Новость Новости из мира вирусов

Добро пожаловать!

Добро пожаловать на Sat-master.org! Для того что бы скачивать файлы и отвечать в темах необходимо пройти легкую регистрацию!

Быстрая регистрация
  1. Аватар для Brodyaga

    Brodyaga Заблокирован

    662
    9239
    9268
    У

    трояна Poweliks появился преемник


    Вредонос Kovter использует аналогичную тактику для усложнения обнаружения и такой же механизм устойчивости.
    Новости из мира вирусов
    У вносящей изменения в системный реестр троянской программы Poweliks, обнаруженнойв 2014 году, появился преемник в лице нового варианта вредоноса Kovter, который использует аналогичную тактику для усложнения обнаружения и механизм устойчивости, позволяющий оставаться на зараженном компьютере после перезапуска системы.
    Так же, как и Poweliks, Kovter (версия 2.3.0 и выше) не создает никаких файлов и существует в виде записи в реестре. Инфицирование может происходить по двум сценариям. В первом троян проверяет наличие в системе прошивки PowerShell. Если таковая на компьютере отсутствует и есть доступ в интернет, вредонос загружает версию прошивки. При отсутствии интернет-подключения Kovter использует второй сценарий и функционирует как более традиционное вредоносное ПО.
    В случае «безфайлового» инфицирования вредонос добавляет значения к одному или нескольким ключам реестра и, используя легитимную программу MSHTA, выполняет код JavaScript, который, в свою очередь, запускает код JavaScript из другой ветки системного реестра Kovter. Этот второй код расшифровывает и исполняет содержащийся в нем вредоносный скрипт PowerShell. Далее скрипт исполняет шелл-код (код запуска оболочки), который расшифровывает и загружает в память основной модуль Kovter.
    По аналогии с большинством троянов Kovter распространяется посредством вредоносных рекламных кампаний, нацеленных на новостные ресурсы и сайты с контентом «для взрослых». По данным экспертов компании Symantec, для распространения вредоноса атакующие использовали наборы эксплоитов Fiesta, Angler, Nuclear, Neutrino и Sweet Orange. В последнее время Kovter наряду с другими троянами использовался в спам-кампаниях.
    На данный момент нет данных, позволяющих предположить, что атаки направлены на какие-либо определенные регионы. Пока в числе наиболее пострадавших стран оказались США, Великобритания, Канада, Германия, Австралия и Япония.
     
    #181 Brodyaga, 26.09.2015 12:48
  2. Аватар для Brodyaga

    Brodyaga Заблокирован

    662
    9239
    9268

    Эксперты разработали инструмент, выявляющий инфицированные SYNful Knock маршрутизаторы


    Сканер может выявлять только известную на данный момент версию вредоноса SYNful Knock.
    Новости из мира вирусов
    Разработанный компанией Talos Group инструмент позволяет администраторам сканировать сеть для обнаружения маршрутизаторов, предположительно инфицированных вредоносным ПО SYNful Knock. Напомним, эксперты из группы Shadowserver Foundation, отслеживающей активность хакерских бот-сетей, обнаружили, что вредоносом SYNful Knock инфицировано порядка 200 маршрутизаторов производства Cisco, используемых различными предприятиями в 31 стране мира.
    Вредонос модифицировалпрошивку Cisco и предоставлял злоумышленникам неограниченный доступ к сетевому оборудованию, включая возможность загружать дополнительные модули.
    ИБ-экспертам из Cisco удалось получить копию и проанализировать поведение вредоносного ПО. Представитель компании Talos Group Уильям Маквей (William McVey) сообщил, что благодаря исследованию SYNful Knock специалисты смогли разработать инструмент, который позволит пользователям просканировать их сети и определить маршрутизаторы, которые могли быть инфицированы вредоносом.
    Маквей предупредил, что сканер в настоящее время может выявлять только известную на данный момент версию SYNful Knock. К сожалению, инструмент не сможет определить модернизированные варианты вредоноса. Для того чтобы использовать новый инструмент, пользователю понадобятся Python 2.7 и библиотека для работы с сетевыми пакетами Scapy 2.3.1.
     
    #182 Brodyaga, 26.09.2015 12:49
  3. Аватар для Brodyaga

    Brodyaga Заблокирован

    662
    9239
    9268

    Обнаружен опасный троян в официальной Android-прошивке


    Компания «Доктор Веб» обнаружила троян, который предустанавливается на устройства под управлением Android в качестве системных приложений. Бэкдор под названием Android.Backdoor.114.origin установлен, в том числе планшеты Oysters T104 HVi 3G. На этой модели он представлен под именем GoogleQuickSearchBox.apk.
    Как отмечают специалисты «Доктор Веб», они предупредили производителя этих планшетов, но пока доступная для загрузки прошивка все еще доступна с бэкдором.
    Поскольку троян установлен как системное приложение, просто так удалить его не так то просто. Для этого нужны root-права. В результате троян незаметно для пользователя отправляет на управляющий сервер самую разную информацию, от уникального идентификатора устройства до списка приложений, установленных пользователем. Кроме того, троян устанавливает и удаляет ПО по команде сервера и может активировать опцию установки ПО из непроверенных источников.
     
    #183 Brodyaga, 28.09.2015 21:48
  4. Аватар для 123123123123

    123123123123 Модератор
    Модератор

    7,491
    10401
    10498

    Вредоносная рассылка от имени «Доктор Веб»




    Вирусописатели нередко используют названия популярных антивирусных компаний для того, чтобы войти в доверие к пользователям и заразить их компьютеры какой-либо опасной вредоносной программой. В конце сентября злоумышленники использовали подобную методику в целях распространения опасного троянца, предназначенного для кражи паролей.

    В последнее время интернет-пользователям стали приходить по электронной почте сообщения, отправленные якобы от лица антивирусной компании «Доктор Веб». Письма имеют тему «Здравствуйте, [имя пользователя], станьте нашим Тестером» и содержат предложение принять участие в тестировании некой утилиты «Dr.Web CureIt 2». При этом злоумышленники предлагают потенциальной жертве перед установкой данной «утилиты» отключить работающий на компьютере антивирус, который якобы может вызвать конфликт с устанавливаемой программой.
    Известный случай получения подобной рассылки зафиксирован 29 сентября, в 04:10 по московскому времени. Ссылка, указанная в письме, ведет на вредоносный сайт, с которого на компьютер пользователя загружается троянец Trojan.PWS.Stealer.13052.
    Данная вредоносная программа предназначена для кражи паролей и другой конфиденциальной информации на инфицированном компьютере. Компания «Доктор Веб» предупреждает пользователей о том, что она не проводит тестирования утилиты «Dr.Web CureIt 2», и призывает не идти на поводу у мошенников – не загружать и не запускать никаких приложений, полученных по ссылке в подобных почтовых сообщениях.
    Сигнатура вредоносной программы Trojan.PWS.Stealer.13052 добавлена в вирусные базы Dr.Web, а адрес мошеннического сайта — в базы нерекомендуемых для посещения интернет-ресурсов. Отключать антивирус категорически не рекомендуется ни при каких обстоятельствах.
     
    #184 123123123123, 30.09.2015 07:30
  5. Аватар для mpelion

    mpelion Супер-модератор
    Супер модератор

    45,860
    63422
    63432

    Новый зловред пугает жертв демонстрацией «синего экрана смерти»


    Новости из мира вирусов
    Его раскрыли эксперты Malwarebytes, отметив, что в отличие от Windows, причиной этого появления являются мошенники. Их требования размещаются поверх синей картинки, которая добавлена ради эмоциональной составляющей. Они предлагают перезвонить на бесплатную «горячую линию» и предлагают жертве «пакеты поддержки», выманивая от $199 до $599. Оценить, сколько людей попалось в ловушку, в Malwarebytes не смогли.
     
    #185 mpelion, 01.10.2015 12:03
  6. Аватар для mpelion

    mpelion Супер-модератор
    Супер модератор

    45,860
    63422
    63432

    Вирус vigilante поразил десятки тысяч маршрутизаторов и ip-камер по всему миру



    Речь идет о боте, официально называемом Linux.Wifatch. Он был обнаружен случайно в ноябре 2014 года на домашнем маршрутизаторе. Начиная с марта 2015, Symantec ведет мониторинг за областью его распространения. Приблизительно одна треть заражений относится к Китаю, далее следуют Бразилия (16%), Мексика (9%), Индия (9%) и др. Вирус поражает устройства на платформах ARM (83%), MIPS (10%) и SH4 (7%).
     
    #186 mpelion, 02.10.2015 11:51
  7. Аватар для Brodyaga

    Brodyaga Заблокирован

    662
    9239
    9268

    20 новых вариантов вредоноса Ghost Push распространяются через Android-приложения


    Хакеры, которые стоят за Ghost Push, успели опубликовать 650 вредоносных приложений.
    Новости из мира вирусов
    ИБ-исследователи обнаружили случаи инфицирования мобильных приложений для устройств на базе Android вредоносным ПО Ghost Push, предназаначенным для компрометации системы. Эксперты из Trend Micro выявили новые модификации вредоноса, которые труднее обнаружить и устранить. Если ранее специалисты предполагали, что Ghost Push инфицирует около 600 тысяч мобильных устройств в день, то теперь «эпидемия» вышла на более масштабный уровень.
    Вредонос попадает на смартфон после того, как пользователь загрузит инфицированное приложение, с большей вероятностью скачанное из интернет-магазинов сторонних производителей, а не из Google Play. Ранее экспертами были обнаружены 39 оригинальных и поддельных приложений, способствующих распространению Ghost Push, в том числе WiFi Enhancer, Amazon, Super Mario, Memory Booster и WordLock. Самая высокая активность вредоноса была замечена в сентябре текущего года.
    Исследование Trend Micro показало, что Ghost Push получил 20 различных модификаций. Вредоносы теперь не только шифруют APK-файл, который используется для инсталляции и распространения ПО, и шелл-код, но и переименовывают файл .apk, предназначенный для установки вредоносного кода. Помимо этого, хакерами был добавлен guard code, который служит для мониторинга собственных процессов.
    После установки на системе вредоносное ПО незаметно запускает DEX-файл, который активизирует другие вредоносные процессы для того, чтобы автоматически запускать приложение. Вредонос сохраняет полезную нагрузку в памяти для того, чтобы избежать удаления Ghost Push после обновления. Вредоносное ПО способно устанавливать нежелательные приложения и рекламу, вести наблюдение за действиями пользователя, а также похищать персональную информацию.
    По словам экспертов, вредонос может распространяться и через варианты таких приложений, как Demo, Photo Background Changer Ultimate, Puzzle Bubble-Pet Paradise, RootMasterDemo, SuperZoom и Door Screen Locker. Хакеры, которые стоят за Ghost Push, успели опубликовать 650 версий различных вредоносных приложений в магазинах сторонних производителей. Специалисты заявили, что одна из таких программ уже успела инфицировать 100 тысяч мобильных устройств.
     
    #187 Brodyaga, 03.10.2015 06:48
  8. Аватар для Brodyaga

    Brodyaga Заблокирован

    662
    9239
    9268

    Злоумышленники снова начали использовать банковский троян Dridex


    В настоящее время хакеры продолжают осуществлять фишинговые атаки в Великобритании.
    Новости из мира вирусов
    Представитель ИБ-компании Palo Alto Networks Райан Олсон (Ryan Olson) сообщил о том, что в четверг, 1 октября, началась и продолжается до сих пор фишинговая кампания, направленная в основном на пользователей из Великобритании. Отправляемые хакерами фишинг-письма содержат документ Microsoft Word, в котором жертве обманным путем предлагают активировать макрос, предназначенный для отображения подконтрольных злоумышленникам интернет-ресурсов и загрузки банковского трояна Dridex.
    Напомним, в сентябре текущего года были арестованы главные подозреваемые в создании и применении сложного банковского вредоносного ПО Citadel и Dridex. Гражданин России и гражданин Молдовы были задержаны за пределами своих стран проживания, и теперь их ждет экстрадиция в США.
    В конце прошлого года использование Dridex было замеченов масштабных кибератаках, в ходе которых злоумышленники похищали банковские данные жертв. Наибольший интерес у ИБ-экспертов вызвалспособ, которым вредонос инфицирует ПК. Dridex содержится в макросе документа Microsoft Word, скрытом в электронном спам-сообщении. Стоит отметить, что киберпреступники начали использовать макросы более десятилетия назад, однако после того, как Microsoft усилила средства защиты против подобных атак, практика перестала быть популярной.
    В новой вредоносной кампании фишинговые письма созданы хакерами так, что не вызывают особого подозрения. Чаще всего они касаются бизнес-предложений, розничных заказов и способов их оплаты. Для того чтобы просмотреть счет-фактуру, пользователю в диалоговом окне предлагают активировать макрос. В новой фишинговой кампании макрос связан с URL-адресами, которые инфицируют систему вредоносом Dridex. Palo Alto опубликовала список URL-адресов, C&C-доменных имен и других показателей, которые могут указывать на потенциальную компрометацию.
     
    #188 Brodyaga, 03.10.2015 06:49
  9. Аватар для Brodyaga

    Brodyaga Заблокирован

    662
    9239
    9268

    Поддельное приложение PayPal ворует данные немецких пользователей


    Вредонос осуществляет подмену интерфейса в официальных клиентах PayPal и крупных немецких банков.
    Новости из мира вирусов
    Как предупреждают исследователи безопасности компании Trend Micro, немецкие пользователи находятся под угрозой хищения финансовых данных. Киберпреступники используют вредоносное ПО, имитирующее мобильный клиент PayPal, для перехвата логина и пароля от учетных записей платежной системы.
    Вредонос распространяется с помощью спам-рассылок, в которых злоумышленники просят пользователя обновить мобильный клиент PayPal. Письмо достаточно сложно опознать как фишинговое, поскольку киберпреступникам удалось подделать официальный стиль и логотип платежной системы, а также написать сообщение без ошибок.
    При установке приложение требует предоставить ему привилегии администратора устройства. Это позволит вредоносу скрыть свое присутствие в системе, а также выполнить ряд других действий. Даже если пользователь откажется предоставлять вредоносному ПО такие привилегии, троян все равно сможет скрыть себя с рабочего стола и списка установленных приложений на устройстве.
    Вредоносное ПО осуществляет подмену интерфейса в официальных клиентах PayPal, Deutsche Commerzbank и других популярных в Германии кредитных организаций. Таким образом осуществляется хищение учетных данных жертвы. Известно, что вредонос также выдает себя за мобильную версию Flash Player, поддержка которой была прекращена еще в 2012 году, ряд мобильных игр и приложений «для взрослых».
     
    #189 Brodyaga, 03.10.2015 06:49
  10. Аватар для Brodyaga

    Brodyaga Заблокирован

    662
    9239
    9268

    Обнаружен уникальный полезный компьютерный вирус


    Исследователи обнаружили полезный компьютерный вирус. Уникальная программа под названием Wifatch была обнаружена исследователями компании Symantec еще в прошлом году.
    Новости из мира вирусов
    По словам экспертов, она представляет собой уникальный пример полезного вируса.
    Wifatch распространяется как любой другой вирус. Он заражает слабозащищенные роутеры, управляемые системами на основе Linux. Но после этого вирус не наносит никакого вреда. Более того, он укрепляет защиту роутеров, а если обнаруживает стороннее вредоносное заражение, то устраняет его.
    Исследователи долгое время наблюдают за Wifatch, но не обнаружили в нем никаких негативных свойств. За время существования вируса никто так и не попытался использовать его с целью кибератаки. По сути, Symantec имеет дело с неким подобием «вируса-иммунитета».
    Тем не менее, исследователи предостерегают пользователей от излишнего восторга. По их словам, нельзя забывать, что речь все еще идет о программе, которая заражает роутеры без ведома и согласия пользователя. Кроме того, Wifatch содержит множество «черных ходов», которые, теоретически, могут позволить авторам вируса атаковать систему. Тот факт, что за всё время существования Wifatch этими возможностями никто не воспользовался, не снижает потенциальной угрозы.
     
    #190 Brodyaga, 03.10.2015 10:54
Зарегистрируйтесь или на сайт, чтобы начать общение на форуме.
Текущее время: 06:25. Часовой пояс GMT +2.