Перейти к содержанию
AM_Bot

Лжеантивирус под «мак», новые 64-битные руткиты и другие майские «сюрпризы»

Recommended Posts

AM_Bot

2 июня 2011 года

Основным майским событием в сфере угроз информационной безопасности можно считать массовое распространение ложного антивируса, наиболее известного как MacDefender. Если лжеантивирусы для Windows стали уже привычным явлением, то для Mac OS X такие вредоносные программы — все еще в новинку, тем более в масштабе эпидемий. А вот появление руткитов, атакующих 64-битные системы Windows, уже почти не удивляет: открыв для себя в 2010 году это поле деятельности, злоумышленники продолжают совершенствоваться в расчете на быстро растущее число пользователей этих ОС. Ниже более подробно представлены эти и некоторые другие угрозы мая 2011 года.

От чего «защищает» MacDefender?

В мае мак-сообщество столкнулось с неожиданной угрозой: в зарубежных СМИ появились сообщения о фишинговой атаке с использованием вредоносной программы — ложного антивируса. Это ПО фигурирует под именами MacDefender, MacSecurity, MacProtector или MacGuard, попадая на компьютеры через неблагонадежные сайты, на которых пользователь узнаёт, что его система якобы заражена. Для устранения проблемы предлагается воспользоваться «антивирусом». В случае скачивания MacDefender, имитируя действия по поиску и обнаружению вирусов, приступает к достижению своей истинной цели — получению от пользователя денег за якобы полнофункциональную версию.

После инсталляции программа прописывается в списке автоматически загружаемых пользовательских приложений — Login Items. Таким образом, она активизируется каждый раз, когда пользователь входит в систему или включает компьютер, и периодически «находит» вредоносные объекты в системе, напоминая о необходимости их «вылечить».

MAC%20Defender_450.png

Для приобретения «лицензионной версии» MacDefender злоумышленники предлагают воспользоваться кредитной картой (причем передача данных происходит на незащищенной странице). После оплаты программа перестает что-либо находить в системе, создавая иллюзию, что деньги потрачены не впустую.

MacDefender представляет угрозу для пользователей операционных систем Mac OS X 10.4–10.6. Стоит отметить, что схема взаимодействия этого ложного антивируса с серверами злоумышленников весьма схожа с аналогичными вредоносными программами для Windows. По мнению аналитиков «Доктор Веб», при его распространении используется партнерская схема.

Apple, хотя и с некоторой задержкой, признала существование этой проблемы: на сайте компании была размещена инструкция по удалению MacDefender, а также рекомендации относительно того, как избежать его попадания на компьютер, и обещание в ближайшее время выпустить обновление операционной системы, «которое будет автоматически находить и удалять вредоносное ПО MacDefender и его известные разновидности». На сегодняшний день вирусная база Dr.Web насчитывает шесть модификаций этой вредоносной программы, включая самую последнюю, снабженную «прединсталлятором», а в Dr.Web для Mac OS X уже реализовано лечение от них.

64-битных руткитов становится больше

В прошедшем месяце в вирусные базы Dr.Web были добавлены очередные модификации руткитов, «заточенных» под 64-битные версии операционных систем. Так, вредоносная программа Trojan.Necurs имеет в своем арсенале как 32-, так и 64-битный руткит-драйвер с «тестовой» подписью, благодаря которой обходит ограничение 64-битных версий Windows на загрузку неподписанных драйверов, используя системную утилиту bcdedit.exe. Вместе с тем Trojan.Necurs способен блокировать загрузку драйверов многих антивирусов, препятствуя защите системы.

Новая версия бэкдора семейства Maxplus — BackDoor.Maxplus.13 — также умеет действовать в 64-битных системах. Эта вредоносная программа прекрасно обходится и без руткит-драйвера, используя для запуска подмену в реестре одной из ссылок на модуль подсистемы Windows: "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems","Windows". Таким образом, некорректное лечение от BackDoor.Maxplus.13 может привести к полной неработоспособности системы. Стоит отметить, что этот способ активизации был опробован еще в 2007 году троянской программой Trojan.Okuks — но тогда еще в 32-битных версиях Windows.

