Несколько месяцев назад мы писали о PowerLoader. Этот вредоносный код использует интересный метод повышения привилегий в контексте explorer.exe. Исходные тексты PowerLoader, которые оказались доступными для общественности, используются и в других семействах вредоносных программ. Например, дропперы буткита Win32/Gapz основаны на этом коде PowerLoader. В августе мы обнаружили новую модификацию PowerLoader для 64-битных ОС (обнаруживается ESET какWin64/Vabushky.A). Эта модификация использует три эксплойта для поднятия своих привилегий в системе (Local Privelege Escalation): MS13-053 (CVE-2013-3660),  ... Читать дальше »

В начале мая мы опубликовали анализ руткита Win32/Rootkit.Avatar. Однако в нем недоставало информации об устаналиваемой им на зараженные системы полезной нагрузке и плагинах. Наша антивирусная лаборатория отслеживала активность этой вредоносной программы. В середине июля мы обнаружили еще один дроппер Win32/Rootkit.Avatar, в котором присутствовала информация об активных C&C серверах для взаимодействия. Александр Матросов, Евгений Родионов и Антон Черепанов выполнили подробный анализ этого руткита, из которого видно, что он продолжает свою активность. Мы так же раскрываем новую информацию о методах самозащиты руткита в режиме ядра.

... Читать дальше »

Файловые вирусы уже хорошо известны и давно изучены, но подобные инфекторы, в абсолютном большинстве случаев, нацелены на модификацию 32-битных файлов. Одно из таких семейств — Expiro (Xpiro) было обнаружено достаточно давно и мало чем может удивить сегодня. Однако недавно нашей антивирусной лабораторией была обнаружена новая модификация Expiro, которая способна заражать 64-битные файлы. Кроме того, тело этой модификации является универсальным и полностью кроссплатформенным, так как может заражать 32-битные и 64-битные файлы (и наоборот, т. е. из зараженных 32-битных файлов заражать 64-битные). В нашей системе именований вирус получил название Win64/Expiro.A (akaW64.Xpiro или W64/Expiro-A). При этом 32-разрядные зараженные файлы обнаруживаются как Win32/Expiro.NBF.

Инфектор нацелен на получение макси ... Читать дальше »

Недавно наши специалисты обнаружили новую вредоносную программу, которая была добавлена в антивирусные базы как Win32/Napolar. Мы обратили на нее внимание в середине августа из-за интересных методов антиотладки и внедрения кода. Бот используется злоумышленниками в нескольких целях: проведение DoS-атак, организация SOCKS прокси-сервера, кража данных с зараженных систем. Как и прочие троянские программы, Win32/Napolar умеет внедрять свой код в браузеры с целью получения данных из веб-форм.

Мы наблюдали активность Napolar с конца июля. С тех пор были зафиксированы тысячи случаев заражения, многие из которых в Южной Америке. На такие страны как Перу, Эквадор и Колумбия приходится наибольшее число заражений. Больше информации о географии распространения можно найти на virusradar.
... Читать дальше »

В этом посте мы публикуем информацию о потенциально нежелательном ПО (Potentially Unwanted Application, PUA), компоненты которого обнаруживаются ESET как Win32/Kankan. Эти компоненты реализованы в менеджере загрузок Xunlei. Мы обратили внимание на это ПО из-за следующих интересных особенностей:

• Для обеспечения своей скрытности и выживаемости в системе это ПО регистрирует один из своих компонентов как плагин для Microsoft Office.
• Обнаруженный вредоносный код осуществляет установку приложений для устройств под управлением Android, которые подключены к компьютеру через USB, без ведома пользователя.
• Win32/Kankan содержит код для обнаружения специальных системных инструментов, которые анализируют его поведение в системе.
• Файлы Xunlei, которые содержат этот вредоносный код, подписаны цифровой подписью, принадлежащей китайской компании Xunlei Networking Tech ... Читать дальше »

Вредоносное ПО Win32/TrojanDownloader.Nymaim представляет собой загрузчик троянской программы, который также содержит возможности вымогателя (ransomware) и может блокировать компьютер пользователя с целью выкупа. Мы уже писали о нем раньше и отмечали, что для распространения этой угрозы злоумышленники использовали компрометацию веб-серверов под управлением Linux с последующей доставкой вредоносного кода пользователям. Установка Nymaim на компьютеры пользователей осуществлялась с использованием набора эксплойтов Blackhole, автор которого недавно был арестован правоохранительными органами. Одно из последних  ... Читать дальше »

Не секрет, что мобильная платформа Android является ключевой мишенью для вирусописателей. И это при том, что 44% пользователей этой мобильной платформы по-прежнему сидят на устаревшей Android Gingerbread (от 2.3.3 до 2.3.7 версий), которая содержит целый ряд уязвимостей. Все эти пользователи оказываются беззащитны перед возможным заражением из-за использования старых версий Android.

Такие данные приводят в совместном докладе специалисты ФБР и Министерства внутренней безопасности США. Авторы предупреждают, что все государственные сотрудники обязаны использовать устройства только с обновленной ОС Android последней версии.

«Сегодня Android является самой распространенной в мире мобильной платформой, при этом являясь и главной целью для атак вредоносного ПО, благодаря своей доле рынка и открытой архитектуре источника», – говорится в докладе.

«Это серьезная проблема безопасности потребителей – огромное количество старых, уязвимых сма ... Читать дальше »

Специалисты MS сообщают, что злоумышленники активно эксплуатируют Remote Code Execution (RCE) уязвимость CVE-2013-3906 в ОС (Windows Vista SP2 и Windows Server 2008 SP2), Office (2003-2007-2010) и программе Microsoft Lync.

Уязвимость связана с некорректной обработкой TIFF-файлов изображений различными компонентами ОС и продуктами компании. Через специальным образом сформированный TIFF-файл злоумышленник может спровоцировать удаленное исполнение кода. Файл может быть доставлен через e-mail или вредоносную веб-страницу. При открытии такого контента на уязвимой системе атакующие могут установить вредоносный код в систему пользователя с получением прав текущей учетной записи.

Уязвимыми оказались следующие версии ПО:

- Windows Vista Service Pack 2

- Windows Server 2008 Service Pack 2

- Office 2003 Service Pack 3

- Office 2007 Service Pack 3

- Office 2010 Service Pack 1, 2

- Microsoft Lync все версии

Ранее мы писали про некоторые механизмы затруднения эксплуатации (mitigation) для Windows и приложений, которые Microsoft пыталась привнести с выпуском новых ОС. Как правило подобные механизмы основываются на следующих концептуальных подходах:

• Разграничение прав доступа приложений к ресурсам ОС (User Account Control, Integrity Level). Vista+
• Особые смягчающие факторы при работе с памятью DEP&ASLR. XP SP2/Vista+. DEP задается системными настройками и в Windows 8+ активен для всех приложений (поддержка процессора). ASLR работает для приложений, скомпилированных с его поддержкой.
• Kernel ASLR/DEP, для компонентов, которые работают в режиме ядра. Vista SP1+. ASLR ... Читать дальше »

Недавно мы писали о возможностях защиты от эксплойтов для пользователей Internet Explorer, которые Microsoft ввела с выпуском последних версий браузера — IE10, IE11 для Windows 7 x64, 8, 8.1.

Технология, которая реализует подобные возможности, называется sandboxing и реализована в Internet Explorer, начиная с десятой версии (IE10+), как «Расширенный защищенный режим» (Enhanced Protected Mode, EPM). Мы также указывали, что EPM работает по разному для Windows 7 x64 и Windows 8/8.1. В случае с Windows 7 x64 EPM заставляет браузер использовать 64-битные процессы для работы своих вкладок, что помогает защищаться от heap spraying, которая представляет из себя осно ... Читать дальше »