Перейти к содержанию
Андрей-001

Microsoft Malicious Software Removal Tool против поддельных антивирусов

Recommended Posts

Андрей-001

Microsoft Malicious Software Removal Tool против поддельных антивирусов

1. Microsoft нашла spyware на двух миллионах компьютеров.

В течение недели после выпуска обновленной версии утилиты Malicious Software Removal Tool корпорация Microsoft обнаружила шпионские программы для кражи паролей к онлайновым игровым вселенным на более чем двух миллионах персональных компьютеров, подключенных интернету.

Обновленная программа Malicious Software Removal Tool вышла 10 июня вместе с очередной порцией заплаток для продуктов Microsoft. Уже в течение первых суток после выпуска эта утилита обнаружила на 700 тысячах ПК шпионский модуль Taterf. За неделю же число компьютеров, на которых средства Malicious Software Removal Tool нашли шпиона Taterf, достигло примерно 1,3 миллиона. Еще на 700 тысячах машин были найдены другие программы для кражи паролей.

Эксперты в области компьютерной безопасности отмечают, что злоумышленники используют похищенные регистрационные данные для аккаунтов в онлайновых играх с целью кражи виртуальных ценностей. Эти ценности затем перепродаются, а вырученная игровая валюта меняется на реальные деньги. Причем отследить игровых мошенников очень и очень сложно.

По данным Microsoft, за неделю больше всего шпионских программ утилита Malicious Software Removal Tool нашла на компьютерах китайских пользователей - около 529 тысяч инфицированных машин. Второе и третье места с показателями примерно в 280 тысяч и 235 тысяч зараженных ПК занимают, соответственно, Тайвань и Испания. Кроме того, достаточно много инструментов для кражи паролей к играм было найдено на компьютерах американских и корейских пользователей Сети.

Июнь, 2008

2. Злоумышленники распространяют вредоносное ПО под видом антивируса Microsoft.

Редактор TechNet Magazine Джеспер Йоханссон опубликовал подробный разбор действий программы-подделки XP Antivirus 2008.

Как сообщает исследователь, летом он отметил новую волну спама в блогах и форумах, с призывами посетить сайты типа google-homepage.google-us.info, msn-us.info, yahoo-us.info и тому подобные. Домены были зарегистрированы в Украине. Если пользователь идет по такой ссылке, его перебрасывает на сайт Virus-securityscanner.com (или другой похожий). Одновременно возникает окно с предупреждением, что на компьютере найдены вирусы.

После этого пользователю предлагают установить антивирус XP Antivirus 2008, чтобы излечиться. На самом деле, в скачиваемом файле содержится загрузчик трояна Trojan-Downloader.Win32.FraudLoad.gen.

Подобные версии лже-антивирусов "от Microsoft" попадались и раньше. Однако обычно их мошенничество на этом этапе и заканчивалось - троян либо крал персональные данные, либо удаленно управлял компьютером (например, для DDoS-атаки).

В данном же случае, пользователю инсталлируется очень правдоподобная версия антивируса. Программа предлагает ознакомиться с лицензионным соглашением, а затем создает поддельный Windows Security Center. И даже дает ссылку на свой "официальный сайт", где имеются руководства пользователя и форум техноддержки. Это сайт xpantivirus.com, зарегистрированный на жителя Одессы. Сайт до сих пор работает. Изучение его данных whois позволяет обнаружить еще множество аналогичных сайтов-подделок (virus-webscanner.com, onlinexpscanner.com и т.д.)

Вскоре после инсталляции фальшивый антивирус начинает пугать пользователя найденными "вирусами", изображает их "устранение" - а заодно напоминает, что надо зарегистрироваться и заплатить за полученный софт ($49.95 плюс еще дополнительные услуги). Для оплаты также создан ряд поддельных сайтов.

При этом настоящая антивирусная программа от Microsoft (Malicious Software Removal Tool) не обнаружила вредоносную.

Автор исследования делает вывод, что столь правдоподобная подделка может легко обмануть тысячи пользователей. В данном примере троян не проделывает особо опасных действий - но поскольку он контролирует компьютер, он вполне может загружать и другие вредоносные коды.

Сентябрь, 2008

3. Microsoft Malicious Software Removal Tool удалила фальшивый антивирус с миллиона компьютеров.

В компании Microsoft сообщили, что на компьютерах около миллиона пользователей была обнаружена и удалена вирусная программа, маскирующаяся под антивирус.

Вредоносная программа, удаленная Malicious Software Removal Tool, называлась W32/FakeSecSen. На различных компьютерах она маскировалась под такие антивирусные продукты, как Micro Antivirus 2009, MS Antivirus, Spyware Preventer, Vista Antivirus 2008, Advanced Antivirus, System Antivirus 2008, Ultimate Antivirus 2008, Windows Antivirus, XPert Antivirus, Power Antivirus, и Ultra Antivirus 2009.

Поддельные инструменты защиты компьютера стали в последнее время особенно популярны среди киберпреступников из-за удобной схемы шантажа. Установив под разными предлогами поддельную программу, мошенники могут через нее заявлять о заражении машины опасным вирусом и требовать плату за то, чтобы антивирус удалил его. Обычно плата колеблется в районе $50, по подсчетам специалистов за год преступник может заработать около $5 млн.

