Новости мира Underground

[Alex242]

В Сети обнаружен новый троян-вымогатель, блокирующий после своей установки работу компьютера. Основными жертвами нового трояна становятся пользователи социальной сети «В Контакте».

Как сообщается на сайте «Лаборатории Касперского», распространяется зловред через мошеннический сайт, на котором предлагается скачать ПО для взлома учетных записей в социальной сети «ВКонтакте». Очевидно, что посетителями этой страницы движут отнюдь не благородные мотивы. Однако после клика на кнопку загрузки под видом «программы-взломщика» начинается скачивание троянца-вымогателя, при чем о подмене ничего не сообщается.

Попав на компьютер, зловред выводит на Рабочий стол окно с предложением отправить СМС-сообщение на короткий номер, чтобы получить программу для доступа к личным данным пользователей сети «ВКонтакте». Одновременно троянец блокирует работу системы до тех пор, пока вымогатели не получат выкуп в виде СМС-ки.

Однако, отправив СМС-сообщение, пользователь оказывается дважды «наказан» злоумышленниками. Троянец скачает архив VK-Hack.zip, в котором находятся программа для подбора паролей к аккаунтам в популярных почтовых сервисах, а также ПО класса ShareWare, за полноценное использование которого необходимо заплатить дополнительно. Таким образом, жертва уловки мошенников не только оплачивает отправку дорогостоящей СМС-ки, но и получает совсем не бесплатные программы сомнительного функционала.

Виртуальное пространство сегодня становится все более опасным. К сожалению, долю ответственности за это несут и пользователи, которые выбирают нечестные правила игры, предложенные злоумышленниками. При обнаружении же СМС-блокера на компьютере, прежде всего, рекомендуется не идти на поводу у мошенников и не отправлять сообщения. Удалить назойливый баннер с Рабочего стола можно с помощью бесплатного сервиса на сайте «Лаборатории Касперского».
полная ссылка - http://www.vg-news.ru/news-novyi-vir...lei-vkontakte»

[Alex242]

Сегодня же Иран впервые официально обвинил США и Израиль в том, что они якобы несут ответственность за внедрение в компьютерные программы "мирных" ядерных АЭС мутирующего червя Stuntex. Об этом сообщило агентство IRNA со ссылкой на командующего Службой гражданской обороны Ирана.

Израильские обозреватели подчеркивают: официальный Иран впервые обвинил США и Израиль во внедрении мутирующего компьютерного червя. Ранее с аналогичными предположениями выступила американская газета New York Times, ссылавшаяся на предположения эксперта из Германии.

В свое время президент Ахмадинеджад признал, что вирус помешал бесперебойной работе центрифуг, необходимых для получения обогащенного урана. Вместе с тем Ахмадинеджад отрицал, что вирус причинил ущерб Бушерской АЭС.

ссылка - http://www.zman.com/news/2011/04/16/99497.html

[Alex242]

"Иран стал мишенью для компьютерного вируса не имеющего отношения к Stuxnet", с таким заявлением выступил глава гражданской обороны страны Голамреза Джалали в понедельник.

Джалали, в интервью MEHR неоофициально подтвердил, что новый вирус под названием Stars, в настоящее время исследуюется экспертами.

Он не уточнил, что именно являлось целью Stars, а также не сообщил о возможном ущербе нанесенном в результате действия нового вируса.

полная ссылка - http://www.mignews.com/news/technolo...723_50330.html

[Alex242]

