Перейти к содержанию
Андрей-001

Microsoft Malicious Software Removal Tool против поддельных антивирусов

Recommended Posts

Андрей-001

Microsoft Malicious Software Removal Tool против поддельных антивирусов

1. Microsoft нашла spyware на двух миллионах компьютеров.

В течение недели после выпуска обновленной версии утилиты Malicious Software Removal Tool корпорация Microsoft обнаружила шпионские программы для кражи паролей к онлайновым игровым вселенным на более чем двух миллионах персональных компьютеров, подключенных интернету.

Обновленная программа Malicious Software Removal Tool вышла 10 июня вместе с очередной порцией заплаток для продуктов Microsoft. Уже в течение первых суток после выпуска эта утилита обнаружила на 700 тысячах ПК шпионский модуль Taterf. За неделю же число компьютеров, на которых средства Malicious Software Removal Tool нашли шпиона Taterf, достигло примерно 1,3 миллиона. Еще на 700 тысячах машин были найдены другие программы для кражи паролей.

Эксперты в области компьютерной безопасности отмечают, что злоумышленники используют похищенные регистрационные данные для аккаунтов в онлайновых играх с целью кражи виртуальных ценностей. Эти ценности затем перепродаются, а вырученная игровая валюта меняется на реальные деньги. Причем отследить игровых мошенников очень и очень сложно.

По данным Microsoft, за неделю больше всего шпионских программ утилита Malicious Software Removal Tool нашла на компьютерах китайских пользователей - около 529 тысяч инфицированных машин. Второе и третье места с показателями примерно в 280 тысяч и 235 тысяч зараженных ПК занимают, соответственно, Тайвань и Испания. Кроме того, достаточно много инструментов для кражи паролей к играм было найдено на компьютерах американских и корейских пользователей Сети.

Июнь, 2008

2. Злоумышленники распространяют вредоносное ПО под видом антивируса Microsoft.

Редактор TechNet Magazine Джеспер Йоханссон опубликовал подробный разбор действий программы-подделки XP Antivirus 2008.

Как сообщает исследователь, летом он отметил новую волну спама в блогах и форумах, с призывами посетить сайты типа google-homepage.google-us.info, msn-us.info, yahoo-us.info и тому подобные. Домены были зарегистрированы в Украине. Если пользователь идет по такой ссылке, его перебрасывает на сайт Virus-securityscanner.com (или другой похожий). Одновременно возникает окно с предупреждением, что на компьютере найдены вирусы.

После этого пользователю предлагают установить антивирус XP Antivirus 2008, чтобы излечиться. На самом деле, в скачиваемом файле содержится загрузчик трояна Trojan-Downloader.Win32.FraudLoad.gen.

Подобные версии лже-антивирусов "от Microsoft" попадались и раньше. Однако обычно их мошенничество на этом этапе и заканчивалось - троян либо крал персональные данные, либо удаленно управлял компьютером (например, для DDoS-атаки).

В данном же случае, пользователю инсталлируется очень правдоподобная версия антивируса. Программа предлагает ознакомиться с лицензионным соглашением, а затем создает поддельный Windows Security Center. И даже дает ссылку на свой "официальный сайт", где имеются руководства пользователя и форум техноддержки. Это сайт xpantivirus.com, зарегистрированный на жителя Одессы. Сайт до сих пор работает. Изучение его данных whois позволяет обнаружить еще множество аналогичных сайтов-подделок (virus-webscanner.com, onlinexpscanner.com и т.д.)

Вскоре после инсталляции фальшивый антивирус начинает пугать пользователя найденными "вирусами", изображает их "устранение" - а заодно напоминает, что надо зарегистрироваться и заплатить за полученный софт ($49.95 плюс еще дополнительные услуги). Для оплаты также создан ряд поддельных сайтов.

При этом настоящая антивирусная программа от Microsoft (Malicious Software Removal Tool) не обнаружила вредоносную.

