вторник, 1 марта 2011 г.

150 тысяч пользователей Gmail лишились почты

Сбой в почтовой службе Gmail, принадлежащей корпорации Google, привел к потере некоторыми пользователями доступа к электронным письмам, папкам и адресной книге сервиса.

Как сообщается, некоторая часть пользователей Gmail лишилась всех почтовых сообщений, а также списка контактов электронной почты, папок и персональных настроек почтового ящика. При этом пользователи продолжали получать новые письма.

Как сообщила служба поддержки Gmail, сбой затронул менее 0,29% пользователей. Позже эта оценка была уменьшена до 0,08%, что составляет примерно 150 тысяч человек. Доступ этой аудитории к сервису может быть заблокирован на время восстановительных работ. Служба поддержки Gmail не уточняет, будут ли восстановлены утраченные данные.

Microsoft устранила уязвимость в Malware Protection Engine

Microsoft выпустила патч для своего программного механизма выявления злонамеренного программного обеспечения. Ранее в сети появились данные, в которых говорилось, что из-за наличия бага в программном обеспечении Microsoft Malware Protection Engine злоумышленники могли получать несанкционированный доступ к системе.

Вчера корпорация обновила данный программный компонент, сообщив, что в продукте присутствовала возможность поднятия привилегий в обход легитимного механизма управления привилегиями в операционной системе. Вместе с тем, в Microsoft сообщили, что для успешной эксплуатации данного бага потенциальный атакующий уже должен был иметь доступ к системе пользователя. При помощи Malware Protection Engine он мог поднять свои привилегии до администраторского уровня.

В корпорации заявили, что у них нет данных, говорящих о том, что эксплоит Malware Protection Engine был использован кем-либо на практике, однако в компании не исключили, что эксплоит Malware Protection Engine может быть частью более сложного и многоходового злонамеренного программного обеспечения для получения контроля над Windows.

Mozilla выпустит срочное исправление для нескольких версий Firefox

Mozilla сообщает, что на 1 марта намечен выход браузеров Firefox 3.5.17 и Firefox 3.6.14, где будет закрыт один из ранее найденных серьезных багов, приводящих к компрометации операционной системы пользователя.

Еще 14 февраля в Mozilla сообщили, что компания расследует сообщения, связанные с тем, что тестеры ряда бета-версий браузера обнаружили наличие уязвимости CSRF (cross-site request forgery) и условий, при наступлении которых происходит крах браузера.

Позже появились данные о том, что CSRF связан с плагином Adobe Flash Player, точнее тем, как он обрабатывает некоторые виды Flash-контента. На прошлой неделе сама Adobe выпустила новую версию Flash Player, но в компании ничего не сообщили о том, связана ли новая версия с уязвимостью CSRF, о которой говорит Mozilla.

Хакеры организовали DDoS-атаку на сайт "Единой России"

Анонимные хакеры в ночь на 25 февраля объявили о начале DDoS-атаки на официальный сайт "Единой России". Об этом они сообщили через свой микроблог на Twitter.

Для синхронного проведения атак анонимы используют так называемую "низкоорбитальную ионную пушку" . Принять участие в атаке может любой желающий, нажав на красную кнопку под изображением пушки.

После нажатия кнопки пользователем, специальный скрипт начинает отсылать автоматически генерируемые запросы на атакуемый сайт. Таким образом, атаки носят достаточно массовый и организованный характер.

Взломан крупнейший хакерский форум в РФ

Крупнейший закрытый форум общения русских киберпреступников MAZA.la подвергся хакерской атаке 18 февраля, в результате чего была украдена база 2000 пользователей и их переписка.

Информация попала в руки самым известным компаниям по предупреждению киберпреступности и фрода – RSA, Anti Money Laundering Alliance и IISFA.

Следом был атакован не менее приватный форум Direct Connection, администратором которого является некий «k0pa», выходец группировки CyberLords Team - той же команды, членом которой являлся скандальный хакер из Новосибирска Евгений Аникин.

Доступ к форумам осуществлялся при наличии нескольких авторитетных поручителей, а безопасность пользователей обеспечивалась цифровыми сертификатами и встроенным антифишинговым фильтром.

Сами серверы проекта располагались в зоне Тайваня.

- У преступников хитроумные схемы и высокая анонимность, поэтому противостоять им могут лишь схожие по мышлению люди, разделяющие легальную сторону вопроса с правоохранительными органами, - заявил Джозеф Бланк, представитель Антифродового командного центра RSA.

Среди участников форума MAZA.la фигурировали такие нашумевшие личности, как 27-летний кибервор Владислав Хорохорин (BadB), схваченный ФБР во Франции, и известный спамер Петр Лавашов (Severa), продолжающий криминальную деятельность.

Ресурсом до недавнего момента также активно пользовался все еще не пойманный хакер Сергей Козерев (zo0mer), в отношении которого АНБ США проводилось отдельное расследование по выявлению линий сбыта дампов кредитных карт, и 26-летний торговец кредитными картами Роман Кхода (My0).

- Все они так или иначе попали под взгляд международных силовых структур, которые выискивали мошенников годами, - сообщил Life News эксперт Европола Ларс ван Муллиген.

На форуме преступники обсуждали появление новых банковских троянов, таких как SpyEye, обговаривали вопросы изготовления поддельных документов, торговали учетными записями известных Интернет-казино и лотерейных агенств, а также организовывали сервисы по выводу украденных из банков денежных средств.

Благодаря взлому форума, возможно, удастся найти людей, стоявших за нашумевшим скандалом с русскими хакерами, задержанными прошлой осенью в США.

Sophos обнаружила троян для Mac OS X

Антивирусная компания Sophos в субботу сообщила об обнаружении нового опасного троянского программного обеспечения под операционную систему Mac OS X.

Новый код называется BlackHole RAT (Remote Access Trojan) и сейчас его достаточно легко найти на многих хакерских форумах. Честер Висниевски, антивирусный специалист компании Sophos, говорит, что на YouTube был в субботу размещен ролик, демонстрирующий работу данного трояна ( http://www.youtube.com/watch?v=bGaQXOuMRaY&feature=related )

В Sophos говорят, что в их компании не видели данного троянского программного обеспечения в действии, хотя судя по демонстрации, разработка в значительной степени является концептуальной и показывает общий вектор направления развития возможных атак. Также в компании говорят, что его довольно легко можно адаптировать для "тихой" установки в Mac и последующей кражи данных.

Технически говоря, BlackHole - это вариант Windows-трояна darkComet, но судя по коду, он был написан другим разработчиком. darkComet сейчас доступен в исходных кодах, поэтому велика вероятность того, что Mac-троян просто позаимствовал логику и некоторые аспекты работы первоначального трояна.

Описание работы вредоносной программы AdWare.Win32. Agent.qgf

Программа показа рекламы, написана на Visual C++. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 598016 байт.

Инсталляция

Приложение копирует свои исполняемые файлы со следующими именами:
%Program Files%\Wyeke\wyeke.dll
%Program Files%\Wyeke\uninstall.exe
%Program Files%\Wyeke\wyeke.exe
%Documents and Settings%\All Users\Application Data\
Wyeke\wyeke127.exe
Для автозапуска при каждой загрузки ОС создает службу со следующими параметрами: Имя службы:
Wyeke Service
Название:
Wyeke Service
Описание:
Update and control for Wyeke
Файл:
"%Documents and Settings%\All Users\Application 
Data\Wyeke\wyeke127.exe" "wyeke.dll" Service
Устанавливает элемент поиска "Wyeke" в панели инструментов таких браузеров как MS Internet Explorer и Mozilla Firefox.
Для установки кнопки поисковика в MS Internet Explorer – создает в системном реестре следующий ключ:
[HKLM\Software\Microsoft\Internet Explorer\Extensions\
{E62B896C-824D-4C5B-B8E6-7F0A14CCB9FD}]
"Default Visible"="Yes"
"ButtonText"="Go to Wyeke"
"HotIcon"="%WinDir%\Temp\<rnd>.tmp\tbb.ico"
"Icon"="%WinDir%\Temp\<rnd>.tmp\tbb.ico"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Script"="%WinDir%\Temp\<rnd>.tmp\home.js"
где rnd – случайное имя временного каталога. При инсталляции плагина в браузер Mozilla Firefox - создает следующие файлы:
%Program Files%\Mozilla Firefox\extensions\
{4CFC8387-5FB1-47C1-8AA4-5B7B906A591E}\chrome\wyeke.jar
%Program Files%\Mozilla Firefox\extensions\
{4CFC8387-5FB1-47C1-8AA4-5B7B906A591E}\defaults\preferences\prefs.js
%Program Files%\Mozilla Firefox\extensions\
{4CFC8387-5FB1-47C1-8AA4-5B7B906A591E}\install.rdf
%Program Files%\Mozilla Firefox\extensions\
{4CFC8387-5FB1-47C1-8AA4-5B7B906A591E}\chrome.manifest

Деструктивная активность

Библиотека "wyeke.dll" содержит в себе зашифрованную библиотеку "nncore.dll", после расшифровки которой – выполняет ее функционал. Библиотека экспортирует следующие функции:
Command()
Init()
Install()
Main()
Opt()
Proc()
Service()
Uninstall()
После активации приложение повышает привилегии для своего процесса. Также пытается запретить любой доступ к информации процесса. Для контроля уникальности своего процесса в системе троянец создает глобальные уникальные идентификаторы с именами"91auo+#>>> Добавляет следующую информацию в системный реестр:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wyeke]
"Primary"=dword:0000a9fd
"DllPath"="%Program Files%\Wyeke\wyeke.dll"
"Version"=dword:0001005f
"Cid"="3fb86536b44a4d68b4e012aae8758386"
"Partner"="WYEKE127"
"Src"="wyeke"
"ShowToolbarButton"=dword:00000000
"ShowBarSign"=dword:00000000
"UpdateTimeH"=dword:01cbbe92
"UpdateTimeL"=dword:e73555ec
"FXInstalled"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders]
"Local AppData"="%Documents and Setting%\%Current 
User%\Local Settings\Application Data"
В параметрах ключа реестра приложение сохраняет свои настройки, такие как:
  • информацию о своих установленных плагинах в браузерах;
  • время обновления;
  • расположение своих системных файлов;
  • номер версии.
Также устанавливает системные перехватчики, при помощи которых перехватывает ввод с клавиатуры в адресной строке браузера. После чего перенаправляет поисковый запрос на свой ресурс:
http://www.w***ke.com
Приложение загружает и устанавливает свою обновленную версию без уведомления пользователя. Загрузка производится со следующего домена:
upgrade.w***ke.com

64-битный антируткит доступен в обновленном сканере в продуктах Dr.Web 6.0 для Windows

Компания «Доктор Веб» сообщает о выпуске обновленного сканера с графическим интерфейсом для продуктовой линейки Dr.Web версии 6.0 для Windows. Основным новшеством стала возможность противодействия руткитам на 64-битных версиях ОС Windows. После бета-тестирования в составе лечащей утилиты Dr.Web CureIt! этот компонент теперь доступен пользователям релизных версий Dr.Web 6.0.
Обновленный сканер содержит 2 версии антируткит-модуля Dr.Web Shield, предназначенных для работы в 32- и 64-битных версиях операционных систем семейства Microsoft Windows. Он способен обнаружить 64-битную модификацию руткита BackDoor.Tdss и провести лечение системы.
Напомним, что отличительной чертой этой вредоносной программы является наличие так называемой буткит-составляющей, которая позволяет бэкдору загружаться до старта операционной системы. Такая схема позволяет вредоносной программе взять ход загрузки системы под контроль и обойти все методы защиты системы от установки неподписанного вредоносного драйвера, после чего скрытно производить злонамеренные действия в системе.
Необходимость разработки полноценных средств борьбы с 64-битными руткитами назревала давно — еще в конце 2009 года специалисты высказали предположение о том, что появление этих вредоносных программ — не за горами. О первом 64-битном варианте BackDoor.Tdss стало известно в начале сентября 2010 года. На тот момент уже велась активная разработка нового антируткита Dr.Web Shield, вскоре вошедшего в обновленный сканер, который с октября 2010 года доступен для пользователей бета-версии Dr.Web CureIt!
Вместе с интеграцией с 64-битной версией антируткита сканер был существенно доработан с учетом выявленных ошибок и пожеланий пользователей. Так, была отменена стартовая проверка при запуске сканера — теперь проверка (быстрая, полная или выборочная) начинается только по указанию пользователя. Вместе с тем в быструю проверку включено сканирование съемных носителей на предмет вредоносных программ, которые запускаются автоматически, используя встроенный в Windows механизм автозапуска — так называемых «автораннеров».
Также была многократно ускорена проверка больших и сложных файлов, улучшено лечение hosts-файла. Новые алгоритмы лечения угроз позволили в целом повысить эффективность лечения вирусов и руткитов.
Для пользователей персональных и серверных продуктов Dr.Web 6.0 для Windows и Dr.Web Enterprise Suite 6.0 обновление пройдет автоматически.