16 июня 2011 года

Компания "Доктор Веб" сообщает о появлении новой модификации уже известного семейства вредоносного ПО Win32.Rmnet, способной заражать главную загрузочную запись (MBR). Благодаря этому Trojan.Rmnet запускается раньше установленного на компьютере антивируса, что значительно затрудняет детектирование и локализацию угрозы. Основное назначение этого троянца – кража паролей от популярных ftp-клиентов.
Trojan.Rmnet проникает на компьютер посредством зараженных флеш-накопителей или при запуске инфицированных исполняемых файлов. Иными словами, распространяется, как типичный вирус, поскольку обладает способностью к саморепликации – копированию самого себя без участия пользователя. Троянец инфицирует файлы с расширениями .exe, .dll, .scr, .html, .htm, а в некоторых случаях — .doc и xls, при этом программа способна создавать на съемных накопителях файл autorun.inf. Непосредственно после своего запуска троянец модифицирует главную загрузочную запись, регистрирует системную службу Micorsoft Windows Service (она может играть в операционной системе роль руткита), пытается удалить сервис RapportMgmtService и встраивает в систему несколько вредоносных модулей, отображающихся в Диспетчере задач Windows в виде четырех строк с заголовком iexplore.exe.
Главная функция троянца – поиск и похищение паролей от наиболее популярных среди пользователей ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Эта информация впоследствии может быть использована злоумышленниками для реализации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. Как минимум, при помощи указанных сведений вирусописатели смогут получить доступ к хранящимся на пользовательских сайтах папкам и файлам, удалить или изменять их. Кроме того, вредоносные модули Trojan.Rmnet могут осуществлять мониторинг сетевого трафика и реализовывать функционал бэкдора.

Добавлено через 12 часов 13 минут
17 июня 2011 года
17 июня 2011 года специалистами компании «Доктор Веб» — известного российского разработчика средств информационной безопасности — в вирусные базы были добавлены сигнатуры четырех новых модификаций вредоносной программы для мобильной ОС Android — Android.Wukong (4-7), похищающей средства со счетов пользователей путем отправки платных SMS-сообщений.
Новые версии троянца Android.Wukong были встроены в программное обеспечение, распространяемое с нескольких сайтов на территории Китая. В частности, он был обнаружен на одном из крупнейших сборников ПО www.nduoa.com, содержащем более 11000 приложений.
Вредоносная программа попадает на мобильное устройство в случае загрузки его владельцем инфицированного приложения и запускается в качестве фонового процесса операционной системы. Затем троянец получает с удаленного сервера номер платного сервиса, на который с интервалом в 50 минут осуществляет отправку SMS, начинающихся со строки "YZHC". Помимо этого вредоносная программа старается скрыть следы своей деятельности, удаляя из памяти смартфона отосланные ею сообщения и входящие SMS с информацией о приеме платежа оператором.

[Alex242]

29 июня 2011 года
Поисковые сервисы стремительно эволюционируют на благо пользователей, совершенствуя методики обработки запросов, неуклонно повышая быстродействие и релевантность отчетов. Однако не брезгуют современными технологиями и вирусописатели. Новая модификация троянской программы Trojan.VkBase.47, которую обнаружили специалисты компании «Доктор Веб», способна использовать для загрузки многочисленных вредоносных объектов на компьютер жертвы список, полученный из распределенной сети серверов.
На сегодняшний день это сорок седьмая по счету модификация семейства Trojan.VkBase., которое вот уже более семи месяцев не дает покоя пользователям. Данный троянец разработан злоумышленниками для скрытой загрузки на компьютер жертвы различных вредоносных программ: их список он получает с помощью поискового запроса, направляемого распределенной сети серверов.
Инфицируя компьютер, Trojan.VkBase.47 копирует себя в папку установки Windows, а затем создает в реестре раздел HKLM\SOFTWARE\services32.exe. Там он формирует ряд записей, предназначенных для контроля результативности заражения системы. Одновременно с этим троянец создает специальный файл журнала, куда заносятся сведения обо всех запущенных в настоящий момент процессах. Если среди них обнаруживаются идентификаторы стандартных модулей антивирусных программ, Trojan.VkBase.47 завершает работу. В противном случае троянец индексирует в реестре записи, относящиеся к системе безопасности Windows, останавливает Windows Firewall и изменяет конфигурацию безопасности Attachment Manager — в результате этого отключаются стандартные предупреждения при попытке запуска в системе загруженных из Интернета исполняемых файлов.
Вслед за этим Trojan.VkBase.47 сохраняет на диске файл сценария командного интерпретатора cmd.exe и запускает его на исполнение. Данный сценарий в свою очередь копирует исполняемый файл троянца в подпапку \Update.1 системной директории под именем svchost.exe, добавляет этот файл в отвечающую за автозагрузку ветвь системного реестра, отключает User Account Control и добавляет себя в исключения Windows Firewall. Будучи запущенной одновременно с операционной системой, вредоносная программа реализует свою основную задачу: соединившись с несколькими удаленными узлами, Trojan.VkBase.47 получает от них список IP-адресов, по которым троянец посылает поисковые запросы для нахождения новых вредоносных приложений, а затем скачивает и устанавливает их на зараженный компьютер.
Основная опасность Trojan.VkBase.47 кроется в том, что данный троянец благодаря встроенной функции поиска может инсталлировать на инфицированном компьютере широчайший список вредоносных программ