Автор исследования делает вывод, что столь правдоподобная подделка может легко обмануть тысячи пользователей. В данном примере троян не проделывает особо опасных действий - но поскольку он контролирует компьютер, он вполне может загружать и другие вредоносные коды.

Сентябрь, 2008

3. Microsoft Malicious Software Removal Tool удалила фальшивый антивирус с миллиона компьютеров.

В компании Microsoft сообщили, что на компьютерах около миллиона пользователей была обнаружена и удалена вирусная программа, маскирующаяся под антивирус.

Вредоносная программа, удаленная Malicious Software Removal Tool, называлась W32/FakeSecSen. На различных компьютерах она маскировалась под такие антивирусные продукты, как Micro Antivirus 2009, MS Antivirus, Spyware Preventer, Vista Antivirus 2008, Advanced Antivirus, System Antivirus 2008, Ultimate Antivirus 2008, Windows Antivirus, XPert Antivirus, Power Antivirus, и Ultra Antivirus 2009.

Поддельные инструменты защиты компьютера стали в последнее время особенно популярны среди киберпреступников из-за удобной схемы шантажа. Установив под разными предлогами поддельную программу, мошенники могут через нее заявлять о заражении машины опасным вирусом и требовать плату за то, чтобы антивирус удалил его. Обычно плата колеблется в районе $50, по подсчетам специалистов за год преступник может заработать около $5 млн.

W32/FakeSecSen состоит из нескольких элементов, среди которых один файл с расширением .EXE. Последний был обнаружен только на 20 процентах компьютеров с W32/FakeSecSen. Предполагается, что он был удален либо вручную, либо сторонними антивирусами, которые не заметили других компонентов W32/FakeSecSen.

Ноябрь, 2008

Источники: webplanet.ru, securitylab.ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Microsoft представила результаты отчёта по итогам глобального исследования в области информационной безопасности Microsoft Security Intelligence Report V5(SIR).

Данные, представленные в отчете SIR, базируются на анализе статистической информации, собранной при помощи различных программных средств для обеспечения безопасности с сотен миллионов компьютеров по всему миру.

Специалисты корпорации обнаружили, что вторая половина этого года отличается общим улучшением ситуации в сфере безопасности ПО. В этот период уменьшилось количество уязвимостей, однако уровень угроз, в том числе и от вредоносного софта, продолжает расти. Кроме того, упростилась эксплуатация существующих угроз. Поэтому глобальная ситуация с безопасностью программного обеспечения остается довольно критической.

Рост числа вредоносного ПО показывает, что его уровень не связан напрямую с количеством уязвимостей. В отчете MSIR приведены следующие данные: за первую половину 2008 года на 43% увеличилось количество обнаруженных и удаленных вредоносных программ. А общее количество уязвимостей снизилось на 19%.

Значительно выросло общее число троянов-загрузчиков и критических уязвимостей: во второй половине прошлого года их доля составляла 15% от общего количества, а в первой половине 2008 – уже 30%. При этом с 15% до 10% сократилась доля сетевых червей, перехватчиков паролей и шпионских программ.

Представители корпорации особенно гордятся тем, что большинство уязвимостей (около 90%) обнаружены не в операционных системах, а в прикладном софте. Примечательно, что эти данные уже становятся тенденцией – в последнее время уменьшается количество багов в системных программах. В отчете Microsoft особенно подчеркивается, что в программах, произведенных софтверным гигантом, число уязвимостей уменьшилось на треть по сравнению с прошлым годом.

В отчете приведена информация о количестве зараженных компьютеров (с опорой на данные сервиса по обслуживанию системы Malicious Software Removal Tool). Было обнаружено, что за последние полгода 10 компьютеров из 1000 хотя бы один раз были заражены вредоносным софтом. В этом плане лучше всего дела обстоят в Японии, где наблюдается наименьший уровень заражения компьютеров - 1,8 из 1000, или менее 0,2%. А больше всего зараженных компьютеров найдено в Афганистане – 76 из 1000, или более 7%.

