среда, 9 марта 2011 г.

Google выпустила Chrome 10

Компания Google выпустила финальную версию браузера Chrome 10 с увеличенной производительностью и новым интерфейсом настроек. Об этом сообщили в пресс-службе компании.

Новая версия стала быстрее по сравнению с Chrome 9, представленной в начале февраля. В частности, скорость работы сценариев JavaScript выросла на 66 процентов.

В Chrome 10 изменено меню настроек. Теперь оно открывается в новой вкладке, которую можно перемещать наравне с другими. Ранее меню настроек открывалось поверх остальных вкладок. Это позволит пользователям сохранять и копировать точный адрес справочного раздела. После этого любой раздел можно будет добавить в закладки и отправить ссылку другим пользователям Chrome.

Также Google добавил в раздел настроек поле для поиска. С его помощью можно найти необходимый раздел меню. Поисковое поле располагается в левой части вкладки "Настройки".

Google выпускает новые версии Chrome с периодичностью в несколько недель. При этом компания в каждой новой версии добавляет функции, которые совершенствуют производительность или интерфейс браузера.

Любопытно, что релиз Chrome 10 состоялся за день до хакерского состязания Pwn2Own, ежегодно проводимого в рамках конференции по вопросам безопасности CanSecWest, проходящей с 9 по 11 марта в Ванкувере (Канада). Как сообщают организаторы соревнования, в нынешнем году суммарный призовой фонд составит 125 тысяч долларов, из которых $20 тыс. предоставит Google за взлом браузера Chrome.

Согласно февральской статистике аналитической компании Net Applications, рыночная доля Chrome составляет почти 11%. В списке самых распространенных веб-обозревателей разработка корпорации Google фигурирует на третьей позиции.

Загрузить Chrome 10 можно с сайта google.com/chrome либо воспользовавшись функцией автоматического обновления уже установленного браузера. Доступны сборки для Windows, Linux и Mac OS X.

Бесплатный переход с Антивируса ESET NOD32 на ESET NOD32 Smart Security

Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает о новой услуге, в рамках которой все домашние пользователи Антивируса ESET NOD32 могут совершить переход на комплексное решение ESET NOD32 Smart Security бесплатно.Сегодня все больше пользователей продукции ESET выбирают комплексные антивирусные решения для защиты своего компьютера. Компания ESET впервые предоставляет уникальную возможность для пользователей Антивируса ESET NOD32 - бесплатно перейти на комплексный продукт ESET NOD32 Smart Security и оценить новый уровень защиты ПК. Удобство, простота в обращении и высокая эффективность данного решения позволили ему стать одним из самых популярных продуктов среди всех антивирусных разработок ESET не только в России, но и во всем мире. Работа ESET NOD32 Smart Security не отражается на производительности компьютера, при этом решение обеспечивает защиту незаметно для пользователя, не нагружая систему.
Для осуществления перехода на ESET NOD32 Smart Security необходимо пройти в раздел «Активация». Обязательное требование для перехода - до окончания срока действия лицензии на Антивирус ESET NOD32 должно оставаться больше 2 месяцев. Во время конвертации будет произведен перерасчет срока действия лицензии ESET NOD32 Smart Security, который будет меньше, чем период действия Антивируса ESET NOD32. Рассчитать срок действия новой лицензии можно самостоятельно в специальном разделе на сайте. Доступ к дистрибутиву ESET NOD32 Smart Security будет открыт сразу после осуществления конвертации лицензии.
«Компания ESET стремится обеспечить своих пользователей наиболее эффективными и передовыми антивирусными решениями, - отмечает Михаил Дрожжевкин, глава российского представительства ESET. - Поэтому мы приняли решение предоставить всем нашим клиентам, использующим антивирусный продукт ESET NOD32 уникальную возможность обеспечить комплексную защиту своего домашнего компьютера и оценить работу интеллектуального решения ESET NOD32 Smart Security бесплатно».
ESET NOD32 Smart Security – комплексное решение класса Internet Security для обеспечения безопасности домашнего компьютера, которое позволяет обнаружить и обезвредить большинство интернет-угроз. В отличие от базового Антивируса ESET NOD32 решение ESET NOD32 Smart Security имеет дополнительные возможности, включая в себя не только сам антивирус, но еще персональный файервол и антиспам, который быстро и эффективно производит многопоточную фильтрацию всех входящих сообщений.

Блокеры-вымогатели "охотятся" за желающими пошпионить в сети

Эксперты "Лаборатории Касперского" предупреждают о появлении нового трояна-вымогателя Trojan-Ransom.Win32.Vkont.a. СМС-блокер использует нестандартную схему распространения, маскируясь под бесплатную программу, которую скачивают желающие пошпионить в Интернете за друзьями и знакомыми. Попавшиеся на эту приманку расплачиваются за свое любопытство деньгами, не получая взамен ожидаемого результата.

Распространяется зловред через мошеннический сайт, на котором предлагается скачать ПО для взлома учетных записей в социальной сети "ВКонтакте". Очевидно, что посетителями этой страницы движут отнюдь не благородные мотивы. Однако после клика на кнопку загрузки под видом "программы-взломщика" начинается скачивание трояна-вымогателя, при чем о подмене ничего не сообщается.

Попав на компьютер, зловред выводит на Рабочий стол окно с предложением отправить СМС-сообщение на короткий номер, чтобы получить программу для доступа к личным данным пользователей сети "ВКонтакте". Одновременно троян блокирует работу системы до тех пор, пока вымогатели не получат выкуп в виде СМС-ки.

