воскресенье, 30 января 2011 г.

На неграмотном пользователе хакеры зарабатывают 500 долларов

"Обработка" одного компьютерного пользователя, не имеющего достаточных знаний в области информационной безопасности, может принести злоумышленнику до 500 долларов. Такое мнение озвучили эксперты "Лаборатории Касперского", сообщает Roem.ru.
По словам специалистов компании, заработать можно как на использовании компьютера жертвы, так и на самом обманутом пользователе. Например, скрытая установка дополнительных панелей в браузере и замена стартовой страницы, выбрасывающая пользователя на определенный сайт, могут принести злоумышленнику около 5 долларов, однако эти доходы куда меньше, чем те деньги, которые "юзеры" готовы платить сами.
Например, фальшивый антивирус неподготовленному пользователю можно продать за 50 долларов, а за восстановление зашифрованных троянской программой данных хакеры берут около 100 долларов. Наконец, краденые персонажи в онлайновой игре World of Warcraft могут стоить по полторы сотни долларов. Кроме того, большой популярностью среди хакеров пользуются программы-блокеры, блокирующие работу компьютера и снимающие блокировку за деньги, и троянские утилиты, заражающие мобильные телефоны и отправляющие SMS на платные номера.

Google ввел фильтрацию поисковых запросов

Компания Google оснастила свой поисковик системой фильтрации запросов, связанных с файлообменными сервисами и торрент-трекерами.

Теперь Google не отображает подсказки в окне поиска при вводе запроса и не позволяет использовать "живой" поиск для определённых терминов, названий и словосочетаний. В список запрещенных запросов, в частности, попали BitTorrent, torrent, utorrent, RapidShare, Megaupload и другие.

Каким образом составлялся "чёрный" список в Google не пояснили. С одной стороны, подсказки и "живой" поиск недоступны для любых словосочетаний, содержащих термин "torrent". С другой — Google, почему-то не включила в перечень название Pirate Bay.

Однако, стоит отметить, что сами поисковые результаты по "неугодным" терминам цензуре не подвергаются. После ввода запроса целиком пользователи по-прежнему могут видеть перечень соответствующих ссылок.

Исходники "Касперского" оказались в открытом доступе

В результате утечки в публичный доступ попали исходные коды продуктов "Лаборатории Касперского".

На бесплатном файловом хостинге Mlfat4arab выложены исходные коды продукта "Лаборатории Касперского" - Kaspersky Internet Security.

Rar-архив размером 182 МБ 26 января 2011 г. загрузил на хостинг неизвестный пользователь, и к моменту написания этого материала файл был скачан 2071 раз. Архив содержит коллекцию файлов с кодом, написанным на C++ в инструменте Visual C, и сборочных файлов.

Судя по названиям папок в архиве, в нем содержится исходный код движка KLAVA, работы над которым в "Лаборатории Касперского" вошли в заключительную фазу в 2008 г. На KLAVA основаны все последующие поколения продуктов компании, начиная с линейки 2009 г., вышедшей на рынок осенью 2008 г.

Эксперты российского российского дистрибутора ESET, производителя антивируса NOD32, получили возможность изучить утекший архив, рассказал Александр Чачава, президент Leta Group, которой принадлежит дистрибутор.

По его словам, специалисты компании пришли к выводу, что архив содержит части кода ядра в версиях 2006 г. и 2007 г., и "вряд ли конкуренты и злоумышленники при их изучении смогут узнать какие-то ноу-хау, поскольку эвристика у "Касперского" с тех пор изменилась".

В "Лаборатории Касперского" признают утечку кода, содержащую "фрагмент устаревшей версии антивирусного ядра, которое после этого было серьезно доработано и обновлено. В компании-разработчике нынешнюю утечку связывают с инцидентом, имевшим место в начале 2008 г.

Пресс-служба "Лаборатории" сообщила, что "бывший сотрудник компании, в свое время имевший правомерный доступ к исходному коду продуктов 2008 г., разместил в интернете объявление о его продаже". После обращения компании в правоохранительные органы виновник утечки был задержан и приговорен к 3 годам лишения свободы условно с испытательным сроком 3 года по статье 183 Уголовного кодекса РФ.