Специалисты по безопасности отмечают общую тенденцию роста зараженных компьютеров в развивающихся странах. Причиной этого они называют тот факт, что здесь многие пользователи не знают об угрозах, возникающих в результате веб-серфинга.

Особенно выделяют авторы отчета китайский рынок – в этой стране высока доля атак через браузеры, более 50%. Следующей страной в этом плане является США – 23%.

«У Китая на самом деле еще более высокий показатель инфицирования, чем представлено в отчете Microsoft, и вполне объяснима тенденция, состоящая в использовании браузеров для атак. Браузер в наше время является одной из основных программ для обычного человека. Примечательно, что количество атак будет расти и в будущем», - считает эксперт по безопасности Хосе Насарио (Jose Nazario) из Arbor Networks.

Кроме того, в отчете отмечается, что все чаще злоумышленники используют рекламные трояны и различного рода методы социальной инженерии.

Ноябрь, 2008

Источники: webplanet.ru, securitylab.ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sl1

Мышление в МС идиотское. После работы утилиты выдала алерт Found virus: TrojanDropper:Win32/Renos.N

Что удалила, откуда - никакой инфы. Лог нашелся в \Windows\Debug\mrt.log В общем ошибочно снесла с концами, во всяком случае я не нашел что-то похожее на карантин. В принципе файл не очень нужен уже, но это бред какой-то или они думают, что у них не будет ложных срабатываний никогда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Представители корпорации особенно гордятся тем, что большинство уязвимостей (около 90%) обнаружены не в операционных системах, а в прикладном софте.

Так... Вытираем глаза, и ещё раз читаем.

P.S.: Уязвимости в прикладном софте напрямую связаны с тем, как сама ОС обрабатывает все запросы этих прикладных программ, так что: гордиться нечем...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Проверил url-ки, представленные во второй новости - не открываются.

Значит уже или закрыли или прикрыли на время. Надо бы ещё проверить по базе зарегистрированных доменных имён.

MS новостями о своих "достижениях" видимо подготавливает нас к выходу её антивирусной программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Проверил url-ки, представленные во второй новости - не открываются.

Обсуждение в он-лайн с картинками (на английском).

Ссылка на сам отчёт в формате .pdf, тоже на английском (12.8 МБ)

P.S.: Надо иметь в виду, что отчёт на период Январь по Июнь этого года!

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
в первой половине 2008
отчёт на период Январь по Июнь этого года!

Я знаю. Другого пока нет.

Спасибо за прямые ссылки на первоисточник. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dilyaako
      Места для проведения девичников и мальчишников мы искали с помощью данного сайта  https://www.restoclub.ru/msk/search/restorany-dlja-devichnika-i-malchishnika-v-moskve . Мне понравилось, что тут правда есть очень много годных вариантов ресторанов уже сразу с фото и меню. Там же можно найти и всякие рестораны или кондитерские 
    • OliverInfum
      Сим-карта (SIM-карта, через англ. Subscriber Verification Module — модуль идентификации абонента) — идентификационный модуль абонента, применяемый в мобильной связи. сим карты оптом https://optom-sim.ru/ SIM-карты применяются в сетях GSM. Другие современные сотовые тенета обычно также применяют другие модули идентификации, обычно внешне схожие с SIM и выполняющие аналогичные функции — USIM в сетях UMTS, R-UIM в сетях CDMA и пр.В сетях 1G идентификацию абонента в тенета проводили сообразно заводскому номеру сотового телефона — ESN (Electronic Serial Integer). Таким образом, как сотовый телефон, беспричинно и абонент идентифицировались единым кодом. Такой подход порождал полную неволя номера абонента и пакета предоставляемых ему услуг через конкретного экземпляра телефона. Поменяв сотовый телефон (включая случаи поломки и кражи телефона), абонент был вынужден говорить в офис оператора ради того, чтобы телефон перепрограммировали и его серийный часть внесли в базу данных оператора, что некоторые операторы делали платно.
      Бесспорно, сколько более удобна идентификация абонента, независимая через телефона. В стандарте GSM было предложено разделить идентификацию абонента (с помощью SIM-карты) и оборудования (чтобы этого используется IMEI — международный идентификатор мобильного оборудования).Основная функция SIM-карты — хранение идентификационной информации об аккаунте, который позволяет абоненту легко и оживленно менять сотовые аппараты, не меняя около этом свой аккаунт, а простой переставив свою SIM-карту в подобный телефон. Чтобы этого SIM-карта включает в себя микропроцессор с ПО и данные с ключами идентификации карты (IMSI, Ki и т. д.), записываемые в карту для этапе её производства, используемые для этапе идентификации карты (и абонента) сетью GSM.
      Также SIM-карта может сберегать дополнительную информацию, например: телефонную книжку абонента списки ходящих/исходящих/пропущенных телефонных звонков текст входящих/исходящих SMS. В современных телефонах чаще всего эти данные не записываются для SIM-карту, а хранятся в памяти телефона, поскольку SIM-карта имеет довольно жёсткие ограничения на формат и объём хранимых для ней данных. Сим-карта содержит микросхему памяти, поддерживающую шифрование. Существуют карты различных стандартов, с различным размером памяти и разной функциональностью. Обедать карты, для которые около производстве устанавливаются дополнительные приложения (апплеты), такие будто сим-меню, клиенты телебанка, и т. д.
      Для самой карте телефонный часть абонента (MSISDN) в явном виде не хранится, он присваивается сетевым оборудованием оператора быть регистрации сим-карты в путы для основании её IMSI. Сообразно стандарту быть регистрации одной SIM-карты в путы оператор может присвоить ей маломальски телефонных номеров. Все эта возможность требует соответствующей поддержки инфраструктурой оператора (и соответствующих затрат с его стороны), поэтому чаще всего не применяется.
      Около утрате сим-карты абонент вынужден поставить в знаменитый оператора, утерянная карта блокируется, и абоненту выдаётся новая карта (платно или даром, в зависимости через условий оператора). Часть телефона, баланс и все подключённые услуги присутствие этом остаются неизменными, однако совершенно абонентские данные, хранившиеся для SIM-карте, не подлежат восстановлению. Сим-карта устанавливается в SIM-держатель сотового телефона, кто в современных сотовых телефонах обычно располагается почти аккумуляторной батареей. Положение сим-держателя около аккумулятором не позволяет устанавливать/извлекать сим-карту около включённом питании телефона, потому который это может привести к повреждению карты. Четыре формата сим-карт: полноразмерная сим-карта (1FF), mini-SIM (2FF), micro-SIM (3FF) и nano-SIM (4FF). Mini-SIM и micro-SIM обычно поставляются в виде выламываемых частей полноразмерной сим-карты Мини-сим-карта с возможностью лёгкого преобразования её в микро-сим-карту. ICC-код затем выламывания остаётся на микро-сим-карте.
      SIM-карты в ход нескольких десятилетий малопомалу уменьшались в размерах, впрочем сохраняли функциональность и совместимость вне зависимости через формата. Изначально карты выпускались в полноразмерном формате, кроме в виде mini-SIMs. С середины 2000-х внедряются карты форматов micro-SIM. С начала 2010-х — nano-SIM. Урывками, положим в устройствах M2M, функции SIM-карт реализуются встроенной в осуществление микросхемой.
    • Dilyaako
      Уже почти месяц не заказывал рассылку по почте. Так получилось, что раз заказал, но не пошло дело. Потом оказалось ,что не у тех заказывал. В итоге, выбрал других ребят. Ребят из https://dashamail.ru/ . А тут уже пошло поехало, очень понравилось их отношение и работа в целом.
    • Dilyaako
      ребята, а где вы сервера для форекс арендуете?
      я вот присмотрел vps для форекс через компанию СистемХост, думаю, там арендовать. вроде, ценник получается вполне нормальный, тем более, характеристики на нормальном уровне. что скажете по этому поводу?
    • 1kryptik
      Необходим был обмен криптовалюты на рубли, обменял быстро на Ripae, рекомендую всем классный обменный пункт!
×