Однако, отправив СМС-сообщение, пользователь оказывается дважды "наказан" злоумышленниками. Троянец скачает архив VK-Hack.zip, в котором находятся программа для подбора паролей к аккаунтам в популярных почтовых сервисах, а также ПО класса ShareWare, за полноценное использование которого необходимо заплатить дополнительно. Таким образом, жертва уловки мошенников не только оплачивает отправку дорогостоящей СМС-ки, но и получает совсем не бесплатные программы сомнительного функционала.

Источник

Специалисты Trend Micro обнаружили банковский троян для BlackBerry

Специалисты антивирусной компании Trend Micro накануне сообщили об обнаружении версии троянской программы Zitmo для платформы RIM BlackBerry.

Zitmo представляет собой мобильный вариант нашумевшего трояна Zeus, охотящегося на клиентов систем мобильного банкинга. Zitmo (Zeus-in-the-Mobile Trojan), среди прочих функций, может перехватывать SMS-сообщения и блокировать телефонные звонки. В Trend Micro говорят, что до сих пор Zitmo обнаруживали в вариантах для систем Android и iPhone.

Антивирусные эксперты отмечают, что дополнительная опасность Zitmo кроется в том, что этот вредоносный код в отличие от многих других, не имеет графического интерфейса, а кроме того он может скрываться от глаз даже опытных пользователей и в случае необходимости удаляться со смартфона. Патрик Эставилло, антивирусный аналитик Trend Labs, говорит, что система Zitmo такова, что даже опытные пользователи могут ненароком "поделиться" с хакерами своими банковскими реквизитами.

Согласно данным исследований, после того, как мобильный Zeus попадает на смартфон, он отсылает подтверждающее сообщение удаленному администратору на командный и контрольный сервер, согласно которому троян готов к получению и выполнению хакерских команд. В обнаруженном случае, Zitmo отправлял сообщение "App Installed OK" на один из серверов в Великобритании, а также имел прописанный телефонный номер, также принадлежащий одному из британских операторов связи.

cybersecurity.ru

Описание работы вируса Trojan-Dropper.Win32. Agent.dvyh

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Программа является приложением Windows .Net (PE EXE-файл). Имеет размер 3889352 байта.

Деструктивная активность

После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя следующие файлы:
%Temp%\KasKeygenRevised.exe
MD5: 5625FEE8B2A40614C60329EDC715121B
SHA1: A2745AA6ADDB38B2B41C52D6273E68514E533035 Данный файл имеет размер 479232 байта и детектируется Антивирусом Касперского как Trojan.Win32.VB.aaen.
%Temp%\1234.exe
MD5: 21AF98290B99AE6810940A22B1741A9B
SHA1: 06D78674771590A620C01E7E1102A239A1E06576 Данный файл имеет размер 2196545 байт и детектируется Антивирусом Касперского как Trojan-Dropper.Win32.Agent.dvyg. Затем троянец запускает извлеченные файлы на выполнение и завершает свою работу.
Файл "KasKeygenRevised.exe", который детектируется как Trojan.Win32.VB.aaen выполняет имитацию генерации ключей для продуктов Лаборатории Касперского, таких как: Kaspersky Anti-Virus 2010, Kaspersky Internet Security 2010, Kaspersky Simple Scan 2010. Основные окна программы имеют следующий вид:
Файл "1234.exe", который детектируется как Trojan-Dropper.Win32.Agent.dvyg выполняет следующие деструктивніе действия: После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя следующие файлы:
%Temp%\instant.exe
MD5: 1061DD99AC8AD010104CF04389CD0A21
SHA1: FB2C35AA9FFBE0A18CA7B2954E76C47BFB3B5CF8 Данный файл имеет размер 1116397 байт и детектируется Антивирусом Касперского как Trojan.MSIL.Agent.aor.
%Temp%\server.exe
MD5: 02833F8FC9F6C06B4EEB71473E9E26E6
SHA1: 7768C1C168C558CA1F4DAEFD82A16ED5166CA246 Данный файл имеет размер 289792 байта и детектируется Антивирусом Касперского как Trojan.Win32.Llac.gfu.
Затем троянец запускает извлеченные файлы на выполнение и завершает свою работу.
Файл "instant.exe", который детектируется как Trojan.MSIL.Agent.aor выполняет следующие деструктивные действия:
Троянец реализует функционал, предотвращающий проявление его деструктивной активности при запуске в следующих виртуальных средах:
VMWare
VirtualPC
VirtualBox
Sandboxie
Троянская программа предназначена для похищения регистрационной информации пользователей следующих программных продуктов:
Splinter Cell Pandora Tomorrow   
Splinter Cell Chaos Theory  
Call of Duty   
Call of Duty United Offensive   
Call of Duty 2   
Call of Duty 4   
COD4 Steam Version   
Call of Duty WAW   
Dawn of War   
Dawn of War - Dark Crusade   
Medieval II Total War   
Adobe Goolive   
Nero 7   
ACDSystems PicAView   
Act of War   
Adobe Photoshop 7   
Advanced PDF Password Recovery   
Advanced PDF Password Recovery Pro   
Advanced ZIP Password Recovery   
Anno 1701   
Ashamopp WinOptimizer Platinum   
AV Voice Changer   
Battlefield(1942)   
Battlefield 1942 Secret Weapons of WWII   
Battlefield 1942 The Road to Rome   
Battlefield 2   
Battlefield(2142)   
Battlefield Vietnam   
Black and White   
Black and White 2   
Boulder Dash Rocks   
Burnout Paradise   
Camtasia Studio 4 
Chrome   
Codec Tweak Tool   
Command and Conquer Generals   
Command and Conquer Generals Zero Hour   
Red Alert 2   
Red Alert   
Command and Conquer Tiberian Sun   
Command and Conquer 3   
Company of Heroes   
Counter-Strike   
Crysis   
PowerDVD   
PowerBar   
CyberLink PowerProducer   
Day of Defeat   
The Battle for Middle-earth II   
The Sims 2   
The Sims 2 University   
The Sims 2 Nightlife   
The Sims 2 Open For Business   
The Sims 2 Pets   
The Sims 2 Seasons   
The Sims 2 Glamour Life Stuff   
The Sims 2 Celebration Stuff   
The Sims 2 H M Fashion Stuff   
The Sims 2 Family Fun Stuff   
DVD Audio Extractor
Empire Earth II   
F.E.A.R   
F-Secure   
FARCRY   
FARCRY 2   
FIFA 2002   
FIFA 2003   
FIFA 2004   
FIFA 2005   
FIFA 07   
FIFA 08   
Freedom Force   
Frontlines Fuel of War Beta   
Frontlines  Fuel of War   
GetRight   
Global Operations   
Gunman   
Half-Life   
Hellgate London   
Hidden & Dangerous 2   
IGI 2 Retail   
InCD Serial   
IG2   
iPod Converter (Registration Code)   
iPod Converter (User Name)   
James Bond 007 Nightfire   
Status Legends of Might and Magic   
Macromedia Flash 7   
Macromedia Fireworks 7   
Macromedia Dreamweaver 7   
Madden NFL 07   
Matrix Screensave   
Medal of Honor  Airborne   
Medal of Honor  Allied Assault   
Medal of Honor  Allied Assault  Breakthrough   
Medal of Honor  Heroes 2   
mIRC   
Nascar Racing 2002   
Nascar Racing 2003   
NHL 2002   
NBA LIVE 2003   
NBA LIVE 2004   
NBA LIVE 07   
NBA Live 08   
Need for Speed Carbon   
Need For Speed Hot Pursuit 2   
Need for Speed Most Wanted   
Need for Speed ProStreet   
Need For Speed Underground   
Need For Speed Underground 2   
Nero - Burning Rom   
Nero 7   
Nero 8   
NHL 2002   
NHL 2003   
NHL 2004   
NHL 2005   
NOX   
Numega SmartCheck   
OnlineTVPlayer 
O&O Defrag 8.0 
Partition Magic 8.0   
Passware Encryption Analyzer 
Passware Windows Key 
PowerDvD   
PowerStrip   
Pro Evolution Soccer 2008   
Rainbow Six III RavenShield   
Shogun Total War Warlord Edition   
Sid(Meier) 's Pirates!   
Sid(Meier) 's Pirates!   
Sim City 4 Deluxe   
Sim City 4   
Sniffer Pro 4.5   
Soldiers Of Anarchy   
Soldiers Of Anarchy   
Stalker - Shadow of Chernobyl   
Star Wars Battlefront II (v1.0)   
Star Wars Battlefront II (v1.1)   
Steganos Internet Anonym VPN   
Splinter Cell Pandora Tomorrow   
Surpreme Commander   
S.W.A.T 2   
S.W.A.T 3   
S.W.A.T 4   
TechSmith SnagIt 
Texas Calculatem 4 
The Battle for Middle-earth   
The Orange Box   
The Orange Box   
TMPGEnc DVD Author   
TuneUp 2007 
TuneUp 2008 
TuneUp 2009 
Winamp 
The Sims 3   
Spore   
Mirrors Edge   
GTA IV   
FIFA 2009   
Pro Evolution Soccer 2009   
FIFA 2008   
Nero 9   
Mirc 
Orange Box   
В данном случае под регистрационной информацией подразумеваются значения параметров с именами:
Name
Serial
Registration Code
User Name
Username
Company
License
Owner
Key
Serial Key
Собранные данные записываются в файл:
%Temp%\TMP.dat
и отправляются на почтовый ящик злоумышленника на сервере "@gmail.com". Для определения IP-адреса зараженного компьютера троянец обращается к сервису:
www.whatismyip.com
В ходе своей работы троянец извлекает из своего тела следующие файлы:
%WorkDir%\System.Data.SQLite.DLL (886272 байта)
%Temp%\melt.tmp (6 байт)
Файл "System.Data.SQLite.DLL" является сборкой библиотеки ADO.NET провайдера для работы с SQLite. В файл "melt.tmp" записывается строка:
melt
Троянец модифицирует файл:
%System%\drivers\etc\hosts
записывая в него следующие сроки:
##Do not touch this file, changing it will cause 
SERIOUS damage to your computer
127.0.0.1 www.rsbot.org/vb/
127.0.0.1 rsbot.org/vb/
127.0.0.1 85.25.184.47
127.0.0.1 www.rsbot.com
127.0.0.1 www.rsbot.com
127.0.0.1 www.rsbot.org
127.0.0.1 www.rsbot.org
127.0.0.1 virustotal.com
127.0.0.1 www.virustotal.com
127.0.0.1 www.virusscan.jotti.org/
127.0.0.1 www.virusscan.jotti.org/en
127.0.0.1 www.virusscan.jotti.org/en
127.0.0.1 www.rsbots.net
127.0.0.1 rsbots.net
127.0.0.1 www.RSbots.net
127.0.0.1 www.AutoFighter.org
127.0.0.1 www.RSBotting.com
127.0.0.1 www.RSTrainers.com
127.0.0.1 www.CodeSpace.net
127.0.0.1 www.RsAutoCheats.com
127.0.0.1 www.XxBots.net
127.0.0.1 www.AutoFarmer.org
127.0.0.1 www.kMiner.org 
Таким образом, доступ к указанным ресурсам блокируется. Файл "server.exe", который детектируется как Trojan.Win32.Llac.gfu выполняет следующие деструктивные действия:

Инсталляция:

После запуска троянец создает копию своего файла в системном каталоге Windows c именем
%System%\install\server.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies" = "%System%\install\server.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"HKLM" = "%System%\install\server.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies" = "%System%\install\server.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"HKCU" = "%System%\install\server.exe"

[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
{VOC6T861-UAYF-N871-Y74N-64IK6MMG1C83}]
"StubPath" =  "%System%\install\server.exe Restart"

Деструктивная активность:

При выполнении какого-либо из следующих условий троянец завершает свое выполнение:
  1. При обнаружении в своем адресном пространстве следующих библиотек:
    dbghelp.dll
    sbiedll.dll
  2. При запуске троянца на виртуальной машине компании Vmware;
  3. При наличии процесса:
    VBoxService.exe
    таким образом троянец препятствует запуску своего тела на виртуальной машине компании Oracle Corporation;
  4. Имя пользователя компьютера было:
    CurrentUser
  5. Значение параметра ключа системного реестра
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
"ProductId" = 
было одним из следующих:
76487-337-8429955-22614
76487-644-3177037-23510
55274-640-2673064-23950
Помимо этого троянец использует различные антиотладочные приемы. Во время выполнения создает уникальные идентификаторы с именами:
_x_X_UPDATE_X_x_
_x_X_PASSWORDLIST_X_x_
_x_X_BLOCKMOUSE_X_x_
0BP3RCBQG7BM1V
0BP3RCBQG7BM1V_PERSIST
Создает файл во временном каталоге текущего пользователя Windows:
%Temp%\XX—XX--XX.txt — 227744 байта
Данный файл содержит в зашифрованном виде файл конфигурации для работы троянца, а также исполняемый файл, который внедряет в адресное пространство процесса:
explorer.exe
Троянец запускает процесс браузера, используемого на компьютере пользователя по умолчанию. Данные о браузере получает из ключа реестра:
[HKCR\http\shell\open\command]
В процесс браузера также внедряет вредоносный код. Внедряемый в адресное пространство процессов файл предназначен для восстановления вредоносного файла троянца, а также для выполнения команд, получаемых с сервера злоумышленника:
dc-hac***o-ip.info:3737
Злоумышленник может получать следующую информацию с компьютера пользователя:
  • Список файлов на компьютере пользователя;
  • Список открытых окон;
  • Список запущенных процессов;
  • Список запущенных служб;
  • Данные об оборудовании компьютера пользователя;
  • Данные о реестре компьютера пользователя;
  • Данные об установленных программах;
  • Список открытых портов;
  • Имеет функцию просмотра рабочего стола компьютера пользователя;
  • Изображение с веб-камеры;
  • Звук с микрофона компьютера пользователя;
  • Выполнять функцию кейлогера для получения нажимаемых клавиш клавиатуры и мыши;
  • Сохраненные пароли браузеров; Помимо этого может отправлять команды для выполнения следующих действий:
  • Запуск Socks Proxy и HTTP Proxy серверов;
  • Открытие различных страниц в браузере пользователя;
  • Загрузка на компьютер пользователя различных файлов и запуск их на исполнение;
  • Получение доступа к командной строке;
  • Выполнение поиска файлов на компьютере пользователя;
  • Получение доступа к буферу обмена;
  • Получение доступа к чату при использовании программы Windows Live Messenger;
  • Изменение адреса сервера злоумышленника;
  • Обновление настроек;
  • Перезапуск вредоносного файла;
  • Завершение своего выполнения и удаления своих файлов.
Данный вредоносный файл был создан с помощью программы "CyberGate RAT v1.04.8" — утилиты для удаленного администрирования. Сайт разработчиков:
http://website.cybe***-rat.org

Описание работы вируса Worm.Win32. Stuxnet.m

Вредоносная программа, предназначенная для атаки на компьютеры под управлением системы визуализации производственных процессов Siemens WinCC.

Инсталляция

При активации вредоносной программы происходит создание следующих файлов:
%WinDir%\inf\oem6C.PNF
Данный файл имеет размер 323848 байт и детектируется Антивирусом Касперского как Worm.Win32.Stuxnet.a.Crypt.
%WinDir%\inf\oem7A.PNF
Данный файл имеет размер 498176 байт и детектируется Антивирусом Касперского как Worm.Win32.Stuxnet.a.Crypt.
%System%\drivers\mrxcls.sys
Данный файл имеет размер 26616 байт и детектируется Антивирусом Касперского как Rootkit.Win32.Stuxnet.a.
%System%\drivers\mrxnet.sys
Данный файл имеет размер 17400 байт и детектируется Антивирусом Касперского как Rootkit.Win32.Stuxnet.b.
<путь к проекту wincc>\<имя_проекта>\GraCS\cc_alg.sav
Данный файл имеет размер 498176 байт и детектируется Антивирусом Касперского как Worm.Win32.Stuxnet.a.Crypt.
<путь к проекту wincc>\<имя_проекта>\GraCS\cc_tlg7.sav
Данный файл имеет размер 5237 байт и детектируется Антивирусом Касперского как Worm.Win32.Stuxnet.a. Также создаются файлы:
%WinDir%\inf\mdmcpq3.PNF, 4633 байта.
%WinDir%\inf\mdmeric3.PNF, 90 байт.
<путь к проекту wincc>\<имя_проекта>\GraCS\cc_tag.sav,8459 байт
<путь к проекту wincc>\<имя_проекта>\GraCS\db_log.sav, 90 байт
Для автоматического запуска при следующем старте системы вредоносная программа создает следующие службы:
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS]
"NextInstance" = "1"

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000]
"Class" = "LegacyDriver"
"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"ConfigFlags" = "0"
"DeviceDesc" = "MRXCLS"
"Legacy" = "1"
"Service" = "MRxCls"

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000\
Control]
"*NewlyCreated*" = "0"
"ActiveService" = "MRxCls"

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET]
"NextInstance" = "1"

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000]
"Class" = "LegacyDriver"
"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"ConfigFlags" = "0"
"DeviceDesc" = "MRXNET"
"Legacy" = REG_DWORD, 1
"Service" = "MRxNet"

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000\
Control]
*NewlyCreated* = "0"
"ActiveService" = "MRxNet"

[HKLM\SYSTEM\CurrentControlSet\Services\MRxCls]
"Data" = " ...m}.....$z...#......Q.*..j..O..i|..;...u...3H...../
...!..uh....{...rG.......2...86kI..o...J...K....AK...$...7.B..j.....
<.c.>`......7..W....kA.m.9q......}...pF.$...-.`r.....4RK}
_._5..>x....Z.0ZV......../...+?IA....qgi..iw)w.....]&.Z\,F.
.(..K..:<....!.O.n...........S...1.8{7....,.L.3....h1- .Pd{9....
..l*...%C..(.'s.E..S.......(..Z......%...LHf.Y@..0....v.....J.."
"Description" = REG_SZ, "MRXCLS"
"DisplayName" = "MRXCLS"
"ErrorControl" = "0"
"Group" = "Network"
"ImagePath" =  "\??\C:\WINDOWS\system32\Drivers\mrxcls.sys"
"Start" = "1"
"Type" = "1"

[HKLM\SYSTEM\CurrentControlSet\Services\MRxCls\Enum]
"0| ="Root\LEGACY_MRXCLS\0000"
"Count" = "1"
"NextInstance" = "1"

[HKLM\SYSTEM\CurrentControlSet\Services\MRxNet]
"Description" = "MRXNET"
"DisplayName" = "MRXNET"
"ErrorControl" = "0"
"Group" = "Network"
"ImagePath" = "\??\C:\WINDOWS\system32\Drivers\mrxnet.sys"
"Start" = "1"
"Type" = "1"

[HKLM\SYSTEM\CurrentControlSet\Services\MRxNet\Enum]
"0" = "Root\LEGACY_MRXNET\0000"
"Count" = "1"
"NextInstance" = "1"

Распространение

Вредоносная программа распространяется с помощью сменных USB носителей, используя уязвимость CVE-2010-2568 в LNK/PIF-файлах. Для этого вредоносный код, работающий в процессе services.exe мониторит подключение новых USB накопителей в системе и в случае обнаружения подключения создает в корневой папке накопителя следующие файлы:
~wtr4132.tmp
Данный файл имеет размер 513536 байт и детектируется Антивирусом Касперского как Worm.Win32.Stuxnet.m.
~wtr4141.tmp
Данный файл имеет размер 25720 байт и детектируется Антивирусом Касперского как Worm.Win32.Stuxnet.b. Эти файлы являются динамическими библиотеками, которые загружаются в результате срабатывания уязвимости и инсталлируют вредоносную программу в систему. Вместе с этими файлами в корень заражаемого диска помещаются файлы ярлыков с уязвимостью:
"Copy of Shortcut to.lnk" 
"Copy of Copy of Shortcut to.lnk" 
"Copy of Copy of Copy of Shortcut to.lnk" 
"Copy of Copy of Copy of Copy of Shortcut to.lnk"
Файлы имеют размер 4171 байт и детектируются, как Trojan.WinLnk.Agent.i. Уязвимость срабатывает, когда пользователь делает попытку просмотреть содержимое корня сменного носителя файловым менеджером, с включенным отображением значков файлов. После срабатывания уязвимости активируется руткит, который мгновенно скрывает вредоносные файлы. Вредонос использует уязвимость в службе Диспетчер печати (Print Spooler) Windows (MS10-061), которая позволяет выполнять произвольный код на целевой системе.
Заражению подвержены компьютеры, использующие принтер и предоставляющие к нему общий доступ. При этом на атакуемую машину происходит загрузка следующих файлов:
%System%\winsta.exe
Данный файл имеет размер 521728 байт и детектируется Антивирусом Касперского, как Worm.Win32.Stuxnet.e.
%System%\wbem\mof\good\sysnullevnt.mof
Данный файл имеет размер 1594 байта, содержит скомпилированный mof-скрипт, для запуска файла "winsta.exe" Также для распространения по сети вредонос использует уязвимость в службе сервера (MS08-067), и уязвимость в Task Scheduler, позволяющая повысить локальные привилегии.