Microsoft предупреждает об уязвимости в MHTML

Корпорация Microsoft сообщила об обнаружении серьезной уязвимости, которая уже используется хакерами.

Речь идет о баге в обработчике протокола MHTML (MIME Encapsulation of Aggregate HTML), использование которого ведет к несанкционированной утечке данных. Сообщается, что образец эксплоита, использующего данный баг, уже есть в открытом доступе.

В корпорации говорят, что данная уязвимость отдаленно напоминает выполнение сценариев XSS, также приводящих к несанкционированному получению данных. К примеру, атакующий может сконструировать HTML-ссылку, указав в ней определенные параметры, провоцирующие уязвимость. В дальнейшая задача хакера сводится к тому, чтобы под каким-либо предлогом убедить свою жертву нажать на ссылку.

В случае нажатия ссылки, происходит выполнение скрипта на компьютере под управлением Internet Explorer и в рамках текущей сессии злоумышленник может получить пользовательскую информацию, причем браузер можно вынудить показывать ту или иную информацию, маскирующую несанкционированную активность.

В соответствии с сообщением Microsoft, уязвимость затрагивает все поддерживаемые версии Internet Explorer и все поддерживаемые версии Windows. Уязвимость возникает из-за того, что программный код, существующий в интерпретаторе MHTML, определенным образом интерпретирует MIME-запросы в веб-документах.

Впрочем, в компании nCircle говорят, что несмотря на наличие существующего эксплоита, использовать уязвимость довольно трудно, так как хакеру нужно не только заставить пользователя нажать на ссылку, но и контролировать веб-сервер на его компьютере. "Технически, спровоцировать уязвимость нетрудно, но гораздо труднее получить результат ее выполнения. Это обстоятельство делает атаку не столь опасной", - говорит Эндрю Стормс, директор по безопасности nCircle.

"Риск атаки невелик, тем более, чем Microsoft на своем сайте опубликовала рекомендации по снижению потенциальной угрозы", - говорит он.

По данным Microsoft, пользователи могут просто временно отключить работы протокола MHTML, а также заблокировать ActiveX с высокой степенью опасности.

Описание работы вируса Backdoor.Win32. Bredavi.bug

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 2560 байт. Написана на С++.

Деструктивная активность

После запуска троянец собирает сведения о зараженном компьютере и отправляет их по следующим адресам:
http://ch***er.com/zjfctdue/dwxkyhz.php?id=<num1>&p=<num2>
http://dhc***ate.com/zjfctdue/dwxkyhz.php?id=<num1>&p=<num2>
где <num1> - серийный номер тома для диска "С:" в десятичном формате, <num2> - указывает объем видеопамяти зараженного компьютера: "0" – не менее 32 МБ видеопамяти, "1" – менее 32 МБ видеопамяти. Затем троянец удаляет свой оригинальный файл и завершает работу.

Описание работы вируса Exploit.JS. Pdfka.cmm

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 10432 байта.

Деструктивная активность

Вредоносный PDF документ содержит в себе сжатый поток данных, который, после открытия документа, распаковывается и представляет собой обфусцированный сценарий Java Script. После выполнения расшифровки скрипта, эксплоит определяет версию, установленного в системе, продукта Adobe. Затем в зависимости от версии – использует уязвимости данного продукта.
Эксплоит использует уязвимости, которые существуют при обработке методов util.printd(), Doc.media.newPlayer (CVE-2009-4324), при вызове функций Collab.collectEmailInfo() (CVE-2007-5659), Collab.GetIcon() (CVE-2009-0927) и util.printf() (CVE-2008-2992), в продуктах Adobe Reader и Adobe Acrobat версий 8, 9.1, 9.2. При успешной эксплуатации уязвимости, вредонос загружает файл по ссылке:
http://u***tyr.com/xknawr/zvnmnwe/ztxq.php?
&&reader_version=<версия_продукта>
который сохраняется в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%\e.exe
После этого вредонос запускает загруженный файл на выполнение. На момент создания описания ссылка не работала.

Описание работы вируса Exploit.JS. Pdfka.cmu

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 208804 байта.

Деструктивная активность

Вредоносный PDF документ содержит в себе сжатый поток данных, который, после открытия документа, распаковывается и представляет собой обфусцированный сценарий Java Script. После выполнения расшифровки скрипта, эксплоит использует уязвимости, которые существуют при обработке методов util.printd(), Doc.media.newPlayer (CVE-2009-4324), при вызове функций Collab.collectEmailInfo() (CVE-2007-5659), Collab.GetIcon() (CVE-2009-0927) и util.printf() (CVE-2008-2992), в продуктах Adobe Reader и Adobe Acrobat версий 9.2, 9.1, 8. При успешной эксплуатации уязвимости, вредонос загружает файл, который располагается по ссылкам:
http://ce***re.biz/vaw/yogetheadshot.php?ids=UdPDF
http://ce***re.biz/vaw/yogetheadshot.php
который сохраняется в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%\e.exe
Затем вредонос выполняет расшифровку загруженного исполняемого файла и запускает его на выполнение. На момент создания описания ссылки не работали.

Описание работы вируса Exploit.Win32. Pidief.cjn

Программа-эксплоит, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 7850 байт.

Деструктивная активность

Вредоносный PDF документ, содержащий в себе обфусцированный сценарий Java Script. Для выполнения вредоносного кода эсплоит использует уязвимости, которые существуют при вызове функций Collab.collectEmailInfo() (CVE-2007-5659), Collab.GetIcon() (CVE-2009-0927) и util.printf() (CVE-2008-2992), в продуктах Adobe Reader и Adobe Acrobat версий 9.1, 8.1.2 и более ранних. При успешной эксплуатации уязвимости, вредонос загружает файлы по ссылкам:
http://ado***vices.ru/zjlu2.exe
http://ado***vices.ru/dejmnt2.exe
http://ado***vices.ru/adiux2.exe
На момент создания описания ссылки не работали. При успешной загрузке скачанный файл сохраняется под именем:
%Temporary Internet Files%\a.exe
После чего запускается на выполнение и эксплоит завершает свою работу.

Описание работы вредоносной программы AdWare.Win32. Exact.a

Вредоносная программа является частью другой вредоносной программы рекламного характера. Является приложением Windows (PE-EXE файл). Имеет размер 61440 байт. Написана на C++.

Деструктивная активность

В зависимости от параметров, с которыми запущен вредонос, выполняются действия, описанные ниже.
-c <ClassName> -w <WindowName>
При этом окну с именем "<WindowName>" и именем класса "<ClassName>" посылается сообщение WM_CLOSE. Таким образом, вредонос пытается закрыть данное окно.
-h
Вредонос находит в системе окно с именем класса "exactUpdate" и закрывает его.
-u <URL> -p <Param1> -b <Param2>
Запускается системная утилита "REGSVR32.EXE" с параметрами:
/u /s %WorkDir%\exacttoolbar.dll
/u /s <Path>\exacttoolbar.dll
Путь "<Path>" получается из значения ключа системного реестра:
[HKLM\Software\eXact]
"InstallDir"
Таким образом, регистрация в системе упомянутых библиотек отменяется. Затем запускается исполняемый файл браузера Internet Explorer "IEXPLORE.EXE" со следующими параметрами:
<URL>?PARTNER=<Param1>&BRANDING=<Param2>&GUID=<GUID>
Значение параметра "<GUID>" читается из ключа реестра:
[HKCU\Software\eXact]
"GUID"
Путь к файлу "IEXPLORE.EXE" вредонос читает из ключа:
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE]
"(Default)"
Также запускается системная утилита "REGEDIT.EXE" с параметрами:
/s "<Path>\wipe.reg"
После этого из каталогов "%WorkDir%" и "<Path>" удаляются файлы:
exactToolbar.dll
exactUpdate.exe
buttons.xml
poplinks.xml
engines.xml
exception.xml
logo.jpg
Toolbar.log
log.log
dir.txt
dirlisting.bat
resetUpdateInterval.reg
PopularLink.reg
exactLog.txt
CloseWindow.exe
Wipe.reg
Также удаляется файл "C:\CloseWindow.txt"
-r <FileName>
При этом создается копия файла:
%WorkDir%\<FileName>
сохраняемая как
<Path>\<FileName>
Содержимое оригинала при этом удаляется.
-x <FilePath>
Запускается на выполнение файл "<FilePath>". Вредонос ведет лог своей работы, сохраняя его в файлах:
<Path>\exactlog.txt
%WorkDir%\exactlog.txt
Пример лога:
STARTING CLOSEWINDOW VERSION 00.023(^%#&($@&^)()
1388                    19:37:35 12/22/2010
CommandLine = "C:\virus\not_a_virus_AdWare.Win32.Exact.a\
CloseWindow.exe" -r file.dat
1388                    19:37:36 12/22/2010     CloseWindow 00.023
CloseWindow: Current Version = 23
1388                    19:37:36 12/22/2010     CloseWindow 00.023
CloseWindow: Newest Available Version = -1
1388                    19:37:37 12/22/2010
ARG = "C:\virus\not_a_virus_AdWare.Win32.Exact.a\CloseWindow.exe"
1388                    19:37:38 12/22/2010
ARG = -r
1388                    19:37:39 12/22/2010
ARG = file.dat
1388                    19:38:04 12/22/2010
OPEN file.dat TO READ
1388                    19:39:53 12/22/2010     CloseWindow 00.023
189 BYTES WERE READ
1388                    19:40:08 12/22/2010
OPEN c:\program files\exact\file.dat TO WRITE
1388                    19:41:28 12/22/2010     CloseWindow 00.023
189 BYTES WERE WRITTEN
1388                    19:41:38 12/22/2010
OPEN file.dat TO WRITE
1388                    19:42:28 12/22/2010     CloseWindow 00.023
24 BYTES WERE WRITTEN
1388                    19:42:37 12/22/2010
CLOSEWINDOW IS UNINSTALLING
1276                    19:46:19 12/22/2010

Описание работы вируса Trojan.Win32. Fregee.x

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE DLL-файл). Имеет размер 22016 байт. Написана на C++.

Инсталляция

Троянец копирует свое тело в системный каталог Windows под именем "lkmj.bdo":
%System%\lkmj.bdo
Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe rundll32.exe lkmj.bdo igtvkg"

Описание работы вируса Trojan.Win32. Sasfis.aeih

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 18944 байта. Написана на C++.

Деструктивная активность

После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя файл:
%Temp%<rnd1>.tmp
Где <rnd1> - случайный набор цифр и букв латинского алфавита. Данный файл имеет размер 22016 байт и детектируется Антивирусом Касперского как Trojan.Win32.Fregee.x
Затем троянец подгружает в свое адресное пространство извлеченный файл и производит запуск содержащегося в нем вредоносного кода.

Описание работы вируса Trojan-Downloader.BAT. Agent.gy

Троянская программа. Является пакетным файлом командного интерпретатора (BAT-файл). Имеет размер 1729 байт.

Деструктивная активность

При запуске создает каталог с именем:
%WinDir%\ehome
Далее троянец загружает файл по следующим ссылкам:
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011617.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011618.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011619.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011620.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011621.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011622.swf
На момент создания описания ссылки не работали. Скачанные файлы сохраняются под следующими именами соответственно:
%WinDir%\ehome\cacls.vbs
%WinDir%\ehome\cacls.exe 
%WinDir%\ehome\cacls.bat
%WinDir%\ehome\cacls1.exe
%WinDir%\ehome\cacls1.bat
%WinDir%\ehome\ca.bat
После этого троянец запускает файл «%WinDir%\ehome\cacls.vbs», удаляет свой исполняемый файл и завершает свою работу.