Смерть террориста № 1 как повод для вредоносного спама

Сообщение о ликвидации 2 мая 2011 года Усамы бен Ладена, разумеется, не осталось без внимания киберпреступников. Мошенники попытались воспользоваться повышенным интересом к этому событию, действуя проверенным методом: через спам-рассылки, в расчете на неосторожный «клик».

В частности, было отмечено массовое распространение через почту вредоносного файла Laden’s Death.doc, использовавшего уязвимость в обработке RTF-файлов. Запущенный в Microsoft Word, этот файл инициировал закачивание очередной модификации программы семейства BackDoor.Diho — BackDoor.Diho.163, функционал которой вполне типичен для данного вида вредоносных объектов: сбор информации, хранящейся в компьютере пользователя, выполнение команд злоумышленников, функции прокси. Сам файл Laden’s Death.doc классифицируется Dr.Web как Exploit.CVE2010.3333.

Кроме того, в мае специалисты «Доктор Веб» отмечали массовую рассылку писем, содержавших файл Fotos_Osama_Bin_Laden.exe, который на деле оказывался вовсе не шокирующими кадрами с участием террориста № 1, а банальным «бразильским банкером» Trojan.PWS.Banker.55330, написанным на Delphi. Напомним, что вредоносные программы этого семейства специализируются на краже данных, связанных с банковскими счетами, электронными картами и системами электронных платежей.

Trojan.SMSSend можно «подхватить» не только на файлообменниках

Продолжают изощряться распространители СМС-троянцев. Если до сих пор неосторожно скачать себе Trojan.SMSSend можно было, попав на мошеннический сайт, замаскированный под файлообменник, то в мае эта программа была замечена на ресурсе, предлагающем для скачивания различного рода инструкции.

instructziya4_450.png

На сегодняшний день этот и ему подобные сайты блокируются Dr.Web как источники распространения вирусов.

Trojan.MBRlock приходит на смену «винлокам»?

В мае служба технической поддержки «Доктор Веб» зафиксировала очередной всплеск запросов, связанных с блокировкой операционных систем. Причем на этот раз речь идет отнюдь не о пресловутом Trojan.Winlock, а о более опасной вредоносной программе — Trojan.MBRlock, изменяющей главную загрузочную запись (Master Boot Record, MBR).

В отличие от «винлоков» эта вредоносная программа блокирует не вход в операционную систему, а сам ее запуск. Если на компьютере установлено несколько операционных систем, то Trojan.MBRlock препятствует запуску каждой из них. Попытки восстановить стандартную MBR специализированными средствами могут привести к потере пользовательских данных — таблица разделов диска может не восстановиться.

1305896235_clip_14kb_450.png

В MBR вредоносная программа записывает код, который загружает с соседних секторов основное тело Trojan.MBRlock. После чего пользователь видит требования злоумышленников, которые необходимо выполнить для восстановления загрузочной области диска и загрузки операционной системы.

Из 39 известных модификаций этой вредоносной программы 27 было добавлено в вирусные базы Dr.Web в мае. Пользователям, чьи компьютеры заблокированы Trojan.MBRlock, помогут средства аварийного восстановления системы Dr.Web LiveCD или Dr.Web LiveUSB.

Новые угрозы для Android: смешные и не очень

В мае была обнаружена и добавлена в «мобильную» вирусную базу вредоносная программа Android.NoWay.1, которая, активизировавшись на мобильном устройстве, проверяла дату, и, если это происходило 21 мая, рассылала по списку контактов СМС с фразами религиозного содержания. Именно в этот день по одной из многочисленных апокалиптических теорий должен был наступить конец света.

Также в прошедшем месяце были обнаружены очередные шпионские программы, распространяющиеся вполне легально, однако в силу своего функционала представляющие опасность для пользователей Android — в случае если «шпион» установлен на мобильное устройство без их ведома. Речь идет о ПО Cell Phone Recon, по классификации Dr.Web получившем наименование Android.Recon, и о SpyDroid, занесенном в вирусную базу как Android.SpyDroid. Более подробно о подобных программах можно прочитать в нашем обзоре киберугроз для платформы Android.

cellphone_450.png

Кроме того, был выявлен ряд вредоносных программ, маскировавшихся под приложение Jimm, предназначенное для обмена сообщениями в сети ICQ при помощи мобильных устройств. На самом же деле эти программы занимались рассылкой СМС-сообщений без ведома пользователя.

Вредоносные файлы, обнаруженные в мае в почтовом трафике

01.05.2011 00:00 - 01.06.2011 00:00

1

Exploit.Cpllnk

60240 (10.82%)

2

Win32.HLLM.MyDoom.54464

27801 (5.00%)

3

Trojan.Tenagour.3

21796 (3.92%)

4

Trojan.DownLoader2.43734

18466 (3.32%)

5

Win32.HLLM.MyDoom.33808

17618 (3.17%)

6

Win32.Sector.22

16930 (3.04%)

7

Win32.Sector.21

16755 (3.01%)

8

Trojan.DownLoader2.50384

7402 (1.33%)

9

Win32.HLLM.Netsky.18401

7283 (1.31%)

10

Win32.HLLM.Netsky

6880 (1.24%)

11

Win32.HLLM.MyDoom.based

5444 (0.98%)

12

Win32.HLLM.Netsky.35328

4486 (0.81%)

13

Trojan.Potao.1

4139 (0.74%)

14

Trojan.DownLoader2.48993

3897 (0.70%)

15

Trojan.DownLoad2.24758

3763 (0.68%)

16

Trojan.MulDrop1.54160

3555 (0.64%)

17

Win32.HLLM.MyDoom.33

2819 (0.51%)

18

Win32.HLLM.Beagle

2632 (0.47%)

19

Trojan.AVKill.2

2035 (0.37%)

20

Win32.HLLM.Perf

1869 (0.34%)

Всего проверено: 114,479,837

Инфицировано: 556,572 (0.49%)

Вредоносные файлы, обнаруженные в мае на компьютерах пользователей

01.05.2011 00:00 - 01.06.2011 00:00 1JS.Click.21864754459 (46.25%)2JS.IFrame.9533983619 (24.27%)3Win32.Siggen.815917025 (11.37%)4Win32.HLLP.Neshta6986794 (4.99%)5Win32.HLLP.Whboy.452475841 (1.77%)6Win32.HLLP.Whboy1708126 (1.22%)7Win32.HLLP.Whboy.1011562995 (1.12%)8Win32.HLLP.Rox1554052 (1.11%)9Trojan.DownLoader.423501060230 (0.76%)10Exploit.Cpllnk981675 (0.70%)11Win32.HLLP.Whboy.105928664 (0.66%)12Win32.HLLP.Liagand.1840445 (0.60%)13Win32.Gael.3666599620 (0.43%)14HTTP.Content.Malformed566908 (0.40%)15Win32.Virut472244 (0.34%)16Trojan.MulDrop1.48542268265 (0.19%)17Win32.HLLW.Autoruner.2341222144 (0.16%)18ACAD.Pasdoc207316 (0.15%)19Win32.HLLW.Shadow201444 (0.14%)20Win32.HLLP.Novosel193022 (0.14%)

Всего проверено: 139,130,820,803

Инфицировано: 140,003,128 (0.10%)

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Feeble

ждем Trojan.BIOSlock

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Арбитражный управляющий Каждый может оказаться в такой ситуации, когда требуется профессиональная и своевременная поддержка юриста. Если и вы вынуждены стать банкротом и оформить это по закону, то необходимо обратиться за такой услугой в центр банкротства. В компании работают квалифицированные специалисты с большим опытом, а в их багаже большое количество успешно завершенных дел. Именно поэтому вы сможете надеяться на отличный результат. Важно учесть тот момент, что специалисты детально изучают вопрос для того, чтобы подробно рассмотреть вопрос, после чего выявить возможности благоприятного результата. Списать долги Волгоград (Списание кредитов) получится по закону. Нет необходимости в том, чтобы переживать за процесс. Так специалисту удастся списать те долги, которые вы не в силах выплатить. Увы, но этот процесс может занять несколько месяцев, к тому же он не бесплатный. Банкротство физических лиц в Волгограде ведет компетентный сотрудник – он добросовестно и ответственно подойдет к решению вопроса. Он будет защищать интересы клиента, руководствуясь Конституцией. Юрист по банкротству займется оформлением документов и заявления, подготовит все факты в пользу того, чтобы объявить вас неплатежеспособным. Опыт сотрудников позволяет браться за дела различной сложности. Арбитражный управляющий Волгоград поможет вам избавиться от долгов. Что касается расценок, то на них влияют самые разные факторы, включая расходы на законодательном уровне. Подписывается договор на указание услуг – в нем указываются обязанности каждой стороны, набор услуг. Юрист рассмотрит все аспекты вашего дела. Важным моментом является то, что все ваши долги будут списаны в полном объеме при положительном исходе дела. Специалист использует все ресурсы, которые потребуются для того, чтобы получить положительный результат.
    • Dmitrius
      Септик в Москве и Московской области Компания долгое время и на выгодных условиях оказывает услуги, связанные со строительством автономной канализации в Москве и области. Если Вам необходима выгребная яма – ознакомьтесь с интересующей информацией на официальном портале. Автономная канализация, организованная на дачном участке, положительно влияет на уровень комфорта. Несмотря на то, планируется ли круглый год проживать на участке или только летом, вы почувствуете удобство. Цену на ее установку вы сможете узнать на сайте. Компания длительное время работает в данной сфере, а потому предлагает только выгодные условия, доступные цены, а сами работы выполняются быстро, аккуратно и в наиболее комфортное время. Она наладила сотрудничество с проверенными и надежными поставщиками оборудования. Специалисты создадут высокотехнологичную и работающую систему под ключ. В работе используются только надежные, качественные материалы, выполняются технологические условия. Если говорить о ценах, то они остаются на среднем уровне, а потому воспользоваться услугой смогут все, кто хочет. Кольцевой накопитель отлично подходит для сбора сточных вод при условии, что в доме на постоянной основе проживают до 7 человек. Все работы будут выполнены в минимальные сроки и тогда, когда это удобно именно вам. С собой будут все необходимые инструменты, а также материалы. Сотрудники осуществят установку и выполнят все нужные работы. При появлении вопросов задайте их сотрудникам, которые все пояснят, а также определят общую стоимость работ. Специалисты выполнят все необходимые работы, несмотря на время года. Отсутствуют дополнительные наценки, переплаты, только прозрачные условия сотрудничества.
    • Ramonsmaps
      Over the years of independence, the institute has trained more than 13000 physicians (including 800 clinical interns, 1116 masters, 200 postgraduates and 20 doctoral students) in various directions.

      870 staff work at the institute at present,[when?] including 525 professorial-teaching staff in 55 departments, 34 of them are Doctors of science and 132 candidates of science. 4 staff members of the professorial-teaching staff of the institute are Honoured Workers of Science of the Republic of Uzbekistan, 3 – are members of New-York and 2 – members of Russian Academy of Pedagogical Science.

      The institute has been training medical staff on the following faculties and directions: Therapeutic, Pediatric, Dentistry, Professional Education, Preventive Medicine, Pharmacy, High Nursing Affair and Physicians’ Advanced Training. At present[when?] 3110 students have been studying at the institute (1331 at the Therapeutic faculty, 1009 at the Pediatric, 358 at the Dentistry, 175 students at the Professional Education Direction, 49 at the faculty of Pharmacy, 71 at the Direction of Preventive Medicine, 117 ones study at the Direction of High Nursing Affair).

      Today graduates of the institute are trained in the following directions of master's degree: obstetrics and gynecology, therapy (with its directions), otorhinolaryngology, cardiology, ophthalmology, infectious diseases (with its directions), dermatovenereology, neurology, general oncology, morphology, surgery (with its directions), instrumental and functional diagnostic methods (with its directions), neurosurgery, public health and public health services (with its directions), urology, narcology, traumatology and orthopedics, forensic medical examination, pediatrics (with its directions), pediatric surgery, pediatric anesthesiology and intensive care, children's cardiology and rheumatology, pediatric neurology, neonatology, sports medicine.

      The clinic of the institute numbers 700 seats and equipped with modern diagnostic and treating instrumentations: MRT, MSCT, Scanning USI, Laparoscopic Center and others.

      There are all opportunities to carry out sophisticated educational process and research work at the institute.

      Source:
      https://adti.uz/magistratura/
      medical institutes of uzbekistan

      Tags:
      medical institutes of uzbekistan
      regional scientific medical library
      electronic library of a medical student
      electronic medical library official website
    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
×