W32/FakeSecSen состоит из нескольких элементов, среди которых один файл с расширением .EXE. Последний был обнаружен только на 20 процентах компьютеров с W32/FakeSecSen. Предполагается, что он был удален либо вручную, либо сторонними антивирусами, которые не заметили других компонентов W32/FakeSecSen.

Ноябрь, 2008

Источники: webplanet.ru, securitylab.ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Microsoft представила результаты отчёта по итогам глобального исследования в области информационной безопасности Microsoft Security Intelligence Report V5(SIR).

Данные, представленные в отчете SIR, базируются на анализе статистической информации, собранной при помощи различных программных средств для обеспечения безопасности с сотен миллионов компьютеров по всему миру.

Специалисты корпорации обнаружили, что вторая половина этого года отличается общим улучшением ситуации в сфере безопасности ПО. В этот период уменьшилось количество уязвимостей, однако уровень угроз, в том числе и от вредоносного софта, продолжает расти. Кроме того, упростилась эксплуатация существующих угроз. Поэтому глобальная ситуация с безопасностью программного обеспечения остается довольно критической.

Рост числа вредоносного ПО показывает, что его уровень не связан напрямую с количеством уязвимостей. В отчете MSIR приведены следующие данные: за первую половину 2008 года на 43% увеличилось количество обнаруженных и удаленных вредоносных программ. А общее количество уязвимостей снизилось на 19%.

Значительно выросло общее число троянов-загрузчиков и критических уязвимостей: во второй половине прошлого года их доля составляла 15% от общего количества, а в первой половине 2008 – уже 30%. При этом с 15% до 10% сократилась доля сетевых червей, перехватчиков паролей и шпионских программ.

Представители корпорации особенно гордятся тем, что большинство уязвимостей (около 90%) обнаружены не в операционных системах, а в прикладном софте. Примечательно, что эти данные уже становятся тенденцией – в последнее время уменьшается количество багов в системных программах. В отчете Microsoft особенно подчеркивается, что в программах, произведенных софтверным гигантом, число уязвимостей уменьшилось на треть по сравнению с прошлым годом.

В отчете приведена информация о количестве зараженных компьютеров (с опорой на данные сервиса по обслуживанию системы Malicious Software Removal Tool). Было обнаружено, что за последние полгода 10 компьютеров из 1000 хотя бы один раз были заражены вредоносным софтом. В этом плане лучше всего дела обстоят в Японии, где наблюдается наименьший уровень заражения компьютеров - 1,8 из 1000, или менее 0,2%. А больше всего зараженных компьютеров найдено в Афганистане – 76 из 1000, или более 7%.

Специалисты по безопасности отмечают общую тенденцию роста зараженных компьютеров в развивающихся странах. Причиной этого они называют тот факт, что здесь многие пользователи не знают об угрозах, возникающих в результате веб-серфинга.

Особенно выделяют авторы отчета китайский рынок – в этой стране высока доля атак через браузеры, более 50%. Следующей страной в этом плане является США – 23%.

«У Китая на самом деле еще более высокий показатель инфицирования, чем представлено в отчете Microsoft, и вполне объяснима тенденция, состоящая в использовании браузеров для атак. Браузер в наше время является одной из основных программ для обычного человека. Примечательно, что количество атак будет расти и в будущем», - считает эксперт по безопасности Хосе Насарио (Jose Nazario) из Arbor Networks.

Кроме того, в отчете отмечается, что все чаще злоумышленники используют рекламные трояны и различного рода методы социальной инженерии.

Ноябрь, 2008

Источники: webplanet.ru, securitylab.ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sl1

Мышление в МС идиотское. После работы утилиты выдала алерт Found virus: TrojanDropper:Win32/Renos.N

Что удалила, откуда - никакой инфы. Лог нашелся в \Windows\Debug\mrt.log В общем ошибочно снесла с концами, во всяком случае я не нашел что-то похожее на карантин. В принципе файл не очень нужен уже, но это бред какой-то или они думают, что у них не будет ложных срабатываний никогда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Представители корпорации особенно гордятся тем, что большинство уязвимостей (около 90%) обнаружены не в операционных системах, а в прикладном софте.

Так... Вытираем глаза, и ещё раз читаем.

P.S.: Уязвимости в прикладном софте напрямую связаны с тем, как сама ОС обрабатывает все запросы этих прикладных программ, так что: гордиться нечем...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Проверил url-ки, представленные во второй новости - не открываются.

Значит уже или закрыли или прикрыли на время. Надо бы ещё проверить по базе зарегистрированных доменных имён.

MS новостями о своих "достижениях" видимо подготавливает нас к выходу её антивирусной программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Проверил url-ки, представленные во второй новости - не открываются.

Обсуждение в он-лайн с картинками (на английском).

Ссылка на сам отчёт в формате .pdf, тоже на английском (12.8 МБ)

P.S.: Надо иметь в виду, что отчёт на период Январь по Июнь этого года!

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
в первой половине 2008
отчёт на период Январь по Июнь этого года!

Я знаю. Другого пока нет.

Спасибо за прямые ссылки на первоисточник. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×