[Alex242]

Trojan.Janda модифицирует MBR и загружает вредоносную программу

После своего запуска Trojan.Janda создает в папке установки Windows файл с именем fxsst.dll, создавая «конкуренцию» загрузке аналогичного файла, расположенного в подпапке %windir%\system32, и являющегося стандартной библиотекой легитимного модуля поддержки факсового сервиса (Fax Service).
При перезагрузке операционной системы наступает заключительная фаза заражения: от имени explorer.exe инфицируется загрузочная запись MBR и на первой дорожке диска размещается небольшая программа, предназначенная для скачивания файлов из Интернета (до добавления вирусной записи она эвристически детектировалась как DLOADER.Trojan), затем исходная троянская библиотека fxsst.dll удаляется.
На иллюстрации можно увидеть содержимое инфицированной первой дорожки жесткого диска:
При каждом последующем запуске системы этот даунлоудер сохраняется в корневую директорию диска под именем window и прописывается в ветке системного реестра, отвечающей за автоматический запуск приложений. После успешной загрузки он самоудаляется.

[Alex242]

Проникнув в операционную систему, Trojan.MailGrab.61 создает во временной папке свою копию со случайным именем и расширением .dll, после чего согласно встроенному в него списку возможных путей установки наиболее популярных программ пытается создавать в них собственные копии с именем характерной для каждого приложения динамической библиотеки. Затем троянец копирует себя в директорию установки используемого по умолчанию браузера под видом одной из них, на случай если в его списке отсутствует браузер пользователя. В перечне приложений, которые способен инфицировать Trojan.MailGrab.61, присутствует множество ftp-клиентов и такие программы как Outlook Express, The Bat!, Windows Mail, Windows Media Player, WinRAR, PHP Expert Editor, Notepad ++, Windows Photo Viewer, DVD Maker, Total Commander, FAR, а также некоторые другие. Поскольку системный загрузчик по умолчанию ищет необходимые библиотеки сначала в текущей папке, то в момент старта инфицированной программы Trojan.MailGrab.61 загружается в адресное пространство ее процесса под видом стандартной динамической библиотеки и отмечает свой изначальный установщик на удаление после перезагрузки системы.
Будучи загруженной в память, данная вредоносная программа определяет версию операционной системы и пытается установить, является ли процесс, в который она внедрилась, браузером. Если это действительно так, Trojan.MailGrab.61 отправляет на принадлежащий злоумышленникам сервер сообщение об успешной установке, а в ответ получает зашифрованный список URL сайтов, посещаемость которых следует повысить. Вслед за этим троянец начинает отправлять на эти сайты циклические http-запросы. Троянская программа перехватывает все отправляемые в сеть данные и сканирует их на наличие адресов электронной почты, которые в случае обнаружения сохраняются в файле Windows\inf\jer.pnf. Содержимое этого файла также передается злоумышленникам, а после успешной отсылки данной информации — удаляется. Таким образом троянец пополняет спамерские базы данных.

[Alex242]

19 июля 2011 года
Волны заражений ПК российских пользователей вредоносными программами семейства Trojan.Winlock, первая из которых пришлась на конец 2009 – начало 2010 года, а вторая — на лето 2010 года, уже давно миновали, однако в настоящее время наблюдается тенденция к распространению угроз подобного типа за пределами России. Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает о новой модификации этой троянской программы, получившей название Trojan.Winlock.3846 и рассчитанной в первую очередь на зарубежную аудиторию. Говорить об эпидемии пока преждевременно, однако это уже вторая подобная угроза, выявленная специалистами «Доктор Веб» в текущем месяце.
В России от троянцев семейства Trojan.Winlock пострадали миллионы пользователей. На сегодняшний день волна заражений пошла на убыль: в частности, этому помог проект www.drweb.com/unlocker, а также сотрудничество «Доктор Веб» с ведущими российскими мобильными операторами. Тем не менее, сейчас проблема троянцев-блокировщиков стала актуальна и для зарубежных пользователей.
В отличие от троянца Trojan.Winlock.3794, о котором мы уже писали ранее, новая модификация программы-вымогателя записывает ссылку на себя в разделе системного реестра
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\W inlogon\userinit, который отвечает за запуск программ системным процессом winlogon в момент входа пользователя Windows в систему. Благодаря этому операционная система оказывается заблокированной при первой же после заражения перезагрузке компьютера.
Вместо привычного интерфейса Windows на экране инфицированного компьютера появляется сообщение о сбое некоего системного процесса по адресу 0x3BC3. Для его устранения пользователю предлагается позвонить по одному из указанных телефонных номеров и ввести код разблокировки в соответствующее поле. Звонок на эти номера, естественно, является платным.
Данная модификация «винлокера» имеет одну характерную особенность: в ресурсах троянца содержится несколько языковых версий блокирующего компьютер окна для различных локализаций Windows. Как минимум имеются варианты сообщения на английском, французском и русском языках.
Для разблокировки операционной системы, пострадавшей от действий троянца Trojan.Winlock.3846 воспользуйтесь следующим кодом разблокировки:
754-896-324-589-742

[Alex242]

20 июля 2011 года
Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей о распространении троянской программы Trojan.VkSpam, предназначенной для массовой рассылки сообщений в социальной сети ВКонтакте.ру. Следует отметить, что аналогичный троянец был зафиксирован в начале мая текущего года. Поскольку синтаксис конфигурационных файлов этих вредоносных программ идентичен, можно предположить, что они созданы одним и тем же автором.
Распространение Trojan.VkSpam происходит благодаря спам-рассылкам на сайте ВКонтакте.ру: как правило, пользователям предлагается принять участие в опросе и получить за это ценные призы, «голоса» или другие бонусы. Вредоносная программа маскируется под приложение, собирающее мнение участников опроса о нововведениях данной социальной сети, либо под программу для сбора статистики о посещении страницы пользователя ВКонтакте.ру. И в том и в другом случае троянец демонстрирует на экране компьютера окно, предлагающее ввести в соответствующую форму логин и пароль учетной записи: это якобы необходимо для установки соответствующего приложения.
Воспользовавшись полученными учетными данными, Trojan.VkSpam начинает массовую рассылку сообщений по списку контактов пользователя. Непосредственно перед этим троянец связывается с одним из нескольких командных серверов и получает оттуда конфигурационный файл, в котором указаны параметры рассылки, а также может присутствовать ссылка на другую вредоносную программу, которую Trojan.VkSpam загружает из Интернета и устанавливает на зараженном компьютере. Как правило, в получаемом с удаленного узла исполняемом файле содержится троянец семейства Trojan.Hosts или Trojan.PWS.

[Alex242]

22 июля 2011 года
Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей о появлении очередной троянской программы для мобильной платформы Android. Android.Ggtrack.1-2 крадет деньги со счетов владельцев смартфонов на базе этой ОС, без ведома подписывая их на различные платные услуги.
Android.Ggtrack.1-2 проникает в операционную систему мобильного устройства при посещении пользователем фишингового сайта, маскирующегося под официальный Android Market. Ссылка на эту страницу обычно присутствует в рассылаемой спамерами рекламе, также на нее можно наткнуться при просмотре некоторых веб-страниц в Интернете. Две известные на сегодняшний день модификации троянца встроены в ряд легитимных приложений, таких как программа для управления энергосбережением Battery Saver, гаджет-будильник Alarm Clock или комплект эротических обоев для телефона под названием Sexy Girls. На официальном Android Market инфицированное ПО в настоящий момент не обнаружено.


На сегодняшний день владельцам смартфонов предлагается множество интернет-сервисов, предполагающих платную подписку на различные услуги (онлайн-игры, службы знакомств, а также ресурсы, предоставляющие доступ к всевозможному контенту, такому как гороскопы, психологические тесты и т. д). Обычно для регистрации на подобных сайтах от пользователя требуется зайти на специальную веб-страницу, принять лицензионное соглашение, ввести в соответствующее поле номер своего мобильного телефона, а затем набрать в отдельной форме полученный по СМС код доступа, подтверждающий, что номер указан правильно. Android.Ggtrack.1-2 умеет выполнять все эти процедуры абсолютно незаметно для пользователя и, разумеется, без его ведома. Лишь спустя какое-то время владелец мобильного устройства с удивлением обнаружит факт списания с его счета некоторой суммы денег за пользование платными услугами, о которых он не имел ни малейшего представления.
Для того чтобы уберечься от заражения Android.Ggtrack.1-2, рекомендуется устанавливать на мобильные устройства приложения, загруженные только из проверенных источников, таких как официальный Android Market. Не доверяйте предлагающим установить бесплатные программы рекламным сообщениям, пришедшим к вам по электронной почте или СМС.

[Alex242]

27 июля 2011 года
Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей о появлении вредоносной программы Trojan.CryptLock.1, шифрующей файлы на жестком диске компьютера и вымогающей у пользователя деньги. Троянец объединяет в себе вредоносный функционал как печально знаменитого Trojan.Winlock, так и Троjan.Encoder, который получил меньшее распространение, однако также представляет существенную опасность для пользователей.
Запустившись на инфицированном компьютере, троянец Trojan.CryptLock.1 выводит на экран окно, содержащее следующий текст:
В обмен на отправленное жертвой письмо вымогатели обещают отослать сообщение с реквизитами для проведения платежа. В отличие от окон, демонстрируемых троянцами семейства Trojan.Winlock, данное окно может быть закрыто сочетанием горячих клавиш или с помощью Диспетчера задач.
Вредоносный функционал Trojan.CryptLock.1 кроется в другом: троянец шифрует обнаруженные на жестком диске файлы с расширениями AVI, MP3, PNG, PSD, PDF, CDR, JPG, JPEG, RAR, ZIP, DOCX, DOTX, XLSM, XLSX, DOC, XLS, LNK, ISO, DBF, XML, TXT, DBO, DBA, MPG, MPG4, WMA, WMV, GIF, PHP, CGI, HTM, HTML и некоторыми другими. После успешного заражения Trojan.CryptLock.1 создает на диске файл с именем КАК РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ — How to decrypt your files.txt, содержащий дальнейшие инструкции, согласно которым для расшифровки данных злоумышленники требуют заплатить им некоторую сумму.
Судя по количеству допущенных в тексте демонстрируемого троянцем сообщения пунктуационных ошибок, а также исходя из того, что Trojan.CryptLock.1 использует достаточно примитивный однобайтный алгоритм шифрования, у «группы инициативных программистов», стоящих за этой угрозой, как раз в разгаре школьные каникулы, и родители разрешили им немного попользоваться собственным компьютером.

