Меню сайта |
|
|
Мини-чат |
|
|
|
Главная » 2013 » Декабрь » 09
Несколько месяцев назад мы писали о PowerLoader.
Этот вредоносный код использует интересный метод повышения привилегий в
контексте explorer.exe. Исходные тексты PowerLoader, которые оказались
доступными для общественности, используются и в других семействах
вредоносных программ. Например, дропперы буткита Win32/Gapz основаны
на этом коде PowerLoader. В августе мы обнаружили новую модификацию
PowerLoader для 64-битных ОС (обнаруживается ESET какWin64/Vabushky.A). Эта модификация использует три эксплойта для поднятия своих привилегий в системе (Local Privelege Escalation): MS13-053 (CVE-2013-3660),
...
Читать дальше »
Просмотров: 1295 |
Добавил: vayrus |
Дата: 09.12.2013
|
В начале мая мы опубликовали анализ руткита Win32/Rootkit.Avatar.
Однако в нем недоставало информации об устаналиваемой им на зараженные
системы полезной нагрузке и плагинах. Наша антивирусная лаборатория
отслеживала активность этой вредоносной программы. В середине июля мы
обнаружили еще один дроппер Win32/Rootkit.Avatar, в котором
присутствовала информация об активных C&C серверах для
взаимодействия. Александр Матросов, Евгений Родионов и Антон Черепанов выполнили
подробный анализ этого руткита, из которого видно, что он продолжает
свою активность. Мы так же раскрываем новую информацию о методах
самозащиты руткита в режиме ядра.
...
Читать дальше »
Просмотров: 735 |
Добавил: vayrus |
Дата: 09.12.2013
|
Файловые вирусы уже хорошо известны и давно изучены, но
подобные инфекторы, в абсолютном большинстве случаев, нацелены на
модификацию 32-битных файлов. Одно из таких семейств — Expiro (Xpiro)
было обнаружено достаточно давно и мало чем может удивить сегодня.
Однако недавно нашей антивирусной лабораторией была обнаружена новая
модификация Expiro, которая способна заражать 64-битные файлы. Кроме
того, тело этой модификации является универсальным и полностью
кроссплатформенным, так как может заражать 32-битные и 64-битные файлы
(и наоборот, т. е. из зараженных 32-битных файлов заражать 64-битные). В
нашей системе именований вирус получил название Win64/Expiro.A (akaW64.Xpiro или W64/Expiro-A). При этом 32-разрядные зараженные файлы обнаруживаются как Win32/Expiro.NBF.
Инфектор
нацелен на получение макси
...
Читать дальше »
Просмотров: 776 |
Добавил: vayrus |
Дата: 09.12.2013
|
Вредоносное
ПО, которое шифрует файлы пользователей, а затем просит деньги за
расшифровку, не является новым. Такие семейства получили общее название
Filecoder и являются распространенным типом угроз — их называют
вымогателями (ransomware). За последние несколько месяцев мы отметили
значительный рост активности шифровальщиков FileCoder. Антивирусные
продукты ESET обнаруживают эти угрозы как Win32/Filecoder и Win32/Gpcode
...
Читать дальше »
Просмотров: 793 |
Добавил: vayrus |
Дата: 09.12.2013
|
Автор: Артем Баранов, ведущий вирусный аналитик ESET
Программная платформа Oracle Java - один из немногих видов ПО,
которое злоумышленники часто используют для доставки своего вредоносного
кода на компьютер пользователя. Java как платформа исполнения
приложений используется на более чем 3 млрд. устройств.
Вредоносный код, который злоумышленники доставляют через уязвимости в
платформе, различается для разных типов устройств. В то же время один и
тот же эксплойт к уязвимости является универсальным и может
использоваться для доставки различных типов этого вредоносного кода для
устройств разного типа, работающих под разными ОС.
Веб-браузеры используют Java (Java Virtual Machine, JVM) через
специальные подключаемые модули или плагины. Они используются для
исполнения Java-кода и приложений на веб-страницах. Это может
...
Читать дальше »
Просмотров: 585 |
Добавил: vayrus |
Дата: 09.12.2013
|
Недавно наши специалисты обнаружили новую вредоносную программу, которая была добавлена в антивирусные базы как Win32/Napolar.
Мы обратили на нее внимание в середине августа из-за интересных методов
антиотладки и внедрения кода. Бот используется злоумышленниками в
нескольких целях: проведение DoS-атак, организация SOCKS прокси-сервера,
кража данных с зараженных систем. Как и прочие троянские программы,
Win32/Napolar умеет внедрять свой код в браузеры с целью получения
данных из веб-форм.
Мы наблюдали активность Napolar с
конца июля. С тех пор были зафиксированы тысячи случаев заражения,
многие из которых в Южной Америке. На такие страны как Перу, Эквадор и
Колумбия приходится наибольшее число заражений. Больше информации о
географии распространения можно найти на virusradar.
...
Читать дальше »
Просмотров: 635 |
Добавил: vayrus |
Дата: 09.12.2013
|
В этом посте мы публикуем информацию о потенциально нежелательном ПО (Potentially Unwanted Application, PUA), компоненты которого обнаруживаются ESET как Win32/Kankan.
Эти компоненты реализованы в менеджере загрузок Xunlei. Мы обратили
внимание на это ПО из-за следующих интересных особенностей:
- Для обеспечения своей скрытности и выживаемости в системе это ПО
регистрирует один из своих компонентов как плагин для Microsoft Office.
- Обнаруженный вредоносный код осуществляет установку приложений для
устройств под управлением Android, которые подключены к компьютеру через
USB, без ведома пользователя.
- Win32/Kankan содержит код для обнаружения специальных системных инструментов, которые анализируют его поведение в системе.
- Файлы Xunlei, которые содержат этот вредоносный код, подписаны
цифровой подписью, принадлежащей китайской компании Xunlei Networking
Tech
...
Читать дальше »
Просмотров: 730 |
Добавил: vayrus |
Дата: 09.12.2013
|
Вредоносное ПО Win32/TrojanDownloader.Nymaim представляет
собой загрузчик троянской программы, который также содержит возможности
вымогателя (ransomware) и может блокировать компьютер пользователя с
целью выкупа. Мы уже писали о
нем раньше и отмечали, что для распространения этой угрозы
злоумышленники использовали компрометацию веб-серверов под управлением
Linux с последующей доставкой вредоносного кода пользователям.
Установка Nymaim на компьютеры пользователей осуществлялась с использованием набора эксплойтов Blackhole, автор которого недавно был арестован правоохранительными органами. Одно из последних
...
Читать дальше »
Просмотров: 585 |
Добавил: vayrus |
Дата: 09.12.2013
|
Не секрет, что мобильная платформа Android является ключевой
мишенью для вирусописателей. И это при том, что 44% пользователей этой
мобильной платформы по-прежнему сидят на устаревшей Android Gingerbread
(от 2.3.3 до 2.3.7 версий), которая содержит целый ряд уязвимостей. Все
эти пользователи оказываются беззащитны перед возможным заражением из-за
использования старых версий Android.
Такие данные приводят в совместном докладе специалисты ФБР и
Министерства внутренней безопасности США. Авторы предупреждают, что все
государственные сотрудники обязаны использовать устройства только с
обновленной ОС Android последней версии.
«Сегодня Android является самой распространенной в мире мобильной
платформой, при этом являясь и главной целью для атак вредоносного ПО,
благодаря своей доле рынка и открытой архитектуре источника», – говорится в докладе.
«Это серьезная проблема безопасности потребителей – огромное
количество старых, уязвимых сма
...
Читать дальше »
Просмотров: 548 |
Добавил: vayrus |
Дата: 09.12.2013
|
Специалисты MS сообщают, что злоумышленники активно
эксплуатируют Remote Code Execution (RCE) уязвимость CVE-2013-3906 в ОС
(Windows Vista SP2 и Windows Server 2008 SP2), Office (2003-2007-2010) и
программе Microsoft Lync.
Уязвимость связана с некорректной обработкой TIFF-файлов изображений
различными компонентами ОС и продуктами компании. Через специальным
образом сформированный TIFF-файл злоумышленник может спровоцировать
удаленное исполнение кода. Файл может быть доставлен через e-mail или
вредоносную веб-страницу. При открытии такого контента на уязвимой
системе атакующие могут установить вредоносный код в систему
пользователя с получением прав текущей учетной записи.
Уязвимыми оказались следующие версии ПО:
- Windows Vista Service Pack 2
- Windows Server 2008 Service Pack 2
- Office 2003 Service Pack 3
- Office 2007 Service Pack 3
- Office 2010 Service Pack 1, 2
- Microsoft Lync все версии
...
Читать дальше »
Просмотров: 538 |
Добавил: vayrus |
Дата: 09.12.2013
|
Ранее мы писали про некоторые механизмы затруднения эксплуатации
(mitigation) для Windows и приложений, которые Microsoft пыталась
привнести с выпуском новых ОС. Как правило подобные механизмы
основываются на следующих концептуальных подходах:
- Разграничение прав доступа приложений к ресурсам ОС (User Account Control, Integrity Level). Vista+
- Особые смягчающие факторы при работе с памятью DEP&ASLR.
XP SP2/Vista+. DEP задается системными настройками и в Windows 8+
активен для всех приложений (поддержка процессора). ASLR работает для
приложений, скомпилированных с его поддержкой.
- Kernel ASLR/DEP, для компонентов, которые работают в режиме ядра.
Vista SP1+. ASLR
...
Читать дальше »
Просмотров: 464 |
Добавил: vayrus |
Дата: 09.12.2013
|
Недавно мы писали о
возможностях защиты от эксплойтов для пользователей Internet Explorer,
которые Microsoft ввела с выпуском последних версий браузера — IE10,
IE11 для Windows 7 x64, 8, 8.1.
Технология, которая реализует подобные возможности, называется
sandboxing и реализована в Internet Explorer, начиная с десятой версии
(IE10+), как «Расширенный защищенный режим» (Enhanced Protected Mode,
EPM). Мы также указывали,
что EPM работает по разному для Windows 7 x64 и Windows 8/8.1. В случае
с Windows 7 x64 EPM заставляет браузер использовать 64-битные процессы
для работы своих вкладок, что помогает защищаться от heap spraying, которая представляет
из себя осно
...
Читать дальше »
Просмотров: 496 |
Добавил: vayrus |
Дата: 09.12.2013
|
Поделюсь опытом решения данной проблемы т.к. сам не раз с ней сталкивался, а озвученные в ТырНете советы не помогали. Случилось это когда я в очередной раз загрузил свой ноут за 35 косарей (с отличной начинкой) очередной игрой (Кризис, СпецОпс), зачем я озвучил стоимость, да не для понтов, ессно, а то что я в ****, что такой не дешевый ноут перегревается в играх и, ессно, вырубается. Так вот, он вырубился и перестал грузиться, говоря на тарабарском PXE-ROM, Cable not connected, HDD not found, Boot Devices Not Found и другие матерные слова) Логически предположил, что ноуту здец, но оптимизм победил, зашел в BIOS и поменял протокол AHCI на ATA, перезагрузился и о чудо, ноут увидел SSD-шник, но Винда, ессно, не стала грузиться, уйдя в Синий Экран Смерти, следующим этапом тупо вернул протокол на AHCI и все снова заработало. С чем связана эта "болезнь", незнаю, так же как и неизвестно, почему "вакцина" сработала, но главное работает, а если еще кому то поможет, то я только буду рад)
...
Читать дальше »
Просмотров: 528 |
Добавил: vayrus |
Дата: 09.12.2013
|
|
| |
Форма входа |
|
|
Календарь новостей |
« Декабрь 2013 » | Пн | Вт | Ср | Чт | Пт | Сб | Вс | | | | | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 |
|
|
Поиск |
|
|
Друзья сайта |
|
|
Статистика |
Онлайн всего: 1 Гостей: 1 Пользователей: 0
|
|
|