PandaLabs сообщает об эпидемии сетевого червя Conficker

PandaLabs сообщает об эпидемии сетевого червя Conficker

Антивирусная лаборатория PandaLabs обнаружила новое семейство червей Conficker, которые распространяются через Интернет и USB-устройства и эксплуатируют уязвимость в Microsoft Windows. Внедряясь на ПК пользователя, червь загружает другие вредоносные коды и позволяет хакерам выполнять на зараженном ПК удаленный код.

Червь Conficker из нового семейства компьютерных червей уже заразил тысячи компьютеров по всему миру. Лаборатория по обнаружению и анализу вредоносных программ PandaLabs выявила три варианта данного червя (Conficker A, B и C). Первые заражения этим кодом были зарегистрированы в конце ноября, но значительный скачок в его распространении произошел после новогодних праздников.

Червь распространяется посредством эксплуатации уязвимости MS08-067 в серверном сервисе Microsoft Windows. Он использует специальные RPC-вызовы к другим машинам. Зараженные компьютеры затем загружают копию червя. RPC – это аббревиатура для обозначения Дистанционного вызова процедур, т.е. протокола, позволяющего внедрение в сетевой компьютер удаленного кода, который, в данном случае, позволяет создателю червя удаленно захватывать контроль над зараженной машиной.

Червь также распространяется посредством USB-устройств, например, флэш-накопителей и MP3-плееров.

К тому же червь постоянно обновляется, загружая свои новые версии на зараженные машины с различных, постоянно изменяющихся IP-адресов, что затрудняет блокирование и еще более увеличивает опасность угрозы. Однако некоторые варианты кода предназначены для загрузки на зараженный компьютер других вредоносных кодов. Это свидетельствует о том, что создатели червей в ближайшем будущем готовятся к запуску широкомасштабной атаки с использованием зараженных машин.

“Вот наиболее вероятный сценарий – кибер-преступники ищут способ быстро заразить большое количество компьютеров. Сразу после заражения можно будет легко загрузить на пораженные машины другие угрозы, предназначенные для получения финансовой прибыли. Например, трояны для кражи паролей к онлайновым банкам или якобы антивредоносные программы, которые генерируют всплывающие окна, постоянно напоминающие пользователю о том, что его компьютер заражен, и практически блокирующие возможность использования компьютера до приобретения «лечения»”, - объясняет Луис Корронс, технический директор PandaLabs.

Данный червь очень похож на варианты, которые много лет назад становились причинами эпидемий – например, "Melissa" и "I love you". Подобно им, Conficker старается заразить максимальное количество компьютеров. Разница заключается в том, что старые варианты распространялись через дискеты, а новые – через USB-устройства.

Для того чтобы проверить, не заражен ли Ваш компьютер червем Conficker, PandaLabs рекомендует для системных администраторов:
- проверить машины на предмет наличия уязвимостей.
- для серверов и рабочих станций необходимо применить патчи в соответствии с бюллетенем Microsoft Bulletin (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx)
- убедиться, что все антивирусные решения и решения безопасности обновлены до последней версии продукта и сигнатурного файла

Источник 

Яндекс опроверг слухи о скрытой установке российского сертификата в Windows

В соцсетях снова включили панические настроения в стиле «нас всех прослушивают». Пользователи начали распространять сообщения о том, что Яндекс Браузер якобы скрытно устанавливает в системное хранилище Windows государственный корневой сертификат Russian Trusted Root CA, и это позволяет перехватывать данные.

В Яндексе это опровергли. Как сообщили в пресс-службе компании в комментарии для телеграм-канала «Лапша Медиа», Яндекс Браузер не изменяет системное хранилище сертификатов при установке или обновлении.

Поддержка сайтов с национальными сертификатами реализована внутри самого браузера и не влияет на список доверенных сертификатов операционной системы.

Иными словами, браузер действительно умеет работать с российскими сертификатами, но не прописывает их тайком в Windows.

 

Отдельно в «Лапша Медиа» отметили, что скрытый перехват данных таким образом невозможен. Современные TLS-соединения защищены стандартными механизмами проверки, а сертификаты проходят контроль через систему Certificate Transparency — публичные журналы, где фиксируется выпуск сертификатов. Если сертификат отсутствует в логах или не соответствует требованиям, соединение должно быть заблокировано.

Сами сертификаты Russian Trusted Root CA используются для защищённого доступа к российским сайтам, которые работают с национальными сертификатами. В Яндекс Браузере их поддержка уже встроена, чтобы такие ресурсы открывались без дополнительных действий со стороны пользователя.

Так что история про скрытую установку, тотальный перехват и MITM из коробки выглядит скорее как очередной панический вброс.

RSS: Новости на портале Anti-Malware.ru