В последнее время всё чаще появляются новости о появлении вредоносных программ с цифровыми подписями. Оказывается, подобные факты совершенно не редкость, и специалисты уже не удивляются, когда встречают такой зловред. По статистике McAfee, с начала 2012 года обнаружено более 200 тысяч уникальных бинарников с валидными цифровыми подписями.

Как сообщается, большинство из них подписано украденными сертификатами, в то время как другие являются самоподписанными или подписаны «тестовым» сертификатом (test signed). Например, на скриншотах внизу показаны два сертификата.

Оба эти сертификата являются валидными, но один из них — «тестовый».

«Тестовая» подпи... Читать дальше »

Компания Dr. Web провела специальное исследование, чтобы оценить масштабы заражения троянской программой Flashback (BackDoor.Flashback.39, в классификаторе Dr. Web), которая поражает компьютеры Macintosh через уязвимость в Java.

Как известно, компания Apple только позавчера выпустила апдейт для OS X, закрывающий февральскую уязвимость в Java. Эксплойт вышел примерно в конце февраля, так что Flashback успел заразить большое количество машин, и он делает это до сих пор, поскольку не все успели установить апдейт, и обновление вообще не выпущено для более старых версий Mac OS.

Заражение BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Такие страницы содержат скрипт, загружающий в браузер пользов... Читать дальше »

«Лаборатория Касперского» зафиксировала неординарную атаку, в ходе которой злоумышленники использовали вредоносную программу, способную функционировать без создания файлов в заражённой системе.

Сообщается, что для распространения вредоносного кода использовалась тизерная сеть, организованная при помощи технологий AdFox. Заражению подвергались посетители сайтов некоторых российских онлайновых СМИ: при загрузке одного из новостных тизеров браузер скрытно перенаправлялся на вредоносный сайт с Java-эксплойтом.

Вредоносная программа ... Читать дальше »

Содержимое секции кода Payload DLL (иллюстрация «Лаборатории Касперского»).

Эксперты «Лаборатории Касперского», анализировавшие код опасного трояна Duqu, пришли к весьма неожиданным выводам.

Duqu, сообщения о повышенной активности которого появились в октябре 2011-го, имеет поразительное сходство с нашумевшим червём Stuxnet. Главная задача Duqu — сбор конфиденциальных данных об имеющемся на предприятии оборудовании и системах, используемых для управления производственным циклом. Это может быть любая информация, которая пригодится при организации нападения:... Читать дальше »

Разработчик под ником redphx создал грамотное расширение APK Downloader для браузера Chrome, с помощью которого можно «обмануть» Android Market, выдать свой браузер за Android-устройство — и скачать любое приложение в виде файла .apk.

К сожалению, через день после публикации разработчик принял решение убрать ссылку на расширение со своего сайта. Он объясняет это тем, что сам разрабатывает приложения под Android и не хочет осложнять отношения с компанией Google. Однако, можно скачать расширение с другого сайта. Вдобавок, есть его исходный код.

После установки расширения вы увидите сообщение о необходимости отключить предупреждения SSL в настройках браузера.

... Читать дальше »

Исследователи из антивирусной компании Softwin (разработчик программы Bitdefender) обнаружили сложную троянскую программу, которая использует нетривиальные методы для маскировки кода в операционной системе. В то время как простые вредоносные программы могут добавлять себя в список автозагрузки, внося изменения в реестр — и поэтому легко идентифицируются антивирусом, новый троян Trojan.Dropper.UAJ использует собственный подход: он внедряется в одну из важных Windows-библиотек (comres.dll), так что все приложения, которые обращаются к данной библиотеке, запускают вредоносный код на исполнение.

Троян делает копию оригинального файла comres.dll, изменяет его и затем сохраняет в папку Windows, откуда его по умолчанию вызывают все программы, например, explorer.exe.

Изменения в файле библиотеки включают добавление всего одной функции, котор... Читать дальше »

С момента октябрьского релиза в Metasploit добавлено 54 эксплойта, 66 вспомогательных модулей, 43 пост-эксплойт модулей и 18 «начинок» (payloads), получается, что с версии 4.1 добавлялось в среднем по полтора модуля в день.

Разработчики перечисляют несколько ключевых особенностей. Во-первых, новая версия поставляется с 13-ю новыми «начинками», которые поддерживают открытие командных сессий и шеллов в сетях IPv6. Вдобавок, многие прежние средства Metasploit тоже обновлены для поддержки IPv6. Основная библиотека Rex, а также бэкенд Metasploit теперь полностью поддерживают адресное пространство IPv6 для поиска и сканирования хостов на уязвимости. Разработчики подчёркивают, что возможность работать в сетях IPv6 является чрезвычайно важной, поскольку всё больше сайтов переходят на новый протокол.

Кроме IPv6, ещё одним важным новшеством Metasploit 4.2 является на... Читать дальше »

Исследователи из Symantec обнаружили, что в новой версии Zeus/SpyEye рядовые боты могут выступать в качестве командных серверов. Это значительно осложнит нейтрализацию ботнетов, ведь раньше главным методом обезвреживания сети заражённых компьютеров была блокировка C&C-серверов либо перехват управления с помощью подставного C&C-сервера. Кроме того, такой метод пиринговой организации узлов осложняет поиск владельца ботнета и делает бессмысленной работу сервиса Zeustracker.

В целом, данный форк, то есть параллельная версия Zeus, действительно впечатляет: авторы использовали несколько новых защитных методов против перехвата управления. Исследователи говорят, что намёки на отказ от простых C&C-серверов в пользу пиринговой модели появились ещё в прошлом билде Zeus в конце 2011 года.

В новом варианте эта... Читать дальше »

Зачем взламывать хэши паролей, если можно вставить на страницу скрипт, который запишет все нажатия клавиш? Достаточно добавить всего одну строчку кода — а затем сидеть и наблюдать, как папка на рабочем компьютере наполняется паролями.

Американский исследователь в области безопасности Маркус Кейри (Marcus J. Carey) говорит, что видел много Javascript-кейлоггеров в реальном использовании, но всё это были некие самодельные решения, без профессионального подхода к масштабируемости и установке скриптов на множестве сайтов. Поэтому он потратил несколько дней и написал качественный модуль Javascript-кейлоггера для Metasplot.

Данный кейлоггер устанавливает HTTP/HTTPS-соединение и передаёт каждое нажатие клавиш по сети. В комплекте поставляется демо: во время установки нужно набрать ... Читать дальше »

«Лаборатория Касперского» опубликовала отчёт со статистикой DDoS-атак во второй половине 2011 года. Подводя итоги прошлого года, главными событиями называются DDoS-атаки на фондовые биржи, использование DDoS в политических протестах (Anonymous) и для решения конфликтов в малом бизнесе. Во второй половине года было зафиксировано две большие волны DDoS-атак на сайты туристических фирм. Первая была приурочена к летним отпускам, а вторая прошла в период новогодних праздников. Среди туристических компаний, ставших жертвами DDoS-атак, не было ни одного крупного туроператора. Все атаки были направлены на сайты турагентств, между которыми существует острая конкуренция. Можно предположить, что эта конкуренция стала настолько острой, что некоторые бизнесмены не гнушаются использовать в том числе незаконные методы.

Обнаружен также резкий рост во втором полугодии атак на сайт... Читать дальше »