Новость Новости из мира вирусов

Добро пожаловать!

Добро пожаловать на Sat-master.org! Для того что бы скачивать файлы и отвечать в темах необходимо пройти легкую регистрацию!

Быстрая регистрация
  1. Аватар для Brodyaga

    Brodyaga Заблокирован

    662
    9239
    9268

    Модифицированный банковский троян Dyre намного сложнее обнаружить и удалить


    Dyre, использующий диспетчеризацию задач, становится более устойчив к удалению и обнаружению антивирусами.
    Новости из мира вирусов
    Создатели банковского трояна Dyre начали использовать новые методы для того, чтобы вредоносное ПО было сложнее обнаружить и удалить. По данным ИБ-исследователей из IBM, вирусописатели решили изменить механизм устойчивости и заменить ключи запуска в реестре Windows на диспетчеризацию задач.
    Реестр по-прежнему будет содержать инструкцию, но файлы работающие с помощью диспетчеризации задач можно найти в заданной Windows папке задач, откуда их можно извлечь по мере необходимости. Dyre, использующий диспетчеризацию задач, становится более устойчив к удалению и обнаружению антивирусными программами. Данная модификация также позволяет хакерам выбирать, когда и как часто перезапускать вредоносное ПО, объясняет ИБ-эксперт из IBM Trusteer Ор Сафран (Or Safran).
    Еще одно изменение Dyre связано с именами, предоставляемыми конфигурационным файлам. Давая этим файлам полупроизвольные имена, злоумышленники надеются предотвратить обнаружение вредоносного ПО автоматизированными системами безопасности, призванными выявлять и удалять вредоносные файлы.
    ИБ-исследователи сообщают, что несмотря на то, что полупроизвольные файловые имена делают достаточно сложным обнаружение Dyre, знание алгоритма, использующегося для выбора данных имен, может реально помочь в выявлении вредоноса.
    Стоит отметить, что популярность Dyre выросла за последнее время на 125%, подтверждая, что интерес мошенников к online-банкингу увеличивается с каждым днем. Пользователи сервисов online-банкинга из Европы и Северной Америки все чаще становятся жертвами кибератак, в которых злоумышленники используют Dyre.
     
    #141 Brodyaga, 25.08.2015 14:16
  2. Аватар для Brodyaga

    Brodyaga Заблокирован

    662
    9239
    9268

    Очередной Android-троян шпионит за китайскими пользователями


    Вирусные аналитики компании «Доктор Веб» исследовали нового трояна для ОС Android, обнаруженного специалистами по информационной безопасности совсем недавно. Как сообщили CNews в «Доктор Веб», эта вредоносная программа, получившая имя Android.Backdoor.260.origin, распространяется среди китайских пользователей и предназначена для кибершпионажа. В частности, троян способен перехватывать SMS-сообщения, записывать телефонные разговоры, получать координаты зараженного устройства, делать снимки экрана и даже отслеживать вводимые владельцем смартфона данные.
    Android.Backdoor.260.origin устанавливается на мобильные устройства в качестве приложения с именем AndroidUpdate, поэтому весьма вероятно, что злоумышленники распространяют трояна под видом важного обновления ПО с целью обмануть потенциальных жертв и заставить их инсталлировать его.
    По словам экспертов компании, Android.Backdoor.260.origin имеет весьма сложную модульную архитектуру: значительная часть его вредоносного функционала сосредоточена в специально созданных вирусописателями модулях, которые размещены внутри программного пакета вредоносного приложения. При первом старте троян извлекает следующие вспомогательные компоненты: super; detect; liblocSDK4b.so; libnativeLoad.so; libPowerDetect.cy.so; 1.dat; libstay2.so; libsleep4.so; substrate_signed.apk; cInstall.
    Далее он пытается запустить на исполнение с root-привилегиями двоичный файл cInstall (детектируется антивирусом Dr.Web как Android.BackDoor.41). В случае успеха этот вредоносный модуль помещает в системные каталоги мобильного устройства ряд извлеченных ранее файлов, а также пытается незаметно установить специализированную утилиту под названием Substrate, расширяющую возможности приложений и используемую Android.Backdoor.260.origin для перехвата вводимых данных. Если же root-полномочия вредоносной программе предоставлены не были, то с большой долей вероятности проинсталлировать требуемые компоненты ей не удастся, в результате чего троян не сможет корректно выполнять большинство своих функций, отметили в «Доктор Веб».
    Новости из мира вирусов
    Троян-шпион для Android устанавливается на мобильные устройства в качестве приложения AndroidUpdate
    После успешной установки всех необходимых модулей Android.Backdoor.260.origin удаляет созданный им ранее ярлык приложения и запускает вредоносный системный сервис PowerDetectService, активирующий работу троянского модуля libnativeLoad.so, добавленного в вирусную базу Dr.Web как Android.BackDoor.42, а также утилиты Substrate (Tool.Substrate.1.origin по классификации «Доктор Веб»). Сама по себе эта утилита не является вредоносной и доступна для загрузки в каталоге Google Play. Однако в данном случае она была несколько модифицирована вирусописателями и интегрирована в Android.Backdoor.260.origin, в результате чего стала являться потенциально опасной для пользователей, пояснили в компании.
    Задействованный трояном вредоносный компонент libnativeLoad.so запускает на исполнение файл detect (Android.BackDoor.45), который инициализирует работу двоичного модуля 1.dat (Android.BackDoor.44). В свою очередь, он активирует работу троянской библиотеки libsleep4.so (Android.BackDoor.46), которая в постоянном режиме создает снимки экрана зараженного устройства и перехватывает вводимые на клавиатуре данные, а также библиотеки libstay2.so (Android.BackDoor.43), крадущей информацию из телефонной книги и отслеживающей SMS-сообщения и переписку в мессенджере QQ.
    Кроме этого, троянский компонент 1.dat способен принимать от управляющего сервера целый ряд команд, среди которых: "DOW" — загрузить файл с сервера; "UPL" — загрузить файл на сервер; "PLI", "PDL", "SDA" — обновить вредоносные модули, а также настройки трояна; "DIR" — получить список файлов в заданном каталоге; "DTK" — записать содержимое заданного каталога в файл; "OSC", "STK" — выполнить поиск заданного файла или каталога; "OSF" — отменить поиск файла; "DEL" — удалить заданный файл; "SCP" — сделать снимок экрана; "BGS" — включить микрофон и начать аудиозапись; "GPRS" — начать отслеживание местоположения пользователя.
    Примечательно, что часть полученных команд выполняется модулем 1.dat самостоятельно, в то время как для исполнения остальных он обращается к функционалу других троянских библиотек, которые тесно взаимодействуют между собой через сокеты UNIX с использованием следующих двухбайтовых команд: 0x2633 — начать аудиозапись на встроенный микрофон; 0x2634 — остановить аудиозапись; 0x2635 — обновить файл конфигурации для записи аудио; 0x2629 — скопировать номера контактов; 0x2630 — скопировать номера контактов; 0x2631 — скопировать SMS-сообщения; 0x2632 — скопировать журнал вызовов; 0x2628 — передать информацию о местоположении мобильного устройства; 0x2532 — получить имя процесса, в котором пользователь работает в данный момент; 0x2678 — используется для передачи введённых пользователем данных.
    Специалисты «Доктор Веб» в очередной раз призывают владельцев мобильных Android-устройств отказаться от установки сомнительных приложений, полученных из не вызывающих доверия источников, а также рекомендуют использовать антивирусную программу. Записи для трояна Android.Backdoor.260.origin и всех его вредоносных компонентов внесены в вирусную базу Dr.Web, поэтому для пользователей антивирусных продуктов Dr.Web для Android они не представляют угрозы, утверждают в компании.
     
    #142 Brodyaga, 25.08.2015 19:01
  3. Аватар для Brodyaga

    Brodyaga Заблокирован

    662
    9239
    9268

    Хакеры продают новый вариант банковского трояна Zeus за $500


    Вредонос позволяет осуществлять денежные переводы непосредственно с инфицированного устройства.
    Новости из мира вирусов
    Разработанный на базе исходного кода вредоноса Zeus, новый банковский троян под названием Sphinx можно приобрести на подпольном рынке за $500. По словам вирусописателей, Sphinx полностью работает через Tor, устойчив к синкхолингу, не боится черных списков, а также сканирующих Zeus инструментов. Разработчики Sphinx заявляют, что пользователям не обязательно иметь «пуленепробиваемый» хостинг для того, чтобы управлять ботнетом, пишет Security Week.
    В список возможностей нового банковского трояна входят форма захвата и web-инъекции для браузеров Internet Explorer, Firefox и Tor, клавиатурный шпион, перехватчик сертификатов, а также FTP и POP3. Sphinx создан для работы с Windows Vista и Windows 7 с активированным контролем учетных записей (User Account Control). Вредонос способен работать с учетной записью с низкими привилегиями, включая гостевую учетную запись.
    Благодаря возможностям Backconnect VNC трояна злоумышленники могут осуществлять денежные переводы непосредственно с инфицированного устройства. Данная функция также позволяет деактивировать инструменты безопасности, установленные на компьютере жертвы.
    Sphinx может быть использован для хищения цифровых сертификатов, которые в дальнейшем позволяют подписать вредоносное ПО, а также для осуществления web-инъекций с целью изменения содержания интернет-страницы для того, чтобы обмануть пользователя и получить его персональные данные.
    Для C&C коммуникаций Sphinx использует белый список процессов для того, чтобы обойти брандмауэры, отметила ИБ-консультант Бев Робб (Bev Robb).
     
    #143 Brodyaga, 27.08.2015 19:31
  4. Аватар для Brodyaga

    Brodyaga Заблокирован

    662
    9239
    9268

    Исследователи обнаружили новый "итальянский" троян удаленного доступа


    Вредонос uWarrior содержит в себе эксплоит к уязвимости, выявленной в 2012 году.
    Новости из мира вирусов
    Известные ИБ-эксперты, а также исследовательская группа Unit 42, компании Palo Alto Networks, обнаружили новый RAT, который получил название uWarrior. Троян удаленного доступа распространяется под видом .RTF документа. Вредонос содержит эксплоит к двум старым уязвимостям (CVE-2012-1856 и CVE-2015-1770), позволяющим удаленное выполнение кода. Первая брешь, обнаруженная в 2012 году, которая затрагивала Windows Common Controls MSCOMCTL.OCX, начала снова эксплуатироваться хакерами в возвратно-ориентированном программировании для обхода ASLR.
    Согласно данным исследователей, вредоносный .RTF документ содержит множество объектов OLE, которые могут быть использованы для эксплуатации брешей. После инфицирования устройства, троян копирует себя в другую локацию на системе, записывает информацию на локальный файл, и связывается с C&C-сервером через сжатый, зашифрованный, сырой TCP сокет и двоичный протокол.
    Специалисты отметили, что uWarrior содержит некоторые компоненты другого трояна, известного как ctOS. Оба вредоноса включают в себя аналогичные конфигурационные структуры, несколько одинаковых функций, кодов и даже строчки на итальянском языке. Именно поэтому исследователи называют этот троян "итальянским".
     
    #144 Brodyaga, 27.08.2015 19:32
  5. Аватар для mpelion

    mpelion Супер-модератор
    Супер модератор

    46,138
    64064
    64075

    ESET предупреждает о массовой мошеннической рассылке в WhatsApp



    Мошенники рассылают пользователям WhatsApp приглашение пройти простой опрос и выиграть один из 150 сертификатов сети кофеен Starbucks. Перейдя по ссылке в сообщении, пользователь попадет на страницу для ввода персональных данных — имени, электронной почты, номера мобильного телефона и пр. Эта информация может быть использована для подписки на SMS-сервисы или спам-рассылок и звонков.
     
    #145 mpelion, 28.08.2015 11:55
  6. Аватар для Brodyaga

    Brodyaga Заблокирован

    662
    9239
    9268

    Лаборатория Касперского: растет число троянов, получающих неограниченный контроль над смартфонами


    На протяжении всего лета «Лаборатория Касперского» наблюдает ощутимый рост числа атак мобильного вредоносного ПО, использующего для достижения своих целей права суперпользователя — другими словами, получающего неограниченный контроль над зараженным устройством. В зоне наибольшего риска при этом находятся пользователи в России и Индии.
    Новости из мира вирусов
    Подобные мобильные зловреды представляют собой программные пакеты, встроенные в обычное приложение, — злоумышленники просто берут популярную легитимную программу и внедряют вредоносный код, не затрагивая ее основную функциональность. Основная опасность этого вредоносного ПО заключается в том, что оно способно загружать на устройство любые другие программы, в том числе для кражи конфиденциальных данных.
    Чаще всего владелец смартфона даже и не подозревает о наличии на своем устройстве приложения с привилегиями суперпользователя, поскольку зловред получает такие права самостоятельно. А «приобретают» подобные мобильные троянцы пользователи, как правило, при скачивании приложений из неофициальных источников. Однако некоторые зловреды, например троянцы широко распространенного семейства Leech, могут обходить динамические проверки Google и, таким образом, проникать в официальный магазин приложений Google Play.
    В некоторых случаях вредоносные программы оказывались на новых, только что приобретенных мобильных устройствах. Ни производители, ни пользователи их не устанавливали. Скорее всего, это могли сделать частные продавцы, которые хотели предложить пользователю телефон с уже предустановленным набором приложений, которые они скачали из небезопасных источников.
     
    #146 Brodyaga, 29.08.2015 20:00
  7. Аватар для Brodyaga

    Brodyaga Заблокирован

    662
    9239
    9268

    Лаборатория Касперского предупреждает об опасном трояне на Android


    Эксперты Лаборатории Касперского предупреждают пользователей современных гаджетов о том, что с каждым днем количество троянов, которые способны полностью овладеть устройствами через root-доступ. Сообщается также, что права суперпользователя дают вредоносной программе все карты в руки, то есть неограниченны контроль над девайсов. Лаборатория Касперского утверждает, что вирусу подвластны все устройства, будь то сматфон самой последней модели или же планшетный компьютер. Больше все, уверяют программисты, атакам подвергаются гаджеты, работающие на операционной системе Android. Так, после попадания на устройства и запуска, вирус пробует все известные ему уязвимости операционной системы, пытаясь всячески получить права суперпользователя.
    Новости из мира вирусов
    После содеянного троян незаметно для владельца гаджета устанавливается в папку системных приложений.
     
    #147 Brodyaga, 31.08.2015 07:48
  8. Аватар для mpelion

    mpelion Супер-модератор
    Супер модератор

    46,138
    64064
    64075

    20-летнему студенту Университета Карнеги-Мелон грозит до 10 лет тюрьмы за желание начать продажу своей вредоносной программы



    Речь идет о программе Dendroid. Она позволяет инфицировать смартфоны, чтобы шпионить за пользователем: красть SMS-сообщения и файлы, удаленно делать снимки, проверять историю браузера, вести запись телефонных разговоров. Однако главная претензия со стороны суда – планы извлечь выгоду с началом онлайн-продаж программы.
     
    #148 mpelion, 31.08.2015 11:48
  9. Аватар для mpelion

    mpelion Супер-модератор
    Супер модератор

    46,138
    64064
    64075

    Согласно данным опроса ВЦИОМ, жертвой интернет-мошенничества становился каждый третий пользователь интернета



    С вредоносными вирусами и программами сталкиваются 60% опрошенных. При этом 50% пользователей не опасается атаки интернет-мошенников, уязвимыми перед ними чувствуют себя 45%. Вредоносного ПО боятся 55% опрошенных, а 40% — не тревожатся об этом совсем. 78% никогда не стали бы хранить на компьютере свои банковские реквизиты, пароли и ПИН-коды.
     
    #149 mpelion, 31.08.2015 11:49
  10. Аватар для Brodyaga

    Brodyaga Заблокирован

    662
    9239
    9268

    Вредонос KeyRaider продолжает инфицировать iOS-устройства с джейлбрейком


    Эксперты подозревают пользователя под псевдонимом mischa07 в распространении вредоноса.
    Новости из мира вирусов
    Согласно данным ИБ-исследователей из Palo Alto Networks, учетные данные более 225 тысяч устройств на базе iOS с джейлбрейком были похищены с помощью вредоносного ПО, которое получило название KeyRaider. Вредонос позволяет загружать из интернет-магазина App Store приложения без необходимости их оплаты или переживаний по поводу блокировки мобильного устройства. По словам специалистов, хакерская кампания с использованием KeyRaider является одной из самых масштабных кампаний по похищению учетных записей пользователей «яблочной» продукции.
    Напомним, на прошлой неделе экспертам из WooYun стало известно о том, что злоумышленники скомпрометировали 220 тысяч учетных записей в Apple iCloud при помощи вредоноса, замаскированного под джейлбрейк-твик. Злоумышленники активно используют бэкдоры в неофициальных приложениях для получения доступа к данным учетных записей Apple ID. В настоящее время у ИБ-экспертов появилось больше информации о данном вредоносе.
    Впервые подобные махинации были замечены студентом из университета в городе Ханчжоу, членом любительской технической группы WeipTech. KeyRaider был предложен в качестве твика для устройств с джейлбрейком на форуме Weiphone. Специалисты подозревают пользователя под псевдонимом mischa07 в распространении вредоноса. Именно этот псевдоним был жестко закодирован в KeyRaider в качестве ключа шифрования и дешифрования вредоноса. Анализ репозитория mischa07 показал, что данный пользователь загрузил на Weiphone большое количество твиков, позволяющих мошенничать в играх, перенастраивать системы и пр.
    KeyRaider распространяется через Cydia, созданное для загрузки приложений для устройств с джейлбрейком. Вредонос позволяет перехватывать трафик iTunes и похищать учетные данные пользователей, сертификаты, личные ключи и пр. KeyRaider также был использован в качестве вредоноса-вымогателя.
    WeipTech обнаружила похищенные данные на C&C-сервере, связанном с инфицированными KeyRaider мобильными устройствами. Уязвимости в сервере позволили ИБ-экспертам получить доступ к украденной информации, однако авторы KeyRaider быстро обнаружили «проникновение». WeipTech создали специальный сервис, который позволяет пользователям узнать, попали ли они в число жертв KeyRaider.
     
    #150 Brodyaga, 31.08.2015 13:46
Зарегистрируйтесь или на сайт, чтобы начать общение на форуме.
Текущее время: 23:16. Часовой пояс GMT +2.