Новый антивирус Microsoft "утек" в Сеть

Новый антивирус Microsoft "утек" в Сеть

Компания Microsoft допустила "утечку" в Интернет предварительных версий своего нового антивирусного решения под названием MSE (Microsoft Security Essentials). Ранее этот проект был известен под кодовым названием Morro.

Планируется, что программа Microsoft Security Essential станет заменой известного пакета Windows Defender. Официально пакет MSE для борьбы с вирусами, шпионскими программами, руткитами и троянами должен выйти во второй половине 2009 г. Скорее всего, пакет будет распространяться бесплатно для всех пользователей лицензионных копий Windows XP, Vista и Windows 7.

Экспертам с сайта Ars Technica попали в руки предварительные копии отдельных установочных файлов для 32-битной системы Windows XP, а также для 32-битной и 64-битной версии Windows Vista. Размер установочных файлов составляет от 3 Мбайт до 7 с лишним Мбайт в зависимости от выбранной платформы. Текущая версия сборки – 1.0.2140.0. Непосредственно на стадии установки пакет MSE проверяет подлинность копии Windows с помощью механизма Genuine Windows.

Первое, что делает пакет MSE после завершения установки – это загрузка последних антивирусных сигнатур с сайта Microsoft. После загрузки появляется главное окно программы с указанием двух основных видов защиты – в реальном времени и сканирование по запросу. Также в дополнительных вкладках главного окна программы представлена история работы антивируса с указанием всех элементов, в которых найдены вирусы. Следует заметить, что интерфейс Microsoft Security Essentials выглядит гораздо современней, чем Windows Defender, и предлагает гораздо больше параметров для изменения.

Дополнительную информацию о пока еще не выпущенном антивирусном пакете Microsoft Security Essentials, а также снимки экрана можно найти в подробном обзоре на сайте Ars Technica.

источник 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Android-троян GhostGrab уличен в клептомании и крипомайнинге

Проведенный в CYFIRMA анализ Android-зловреда GhostGrab показал, что это гибридная угроза. Новый модульный троян крадет ключи от банковских счетов и вдобавок использует ресурсы жертвы для добычи монеро.

Новобранец очень цепок, всегда работает в фоне и умело уклоняется от обнаружения и системных попыток прибить его процессы. Для получения команд и отправки украденного он обращается к Firebase.

Атака начинается с JavaScript-редиректа на сайте kychelp[.]live (домен был зарегистрирован в начале лета). При перенаправлении браузера автоматом происходит загрузка дроппера, замаскированного как BOM FIXED DEPOSIT.apk (результат VirusTotal на 28 октября — 26/61).

В поддержку иллюзии при установке жертве выводится интерфейс обновления, копирующий стиль Google Play. Успешно внедрившись, вредонос запрашивает разрешение на установку приложений из сторонних источников (REQUEST_INSTALL_PACKAGES) для беспрепятственного развертывания модуля банковского стилера.

Чтобы обеспечить себе постоянное присутствие в системе, дроппер выводит на экран уведомление и закрепляет его, инициируя запуск службы переднего плана.

 

Банковский модуль GhostGrab (детектируют 10 антивирусов из 66 на VirusTotal) вначале выполняет профилирование зараженного устройства, в частности, выясняет номер телефона и имя провайдера связи.

Он также запрашивает множество разрешений, в том числе доступ к СМС (для перехвата одноразовых кодов и уведомлений банков) и телефонной связи (для перевода звонков своему оператору и выполнения USSD-команд).

Чтобы беспрепятственно работать в фоне, зловред просится в список исключений по энергосбережению, скрывает свою иконку и использует механизмы автоматического перезапуска по системным событиям (перезагрузка ОС, изменение состояния экрана, возможность установления соединений).

 

Банкер также умеет выуживать интересующую его информацию с помощью фишинговых страниц. Заготовки вшиты в код и поочередно отображаются через WebView.

Вначале у жертвы запрашивают полное имя, уникальный идентификатор карты, номер счета — якобы для завершения процедуры KYC. После ввода ее попросят предоставить все данные дебетовой карты или учетки для доступа к системе ДБО.

Мониторинг заполнения фальшивых форм и вывод содержимого осуществляются с помощью JavaScript-сценария. Украденная информация направляется прямиком в Firebase и, как оказалось, хранится там в незашифрованном виде в общедоступной базе данных.

Для управления резидентным зловредом используются возможности Firebase Cloud Messaging: команды подаются в виде пуш-уведомлений.

Когда устройство жертвы заблокировано, GhostGrab может загрузить со стороннего сервера зашифрованный криптомайнер (libmine-arm64.so). Этот модуль тоже работает в фоне, используя монеро-кошелек, адрес которого жестко прописан в коде дроппера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru