Immunet 3.0 - сам себе вирусный аналитик

Николай Головко 10 Февраля 2011 - 07:31

...

Компания Sourcefire представила новое антивирусное решение - Immunet 3.0. Это первый выпуск данного продукта, состоявшийся после того, как Sourcefire приобрела его производителя за 21 млн. долларов. Обновленная разработка активно использует возможности "облачных" технологий и позволяет любому желающему попробовать себя в написании своих собственных противовирусных сигнатур.

До вышеупомянутой сделки Sourcefire и Immunet совместно трудились над этим продуктом, который ранее был широко известен как ClamAV для Windows. Новая версия по-прежнему работает на базе той же антивирусной системы с открытым кодом, однако называется теперь по-другому ("Immunet 3.0, на основе технологий ClamAV"); кроме того, интеграция указанной системы в решение для оффлайн-сканирования стала более тесной.

К числу основных особенностей Immunet 3.0 разработчики относят функцию повторного обращения к "облаку". Это нововведение обеспечивает непрерывную обработку файлов: если какой-либо объект на момент его первого сканирования отсутствовал в базе данных Immunet, однако спустя какое-то время был в нее добавлен, антивирусная система сможет ретроактивно его обработать без запуска повторного исследования.

Представитель Sourcefire отметил, что вся информация в базах данных постоянно находится в движении - обновляется, пересматривается, удаляется; соответственно, работающее с этими базами клиентское приложение всегда будет обеспечено наиболее актуальными сведениями о вирусной обстановке.

Также в Immunet 3.0 появился механизм отката, который позволит избежать нежелательных последствий в случае выпуска некорректных обновлений.

Еще одно нововведение состоит в том, что теперь пользователям бесплатной версии продукта будет доступен функционал оффлайн-сканирования - ранее эта возможность была привилегией владельцев платного выпуска. Приобретение лицензии по-прежнему гарантирует предоставление технической поддержки, а также открывает доступ к подсистеме поиска руткитов.

Кроме того, в случае необходимости пользователь сможет написать свои собственные антивирусные сигнатуры для борьбы с ранее не известным вредоносным программным обеспечением. Сделать это можно будет двумя способами: через командную строку или при помощи особого мастера, который, по замыслу создателей, поможет справиться с непростой задачей даже пользователю со средним уровнем подготовки.

В дальнейшем Sourcefire рассчитывает построить на базе Immunet оборонное решение для предприятий и выйти с ним на рынок средств корпоративной антивирусной защиты.

eSecurity Planet

" />

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 10:33

Фишинг Социальная инженерия Мошенничество Онлайн-мошенничество Домашние пользователи

Новая атака в Telegram использует официальную аутентификацию мессенджера

Эксперты зафиксировали новую и довольно изощрённую фишинговую кампанию в Telegram, которая уже активно используется против пользователей по всему миру. Главная особенность атаки в том, что злоумышленники не взламывают мессенджер и не подделывают его интерфейс, а аккуратно используют официальные механизмы аутентификации Telegram.

Как выяснили аналитики компании CYFIRMA, атакующие регистрируют собственные API-ключи Telegram (api_id и api_hash) и с их помощью инициируют реальные попытки входа через инфраструктуру самого мессенджера. Дальше всё зависит от того, как именно жертву заманят на фишинговую страницу.

Всего специалисты наткнулись на два подобных сценария. В первом случае пользователю показывают QR-код в стиле Telegram, якобы для входа в аккаунт. После сканирования кода в мобильном приложении запускается легитимная сессия, но уже на стороне злоумышленника.

Во втором варианте жертву просят вручную ввести номер телефона, одноразовый код или пароль двухфакторной защиты. Все эти данные тут же передаются в официальные API Telegram.

Ключевой момент атаки наступает позже. Telegram, как и положено, отправляет пользователю системное уведомление в приложении с просьбой подтвердить вход с нового устройства. И вот тут в дело вступает социальная инженерия. Фишинговый сайт заранее подсказывает, что это якобы «проверка безопасности» или «обязательная верификация», и убеждает нажать кнопку подтверждения.

В итоге пользователь сам нажимает «Это я» и официально разрешает доступ к своему аккаунту. Никакого взлома, обхода шифрования или эксплуатации уязвимостей не требуется: сессия выглядит полностью легитимной, потому что её одобрил владелец аккаунта.

По данным CYFIRMA, кампания хорошо организована и построена по модульному принципу. Бэкенд централизованный, а домены можно быстро менять, не затрагивая логику атаки. Такой подход усложняет обнаружение и блокировку инфраструктуры.

После захвата аккаунта злоумышленники, как правило, используют его для рассылки фишинговых ссылок контактам жертвы, что позволяет атаке быстро распространяться дальше — уже от лица доверенного пользователя.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »