понедельник, 14 февраля 2011 г.

Google вводит двухфакторную аутентификацию для всех пользователей

Компания Google вводит новую систему авторизации пользователей, призванную повысить безопасность и предотвратить незаконный доступ к аккаунтам.

Теперь пользователь, выполняющий процедуру входа в свой аккаунт на сервисе Google, на первом этапе, как и ранее, вводит e-mail адрес, пароль, а затем специальный код. При этом код каждый раз является уникальным, генерация его осуществляется либо с помощью телефонного звонка или SMS, либо посредством приложений для Android, BlackBerry и iPhone.

По желанию можно поставить галочку "Запомнить код верификации на этом компьютере на 30 дней", тогда вводить его каждый раз не будет необходимости. Дополнительная защита от взлома призвана значительно повысить безопасность пользования сервисами Google.

14 февраля - день компьютерщика

14 февраля — неофициальный, но широко отмечаемый в профессиональном мире День компьютерщика. 14 февраля 1946 году научному миру и всем заинтересованным был продемонстрирован первый реально работающий электронный компьютер ENIAC I (Electrical Numerical Integrator And Calculator).

Интересно, что работы по разработке первой вычислительной машины спонсировались американской армией, которой компьютер был необходим для проведения военных расчетов, планирования и программирования. ENIAC I проработал до 23 часов 45 минут 2 октября 1955 года, а потом был разобран.

Конечно, были и более ранние компьютеры, но это все прототипы и экспериментальные варианты. Если уж на то пошло, то первым компьютером вообще была аналитическая машина Бэббиджа... Но ENIAC был первым реально работающим на практических задачах компьютером. Между прочим, именно от ENIACа современные компьютеры унаследовали двоичную систему исчисления.

ENIAC был разработан для решения одной из серьезных и нужных задач того времени: для обсчета баллистических таблиц армии. В армии были отделы, занимающиеся обсчетом баллистических таблиц для нужд артиллерии и авиации. Работали в этих отделах люди на должности Армейского Калькулятора.

Естественно, мощности и производительности этих «вычислительных ресурсов» армии не хватало. Именно поэтому кибернетики в начале 1943 года приступили к разработке концепции нового вычислительного устройства — компьютера ENIAC.

Новая разработка Google поможет бороться с атаками, связанными с переполнением буфера

Google собственными силами ведет разработку набора расширений для Java, которые позволят лучше защитить Java-программы от атак, связанных с переполнением буфера. Интернет-гигант сообщил, что компания открыла исходники собственного проекта, который проектировался чтобы добавить новую функциональность в Java, известную как Contracts или Design-By-Contract (DBC).

Вариант Google получил название Contracts for Java или, иначе говоря, Cofoja. Базируется эта разработка на наборе Java-аннотаций Modern Jass, созданных Йоханнесом Рикеном. Изначально созданная для облегчения программирования, Contracts также позволяют программистам бороться с будущими атаками, связанными с переполнением буфера в системе.

По словам специалистов, переполнение буфера - это один из самых старых видов атак, но он по-прежнему остается одним из главных в арсенале злоумышленников. Особенно активно переполнение буфера используется в JRE (Java Runtime Engine).

Говоря упрощенно, Contracts требует, чтобы каждый раз вызываемый метод в работающей программе, любые значения этого метода и иные данные соответствовали заранее определенным критериям. Кроме того, возвращаемые данные, также должны соответствовать критериям. "DBC следует понимать как контракт между компонентами программного обеспечения", - говорит Рикен.

В блоге Google для разработчиков компания призывает активнее использовать Contracts еще и как средство для выявления багов и неверно функционирующего кода.

Акция «Большое сердце Dr.Web»: для всех пользователей — с любовью

Каждый год конец зимы и начало весны — наиболее холодные дни — становятся теплее благодаря трем праздникам: 14 февраля, 23 февраля и 8 марта. В этом году компания «Доктор Веб» решила внести свой вклад в повышение температуры за окном и провести акцию под названием «Большое сердце Dr.Web». Участники акции бесплатно получают две лицензии на Dr.Web Mobile Security Suite сроком на 1 год. Для этого на специальной странице сайта достаточно указать два электронных адреса — свой и своего любимого человека, на эти адреса и будут высланы серийные номера.
Акция, информационным партнером в рамках которой выступил журнал Hard'n'Soft, продлится с 14 февраля по 8 марта 2011 года. За это время все желающие успеют порадовать приятным и полезным подарком и себя, и свою половинку. Полученный серийный номер можно активировать на мобильном устройстве, а можно — обменять на годовую лицензию Dr.Web Security Space или на годовую подписку на услугу «Антивирус Dr.Web» (тарифный пакет Dr.Web Премиум) с 50-процентной скидкой. В акции участвуют следующие российские интернет-провайдеры: «Новотелеком», «ЭР-Телеком» (Дом.ру), «Стрим» (Пермский край), «Энфорта», ТВТ, «Связной» («Загрузка»), «Еназа», «Спектр-Л», «Электроком», ЮТК (Ростовский филиал), «Байонет», «Теле-нет», «Чебнет», «Марк-ИТТ», «Горком», «Инетэра», «Костромская городская телефонная сеть». Также к акции присоединились украинские компании «Фринет» и «Донбасские электронные коммуникации».
Dr.Web Mobile Security Suite включает в себя три программных продукта для защиты мобильных устройств — Dr.Web для Windows Mobile, Dr.Web для Symbian OS и Dr.Web для Android. Единый лицензионный ключевой файл подходит для активации любого из этих продуктов.
Участвуйте в акции — дарите любимым подарки и… защиту!

Пользователей Mac предупреждают о возрастающей вирусной угрозе

Атаки на Mac участились и пользователям Apple уже пора бы начать вкладывать деньги в антивирусы, заявила компания Panda Security, запустив свой новый продукт по защите пользователей Mac.

Рыночная уловка по сбору денег с пользователей Apple или оправданное предостережение? Panda апеллирует к цифрам. На сегодняшний день существует 5000 разновидностей вредоносных программ по взлому Mac систем. Более того, в компании уверяют, что 500 новых программ, направленных непосредственно на подрыв безопасности Mac, появляются ежемесячно.

В 2009 году в операционной системе Apple было обнаружено 34 уязвимости, которых в 2010 году насчитывалось уже 175, с более чем 170 000 макровирусов, нацеленных на платформу за 20-ти летний период ее существования.

Проще говоря, подобные угрозы связаны только со стационарными компьютерами и ноутбуками Apple и не имеют отношения к iPad, которые уязвимы только в случае их "джейлбрейка" или какого-либо иного способа установки сторонних приложений.

Компании по обеспечению безопасности уже не видят ничего удивительного в постоянно пополняющихся рядах пользователей Apple и каждая из них выпускает продукт, предназначенный специально для Mac. Во много это происходит благодаря пользователям, преимущественно находящимся в США.

Однако возникают вопросы по поводу масштабов угрозы.

Но пока сравнивать с Windows все же не приходится. На одну новую угрозу Apple приходится от 100 до 500 угроз Windows в зависимости от того, какую из сторон вы спросите. И это если не брать во внимание, насколько продуманней и утонченней порой бывают атаки на Windows.

Panda отмечает, что многие из уязвимостей были кроссплатформенными браузерными дырами, которые не были привязаны конкретно к Mac. Что же касается 170 000 макровирусов, то они настолько устарели, что большинство поставщиков ПК просто не берут их в расчет. Утверждение базируется на числе именно новых угроз и их сложности. Сейчас же все говорит о том, что вирусы под Mac останутся непримечательными.

"Мы всегда придерживались теории, что когда компания Apple достигнет значительной доли на рынке, примерно 15% (а учитывая стремительно рост это произойдет достаточно скоро), тогда хакеры и начнут направлять свои атаки на платформу", - заявил вице-президент Panda Иван Фермон.

"Сейчас мы бы даже сказали, что операционная система Windows находится в большей безопасности, чем Mac, просто потому, что Microsoft уже многие годы активно работает над безопасностью своих продуктов", - добавил он.

На сегодняшний день существует мало достоверных источников информации о доле Apple на рынке. Да и все они, так или иначе, связаны только с рынком США. По мере падения актуальности настольных компьютеров, шансы Apple заполучить 15% рынка видятся крайне незначительными. Данные о популярности ОС очень важны, ведь именно они провоцируют интерес хакеров.

Беря во внимания небольшую, но вполне правдоподобную угрозу, есть предположение, что сама компания Apple должна предоставить антивирусы в комплекте с основным предложением, а не перекладывать эту работу на сторонних производителей ПО. Это то, к чему, в конце концов, пришла Microsoft, которая создала файрвол для работы с XP и с недавнего времени раздает бесплатное антивирусное ПО - Security Essentials.

Интересно, что причина того, что Microsoft долгое время не делала этого – опасение антимонопольных проверок, которые растолковали бы подобные действия как "мешающие свободной конкуренции". Подобные ценности свободного рынка не позволили осознать природу и масштабы угрозы и мир до сих пор не может отчиститься от последствий сделанных ошибок.

Антивирус от Panda для Mac предлагает защиту в режиме реального времени, сканирование файлов и возможность проверять iPhone или iPad на предмет использования вредоносных программ, даже если они не могут навредить устройству.

Panda также указывает на то, что антивирусы на Mac не позволяют вирусам Windows переходить к другим PC-пользователям. Хотя едва ли будет много желающих купить защиту для других пользователей, которые скорее всего итак имеют свою защиту.

Mac пользователи, заинтересованные в антивирусе от Panda, могут приобрести годовую лицензию на продукт за 42 евро. Это значительно больше той сумму, которую заплатил бы пользователь Windows за аналогичную защиту. Хотя так происходит со всем ПО под Mac. Для небольшого количества пользователей стоимость разработки значительно выше.

Вредоносные программы остаются опасными даже для защищенных компьютеров

Многие пользователи по-прежнему инфицированы компьютерными вредоносными программами – несмотря на тот факт, что большинство из них используют компьютеры, защищенные антивирусами.

Исследование, проведенное статической службой Европейского союза EUROSTAT, показало, что треть компьютерных пользователей (31%) имеет инфицированные компьютеры, несмотря на то, что большинство (84%) используют программы для обеспечения безопасности (антивирус, антиспам, брандмауэр) на своих компьютерах. Из опрошенных, 3% сообщили о финансовых потерях в результате фарминг- или фишинг-атак, в то время как еще 4% отметили нарушение права на неприкосновенность частной жизни.

Болгария (58%) и Мальта (50%) находятся на вершине списка самых инфицированных пользователей. В сравнении с ними Финляндия (20%), Ирландия (15%) и Австрия (14%) поживают относительно хорошо.

Трояны (59.2%) были самой распространенной инфекцией, обнаруженной на взломанных компьютерах, затем шли вирусы (11.7%).

Отдельное исследование фирмы по производству антивирусов Panda, данные которого также опубликованы на этой неделе, отражает подобную ситуацию. Половина (50%) компьютеров, просканированных Panda в январе, содержали вредоносные программы. Также как в исследовании Европейского сообщества, трояны были отмечены как основная угроза – составляя 59.2% всех проблем. Компьютеры в Таиланде, Китае, Тайване, России и Турции оказались под наибольшим воздействием инфекций. Показатели Panda были собраны у пользователей при помощи программы Active Scan.

Panda опубликовала данные своего исследования с целью иллюстрации своей давнишней идеи о том, что применение облачных архитектур необходимо, чтобы использовать все шансы сдержать растущее количество вредоносных программ и мошенников.

Китайские хакеры украли данные у нефтяных компаний

Хакеры из Китая взломали базы данных пяти международных нефтегазовых компаний, и похитили информацию об их планах расширения и другие ценные данные. По мнению экспертов, украденные данные представляют большую ценность для конкурентов. Названия пострадавших компаний не разглашаются.

Компания McAfee сообщает, что для взлома серверов хакеры не прибегали к каким-то ухищрениям - их атаки были весьма стандартны и при этом достигли своей цели. Проникновение велось либо через зараженные вирусами письма, присланные в компании, либо через общедоступные официальные вебсайты нефтегазовых гигантов.

"Это говорит о крайне печальном состоянии систем безопасности, защищающих нашу ключевую инфраструктуру", - прокомментировал инцидент вице-президент McAfee по борьбе с вирусными угрозами Дмитрий Альперович.

По оставленным в сети следам удалось отследить сервера, с которых велись атаки - хакеры действовали с сервера в провинции Шаньдунь и с IP, зарегистрированных в Пекине. McAfee назвала эту атаку "Ночной дракон" (Night Dragon). Однако доказательств того, что за инцидентом стоят китайские власти, у специалистов нет, подчеркиеват Д.Альперович.

Все данные о взломе серверов нефтяных концернов компания передала в Федеральное бюро расследований (ФБР), которое пока не комментирует инцидент.

Энтузиасты запустили новый сервис по отслеживанию червя Palevo

Швейцарские активисты, занимающиеся мониторингом ботнетов ZeuS, а с недавних пор и SpyEye, запустили сервис Palevo Tracker. Новый ресурс предоставляет открытый доступ к актуальной статистике и призван привлечь внимание интернет-общественности к растущей угрозе.

Червь-полиморфик Palevo (P2P-Worm.Win32.Palevo) приобрел печальную известность в конце 2009 года, когда был обезоружен гигантский ботнет Mariposa (по-испански «бабочка»), составленный на его основе. После этого события интерес СМИ к зловреду постепенно угас, хотя сам он успешно продолжает завоевывать место под солнцем, имея для этого все предпосылки. Напомним, что Palevo наделен функционалом бэкдора и распространяется через р2р-сети, USB-накопители и системы мгновенного обмена сообщениями. Он может долго оставаться незамеченным: постоянно обновляется, шифрует данные, отсылаемые в центр управления, и использует UDP-протокол.

Эффективный функционал и высокая скорость распространения давно снискали Palevo популярность в криминальных кругах. Если также учесть, что червь доступен на черном рынке в составе готового комплекта для построения ботнетов, становится понятным, почему в минувшем году он был обнаружен на миллионах ПК. (В рейтинге ЛК за прошлый год Palevo занял 10-е место по числу локальных заражений.) В настоящее время, по данным Palevo Tracker, общее количество C&C серверов бота-«бабочки» приблизилось к 80, и большинство из них активны. В России они нашли приют в сетях ОАО «Вебальта» (AS 41947).

Почти половина компьютеров подвергается жестокому обращению

Компания Avira опубликовала результаты масштабного опроса, проведенного среди своих клиентов. Организаторы исследования попытались установить, насколько частыми среди современных людей, использующих сложную технику в своей повседневной жизни, являются случаи жестокого обращения с компьютером. Многие пользователи, столкнувшись с проблемами в работе ПК, не прочь вслух выразить свое отношение к непослушной машине, а самые невоздержанные владельцы не гнушаются физических мер воздействия.

Результаты опроса, в котором приняли участие более 14 тысяч пользователей, оказались достаточно интересными. К примеру, сотрудникам Avira удалось установить, что 39% респондентов имеют привычку использовать крепкие слова или громко кричать на своенравный ПК. 9 % пользователей в состоянии сильного раздражения наносят удары кулаками по системному блоку, а в самых тяжелых случаях вооружаются бейсбольной битой или другим тяжелым предметов. Еще 3% признались, что им приходилось сбрасывать компьютер со стола или швырять его об стену.

«Мы получили огромное удовольствие, собирая и обрабатывая информацию о жестоком обращении с компьютерами. Забавный опрос проводился в декабре, и этот месяц был выбран отнюдь не случайно. В предрождественские недели огромное количество потребителей приходят в магазин за новой техникой и у множества из них неизбежно возникают проблемы, связанные с неработоспособностью оборудования или недоступностью любимых веб-сайтов, - сообщает Элизабет Ротбарт (Elisabeth Rothbart), пиар-менеджер компании Avira. - Тот факт, что количество «добрых» и «строгих» хозяев оказалось примерно одинаковым, можно считать вполне показательным».

Впрочем, у организаторов опроса есть все основания предполагать, что не все участники опроса были с ними искренними. Довольно сложно поверить в то, 41% пользователей обладают тихим и уравновешенным нравом и ни разу не пытались снять напряжение с помощью громкого крика или легкого удара по металлическому корпусу.

Microsoft завершила разработку первого сервис-пака для Windows 7

Корпорация Microsoft сообщила о том, что первый пакет обновлений (SP1) для операционной системы Windows 7 появится в общем доступе до конца текущего месяца.

Microsoft завершила разработку набора апдейтов SP1, и он уже рассылается производителям персональных компьютеров и серверов. С 16 февраля загрузить пакет смогут подписчики сетей TechNet и MSDN, а 22 февраля он поступит в систему обновлений Windows Update, откуда его смогут загрузить все желающие.

Увы, каких-либо фундаментальных новшеств или дополнительных функций в сервис-паке нет. Пакет содержит главным образом исправления ошибок и «заплатки» для уязвимостей, выявленных с момента анонса платформы в октябре 2009 года.

Одновременно с набором SP1 для Windows 7 выйдет и первый сервис-пак для серверной операционной системы Windows Server 2008 R2. Помимо патчей и исправлений, в него включены дополнительные компоненты, улучшающие инструменты виртуализации.

Продукт "Лаборатории Касперского" получил высшую оценку за качество "лечения"

"Лаборатория Касперского" объявляет о том, что по
результатам тестирования, проведенного авторитетным немецким
исследовательским центром AV-Test.org за 4 квартал 2010 года,
персональный продукт Kaspersky Internet Security 2011 получил наивысший
бал за качество восстановления данных на заражённых компьютерах.
В тестировании приняли участие 23 популярных антивирусных решения.
Ключевыми критериями их оценки стали уровень защиты от вредоносных
программ, качество восстановления компьютеров после заражения и удобство
пользования.
Продукт Kaspersky Internet Security 2011 продемонстрировал высокие
результаты во всех тестах и получил сертификат AV-Test.org. Он завоевал
лучшую среди участников оценку уровня защиты (5,5 баллов) и стал
единственным решением, отмеченным максимальным баллом (6 из 6 возможных)
за качество восстановления заражённых компьютеров.
"Вредоносное ПО, проникшее на компьютер, может менять системные
настройки или внедряться в различные файлы. Защитное решение,
обнаружившее угрозу, должно не только удалить саму вредоносную
программу, но и восстановить измененные файлы и системные области
дисков. Kaspersky Internet Security 2011 прекрасно справляется с этой
важной задачей, что наглядно подтверждает настоящий тест", -
говорит Никита Швецов, руководитель лаборатории антивирусных
исследований "Лаборатории Касперского".
Продукт Kaspersky Internet Security 2011 намного превзошёл средний
показатель тестировавшихся продуктов во всех видах проверки качества
"лечения": в удалении активных и неактивных компонентов
вредоносного ПО, устранении нежелательных модификаций системы,
детектировании и удалении скрытых руткитов и других опасных программ.
В ходе теста на качество восстановления проверялась способность очищать
компьютер от вредоносных программ, проникших в систему до активации
защитного продукта. В тесте на удобство пользования оценивалась
возможность работать без ложных срабатываний и заметного замедления
работы компьютера. Продукты работали с настройками по умолчанию на
машинах под управлением 32-битной операционной системы Microsoft Windows
Vista SP2.
Более подробную информацию о тестировании AV-Test.org можно получить по
адресу: http://www.av-test.org/certifications.

Описание работы вируса Trojan-Banker.Win32. Qhost.rv

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (RAR SFX-файл). Имеет размер 93463 байта. Написана на C++.

Деструктивная активность

После запуска троянец извлекает из своего тела файл, которым переписывает оригинальный файл "hosts"
%System%\drivers\etc\hosts
Данный файл имеет размер 2324 байта и детектируется Антивирусом Касперского как Trojan-Banker.Win32.Qhost.rv. Извлеченный файл содержит следующие строки:
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#       127.0.0.1       localhost
#       ::1             localhost


74.***.60  santander.cl
74.***.60  www.santander.cl
74.***.60  www.bancosantander.cl
74.***.60  bancosantander.cl
74.***.60  www.banefe.cl
74.***.60  banefe.cl
74.***.60  www.santandersantiago.cl
74.***.60  santandersantiago.cl
74.***.60  bbva.cl
74.***.60  www.bbva.cl
74.***.60  bbvanet.cl
74.***.60  www.bbvanet.cl
Измененный файл "hosts" позволяет злоумышленнику перенаправлять обращения по указанным URL адресам, на заданный IP адрес.

Описание работы вируса Trojan-Clicker.HTML. IFrame.ait

Троянская программа, открывающая в браузере различные веб-страницы без ведома пользователя. Является HTML-страницей. Имеет размер 16281 байт.

Деструктивная активность

Зараженная страница содержит скрытый фрейм, в котором отрывается следующая ссылка:
http://jL.c***a.pl/rc/
Заражение Web-страниц скорее всего происходит путем дописывания кода данного троянца другой вредоносной программой в конец всех найденных на сервере файлов.

Описание работы вируса Trojan-Downloader.Win32. Agent.flnw

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 24576 байт. Написана на Visual Basic.

Деструктивная активность

После запуска троянец выполняет загрузку файлов со следующих URL адресов:
http://www.i***il.fr/dif/images/autofmtpl.jpg
http://www.i***il.fr/dif/images/autoplayfi.jpg
http://www.i***il.fr/dif/images/autochkju.jpg
Троянец сохраняет загруженные файлы под следующими именами соответственно:
c:\windows\system32\autofmtpl.exe
На момент создания описания загружался файл размером 94208 байт, который детектируется Антивирусом Касперского как Trojan.Win32.VBKrypt.arfy.
c:\windows\system32\autoplayfi.exe
На момент создания описания загружался файл размером 118784 байта, который детектируется Антивирусом Касперского как P2P-Worm.Win32.SpyBot.pzu.
c:\windows\system32\autochkju.exe
На момент создания описания загружался файл размером 57344 байта, который детектируется Антивирусом Касперского как Trojan-Banker.Win32.Banker2.ajh. Затем троянец запускает на выполнение скачанные файлы и завершает свою работу.

Описание работы вируса Trojan-Downloader.Win32. Banload.bfne

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 24576 байт. Написана на Visual Basic.

Деструктивная активность

После запуска троянец выполняет загрузку файлов со следующих URL адресов:
http://www.fa***da2011.net/net/80.jpg
http://www.fa***da2011.net/net/4.jpg
На момент создания описания ссылки не работали. Троянец сохраняет загруженные файлы под следующими именами соответственно:
C:\WINDOWS\system\winysys.exe
%WinDir%\system\cyna.exe
Затем троянец запускает на выполнение скачанные файлы и завершает свою работу.

Описание работы вируса Trojan-Downloader.Win32. Tiny.cpe

Троянская программа, которая загружает файлы из сети Интернет без ведома пользователя. Программа является приложением Windows (PE-EXE файл). Имеет размер 7680 байт. Написана на C++.

Деструктивная активность

При запуске троянец ищет файл с именем:
C:\calсs.exe
Если такой файл существует, троянец переименовывает его под следующим именем:
C:\calсs.tv
Далее троянец загружает файл по следующей ссылке:
http://kkiw.info/beautiful.exe
На момент создания описания ссылка не работала. Скачанный файл сохраняется под именем:
C:\calсs.exe
После этого троянец запускает созданный файл и завершает свою работу.

Описание работы вируса Trojan-Dropper.Win32. Agent.czms

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 24064 байта. Упакована UPX. Распакованный размер – около 47 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:
  • извлекает из своего тела в системный каталог Windows файл с именем "mskpwvmx.dll":
    %System%\mskpwvmx.dll
    Данный файл имеет размер 36865 байт и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.xhur. Данная библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft".
  • Запускает системную утилиту "Rundll32.exe" со следующими параметрами:
    %System%\mskpwvmx.dll,w
    Таким образом, из извлеченной библиотеки вызывается функция с именем "w".
  • Находит в системе окно с именем класса "GxWindowClassD3d" и закрывает его, посылая сообщение WM_CLOSE.
  • Создает в своем рабочем каталоге сценарий командного интерпретатора, запускает его и завершает свою работу — данный сценарий удаляет оригинальный файл троянца и самоуничтожается.
После этого троянец завершает свою работу.

Описание работы вируса Trojan-GameThief.Win32. OnLineGames.xesa

Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Программа является приложением Windows (PE DLL-файл). Имеет размер 36865 байт. Написана на C++.

Деструктивная активность

Троянская библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft". Для этого библиотека внедряется в адресное пространство процесса "wow.exe", после чего в системе находится окно с именем класса "GxWindowClassD3d" и заголовком "World of Warcraft". Из данного окна похищается информация, вводимая пользователем при входе в on-line игру. Собранная информация передается в виде параметров на следующий URL:
http://w.per***exe.com:888/houmen/wow.asp
Библиотека экспортирует функцию с именем "AR", при вызове которой создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"edcsjh" = "RUNDLL32.EXE <полный путь к оригинальному 
файлу троянца>,w"
Таким образом, при каждом следующем старте системы посредством системной утилиты "RUNDLL32.EXE" из троянской библиотеки будет вызываться функция с именем "w". При вызове экспортируемой функции "w" выполняются следующие действия:
  • тело троянца копируется в файл:
    \msvcr70.dll
    Значение подстроки "" считывается из ключа системного реестра:
    [HKLM\Software\Blizzard Entertainment\World of Warcraft]
    "GamePath"
  • В файл
    \wow.exe
    дописывается секция ".ngaut", содержащая код для внедрения библиотеки "\msvcr70.dll" в адресное пространство данного процесса. При этом точка входа "wow.exe" изменяется и указывает на код в дописанной секции.
  • Устанавливается хук-процедура, позволяющая отслеживать сообщения в системной очереди.
  • Создается ключ системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "edcsjh" = "RUNDLL32.EXE <полный путь к оригинальному 
    файлу троянца>,w"

Обновление файлового монитора в персональных и серверных продуктах Dr.Web 5.0 для Windows, Dr.Web Enterprise Suite 5.0 и Dr.Web AV-Desk 5.0.1

Компания «Доктор Веб» сообщает об обновлении файлового монитора в составе персональных и серверных продуктов Dr.Web 5.0 для Windows, программного комплекса Dr.Web Enterprise Suite 5.0 и интернет-сервиса Dr.Web AV-Desk 5.0.1.
Благодаря внесенным изменениям обеспечена поддержка ОС MS Windows 7 SP1. Также за счет ряда улучшений была повышена стабильность работы антивируса.
Для пользователей упомянутых продуктов и подписчиков услуги «Антивирус Dr.Web» обновление пройдет автоматически, однако потребует перезагрузки компьютера.

Обновление Dr.Web 6.0 для MS Exchange

Компания «Доктор Веб» сообщает об обновлении программного продукта Dr.Web версии 6.0 для MS Exchange 2000/2003/2007/2010. В результате обновления не только возросла эффективность программы, но также повысилась устойчивость и скорость ее работы.
Были устранены неисправности, которые могли возникать при установке продукта на Microsoft Exchange Server 2000, а также при проверке учетной записи и регистрации событий сервисов приложения. Для устранения ошибок в работе с группами Active Directory был изменен порядок взаимодействия программы со службами глобального каталога.
Также были исправлены ошибки импорта настроек приложения — теперь после импорта происходит полная перезагрузка настроек. Устранены ошибки импорта черного и белого списков при использовании веб-консоли администратора, а также ошибки обработки правил фильтрации в случае, если поля значений и/или описаний не были заполнены.
Кроме того, исправлена кодировка тестового сообщения, используемого для проверки рассылки почтовых уведомлений при работе с веб-консолью администратора.
Чтобы обновление вступило в силу, необходима полная переустановка Dr.Web 6.0 для MS Exchange.
В соответствии с новыми условиями лицензирования Dr.Web для MS Exchange включен в коммерческий продукт Dr.Web Mail Security Suite, приобретая который, пользователь получает ключевой файл для активации программных продуктов Dr.Web для MS Exchange, почтовых серверов Unix, IBM Lotus Domino и Kerio. К базовой лицензии "Антивирус" можно выбрать дополнительные компоненты - Антиспам, Центр управления, SMTP-прокси.

Doctor Web Pacific и LAC будут предоставлять срочную техподдержку крупным бизнес-пользователям Dr.Web в Японии

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о начале сотрудничества своего японского представительства Doctor Web Pacific с известной японской компанией Little eArth Corporation Co., Ltd. (LAC) по предоставлению местным корпоративным клиентам — пользователям продуктов Dr.Web срочной круглосуточной поддержки.
Непрерывная поддержка — Dr.Web Premium Support for Web — будет предоставляться крупным корпоративным клиентам Doctor Web Pacific с 1 марта 2011 года. Она предполагает срочное и высококвалифицированное решение технических проблем, возникающих у компаний — пользователей антивирусных решений Dr.Web.
Doctor Web Pacific будет оказывать клиентам услугу экстренной помощи в сотрудничестве с компанией LAC — крупнейшим экспертом в области информационной безопасности в Японии. В частности, срочная техподдержка будет предоставляться в случае взломов сайтов корпоративных пользователей, а также заражений их вредоносным программами. Услуга предоставляется через Центр срочной информационной помощи LAC, с использованием опыта решения подобных проблем и собственных технологий этой компании.
«При оказании срочной поддержки клиентам нам часто приходится работать с ситуациями, когда из-за вирусного заражения происходит утечка информации с компьютера. Сейчас, когда при заражениях вирусы искусно обходят многие известные антивирусные программы, для бизнеса очень важен быстрый анализ причин и содержания утечки информации. Благодаря сотрудничеству наших компаний станет возможным оказание экстренной помощи», — говорит технический директор компании Little eArth Corporation Co., Ltd Ицуро Нисимото.
«Сотрудничество с LAC мы рассматриваем как стратегически важный шаг в освоении японского рынка. С учетом высочайшей конкуренции между антивирусными решениями в этой стране такое взаимодействие позволит довольно быстро познакомить ведущие компании Японии со всей мощью технологий Dr.Web. Особенно с возможностью лечения активного заражения в корпоративных сетях. Наконец, партнерство с LAC поможет нам максимально соответствовать высоким требованиям крупного японского бизнеса к качеству предоставляемых услуг», — отмечает генеральный директор компании «Доктор Веб» Борис Шаров.

О компании Little eArth Corporation Co., Ltd.(LAC)

Компания LAC была основана 3 сентября 1986 года как ответ на стремительное развитие информационного общества и рост мирового коммуникативного темпа, особенно в бизнес-сфере. Компания LAC — лидер в области решений безопасности. Специалисты LAC заняты комплексным изучением проблем информационной безопасности в Исследовательском центре информационных рисков, а также предоставляют услуги мониторинга и анализа для обеспечения высочайшего уровня информационной безопасности своих клиентов круглосуточно в течение 365 дней в году. С помощью крупнейшего в Японии Центра мониторинга безопасности JSOC организованный компанией LAC Центр срочной информационной помощи помогает разрешить критические ситуации, связанные с утечкой информации. LAC применяет самые передовые технологии в сфере информационной безопасности и предоставляет комплексные решения в области безопасности для госучреждений и частного бизнеса.
www.lac.co.jp