Деструктивная активность

С помощью драйвера:
%System%\drivers\mrxnet.sys
Руткит подключается как драйвер-фильтр к следующим устройствам файловых систем:
\FileSystem\ntfs
\FileSystem\fastfat
\FileSystem\cdfs
и таким образом получает контроль над файловой системой зараженного компьютера. Руткит скрывает файлы, имеющие имена вида:
~WTR<rnd>.tmp
Где <rnd> - случайное четырехзначное число, например:
~WTR4132.tmp
~WTR4141.tmp
Также скрываются файлы имеющие расширение LNK и размер файла равный 4171 байт. Файл руткита подписан цифровой подписью Realtek Semiconductor Corp Содержит строку:
b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb
При помощи драйвера:
%System%\drivers\mrxcls.sys
Вредоносная программа внедряет вредоносный код(inject) в процессы пользовательского режима. Для этого загружает динамическую библиотеку DLL в следующие системные процессы:
svchost.exe
services.exe
lsass.exe
после чего в их списке модулей появляются библиотеки с именами вида:
kernel32.dll.aslr.<rnd>
shell32.dll.aslr.<rnd>
Где <rnd> - случайное шестнадцатеричное число. Внедряемый код находится в файле:
%WinDir%\inf\oem7A.PNF
в зашифрованном виде. Внедряемый код содержит основной функционал данной вредоносной программы. Который включает:
  • Распространение на сменных носителях.
  • Мониторинг за работой системы Siemens Step7. Для этого драйвер руткита внедряет в процесс s7tgtopx.exe свою библиотеку-посредник, вместо оригинальной s7otbxsx.dll, которая эмулирует работу следующих API-функций:
    s7_event
    s7ag_bub_cycl_read_create
    s7ag_bub_read_var
    s7ag_bub_write_var
    s7ag_link_in
    s7ag_read_szl
    s7ag_test
    s7blk_delete
    s7blk_findfirst
    s7blk_findnext
    s7blk_read
    s7blk_write
    s7db_close
    s7db_open
    s7ag_bub_read_var_seg
    s7ag_bub_write_var_seg
    собирая различные данные о работе системы.
  • Выполнение SQL запросов. Вредонос получает список компьютеров в локальной сети и проверяет запущен ли на каком-либо из них Microsoft SQL сервер, который обслуживает систему визуализации производственных процессов Siemens WinCC. Если сервер обнаружен, вредонос пытается подключиться к базе данных, используя имя пользователя и пароль WinCCConnect/2WSXcder (CVE-2010-2772) после чего пытается получить данные таблиц, таких как:
    MCPTPROJECT
    MCPTVARIABLEDESC
    MCPVREADVARPERCON
  • Собирает информацию из файлов со следующими расширениями:
    *.S7P
    *.MCP
    *.LDF
    Которые созданы при помощи системы Siemens Step7. Поиск файлов ведется на всем жестком диске компьютера.
  • Отправляет собранные данные в интернет на сервера злоумышленников в зашифрованном виде.

Хакеры устроили мощную DDoS-атаку на WordPress

Администрация Wordpress.com, одной из самых больших площадок для размещения блогов, сообщила о крупнейшей за все время существования сервиса DDoS-атаке.

Как сообщается, от нее пострадали почти 18 млн блогов, в том числе и со статусом VIP. По словам руководства компании, мощность атаки достигала "нескольких гигабит в секунду и десятков миллионов пакетов в секунду".

Основатель WordPress Мэтт Мулленвег заявил, что от действий злоумышленников пострадали три дата-центра, расположенные в Чикаго, Сан-Антонио и Далласе. Он не исключает, что кибератака носила политехнический характер, поскольку первоначальной целью были неанглоязычные блоги. При этом Мулленвег отметил, что они проводят собственное расследование.

Сейчас проблемы устранены и площадка работает в обычном режиме. Специалисты WordPress принимают активные меры для предотвращения повторения ситуации.

Доктор Веб: Вирусные угрозы в феврале 2011 года

В феврале 2011 года сохранили свою актуальность основные тенденции прошлых месяцев. Значительную долю вирусного трафика составляют блокировщики Windows и трояны, осуществляющие кражу паролей к учетным записям систем дистанционного банковского обслуживания.Причем последние работают в тандеме с фальшивыми антивирусами.

Блокировщики Windows
Концепция троянцев-вымогателей, блокирующих работу компьютера, оказалась весьма живучей. В ходе развития данной идеи вирусописатели перепробовали несколько способов перечисления денег и ряд технологических решений, иногда довольно неожиданных, вплоть до блокировки ОС из загрузочной записи.
В феврале 2011 года появилось несколько новых разновидностей Trojan.Winlock, отличающихся внешним видом блокирующего окна. Кроме того, блокировщики стали использовать новые приемы, затрудняющие анализ, а также достаточно сложные крипторы — программы для шифрования и «запутывания» готовых исполняемых файлов. Один из таких крипторов, популярных среди разработчиков Trojan.Winlock, размещает в исполняемом файле характерную иконку, позволяющую отличить такой файл визуально:
Простота реализации и эффективность этой схемы вымогательства позволяют с уверенностью утверждать, что распространение блокировщиков в обозримом будущем не прекратится. Наоборот, вероятно появление все более изощренных вариантов данного вида мошенничества.

Шифровальщики
Другая разновидность так называемых ransomware (программ-вымогателей) — шифровальщики — также напомнила о себе в феврале. Автор Trojan.Encoder несколько раз менял алгоритм шифрования, но в целом количественные показатели данного вида вредоносных программ остались на прежнем уровне. Коллектив «Доктор Веб» обеспечивает своевременную разработку и поддержку утилит — расшифровщиков данных, зашифрованных троянцами семейства Trojan.Encoder.

Воровство банковских аккаунтов
В десятке вредоносных лидеров февраля 2011 года оказалось сразу несколько программ для кражи денежных средств с банковских счетов, аналогичных нашумевшему троянцу Trojan.PWS.Panda, известному также как Zeus. Все они являются модификациями одного и того же вирусного прототипа. В теле троянца зашит внушительный список URL систем дистанционного банковского обслуживания. Среди них — русские, итальянские, американские, немецкие:
* libertyreserve.com
* perfectmoney.com
* laiki.com
* bankofcyprus.com
* commbank.com.au
* suncorpbank.com.au
* stgeorge.com.au
* online.westpac.com.au
* anz.com
* sparkasse.de
* commerzbanking.de
* finanzportal.fiducia.de
* deutsche-bank.de
* targobank.de
* postbank.de
* csebo.it
* poste.it
* gruppocarige.it
* cedacri.it
* payment.ru
* ibank.alfabank.ru
* chase.com
* capitalone.com
Некоторые из троянцев этого семейства определяются антивирусом Dr.Web как Trojan.DownLoader2. В качестве дополнительной «нагрузки» троянцы имеют функции «лоадеров» и скачивают поддельные антивирусы (Trojan.FakeAlert), а также программы скрытого удаленного администрирования (BackDoor).

Мобильные платформы
В сравнении с январем значительно увеличилось количество троянцев для платформы Android. Android.SmsSend написаны на Java, их единственной функцией является отправка платных СМС-сообщений на короткие номера, например 6008.
В январе был обнаружен один образец такого вредоносного ПО, в феврале — уже шесть, что позволяет говорить о тенденции, и появление более сложных и опасных троянских программ под эту платформу — дело ближайшего будущего.

Прочие угрозы
Среди прочих угроз можно отметить новые модификации Win32.Virut и традиционно высокие показатели трафика различных модификаций почтовых червей Win32.HLLM.NetSky и Win32.HLLM.MyDoom.
Разработчики ботнета Trojan.WinSpy в течение февраля дважды обновляли компоненты своих ботов. В основном это коснулось алгоритмов шифрования и структуры файла sfcfiles.dll.
Отмечен спад активности червей, распространяющихся через сменные носители (Win32.HLLW.Autorunner).

Источник

За созданием червя Stuxnet стоят США

Немецкий эксперт по компьютерной безопасности заявил в четверг, что по его мнению, вредоносного червя Stuxnet в иранскую ядерную программу запустили Соединенные Штаты и израильский Моссад.

«Я считаю, что к этому причастен Моссад», - заявил Ральф Лангнер (Ralph Langner) во время обсуждения его глубокого анализа кода Stuxnet на престижной конференции TED, состоявшейся в городе Лонг-Бич в Южной Калифорнии.

«Но главный источник это не Израиль… Есть лишь один главный источник, и это Соединенные Штаты».

Широкое распространение получили слухи о том, что за червем Stuxnet, атаковавшим компьютеры в Иране, стоит Израиль. А Тегеран обвинил Тель-Авив и США в том, что они убили в ноябре и январе двух его ученых-ядерщиков.

«Идея создания компьютерного червя Stuxnet на самом деле весьма проста, - заявил Лангнер. – Мы не хотим, чтобы Иран получил атомную бомбу».

По словам Лангнера, этот вредоносный код тайно проник в компьютеры на иранском атомном предприятии и взял под свой контроль управление электронными приборами и роторами.

«Его создали люди, которые могли иметь доступ к секретной информации о программе, - объяснил он. – Возможно, они даже знали размер обуви оператора».

Stuxnet проникает в системы компьютерного управления, производимые немецким промышленным гигантом Siemens. Эти системы обычно используются для управления подачей воды, нефтяными вышками, электростанциями и прочими важными объектами инфраструктуры.

«Идея здесь состоит в том, чтобы обмануть и обойти системы цифровых данных, сделав это так, чтобы оператор не смог быстро добраться до этого кода», - сказал Лангнер.

«Когда подвергаются опасности цифровые системы безопасности, могут произойти очень страшные вещи – скажем, может взорваться ваш завод».

В большинстве случаев червя Stuxnet обнаруживали в Иране, и это вызвало предположения о том, что данный вредоносный код предназначен для проведения диверсий на иранских ядерных объектах. Червь создан таким образом, что он распознает ту систему, которую должен атаковать.

В январе на страницах New York Times появилось сообщение о том, что разведслужбы США и Израиля совместно разработали этот компьютерный код, дабы помешать усилиям Ирана по созданию атомной бомбы.

Москва в январе потребовала от НАТО провести расследование в отношении этого компьютерного червя, который проник в системы построенной Россией иранской атомной электростанции. Она заявила, что данный инцидент может спровоцировать новый Чернобыль.

Российский представитель в НАТО заявил в январе, что из-за кода Stuxnet производящие на Бушерской АЭС обогащенный уран центрифуги вышли из-под контроля, и что это могло вызвать новую «чернобыльскую трагедию» - аварию, произошедшую в 1986 году на Украине.

«Операторы видели на своих экранах, что центрифуги работают нормально, хотя на самом деле, они вышли из-под контроля», - заявил Дмитрий Рогозин журналистам после встречи с представителями блока НАТО, куда входит 28 государств.

Россия помогает Ирану строить в южном городе Бушере атомную электростанцию, которая предназначена для гражданских целей.

По словам Лангнера, код Stuxnet создан таким образом, что вводит в заблуждение операторов, показывая им записанные данные приборов, говорящие о том, что оборудование работает нормально. На самом деле, это оборудование выходит из-под контроля и идет к саморазрушению.

«Определенно, это откровенная диверсия, - сказал Лангнер по поводу Stuxnet. – Это как в кино, когда во время ограбления камеры безопасности крутят заранее сделанную запись, которая показывает, что все в порядке».

Представитель Ирана в МАГАТЭ опроверг предположения о том, что атака Stuxnet негативно повлияла на ядерную программу страны, в том числе, на Бушерскую АЭС.

По словам Лангнера, самое ужасное в коде Stuxnet то, что его атаки многофункциональны, и что он прекрасно работает на заводах, электростанциях и на других объектах подобного рода, которых очень много в США.