[Alex242]

28 июля 2011 года
Вредоносные программы семейства Trojan.SMSSend присутствуют в вирусных базах Dr.Web в широчайшем ассортименте. Основная причина этого кроется в относительной простоте создания троянцев данного типа, причем с этой задачей может легко справиться пользователь, даже близко не знакомый с основами программирования.
Вредоносные программы, относящиеся к семейству Trojan.SMSSend, не рассылают СМС на платные номера (как это можно было бы предположить исходя из их названия), хотя первые версии этих троянцев, представлявшие собой мобильные приложения, промышляли именно этим. Современные модификации Trojan.SMSSend предлагают это сделать самому пользователю.
Trojan.SMSSend обычно представляет собой запакованный архив со встроенным инсталлятором, в процессе работы которого предлагается отправить платное СМС-сообщение на короткий сервисный номер для продолжения процесса установки и, соответственно, получения доступа к содержимому архива. Самое интересное заключается в том, что внутри такого архива находится, как правило, либо программа, которую легально и абсолютно бесплатно можно загрузить из других источников, либо попросту какой-нибудь ненужный файл.
Недавно в вирусную лабораторию компании «Доктор Веб» поступил еще один экземпляр такого троянца. Его особенность заключается в том, что инсталлятор практически полностью копирует установщик антивирусного приложения Dr.Web:
Правда, вирусописатели все-таки умудрились допустить в интерфейсе своего творения одну досадную ошибку:
Естественно, троянец требует от пользователя отправить платное СМС-сообщение на короткий сервисный номер. Внутри архива располагается дистрибутив, который можно скачать с нашего сайта бесплатно.
Источником «заразы» в данном случае являются многочисленные сайты так называемых «партнерских программ», вроде достаточно известных в определенных кругах ресурсов Center Cash или «ЗипПро», предлагающих создать такой самораспаковывающийся архив всем желающим. Мы не будем приводить ссылки на конкретные проекты данного типа, их создатели прекрасно знают, о чем идет речь.
Казалось бы, вполне здравая идея — помогать разработчикам полезного ПО, предоставляя программистам возможность использовать платные сервисные номера в качестве одного из способов получения дохода от продажи продуктов. Однако это как раз тот самый случай, когда благими намерениями вымощена прямая дорога в вирусную базу. Ведь достаточно посмотреть на предлагаемые стили оформления этих самых «платных архивов», чтобы понять, на какую именно аудиторию они рассчитаны и с какой конкретно целью были созданы такие сервисы:
Вот только некоторые названия наиболее востребованных клиентами таких сервисов «тем оформления»: Dr.Web, ChromeSetup, Firefox-Setup, install_flash_player, install_icq, magentsetup, OperaSetup, photoshop_setup, qipinfium, RusPhotoshopSetup, skype.

[Alex242]

1 августа 2011 года
Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей об участившихся в последнее время случаях заражения персональных компьютеров вредоносной программой Trojan.Mayachok.1. Данный троянец крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.
В конце прошлой недели была зафиксирована волна заражений, в ходе которой пользователи неожиданно столкнулись с невозможностью выйти в Интернет: вместо запрашиваемых ими сайтов в окне браузера демонстрировалось сообщение: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. […] Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение». Если пользователь следовал указаниям злоумышленников и вводил свой телефонный номер в соответствующую форму, а затем отвечал на входящее СМС, с его счета незамедлительно списывались средства.
Были зафиксированы случаи блокировки доступа в Интернет с подменой сайта «Ростелеком», однако этим аппетиты злоумышленников не ограничивались: вот неполный список интернет-ресурсов, страницы которых может подменить этот троянец: youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение.
Один из подтвержденных методов распространения данной вредоносной программы — рассылка в социальной сети «В контакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании этой программы имеется ссылка, по которой и загружается Trojan.Mayachok.1. Запустившись на инфицированном компьютере, троянец создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку
C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.

[Alex242]

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — сообщает о появлении новой угрозы, добавленной в вирусные базы под именем Win32.Induc.2. Этот троянец заражает среду разработки Delphi таким образом, что все созданные с ее помощью приложения оказываются инфицированными вредоносным ПО. Основное отличие Win32.Induc.2 от Win32.Induc заключается в том, что новая версия троянца несет в себе функциональную нагрузку, а не просто способна создавать собственные копии.
Win32.Induc.2 написан на языке Delphi. Троянец прописывает ярлык своего исполняемого файла в стандартной папке автозагрузки Windows под именем APMV и снабжает его случайным ярлыком. Стартовав при следующем запуске операционной системы, Win32.Induc.2 выполняет поиск папки, в которую установлена среда разработки Delphi, записывает копию самого себя в файл defines.inc и модифицирует файл sysinit.pas таким образом, что при запуске инфицированной программы троянец сохраняется в файле с именем ~.exe и запускается на выполнение.
Затем Win32.Induc.2 осуществляет пересборку модуля sysinit, вслед за чем возвращает содержимое папки Source в исходное состояние с целью затруднить определение присутствия вредоносной программы в системе. Полученный в результате компиляции dcu-файл троянец помещает в папку /lib, что приводит к заражению всех создаваемых пользователем Delphi программ.
Троянец пытается отыскать и заразить все копии среды разработки Delphi, расположенные на дисках инфицированного компьютера. Одновременно с этим Win32.Induc.2 осуществляет мониторинг запущенных процессов и автоматически завершается, если пользователь пытается открыть окно Диспетчера задач.
Как уже упоминалось, данная модификация троянца несет определенную функциональную нагрузку, которая реализована весьма любопытным образом. Во вредоносном файле «зашито» несколько URL, ссылающихся на «аватарки» пользователей ряда интернет-форумов. Внутри самих «аватарок», в свою очередь, скрыта закодированная строка, содержащая другой URL, по которому троянец скачивает с удаленного узла зашифрованный exe-файл. Таким образом, в Win32.Induc.2 реализована функция загрузки и запуска исполняемых файлов, способных нанести вред операционной системе.

[Alex242]

24 августа 2011 года
Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — сообщает о десятикратном росте с начала 2011 года числа модификаций троянцев семейства Android.SmsSend, представляющих опасность для владельцев мобильных устройств на базе ОС Android.
Исследования аналитиков компании «Доктор Веб» показывают, что авторы троянцев семейства Android.SmsSend, известного с августа 2010 года, используют ту же мошенническую схему, которая применяется при распространении Trojan.SmsSend для настольных ПК.
Жертва скачивает с одного из веб-сайтов нужное ей приложение. Например, браузер для мобильных устройств Opera Mini. В процессе его инсталляции на экране неожиданно появляется предложение отправить несколько СМС на короткий номер для продолжения установки. В ответ пользователь обычно получает ссылку и пароль, который необходимо ввести в соответствующую форму на сайте злоумышленников. После этого ему предоставляется возможность полностью загрузить требуемую программу. Суть мошенничества заключается в том, что, если бы изначально пользователь обратился не на веб-страницу злоумышленников, а на сайт разработчиков соответствующего ПО, то он мог бы скачать это приложение совершенно бесплатно.


Существование большого числа модификаций Android.SmsSend объясняется примитивностью этих вредоносных программ с точки зрения архитектуры, а также простотой их изготовления для вирусописателей.
Помимо этого, существуют так называемые «партнерские программы» и специальные конструкторы, с помощью которых любой школьник может создать собственную версию Android.SmsSend, не обладая даже базовыми навыками программирования. На начало 2011 года в вирусных базах Dr.Web значилось всего шесть модификаций данного троянца, а на текущий момент их насчитывается уже 60. Иными словами, только за истекшие семь с половиной месяцев количество версий Android.SmsSend выросло в десять раз. Резко возросло и число новых модификаций этой вредоносной программы, присланных в вирусную лабораторию компании «Доктор Веб» в августе 2011 года, — всего с начала месяца выявлено 22 неизвестные ранее версии троянца против среднего показателя, составляющего 5–7 новых детектов в месяц. Таким образом, можно говорить о 36-процентном росте числа версий данной угрозы только в августе 2011 года.
Очевидно, что столь резкое увеличение количества вариаций Android.SmsSend обусловлено выгодностью для вирусописателей финансовой модели, включающей производство и распространение этих троянцев, а также прибылью, получаемой от беспечных пользователей, мобильные устройства которых оказались инфицированы. Вполне вероятно, что указанная тенденция будет сохраняться и в дальнейшем.

