подходили к его разработке весьма серьезно, так предыдущие версии содержали специальный сложно обнаруживаемый руткит, который глубоко скрывал компоненты вредоносной программы. В прошлом году стало очевидно, что злоумышленники переключились на разработку обновленной версии, которая использует модификацию services.exe. Очевидно это связано с все большим доминированием 64-битных ОС и невозможностью применения 32-битных руткит-технологий на этих ОС ввиду очевидных ограничений.

Читать полностью »

Unchecky – долой потенциально нежелательные программыУже давно стал нормой тот факт, что при установке программного обеспечения (а иногда и при других обстоятельствах) предлагаются дополнительные потенциально нежелательные программы, такие как тулбар или «защитник интернета». Также часто попадаются предложения поменять стартовую страницу или поисковик. Эти предложения предоставляются как часть процесса установки и, как следствие, неопытный пользователь устанавливает весь набор по умолчанию, ни о чем не подозревая. Результат, я думаю, всем известен.

Я давно думал над этой проблемой, а сегодня хочу предоставить вам решение — программа под названием Unchecky (от англ. uncheck – снять галочку). Подробности под катом.
Читать полностью »

Привет. Меня зовут Алексей Маланов, я пять лет проработал руководителем Отдела антивирусных исследований в «Лаборатории Касперского». Хочу поделиться с вами своим опытом найма вирусных аналитиков. Пост, надеюсь, будет интересен и полезен в первую очередь молодым специалистам, которые только собираются сделать первый шаг в карьере. Ну а матерым IT-шникам тоже может быть любопытно, какие же вопросы задают на собеседовании в ЛК. В свое время у меня в команде было несколько десятков человек и нанимали мы постоянно. Я стремился присутствовать на каждом собеседовании лично, чтобы быть уверенным, что человек будет что надо.

Reverse engineering на собеседовании: как мы нанимаем на работу
Читать полностью »

Большинство программистов учатся постоянно. Мы читаем книги гуру и смотрим код профессионалов. И спорим какой метод лучше и какое решение красивее.
Но представим себе что есть суперпрофессионал, код которого нам удалось посмотреть. Чему мы можем научиться у него? И какие выводы мы сможем сделать?
image
Итак — искусственные иммунные системы.
Читать полностью »

image
Несколько недель назад российская антивирусная компания Доктор Веб обнаружила необычный банковский троян. Основная задача вируса получать аутентификационные данные для доступа к банковским счетам жертв, поэтому его отнесли к семейству «Trojan.Ibank». Необычная находка была сделаны в коде вируса, в котором обнаружены модули поиска клиентов SAP-систем. Внедрив подобный троян на систему с SAP-клиентом злоумышленник может получить более «вкусные» данные нежели банковские учетки жертвы, а именно пароли доступа к SAP и IP-адреса серверов этих систем.
Получив доступ к SAP злоумышленник может (в зависимости от уровня скомпрометированной учетки) осуществить доступ практически ко всем ресурсам компании, он может украсть коммерческие секреты, информацию о сотрудниках, клиентах, поставщиках, ценах. Он может вывести деньги из компании путем создания и утверждения транзакций платежей или изменении банковских счетов существующих клиентов, подставив вместо них свои. В конце концов, он может организовать DoS-атаку против SAP-серверов компании и тем самым попытаться сорвать ее бизнес-операций и нанести финансовый ущерб.
Читать полностью »

Ранее мы указывали, что компания Microsoft сообщила об эксплуатации незакрытой RCE уязвимости CVE-2013-3906 злоумышленниками посредством эксплойта, который используется для организации направленных атак и установки вредоносного кода на системы жертвы. Злоумышленники использовали уязвимость в подверженных эксплуатации версиях Microsoft Word (2003-2007-2010 [2010 на Windows XP]) через специальным образом сформированный .docx файл. Атака была направлена на системы, расположенные на Среднем Востоке и в Южной Азии. Вредоносный .docx файл доставлялся через электронную почту, а само электронное письмо содержало фишинговое сообщение, согласно которому пользователь должен был открыть .docx файл.

Подробности о направленной атаке с использованием Win32/Exploit.CVE 2013 3906.A

Сама уязвимость заключается в неправильной обработке кодом TIFF-изображений, которые могут быть вставлены в документ посредством ActiveX. Для обхода механизмов смягчений DEP&ASLR на Windows Vista и Server 2008 (новейшие версии ОС Windows 7+ не подвержены эксплуатации) эксплойт использует знакомые методы heap-spray для копирования своего кода по заданному адресу, используя при этом резервирование больших блоков памяти в куче и ROP для передачи туда управления минуя ограничения DEP для памяти, недоступной для исполнения. Отличие различных модификаций эксплойтов, используемых в атаке в том, что для heap-spray использовалась сама среда ActiveX. Мы добавили этот эксплойт в свои базы как Win32/Exploit.CVE-2013-3906.A. Как и в случае других подобных уязвимостей, CVE-2013-3906 имеет тип memory-corruption, это свидетельствует о том, что начальный вектор исполнения ROP цепочки будет инициирован через передачу специального аргумента функции, которая приведет к переполнению блока памяти и началу исполнения ROP. Перед этим, сам шелл-код будет размещен в памяти через spray при использовании фреймворка ActiveX.

Читать полностью »

Firefox OS крушение надежд или первый вирус

Firefox OS еще только начинает свой путь на рынке мобильных операционных систем, однако разработчикам уже следует заняться вопросами ее безопасности.
Читать полностью »

Месяц назад я увидел интересный пост про PHP-шелл без единого буквенно-цифрового символа и сильно захотел понять, что же он делает. Кому интересно — под кат!Читать полностью »

В этом посте мы публикуем информацию о потенциально нежелательном ПО (Potentially Unwanted Application, PUA), компоненты которого обнаруживаются ESET как Win32/Kankan. Эти компоненты реализованы в менеджере загрузок Xunlei. Мы обратили внимание на это ПО из-за следующих интересных особенностей:

  • Для обеспечения своей скрытности и выживаемости в системе это ПО регистрирует один из своих компонентов как плагин для Microsoft Office.
  • Обнаруженный вредоносный код осуществляет установку приложений для устройств под управлением Android, которые подключены к компьютеру через USB, без ведома пользователя.
  • Win32/Kankan содержит код для обнаружения специальных системных инструментов, которые анализируют его поведение в системе.
  • Файлы Xunlei, которые содержат этот вредоносный код, подписаны цифровой подписью, принадлежащей китайской компании Xunlei Networking Technologies (разработчик Xunlei).

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js