[ Галерея ] - [ Поиск ] - [ Пользователи ]
Полная Версия: Успешная борьба с вирусами и троянами
FreeCat
В последнее время, когда вирусы и трояны очень хорошо прячутся в системе и установленные АВ могут и не видеть их - правильнее всего всего проверять на вирусы с LiveCD. Берём вот отсюда свежий образ диска(лн официально бесплатный!), записываем на диск - а потом грузимся с этого диска и проверяемся ... при этом отыскивается даже та зараза, которая усиленно прячется laugh.gif . Образ всегда свежий по ссылке. с последними базами wink.gif .

P.S. Иногда на некоторых концигурациях после загрузки отказывается работаь мышь blink.gif ... тогда надо загрузиться в Safe Mode этого диска и проверить в ткстовом режиме. АВ с диска просто переименует все вредные файлы - так что если что "потеряется" можно будет найти файл и либо найти незаражённый аналог - либо поправить реестр чтобы больше не возникало ошибок rolleyes.gif .

P.P.S. Полезно иметь такой диск в запасе - чтобы если случайно поймаете "блокер" загрузиться с такого CD и вылечить комп. Базы "старого" диска можно обновить если компьютер имеет выход в Инет и диск смог подключится к нему. Обычно это работает когда выход идёт через LAN и адреса раздаются через DHCP ... обычно такое бывает если выход в Инет производится через роутер.
FreeCat
Если же Вы загрузили файл или получили почтой и Вам он сильно подозрителен - то проверьте на Вирустотале. Поверьте - несколько минут, потерянных на проверку, помогут Вам избежать последующих неприятностей rolleyes.gif ! А также многих часов на восстановление системы и прочих временных и финансовых неприятностей rolleyes.gif !

P.S. Впрочем он тоже не "конечный вариант" ... если сомневаетесь в проверке - то скидывайте ссылку на данные проверки, помогу оценить rolleyes.gif .
Windy
Извините, если не в тему, но как-то раз мой знакомый технарь говорил что-то о функции netstat-an и проверке компьютера на наличие троянов. Такое правда имеет место быть или я что-то путаю? unsure.gif
FreeCat
Windy
netstat - команда показывающая текушие соединения ... может помочь чтобы посмотреть какая программа куда "лезет" в Инете ... но трои очень редко держат постоянные соединения rolleyes.gif .
Можно их и пообломать - набрав route -f(очень не рекомендую набирать тогда когда сама работаешь в Инете tongue.gif ) ... "восстановить"(почти всегда) можно командой ipconfig /renew rolleyes.gif .
Velaar
Вирустотал - это серьезно smile.gif Что касается netstat'а то удобнее и практичнее пользоваться tcpview. Для Win пока лучше не придумали.
FreeCat
Velaar
Да утилит полно всяких, я просто упминаю самые простые и понятные неспецу rolleyes.gif ...
FreeCat
Новый троян выдает себя за обновление для TweetDeck


Пользователей микроблога Twitter подстерегает опасность в виде нового трояна. Аналитики компании Sophos сообщают о том, что новый троян маскируется под «важное обновление» для TweetDeck — популярного клиента для работы с микроблогами. Для установки «обновления» пользователям предлагается пройти по указанной в сообщении ссылке. После перехода по ссылке на компьютер пользователя устанавливается вредоносная программа, которую эксперты Sophos идентифицируют как Troj/Agent-OOA. После заражения троян получает доступ к аккаунту пользователя и использует его для дальнейшего распространения вредоносной ссылки. В тексте сообщения, сопровождающего ссылку, говорится, что выход «обновления» для TweetDeck приурочен к Осеннему банковскому выходному — официальному выходному дню в Англии, который приходится на последний понедельник августа.
FreeCat
Компания Microsoft обнаружила опасный фальшивый антивирус


Компания Microsoft распространила предупреждения о новой вирусной эпидемии, распространяемой через браузеры. Программа-вредитель под кодовым названием Rogue:MSIL/Zeven автоматически определяет тип браузера, а затем очень похоже имитирует соответствующие диалоги браузера с предупреждением о вирусной угрозе. Фальшивые диалоги предупреждений почти неотличимы от настоящих – далеко не каждый пользователь сможет с первого взгляда определить подделку. Эта уловка представляет собой разновидность социальной инженерии, но в данном случае авторы вируса полагаются на то, что пользователи доверяют своим браузерам – подобная тактика обнаружена впервые. Кроме фальшивых окон с предупреждениям, вирус позволяет якобы просканировать ваши файлы. Кроме того, вирус предупреждает пользователей о неустановленных вовремя обновлениях, а еще предлагает вам изменить ваши настройки приватности и безопасности. Во время сканирования фальшивый антивирус находит зараженные файлы, однако не удаляет их, предлагая купить полную версию за деньги. Когда пользователь пытается купить продукт, открывается новое окно браузера в так называемом «безопасном режиме» с шифрованием передаваемых данных, правда в данном конкретном случае не приносит жертве никакой пользы. Наконец, веб-страница фальшивого антивируса крайне похожа на страницу известного бесплатного антивируса Microsoft Security Essentials. Скопированы даже награды, полученные пакетом MSE, и ссылка на центр антивирусной защиты Microsoft Malware Protection Center. Хотя новый вирус очень хорош (как вирус, конечно), но у него тоже есть недостатки. Его цель – заставить пользователя загрузить и установить некую программу, а также забрать у пользователя некоторую сумму, чего точно никогда не рекомендуют разработчики трех браузеров, в работу которых вмешивается новый вирус. Кроме всего прочего, страница предупреждения Firefox содержит явную опечатку ("Get me ouR of here"). Подозрительно и то, что веб-страница сообщает о гарантии на покупку. Часто оказывается, что якобы зараженные файлы, которые обнаружил фальшивый антивирус, вообще отсутствуют на компьютере. Все эти признаки должны немедленно насторожить пользователя – как бы то ни было, новая программа-вредитель отличается невиданным доселе уровнем имитации настоящих антивирусов и детализации. Несмотря на огромный прогресс в создании вирусов, пользователи могут эффективно защищаться от таких угроз, используя старое, но до сих пор актуальное правило – никогда не загружать и не устанавливать какие-либо файлы только потому, что какая-то веб-страница просит вас сделать это.
FreeCat
Ложное срабатывание avast на некоторых русских операционных системах Microsoft Windows XP. "Аваст заблокировал интернет" — решение проблемы.

5 Декабря 2012 года обнаружено ложное срабатывание бесплатного avast! Free, приводящее к блокированию интернета у пользователей с русской операционной системой Windows XP и установленными домашними версиями антивируса avast.

От лица разработчиков приносим свои извинения, в текущих базах обновления avast! уже убрали ложное срабатывание на системный файл TCPIP.sys.


Решение проблемы - на сайте AVAST-Russia.
FreeCat
Обновление антивируса «Касперского» отключило интернет у тысяч пользователей

Из-за ошибки, содержащейся в обновлении антивирусных продуктов «Лаборатории Касперского» от 4 февраля, тысячи домашних и корпоративных пользователей ПК на базе ОС Windows XP столкнулись со сложностями доступа в интернет.

Жалобы по этому поводу в тот же день появились на зарубежных и российских форумах, а также на форуме самого «Касперского». В частности, пользователи отмечали, что после обновления стал блокироваться 80-й порт. Страницы в интернет-браузерах загружались очень медленно или вообще перестали загружаться.

«У меня около 12 тысяч систем, использующих KES8, и час назад мы начали получать жалобы, связанные с проблемами доступа к интернет-сайтам», - написал на форуме «Касперского» один из зарубежных ИТ-администраторов.

На российских форумах также можно найти упоминание о появившейся проблеме с загрузкой процессора на 100% исполняемым файлом продуктов «Касперского» avp.exe.

Судя по сообщениям на форумах, проблемы с интернетом после обновления не затронули пользователей других платформ, кроме Windows XP. С проблемой столкнулись пользователи продуктов «Касперского» Anti-Virus for Windows Workstations 6.0.4 MP4 , Endpoint Security 8 для Windows, Endpoint Security 10 для Windows, Kaspersky Internet Security 2012 и 2013, а также Kaspersky Pure 2.0.

Помимо жалоб, касающихся непосредственно ошибки, пользователи также высказывали недовольство относительно медленной работы службы поддержки «Касперского».

Вечером в тот же день «Лаборатория» выпустила обновление, устраняющее ошибку, и загрузила его на публичные сервера. Компания также извинилась перед всеми пользователями за причиненные неудобства и пообещала предпринять меры, чтобы предотвратить повторение подобного в будущем, следует из сообщений зарубежных СМИ.
FreeCat
Обнаружен бот, зомбирующий ПК на Windows, Mac и Linux

«Лаборатория Касперского» обнаружило вредоносное Java-приложение, превращающее персональные компьютеры пользователей под управлением Windows, Mac и Linux в зомби, следующие командам злоумышленников. Об этом в корпоративном блоге SecureList рассказал вирусный аналитик Антон Иванов.

«Основной функционал бота - проведение DDoS-атак с компьютеров зараженных пользователей. При его анализе нами была зафиксирована попытка проведения атаки на один из сервисов осуществления рассылок по электронной почте», - рассказал аналитик.

В ЛК приложению присвоили имя HEUR:Backdoor.Java.Agent.a.

«При запуске бот копирует себя в домашнюю директорию пользователя и прописывается в автозагрузку», - рассказал эксперт. В среде OS X вредоносное приложение создает конфигурационный файл для сервиса launchd в директории ~/Library/LaunchAgents/. В среде Linux зловред прописывается в автозагрузку, используя директорию /etc/init.d/, в которой он создает sh-скрипт, запускающийся при старте системы. Для этого действия у вредоносного приложения должны быть привилегии root. Эксперты не исключают, что для их получения перед запуском вредоносного приложения отрабатывается некий эксплойт, который повышает его локальные права.

Интересно, что если для записи в автозагрузку Linux Java-бот требует root-привилегий, что типично для вредоносных программ, работающих в Linux, то для заражения Mac OS X, как говорит эксперт, бот может запускаться и из-под обычной учетной записи.

После запуска и добавления в автозагрузку боту необходимо сообщить об этом своим владельцам. Для того чтобы идентифицировать каждого бота, на пользовательской машине генерируется уникальный идентификатор бота.

Затем бот подключается к чат-сети IRC, появляясь в специализированном канале как пользователь с уникальным идентификатором. Для обработки команд от своих владельцев, которые находятся в этом же канале, используется открытый фреймворк PircBot (который в благих целях позволяет создавать чат-ботов).

После того как все настроено и компьютер-зомби вышел в сеть IRC и присоединился к каналу, злоумышленники указывают ему в чате команды, которые включают адрес атакуемого, порт, тип и длительность атаки, а также сколько потоков для нее использовать.

Аналитик добавил, что для того чтобы усложнить анализ и вредоносной программы и выявление ее предназначения, разработчики использовали обфускацию - то есть запутывание исходного кода программы.

Информацию по точному числу жертв в ЛК дать не смогли. По имеющейся у компании информации, приложение распространяется, используя достаточно актуальный на сегодняшний день Java-эксплойт.
FreeCat
Сразу после выхода патча Internet Explorer сотни тысяч пользователей атакованы через новую «дыру»

Специалисты компании FireEye зафиксировали масштабную атаку на пользователей веб-браузера Internet Explorer 10, жертвами которой стали сотни тысяч человек. Заражение происходит через уязвимость нулевого дня после посещения веб-сайта с размещенным на него вредоносным кодом. Атака получила название Operation SnowMan («Операция снежный человек») в честь проходящих в США снежных бурь.

Новая уязвимость была обнаружена спустя 2 дня после выпуска крупного обновления Microsoft, устраняющего 24 уязвимости в различных версиях Internet Explorer, включая 15 в десятой версии.

Как рассказали в FireEye, атакующие выбрали своей целью ветеранов США, поместив вредоносный код на сайт Организации ветеранов иностранных войн (vfw.org).

После того как пользователь заходит на сайт, вредоносный код загружает в фоновом режиме страницу, которая запускает объект Adobe Flash. С помощью кода ActionScript этот объект взламывает встроенный в операционную систему механизм защиты от уязвимостей ASLR (Address Space Layout Randomization), получая доступ к оперативной памяти.

После этого на компьютер жертвы сбрасывается бэкдор ZxShell. Он позволяет злоумышленникам получать удаленный доступ к системе и похищать ценную информацию.

«Бэкдор ZxShell - это общедоступный инструмент, который широко применяется множеством группировок, промышляющих шпионажем», - сообщили в FireEye. Специалисты считают, что атака Operation SnowMan была проведена теми же людьми, которые в августе 2013 г. провели атаку Operation DeputyDog и Operation Ephemeral Hydra в ноябре. Корни этих атак уходят в Китай, сообщил агентству Reuters представитель FireEye Дэриен Киндлунд (Darien Kindlund).

В Microsoft заявили, что находятся в курсе уязвимости и работают с FireEye над выпуском нового патча.

Согласно StatCounter, доля Internet Explorer 10 на рынке настольных веб-браузеров в настоящее время составляет 4,7%. Всем версиям IE в общей сложности принадлежит 24,6% рынка (второе место после Google Chrome с долей 46,6%).
FreeCat
Виртуальный Фантомас поразил 2,5 тысячи компьютеров в России

Массовая рассылка вредоносной программы Cryakl, шифрующей от имени Фантомаса файлы различных форматов на компьютере пользователя, зафиксирована в России и ряде других стран. Об этом говорится в сообщении компании «Лаборатория Касперского».

В России программа-шифровальщик уже «заразила» 2,5 тысячи компьютеров. В зоне особого риска также оказались Германия, Казахстан, Украина и Белоруссия.

Согласно сообщению, на вредоносную программу вела ссылка в письме, отправленном якобы от имени Высшего арбитражного суда Российской Федерации. Cryakl делает нечитаемыми файлы самых разных форматов, в том числе образы дисков и резервные копии, хранящиеся непосредственно на компьютере. При этом восстановить целостность данных невозможно, если пользователь заранее не озаботился вопросом продуманного хранения бэкап-файлов, отмечают эксперты.

Шифровальщик Cryakl подвергает изменениям не весь файл целиком, а лишь отдельные его фрагменты. Затем программа генерирует уникальный ключ, копия которого в обязательном порядке отправляется злоумышленникам.

После окончания шифрования Cryakl выводит на рабочий стол пользователя объявление от лица знаменитого злодея Фантомаса. Из текста пострадавший может узнать, что доступ к его файлам ограничен и у него есть 48 часов на то, чтобы отправить Фантомасу деньги за расшифровку. Причем злоумышленники не указывают конкретную сумму, которую должен заплатить пользователь.

Если пользователь не отреагирует в течение двух суток, то ключ, при помощи которого был сгенерирован шифр, будет уничтожен. По словам Артема Семенченко, антивирусного эксперта «Лаборатории Касперского», опасность Cryakl заключается, прежде всего, в том, что расшифровать обработанные им файлы на данный момент невозможно.
FreeCat
«Лаборатория Касперского» обнаружила новую угрозу для онлайн-банкинга

Вредоносная программа Chthonic, являющаяся модификацией банковского троянца ZeuS, может атаковать клиентов более 150 банков и 20 платежных систем в 15 странах мира; наибольший удар пришелся на Россию, Великобританию, Испанию, США, Италию и Японию, сообщает «Лаборатория Касперского».

Задача троянца Chthonic — кража паролей от систем онлайн-банкинга, а также другой конфиденциальной информации, дающей доступ к управлению счетом пользователя (в частности PIN, одноразовые пароли, номер телефона).

При соединении с веб-сайтом банка троянец добавляет свой вредоносный код в тело html-страницы в браузере. Тем самым злоумышленники изменяют вид и поведение страницы, чтобы собрать максимум интересующей их информации. К примеру, в России атакованные пользователи сталкивались с полностью фальшивыми интернет-страницами банков.

«Мы уверены, что в будущем нам встретится еще немало модификаций ZeuS, и мы продолжаем внимательно изучать и анализировать новые угрозы, развивая наши технологии противодействия им», — рассказывает Юрий Наместников, антивирусный эксперт «Лаборатории Касперского».
FreeCat
Хакеры впервые заразили компьютеры Apple трояном-вымогателем

О том, что компьютеры Mac в минувшие выходные впервые были атакованы трояном, известным как вымогатель, сообщает Reuters со ссылкой на представителей компании Palo Alto Networks Inc.

Речь идет о трояне, который является одной из наиболее быстрорастущих киберугроз, отмечает агентство. Заражая компьютер, троян шифрует данные, а затем просит пользователя заплатить выкуп, как правило, цифровыми валютами, чтобы получить электронный ключ, с помощью которого можно восстановить данные.

По оценкам экспертов по кибербезопасности, общий объем выкупов от подобного трояна, который в основном заражает компьютеры с операционной системой Windows от Microsoft, достигает сотни миллионов долларов в год. По словам директора компании Palo Alto Threat Intelligence Райана Олсона, троян под названием KeRanger стал первым в своем роде, заразивший компьютеры Mac от Apple.

В блоге Palo Alto рассказывается, что хакеры смогли заразить компьютеры Mac через вредоносную копию популярной программы Transmission. Пользователи скачивали версию 2.90 этой программы, которая появилась в пятницу, и таким образом заражали свои компьютеры. После завершения шифрования KeRanger требует выкуп в 1 биткоин (около 400$).

Представитель Apple заявил агентству, что компания за выходные предприняла действия для предотвращения дальнейшего распространения трояна, аннулировав цифровой сертификат, который позволял мошенникам устанавливать программы на Mac. Другие подробности он сообщить отказался.

Создатели программы Transmission, в свою очередь, удалили вредоносную версию своей программы со своего сайта www.transmissionbt.com, допустив, что хакеры могли взломать официальный сайт и заменить версию программы на вредоносную. В воскресенье компания выпустила версию 2.92, которая, как указывается на сайте, автоматически удаляет троян-вымогатель из зараженных компьютеров Mac. Сайт посоветовал пользователям программы Transmission немедленно установить эту новую версию, если у них есть подозрения, что их компьютеры заражены.
FreeCat
Вирус, притворившись обновлением Firefox, напал на миллионы ПК

Исследователи из компании Barkly Protects, выпускающей решения для мониторинга вредоносной активности на устройствах, сообщили об обнаружении вредоносного программного обеспечения, распространяемого под видом обновления для одного из самых популярных браузеров Firefox. Согласно исследованию Net Applications, Firefox занимает 8% рынка браузеров.

Вредоносное программное обеспечение устанавливается при посещении вредоносного веб-сайта. Как выяснилось, им является новая модификация Kovter — ранее известного приложения, с помощью которого злоумышленники устанавливают трояны и программы-вымогатели и накручивают клики на объявления.

После загрузки и запуска Kovter помещает в различные разделы реестра Windows скрипт, который запускает PowerShell.exe. Скрипт помещается в закодированном виде. После того как аналитики раскодировали его, они обнаружили в нем другую закодированную программу Powershell, предназначенную для внедрения шелл-кода в систему (шелл-код - это программа обладающая низкоуровневым доступом к операционной системе).

Ситуация усугублена тем, что на этот раз Kovter подписан легитимным сертификатом разработчика антивирусов Comodo. Проблема в том, что большинство антивирусов пропускают приложения с легитимными сертификатами, считая их безопасными.

Пользователям рекомендуется избегать приема предложений об обновлении браузеров вне стандартного процесса и делать это, при необходимости, через пункт меню «О Firefox». В случае если будет доступно обновление, информация о нем будет отображена в окне этого пункта.
FreeCat
Новый троян перехватывает контроль над камерой Mac и отправляет видео в сеть Tor

Операционная система компьютеров Mac, привыкшая к относительной безопасности, столкнулась с серьезным врагом – вредоносной программой OSX/Eleanor-A. Программа выдает себя за утилиту EasyDoc Converter, предназначенную для конвертации под Mac файлов Windows.

Эту утилиту можно найти на достойных доверия сайтах, однако она не проверялась Apple и не имеет их цифровой подписи. Чтобы упаковать себя под EasyDoc Converter, вредоносная программа использует бесплатный инструмент Platypus.

В фоновом режиме OSX/Eleanor-A создает скрытую папку. После того, как сам вредитель уже выявлен и удален, эта папка остается на компьютере. Ее содержимое – различные фолдеры и скрипты, которые по отдельности выглядят как инструменты, имеющиеся в свободном доступе. Из этих вроде бы безобидных компонентов OSX/Eleanor-A при помощи системных утилит собирает опасную конфигурацию OS X LaunchAgents. Загрузка OS X LaunchAgents тоже происходит в фоновом режиме, поэтому пользователь может ее проигнорировать или вообще не заметить. Никаких прав администратора на запуск система не запрашивает.

После установки на компьютере начинают действовать три фоновых программы. Одна подключает ваш Mac к анонимной сети Tor, делая компьютер видимым в «глубоком» интернете. Этот скрытый сервис соединяет вас с локальным сервером, который действует как C&C центр. Tor также устанавливает связь с криптографическим сервисом SSH, с которого ваш компьютер можно достать даже за фаерволом. Параллельно этому действует вторая фоновая программа – PHP-скрипт, открывающий доступ к файлам через браузер.

Вместе эти две программы полностью передают ваш Mac под контроль злоумышленника. Ему достаточно знать лишь имя скрытого сервиса, уникальное для каждого зараженного компьютера. Чтобы его выяснить, нужна третья программа, которая загружает произвольное 16-значное имя в профиль Pastebin. Открыв преступнику доступ к вашим файлам, программа автоматически удаляется.

Одна из интереснейших обнаруженных функций трояна - это перехват им контроля над iSight - встроенной камерой компьютеров Mac.

Доступ к веб-камере позволяет OSX/Eleanor-A круглосуточно наблюдать за пользователем. За пересылку данных на компьютер хакера отвечает утилита Netcat, за работу с веб-камерой – компонент Wacaw. Работу со снимками, скрыто сделанными камерой, облегчает программа просмотра изображений, написанная на PHP. Как полагают эксперты из Bitdefender, изучающие проблему, отследить, куда отправляются данные, невозможно.
Ответ:

 Включить смайлики? |  Включить подпись?
Здесь расположена полная версия этой страницы.

Зайдите также на: