Специалисты ЛК обнаружили новый вид SMS-спам рассылки

"Лаборатория Касперского" сообщила об обнаружении очередной SMS-спам рассылки, содержащей ссылку на вредоносную программу для мобильных телефонов и смартфонов: Trojan-SMS.J2ME.Smmer.f.Отправителем мог значиться обычный мобильный телефонный номер, например, +79671*****2.

По ссылке в спам-сообщении находится очередной SMS-троянец, который детектируется ЛК как Trojan-SMS.J2ME.Smmer.f. Около года назад антивирусная компания уже обнаружила похожую кампанию, однако в случае рассылки годичной давности SMS-троянец пытался отправить SMS-сообщения на платный короткий номер 8353, стоимость сообщения на который равна ~180 рублям. SMS-троянец из вчерашней рассылки отправляет ровно два сообщения: первое - на короткий номер 3116; второе - на короткий номер 8464.

Стоимость сообщения на любой из данных коротких номеров равна... 0 рублям. В очередной раз всплывает старый вопрос: "Где деньги?" Дело в том, что данные короткие номера используются одним из операторов сотовой связи для перевода денежных средств с одного мобильного телефона на другой. Если один абонент хочет осуществить такую операцию, то ему необходимо отправить SMS-сообщение на номер 3116 следующего вида: "Номер_телефона_получателя Сумма_перевода"

Trojan-SMS.J2ME.Smmer.f отправляет первое сообщение на короткий номер 3116 с текстом "9654*****2 200". Это значит, что баланс мобильного телефона зараженного пользователя уменьшится на 200 рублей из-за вредоносной программы. Но зачем SMS-троянцу отправлять второе бесплатное SMS-сообщение на короткий номер 8464 с текстом "1". Данная SMS'ка необходима для подтверждения перевода средств с одного телефона на другой.

"Мы видели похожие вредоносные программы уже два года назад, однако их целью были пользователи оператора сотовой связи в Индонезии. Различные сервисы, предлагаемые мобильными операторами, созданы для удобства пользователей. Данная конкретная услуга мобильного перевода позволяет пополнить баланс абонента, который в этом нуждается. Однако, как мы видим, злоумышленники всегда пытаются обратить легальные сервисы в нелегальное средство обогащения", - говорит Денис Масленников, антивирусный эксперт "Лаборатории Касперского".

Исследователи использовали USB для атаки на смартфоны

Профессор информатики Ангелос Ставру и его студент Жаохай Ванг создали программное обеспечение, которое позволяет модифицировать функциональность драйвера USB и предоставляет возможность проведения скрытной атаки во время зарядки смартфона или синхронизации данных между мобильным устройством и компьютером. Профессор Ставру и его партнер готовы продемонстрировать свою разработку в действии на проходящей в эти дни конференции Black Hat DC.

Эксплойт оказался возможным благодаря уникальной особенности протокола USB, который допускает подключение к системе любого устройства без предварительной аутентификации. В случае успешного проведения атаки злоумышленник получает возможность ввода команд с клавиатуры и совершения щелчков мышью с целью кражи файлов, загружать вредоносное ПО или выполнять другие действия для получения контроля над системой.

Созданное исследователями приложение распознает ОС, запущенную на компьютере с подключенным по USB смартфоном. Системы Macintosh и Windows выводят на дисплей всплывающее сообщение об подключении нового устройства, однако пользователям не предоставляется явной возможности приостановки этого процесса. На Mac-системах всплывающее сообщение может быть быстро закрыто хакером, так что в большинстве случаях оно останется незамеченным. В операционной системе Windows всплывающее окно и так задерживается на экране не больше пары секунд, а пользователи Linux, не получающие от системы соответствующих уведомлений, вообще не поймут, что происходит что-то необычное.

Написанное профессором и студентом приложение в настоящий момент запускается только на устройствах Android. Впрочем, злоумышленники смогут проделать тот же трюк со смартфоном iPhone и любым другим устройством, поддерживающим интерфейс USB. Оказаться объектами атаки могут и два смартфона, соединенные кабелем.

Изначально приложение-эксплойт может проникать на устройство в результате загрузки файла из Интернета или запуска приложения. «Представьте себе, что ваш домашний компьютер оказался скомпрометированным. В этом случае при установке соединения вы заражаете и Android-устройство, - объясняет разработчик – Разумеется, впоследствии могут быть скомпрометированы и другие ноутбуки или настольные ПК, к которым подключается смартфон».

Ангелос Ставру утверждает, что существующие антивирусные решения вряд ли способны обнаружить и ликвидировать угрозу, поскольку не смогут отличить деятельность опасного приложения от легальной активности, санкционированной владельцем ПК.

Таким образом, в настоящий момент ни один из ПК-пользователей не защищен от опасности. Эксперты считают, что для противостояния новой угрозе необходимо научить операционную систему проводить тщательный анализ USB-трафика, уведомлять пользователя о потенциально опасной активности и предоставлять возможность отмены того или иного действия.

Firefox заблокировал Skype Toolbar

Разработчики Mozilla объявили, что популярный плагин Skype Toolbar стал одной из главных причин падений Firefox и запретили его установку и использование в браузере.

Mozilla добавила в своей черный список дополнение Skype для Firefox. Оно будет заблокировано во всех версиях браузера, сообщила компания в своем блоге.

Добавить в Firefox дополнение Skype пользователю предлагается при установке клиента Skype на компьютер. Дополнение преобразует телефонные номера на веб-страницах в формат Skype, а также позволяет добавить в браузер панель инструментов Skype.

Mozilla заявила, что дополнение Skype приводит к сбоям в браузере (на минувшей неделе было зарегистрировано около 40 тыс. сбоев по его вине), а также в несколько раз замедляет загрузку страниц.

Как сообщается, представители Mozilla связались с разработчиками из компании Skype, которые приступили к исправлению наблюдаемых проблем. Блокировка будет снята после того, как все мешающие работе ошибки будут устранены. До снятия блокировки пользователи, желающие воспользоваться данным дополнением, могут вручную активировать его в менеджере дополнений Firefox.

Появился первый троян, блокирующий облачные антивирусы

В Китае создан первый троян, специально нацеленный на противостояние с "облачными" антивирусами, сообщает Microsoft Malware Protection Center. Троян Bohu распространяется под видом бесплатного видеоплеера, и пока что борется только с китайскими антивирусами Kingsoft, Qihoo и Rising.

На "облачные" решения по обеспечению безопасности переходят сейчас многие антивирусы. В частности, "Лаборатория Касперского" с 2009 года использует в своих продуктах систему KSN, которая получает обратную связь с компьютеров пользователей, что позволяет более оперативно отслеживать новые угрозы. В том же году Panda Security выпустила ряд облачных решений - в частности, утилиту для браузера, которая отфильтровывает опасные сайты, опять-таки на основе данных от интернет-пользователей. Использование таких технологий привело к тому, что вирусописатели ищут новые ходы - или вспоминают старые.

Вирус Bohu незаметно перекрывает трафик между пользовательским компьютером и сервером антивируса, не давая пользовательскому компьютеру сообщить в центр об подозрительной активности. Стоит отметить, что ранее уже существовали вирусы, которые блокируют антивирусные сайты, но в данном случае речь идет о более продвинутой технике - блокируется не просто сайт производителя, а онлайновая система оперативной связи с антивирусным "облаком".

Microsoft закрыла доступ к исходному коду утилит Sysinternals

В 2006 году Microsoft купила компаниюВ 2006 году Microsoft купила компанию Sysinternals . Разработчики Марк Руссинович и Брюс Когсвелл написали большое количество полезных системных утилит для управления, диагностики, устранения неполадок и мониторинга среды Microsoft Windows.

Сайт Sysinternals стал частью Microsoft Technet, утилиты по-прежнему доступны для загрузки здесь и здесь . Но до покупки компании, на сайте можно было скачать исходные коды программ, а теперь исходные коды недоступны.

Microsoft утверждает , что исходный код был убран по причине того, что его доступность может вызвать проблемы с поддержкой других компонентов Windows.

Исходники программ Sysinternals демонстрировали такие возможности, как сокрытие информации в реестре, перехват и подключение API-функций для мониторинга файловой системы и другие интересные вещи. Зачастую в программах использовались недокументированные функции Native API , для выполнения действий, невозможных при использовании стандартного WinAPI.

К счастью, кто-то выложил на торренты зеркало сайта Sysinternals от 18 июля 2006 года (дата покупки компании), которое содержит не только страницы сайта, но и все утилиты и исходный код.