 | Борьба с вредоносными программамиУтилиты для борьбы с вирусами: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Уважаемые пользователи, Ниже в таблице вы найдёте статус по последним обновлениями утилит для борьбы с вредоносными программи от Лаборатории Касперского за Неделю №9 (24 Февраля 2014):
Подробную информацию вы можете найти на Портале технической поддержки. |
|
Некорректная работа Android-приложения приводит к финансовым тратам пользователей
Об опасности, исходящей от вредоносных программ, которые распространяются в составе различных прошивок для ОС Android, хорошо известно специалистам по информационной безопасности, но не всегда – рядовым пользователям. Вместе с тем лечение данного типа угроз весьма затруднено и может быть сопряжено с риском потери гарантии, повреждением ценной информации или работоспособности устройства. Компания «Доктор Веб» напоминает о том, что владельцы мобильных Android-устройств могут столкнуться с действием подобных вредоносных программ не только во время установки стороннего образа операционной системы, содержащего такого троянца, но также и при покупке совершенно нового устройства, на котором может находиться нежелательное приложение. Именно с последним случаем пришлось столкнуться ряду наших пользователей.
Комментировать новость
Trojan.CoinThief крадет криптовалюту на компьютерах Apple
Вредоносные программы, предназначенные для добычи (майнинга) криптовалют и хищения электронных кошельков, являются весьма распространенным типом угроз для персональных компьютеров, работающих под управлением Windows. Вместе с тем вирусописатели не оставляют без внимания и пользователей других системных платформ: в базы антивируса «Доктор Веб» недавно был добавлен троянец под именем Trojan.CoinThief, предназначенный для хищения криптовалюты Bitcoin на компьютерах производства компании Apple.
Комментировать новость
Генералы рекламных карьеров
Вредоносные программы, предназначенные для демонстрации в браузере пользователя различной навязчивой рекламы, в последнее время стали появляться все чаще и чаще. Только за последнее полугодие в вирусные базы Dr.Web было добавлено множество подобных рекламных троянцев, значительная часть которых распространялась с использованием различных партнерских программ.
Комментировать новость
новости от «Лаборатории Касперского»
Продукты «Лаборатории Касперского» с помощью проактивных технологий заблокировали ряд атак с применением эксплойта, использовавшего неизвестную ранее уязвимость в программном обеспечении Adobe. Уязвимость содержалась в Adobe Flash Player, точнее, в его устаревшем и уже не поддерживаемом компоненте Pixel Bender, предназначенном для обработки видео и изображений. Как показал анализ, все атаки с применением данного эксплойта проводились против пользователей из Сирии, а сайт, с которого осуществлялась загрузка вредоносного кода, принадлежит Министерству юстиции Сирии.
Неизвестная угроза была заблокирована системой эвристического детектирования, присутствующей в пользовательских и корпоративных продуктах «Лаборатории Касперского». Эта технология опирается на более общие сигнатуры, описывающие целые классы вредоносных программ. Эвристическое правило, с помощью которого были обнаружены описанные эксплойты, было добавлено в январе этого года.
Сразу после обнаружения уязвимости эксперты «Лаборатории Касперского» связались с представителями Adobe. Компания выпустила обновление, которое закрывает данную брешь в безопасности и доступно для загрузки с сайта Adobe.
Всего эксперты «Лаборатории Касперского» обнаружили два вида эксплойтов. «Если в первом из них используется обычное скачивание и запуск вредоносного ПО, то во втором происходит взаимодействие с плагином Cisco MeetingPlace Express, который используется в веб-конференциях для совместного просмотра документов и изображений на мониторе докладчика. Примечательно, для того чтобы второй эксплойт сработал, на компьютере жертвы должны быть установлены определенные версии плагинов Flash Player и Cisco MPE, что значительно сужает круг потенциальных жертв. По-видимому, злоумышленники нацеливались на каких-то определенных пользователей. И хотя пока мы видели попытки заражения лишь в Сирии, не исключено, что злоумышленники в других странах, узнав об этой уязвимости нулевого дня, попытаются использовать ее в новых эксплойтах для распространения вредоносного ПО. Мы рекомендуем пользователям как можно скорее применить выпущенное Adobe обновление и использовать надежные защитные решения со средствами противодействия неизвестным угрозам», — пояснил Вячеслав Закоржевский, руководитель группы исследования уязвимостей в «Лаборатории Касперского».
С начала года это уже вторая угроза нулевого дня, выявленная экспертами «Лаборатории Касперского». В феврале специалисты компании обнаружили уязвимость Flash, позволявшую злоумышленникам загружать вредоносные программы на компьютеры пользователей.
Защитные технологии «Лаборатории Касперского» регулярно доказывают свою способность бороться с неизвестными ранее киберугрозами не только в лабораторных тестах, но и в реальных условиях. Так, например, в ноябре 2013 года система «Автоматической защиты от эксплойтов» заблокировала угрозы, использовавшие уязвимость в целой линейке Microsoft Office. А в конце 2012 года с помощью этой же технологии были обнаружены несколько вредоносных компонентов, используемых в глобальной кибершпионской кампании Red October. Дополнительная проверка, проведенная специалистами «Лаборатории Касперского», показала также, что технология «Автоматической защиты от эксплойтов» безошибочно распознает и блокирует описанные угрозы для Adobe Flash Player.
В середине апреля мы обнаружили два новых SWF эксплойта, при детальном анализе которых выяснилось, что они не используют ни одну из известных нам уязвимостей. Мы послали эти эксплойты в Adobe и через несколько дней получили подтверждение – эксплойты эксплуатируют 0-day уязвимость, которой был присвоен номер CVE-2014-0515. Уязвимость находится в компоненте Pixel Bender, предназначенном для обработки видео и изображений.
Сампл первого эксплойта мы получили 14 апреля, а второго 16 апреля. Срабатывание на первый эксплойт мы зафиксировали в KSN 9 апреля, когда он задетектировался общей эвристической сигнатурой. Затем множество срабатываний было отмечено 14 и 16 апреля. Таким образом, с помощью эвристик нам удалось задетектировать неизвестную ранее угрозу.
По данным KSN, на зараженном сайте эксплойты лежали под именами movie.swf и include.swf. Оба эксплойта различаются только шелл-кодами. Стоит отметить, что второй обнаруженный эксплойт (include.swf) уже не детектировался первоначальной эвристической сигнатурой, поскольку содержал уникальный шелл-код.
Каждый эксплойт представляет собой незапакованное Flash видео. Action Script код внутри не обфусцирован и не зашифрован.
Как это обычно бывает в подобных эксплойтах, вначале выполняется HeapSpray подготовка динамической памяти для эксплуатации уязвимости. Причём в эксплойтах есть проверка версии операционной системы если обнаружена Windows 8, то применяется слегка модифицированный байт-код компонента Pixel Bender.
Затем происходит непосредственно эксплуатация уязвимости. А именно изменяется один из указателей таблицы методов/виртуальных функций.
Любопытно, что в обоих эксплойтах присутствуют по два шелл-кода. Первый шелл-код одинаковый в обоих эксплойтах. Он достаточно короткий и подготавливает память для успешной работы второго шелл-кода.
Вначале текущая память помечается доступной на чтение, исполнение и запись с помощью API-функции VirtualProtect, а затем с помощью VirtualAlloc выделяется дополнительная память. В эту память копируется второй шелл-код и на него передаётся управление. Вызовы API-функций и передача управления на второй шелл-код отмечены на скриншоте красными прямоугольниками.
Вторые шелл-коды у эксплойтов значительно отличаются.
У обнаруженного первым эксплойта (movie.swf) шелл-код типичный он выполняет поиск системных библиотек в памяти, а затем скачивает и запускает полезную нагрузку. К сожалению, на время нашего исследования ссылка оказалась неактивной.
В другом эксплойте include.swf второй шелл-код оказался необычным. Он получает базовый адрес библиотеки flash10p.ocx, проводит в ней поиск определённых фрагментов и взаимодействует с плагином ‘ciscompeaddin5x0’- Cisco MeetingPlace Express Add-In версии 5x0. Этот плагин используется для совместного просмотра участниками веб-конференции документов/изображений на мониторе докладчика. Стоит отметить, что если на компьютере отсутствует хотя бы одна из этих программ (Adobe Flash Player ActiveX и Cisco MPE) нужной версии, экплойт не отработает.
Судя по всему, часть информации для эксплойта include.swf передаётся извне. По данным KSN referrer перехода на include.swf указывал на другой SWF файл stream.swf. В то же время referrer первого эксплойта movie.swf указывал на index.php, лежащий в той же папке, что и эксплойты (см. ниже). Нам не удалось точно установить полезную нагрузку эксплойта include.swf, так как не хватало данных, передаваемых с лендинга и/или другим эксплойтом.
Мы уверены, что все эти ухищрения были сделаны для того, чтобы выполнять вредоносную активность только у весьма определённой группы пользователей максимально незаметно для защитных средств. Мы предполагаем, что вышеупомянутый плагин Cisco может использоваться как для скачивания/исполнения полезной нагрузки, так и для прямого шпионажа за компьютером жертвы.
Оба найденных нами эксплойта распространялись с сайта, расположенного на http://jpic.gov.sy. Этот сайт был запущен в 2011 году Министерством юстиции Сирии и представляет собой онлайн-форму для отправки жалоб граждан на нарушение правопорядка. Мы полагаем, что целью атаки были сирийские диссиденты, выступающие против правительства.
Сайт уже был взломан в сентябре 2013 года, о чем сообщил предположительно сам хакер в своем твиттере.
Ссылка на эксплойты выглядит следующим образом: jpic.gov.sy/css/images/_css/***********. Когда мы заходили на сайт, обращений к папке “_css” не было. Мы предполагаем, что злоумышленники создали папку, имя которой, скорее всего, не выглядит подозрительно для администратора ресурса, и загрузили туда эксплойты. Вероятно, жертв перенаправляли на эксплойты с помощью фрейма или скрипта, расположенного на сайте. На 24 апреля число срабатываний наших продуктов на эти эксплойты превысило 30. Срабатывания зафиксированы у 7 уникальных пользователей, и все они из Сирии, что неудивительно, учитывая специфику сайта. Любопытно, что все атакованные пользователи ходили на заражённый сайт с помощью Mozilla Firefox разных версий.
Вероятно, атака была тщательно спланированной, и за ней стоят профессионалы достаточно высокого уровня. Об этом свидетельствует использование профессионально написанных 0-day эксплойтов, которыми был заражен единственный ресурс.
Кроме того, если первый эксплойт вполне стандартный и может заразить практически любой незащищенный компьютер, то второй эксплойт (include.swf) корректно отработает только у тех пользователей, у которых установлены Adobe Flash Player 10 ActiveX и Cisco MeetingPlace Express Add-In. В качестве вектора атаки был выбран компонент Flash Player Pixel Bender, который уже не поддерживается Adobe. Вирусописатели рассчитывали на то, что уязвимость в таком компоненте не будет найдена разработчиками, и это позволит эксплойтам дольше оставаться «рабочими». Все это говорит о том, что злоумышленники ориентировались не на массового пользователя.
На этой страничке вы найдёте самое крутое RADIO-METAL на котором звучат самые крутые стили музыки, которую слушают только самые настоящие люди которые едины в своих движениях
Самые крутые направления музыки вы услышате на RADIO-METAL ( Heavy Metal, Speed Metal, Power Metal, Thrash Metal, Groove Metal, Progressive Metal, Technical Metal, Melodic Metal, Neoclassical Metal, Love Metal, Epic Metal, Stoner Metal, Crossover Metal, Experimental Metal, Extreme Metal, Modern Metal, Industrial Metal, Funeral Metal, Symphonic Metal, Psychedelic Metal, Atmospheric Metal, Depressive Metal, Gothic Metal, Folk Metal, Dark Metal, Blackened Metal, Black Metal, Pagan Metal, Viking Metal, Battle Metal, Doom Metal, Death Metal, Brutal Metal, Alternative Metal, Nu Metal, Hardcore, Post-Hardcore, Mathcore, Metalcore, Thrashcore, Deathcore, Grindcore, Goregrind, Pornogrind, Shitgrind, Crustgrind, Noisegrind, Cybergrind, Alcogrind, Funnygrind, Hard Rock.)
ВСЕМ ПРИЯТНОГО ПРОСЛУШИВАНИЯ
Мы закрываем наш хостинг блогов — Я.ру. До конца лета все блоги и клубы перестанут быть доступны. Не беспокойтесь, никакие материалы при этом не пропадут. Уже сегодня у пользователей Я.ру появилась возможность перенести все свои записи в Живой Журнал — создать новый аккаунт или добавить к существующему. Все ваши друзья с Я.ру, которые зарегистрированы в ЖЖ, автоматически окажутся у вас в друзьях и там. Переехать можно до 1 ноября. Кроме того, мы сохраним полный архив каждого пользователя — все записи, комментарии и посты в клубы. Архив вы сможете найти на вашем Яндекс.Диске.
Я.ру был открыт в апреле 2007 года. В 2009 году сервис был одним из четырёх крупнейших блогохостингов в рунете — вместе с LiveJournal, Blogs.Mail.ru и LiveInternet. После этого популярность Я.ру стала уменьшаться — собственно, вместе со спадом популярности блогосферы в целом и ростом соцсетей. Разработка была заморожена, и сервис фактически перестал развиваться.
Сейчас хотя бы раз в месяц обновляется около 0,3% из открытых на сервисе дневников. В сутки появляется в среднем всего 1500 новых комментариев. Очевидно, что большинство людей предпочитает писать и общаться в социальных сетях на других площадках. В такой ситуации поддерживать Я.ру становится сложно и нецелесообразно. Поэтому мы и приняли решение о закрытии.
Изменения ожидают и еще один сервис — Яндекс.Видео. В августе на сервисе останется только поисковая часть — она продолжит работать в полном объёме и будет развиваться и дальше. Загружать новые видеоролики можно будет только на Яндекс.Диск, при этом возможности публичного просмотра будут ограничены. Всё видео, которое вы уже загрузили, также окажется на Диске — и вы бесплатно и навсегда получите место для его хранения. На Диске есть просмотр видео, роликами по-прежнему можно делиться с друзьями. Для многих наших пользователей это более удобный и современный способ хранить свои личные записи.
Спасибо всем нашим пользователям. Но не прощаемся — до встречи на Яндекс.Диске и других сервисах.