«Это кибернетическое оружие массового уничтожения, - сказал Лангнер, - и нам лучше прямо сейчас начать готовиться к его отражению».

Источник

Вредоносное ПО в феврале 2011 года

По данным исследования экспертов "Лаборатории Касперского", февраль 2011 года был отмечен ростом числа усовершенствованных drive-by атак с использованием каскадных таблиц стилей (CSS), а также появлением новых видов вредоносного ПО для мобильных платформ.

Одним из основных методов заражения компьютеров пользователей в настоящее время являются так называемые drive-by атаки. Их опасность состоит в том, что инфицирование компьютеров происходит без ведома пользователей и может быть инициировано даже при посещении легитимных ресурсов, взломанных злоумышленниками. Посетители взломанных сайтов перенаправляются на веб-страницы, которые содержат скриптовые загрузчики, запускающие различные эксплойты.

В феврале в большинстве drive-by атак злоумышленники стали использовать каскадные таблицы стилей (CSS) для хранения части данных скриптового загрузчика. Этот усовершенствованный метод атаки значительно затрудняет детектирование вредоносных скриптов многими антивирусами и позволяет злоумышленникам защитить от детектирования загружаемые эксплойты.

Также в феврале было обнаружено сразу несколько новых видов вредоносного ПО для мобильной платформы Google Android. Эти зловреды обладают функционалом бэкдора, то есть используются злоумышленниками для получения несанкционированного доступа к устройству пользователя. В данном случае троянцы использовали идентификационные данные мобильного телефона для осуществления запросов к поисковой системе в фоновом режиме и последующей накрутки посещения сайтов. Зловреды действовали на территории Китая, США, Испании, Бразилии и России.

Не теряет популярность в России и такой вид мобильных угроз как SMS-троянцы для платформы J2ME, охватывающей самый широкий спектр мобильных устройств. Заражение чаще всего происходит через ссылки в спам-сообщениях, распространяемых в ICQ. Попав на телефон, зловред осуществляет скрытую рассылку SMS-сообщений на премиум-номер, стремительно сокращая баланс пользователя.

Источник

56 вредоносных приложений неделю раздавались на Android Market

В Android Market обнаружено по крайней мере 56 вредоносных приложений, которые успели загрузить на свои смартфоны десятки тысяч пользователей.

Как сообщается, реальные масштабы инцидента ещё только предстоит выяснить, но уже сейчас вырисовывается некая картина происшедшего.

По крайней мере часть вредоносных приложений появилась в Android Market около недели назад. Об этом свидетельствует разработчик популярного Android-приложения Guitar : Solo Lite, некто Coding Caveman.

Дело в том, что все эти вредоносные приложения фактически являются клонами настоящих популярных приложений, в которые внедрён особый код. В Guitar : Solo Lite ведётся сбор отчётов о падениях программы, соответственно и вредоносный клон этого приложения также присылал отчеты, что и привлекло внимание разработчика. Он быстро понял, что происходит, и попытался связаться с представителями Google.

Это было ещё неделю назад. Ни один из способов, которые перепробовал Coding Caveman для получения хоть какой-то реакции Google, не сработал.

Затем эту проблему заметил один из членов сообщества Reddit. Он обнаружил сразу 21 приложение, которые были выложены на Android Market неким издателем Myournet и являлись при этом копиями существующих популярных приложений. Выборочная проверка показала, что копии содержат троянскую программу.

Также сообщается, что калифорнийская компания Lookout, специализирующаяся на безопасности мобильных устройств, сумела обнаружить ещё двух издателей, выложивших аналогичные вредоносные приложения на Android Market. Общее число таких приложений достигло 56.

Публикация в Reddit привлекла внимание многих, на Google через свои каналы вышли как Reddit, так и другие СМИ и компании, так что специалисты Google сразу занялись решением проблемы.

К настоящему моменту все эти приложения уже удалены из онлайн-магазина. Известно также, что специалисты Google при поддержке ряда сторонних экспертов внимательно изучают данный инцидент. Планируется или уже началось дистанционное удаление вредоносных приложений, которые беспечные пользователи успели загрузить за время их присуствия в Android Market.

Источник

В Google Chrome исправлено 19 уязвимостей

В понедельник компания Google исправила 19 уязвимостей в браузере Chrome и выплатила 14 000 долларов девяти исследователям, которые сообщили об этих уязвимостях.

Как и год назад, Google устранила уязвимости в Chrome за неделю до начала Pwn2Own, ежегодного конкурса по взлому пройдет в рамках конференции CanSecWest в Ванкувере.

В обновлении Chrome 9.0.597.107 16 уязвимостям присвоен рейтинг "высокий", второй в рейтинге угроз систем Google и трем уязвимостям "средний" рейтинг.

Уязвимости были исправлены в нескольких компонентах, в том числе WebGL, аппаратное ускорение 3D-графики API, которое было представлено в начале февраля в Chrome 9, SVG (масштабируемая векторная графика), а также адресной строке браузера.

Почти четверть уязвимостей были определены как "устаревшие указатели" ошибок, термин, используемый для описания неполадок в приложении — в частности в Chrome — выделение памяти кода.

Pwn2Own 2011 начнется 9 марта, когда исследователи в области безопасности будут соревноваться во взломе не только Chrome но и других популярных браузеров Apple Safari 5, Microsoft Internet Explorer 8 и Firefox Mozilla 3.6.

Исправленные ошибки в понедельник могут оказаться особенно важными в этом году, поскольку Google объявил приз в размере 20 000 долларов за взлом Chrome в течение трех дней с начала конкурса. После этого, если никто не взломает Chrome, Google выплатит только 10 000 долларов.