[Alex242]

Вредоносные программы семейства Trojan.Fakealert известны уже довольно давно, в настоящее время в вирусных базах Dr.Web насчитывается более 24 тысяч модификаций данного троянца. Традиционно Trojan.Fakealert представляет собой лжеантивирус, при запуске сообщающий пользователю о наличии на его компьютере вредоносного ПО, для удаления которого требуется приобрести платную версию этого «продукта». В большинстве случаев никаких вредоносных программ, кроме самого Trojan.Fakealert, на машине жертвы нет. Разновидностей подобных лжеантивирусов, отличающихся названием, оформлением и количеством «определяемых» ими «угроз», существует великое множество, однако большинство из них действуют по одной и той же схеме: их задача — напугать пользователя и заставить его заплатить за решение несуществующей проблемы. Несколько иначе действует Trojan.Fakealert.23300.
В апреле 2011 года через бот-сеть BlackEnergy начала распространяться спам-рассылка, в сообщения которой был вложен ZIP-архив с троянцем Trojan.DownLoad.64325. Он, в свою очередь, загружал и запускал на компьютере пользователя Trojan.Fakealert.23300. Сами «письма счастья» содержали информацию о посылке, которая якобы вскоре будет доставлена получателю послания.
Запустившись на компьютере жертвы, Trojan.Fakealert.23300 копирует себя в папку C:\Documents and Settings\All Users\Application Data\ под именем qWTmtLDywFob.exe и вносит ряд изменений в системный реестр с целью отключить Диспетчер задач и прописать ссылку на указанный выше исполняемый файл в ветке, отвечающей за автозагрузку приложений. Кроме того, троянец проверяет языковую версию операционной системы: если Windows имеет русскую, польскую, украинскую или чешскую локализацию, Trojan.Fakealert.23300 прекращает свою работу. В ресурсах троянца содержатся версии отображаемых им сообщений на нескольких языках, в том числе на английском, немецком и французском.
После успешного запуска Trojan.Fakealert.23300 останавливает процесс антивирусной программы Microsoft Security Essentials, проверяет, не запущен ли он в виртуальной машине (в этом случае троянец прекращает свою работу), отключает проверку электронной цифровой подписи для загруженных программ и сохранение зоны, откуда был запущен файл, а также устанавливает пониженный рейтинг опасности файлам с расширениями .zip; .rar; .nfo; .txt; .exe; .bat; .com; .cmd; .reg; .msi; .htm; .html; .gif; .bmp; .jpg; .avi; .mpg; .mpeg; .mov; .mp3; .m3u; .wav; .scr. Затем троянец отключает в настройках Проводника демонстрацию скрытых и системных файлов, запрещает пользователю смену обоев Рабочего стола Windows (вместо них устанавливается черная заливка), очищает список последних открытых документов в Главном меню, прячет значки в Панели быстрого запуска и меню «Пуск», после чего демонстрирует на экране сообщение об ошибке жесткого диска и предлагает выполнить его проверку с помощью специальной утилиты.
Вслед за этим троянец должен сохранить на диск файл из собственных ресурсов, содержащий ту самую «утилиту для проверки винчестера». Предполагается, что утилита выполнит «проверку» диска, обнаружит на нем «ошибки», после чего предложит пользователю приобрести полную версию этой программы, которая якобы позволит их исправить. По крайней мере, именно такой функционал, по всей видимости, закладывали в Trojan.Fakealert.23300 его разработчики. Однако благодаря допущенным в его коде ошибкам данная функция не работает в полученном вирусной лабораторией образце (впрочем, это совершенно не означает, что она не будет работать в других модификациях). Интерфейс этой «утилиты для проверки дисков» показан на предложенных ниже иллюстрациях:
Trojan.Fakealert.23300 способен загружать зашифрованные исполняемые файлы и запускать их на инфицированном компьютере: в настоящее время он скачивает с удаленного узла троянец семейства TDSS. Есть основания полагать, что Trojan.Fakealert.23300 создан с использованием специального конструктора. