Метка «Malware» - 2

Неочевидные способы защиты от malware

2013-03-11 в 12:00, admin, рубрики: Malware, информационная безопасность, метки: Malware, информационная безопасность

В спорах и обсуждениях того, как защитить свой компьютер от зловредов сломано немало копий и на эту тему можно найти множество книг и статей, причем бОльшая часть из них просто дублируют друг друга, рассказывая одно и тоже разными словами. Тому, кто интересуется информационной безопасностью крайне сложно в таких обсуждениях и статьях встретить о защите что-то новое, чего раньше он не знал или просто не задумывался над этим… но, насколько это ни самонадеянно звучит, я все-таки постараюсь пробудить у вас хоть капельку интереса к этой избитой теме и расскажу именно о неочевидных способах защиты, опустив старческое брюзжание о том, что нужно вовремя обновлять плагины к браузерам, не переходить по левым ссылкам и т.д

В этой небольшой заметке о некоторых интересных особенностях функционирования зловредов я призываю вас отказаться от антивируса и от других способов самозащиты — обновлений, настройки программ и внимательности при переходе по ссылкам и запуске приложений… к слову «призываю» добавляем частицу «НЕ» и все будет на своих местах.

Читать полностью »

Пример того, как сервер под управлением *nix может стать частью ботнета

2013-03-01 в 21:41, admin, рубрики: Malware, php, Вирусы (и антивирусы), информационная безопасность, метки: c++, Malware, nix, PHP

В последнее время на различных ресурсах появляются сообщения о том, что злоумышленники все чаще используют для осуществления DDoS-атак серверные конфигурации. Очевидно, что для использования такой системы необходимо сначала получить к ней доступ. Не так давно я столкнулся с довольно интересным, как мне показалось, образцом PHP Shell'а.
Читать полностью »

Win32/Spy.Ranbyus нацелен на модификацию Java-кода систем удаленного банкинга Украины

2013-02-21 в 6:10, admin, рубрики: Malware, Блог компании ESET NOD32, Вирусы (и антивирусы), онлайн-банкинг, метки: Malware, онлайн-банкинг

Недавно мы обнаружили новую модификацию банковского трояна Win32/Spy.Ranbyus, который уже был предметом исследования наших аналитиков. Одна из его модификаций упоминалась Александром Матросовым в посте, посвященном эксплуатированию смарт-карт в банковских троянах. Описываемая там модификация обладает интересным функционалом, так как показывает возможность обхода операций аутентификации при осуществлении платежных транзакций с помощью устройств смарт-карт. В той же модификации был обнаружен код поиска активных смарт-карт или их ридеров, после нахождения которых бот отсылал информацию о них в командный центр C&C с описанием типа найденных устройств.

Читать полностью »

Анализ PokerAgent или как угнать 16 тысяч аккаунтов Facebook

2013-02-18 в 8:58, admin, рубрики: Facebook, Malware, Блог компании ESET NOD32, метки: Facebook, Malware

Недавно мы опубликовали пресс-релиз по PokerAgent, который вкратце описывал возможности этого вредоносного ПО. Теперь же мы хотим представить его детальное исследование, рассказать о преследуемых им целях, а также описать возможности, которые он открывает злоумышленникам.

Читать полностью »

Linux под прицелом злоумышленников

2013-02-15 в 9:09, admin, рубрики: linux, Malware, Блог компании ESET NOD32, Вирусы (и антивирусы), метки: linux, Malware

В этом посте мы хотим рассказать об обнаруженных нами в последнее время угрозах для ОС Linux и об атаках на нее. Известно, что эта операционная система чаще используется на серверах, чем на пользовательских компьютерах. Таким образом, цели, преследуемые киберпреступниками при атаках на Linux, имеют свою специфику, отличную от обычных атак на Windows-системы.

В первой части мы расскажем о Linux/SSHDoor.A – угрозе, которая используется злоумышленниками для получения скрытого доступа на скомпрометированный сервер и для кражи информации. Вторая часть материала посвящена исследованию атаки, проводимой на Linux-серверы, которые используют Apache в качестве веб-сервера.

Читать полностью »

Больше руткитов — «хороших» и разных. Part II

2012-12-22 в 14:51, admin, рубрики: bootkit, cyberthreat, Malware, rootkit, tdl, tdss, Вирусы (и антивирусы), информационная безопасность, метки: bootkit, cyberthreat, Malware, rootkit, tdl, tdss

TDL-4

Разработчики TDL продолжают идти в ногу со временем. На этот раз их взор устремился на неохваченные ранее 64 битные системы. Во-первых — появилось разделение рабочих файлов на 32 и 64 разрядные версии. Во-вторых — в очередной раз изменился алгоритм запуска после перезагрузки. Ранее подобный алгоритм применялся в ВПО Sinowal, достаточно известном своими новациями сотрудникам антивирусных компаний. Теперь TDL версии 4 заражал главную загрузочную запись (MBR). Данный способ позволяет ему загружаться раньше операционной системы, сразу после старта компьютера. Таким образом, TDL-4 из буткита «мутировал» в буткит. Как и ранее, компоненты TDL-4, хранились в специальной области жесткого диска, зашифрованные алгоритмом RC4. Код в MBR передавал управление компоненту ldr16 (из хранилища). После передачи управления ldr16 производил перехват функций работы с жестким диском (ОС еще не загружена). Для загрузки TDL-4 использовалась подмена файла kdcom.dll (путем установки перехватчика на Int 13h и поиска определенной сигнатуры kdcom.dll), который необходим для инициализации ядра операционной системы на стадии загрузки. Вместо kdcom.dll в итоге загружался вредоносный компонент ldr32 или ldr64 (из хранилища) в зависимости от разрядности целевой ОС. Бинарный код ldr32 и ldr64 практически идентичен, так как они скомпилированы из одного исходного кода. Но, кроме разницы в коде, в 64 битных системах, начиная с Windows 2003 x64 (XP x64 и далее Vista, Seven), появилось несколько технологий, направленных на защиту от вредоносного воздействия. Одна из них — Patch Guard, которая отслеживает изменение критических объектов ядра ОС, таких как:

таблица глобальных дескрипторов — GDT;
таблица дескрипторов прерываний — IDT;
таблица дескрипторов системных сервисов — SSDT;
некоторые системные файлы, например, NTOSKRNL.EXE, NDIS.SYS, HAL.DLL;
служебные MSR регистры STAR/LSTAR/CSTAR/SFMASK.

Читать полностью »

История реверс-инжиниринга одного SMS трояна для Android

2012-12-05 в 10:53, admin, рубрики: android, Malware, malware reversing, sms, мошенники, реверс-инжиниринг, метки: android, Malware, malware reversing, sms, мошенники, реверс-инжиниринг

Все началось с жалоб одного моего доброго друга, по совместительству владельца устройства на Android. Он жаловался, что оператор постоянно снимает с него деньги неизвестно за что. После звонков оператору выяснилось, что средства снимали за премиум SMS, которые мой друг якобы отправлял. Я сам неоднократно нарывался в Интернетах на подозрительные сайты, которые предлагают скачать apk с игрой/программой/Live Wallpaper, при установке которого выясняется, что это всего лишь программа, которая отправляет SMS на премиум номера. Но в этом случае если нажал кнопку, то «сам дурак», потому что правила в таких программках явно говорят, что последует отправка SMS на платные номера, да и ссылки они в итоге предоставляют на реальные программы.

Так или иначе, ко мне закралось подозрение, что здесь ситуация тоже завязана на таком роде деятельности, и я взялся разобраться, куда же все-таки утекают денежки.
Читать полностью »

В сеть утекла Citadel

2012-10-23 в 15:57, admin, рубрики: citadel, Malware, zeus, Вирусы (и антивирусы), информационная безопасность, метки: citadel, Malware, zeus

Три дня назад на одном из испанских форумах появилась ссылка на Citadel 1.3.4.5.

Ответвление от линии ZeuS, названное Citadel и рекламируемое на нескольких полностью закрытых хакерских форумах — это еще один пример развития вредоносного ПО в форме сетевого сервиса.Читать полностью »

Яндекс продолжает нарушать интерфейс?

2012-10-09 в 9:51, admin, рубрики: Google Chrome, Malware, windows, яндекс, метки: Malware, яндекс

Теперь и на поисковой странице Google.
Яндекс продолжает нарушать интерфейс?
Читать полностью »

Реагирование на инциденты в системах интернет-банкинга — инструкция от Group-IB

2012-10-08 в 10:43, admin, рубрики: Malware, spyeye, zeus, безопасность, Блог компании «Group-IB», вредоносное ПО, вредоносный код, дбо, информационная безопасность, онлайн-банкинг, реагирование на инциденты, электронная коммерция, метки: Malware, spyeye, zeus, безопасность, вредоносное ПО, вредоносный код, дбо, онлайн-банкинг, реагирование на инциденты

Инструкция предназначена для повышения осведомленности сотрудников корпоративных служб информационной безопасности при реагировании на случаи хищений денежных средств с использованием систем интернет-банкинга. Она была подготовлена на основе обобщенной практики реагирования компьютерных криминалистов Group-IB на случаи мошенничества при компрометации реквизитов систем дистанционного банковского обслуживания.

В инструкции подробно указываются причины и признаки инцидентов, пошагово расписываются технические и организационные мероприятия, отдельное внимание уделяется вопросам предупреждения хищений.

Документ сопровождается подробными иллюстрированными приложениями. Этот материал создавался с учетом существующих юридических норм и признанных экспертных рекомендаций и может использоваться для разработки внутренних нормативных документов. Читать полностью »

Информация

Обсуждаемое

Рекомендуем

Метка «Malware» - 2

Неочевидные способы защиты от malware

Пример того, как сервер под управлением *nix может стать частью ботнета

Win32/Spy.Ranbyus нацелен на модификацию Java-кода систем удаленного банкинга Украины

Анализ PokerAgent или как угнать 16 тысяч аккаунтов Facebook

Linux под прицелом злоумышленников

Больше руткитов — «хороших» и разных. Part II

TDL-4

История реверс-инжиниринга одного SMS трояна для Android

В сеть утекла Citadel

Яндекс продолжает нарушать интерфейс?

Реагирование на инциденты в системах интернет-банкинга — инструкция от Group-IB

Архив

Информация

Обсуждаемое

Рекомендуем

Метка «Malware» - 2

TDL-4

Новости

Актуальные темы

Архив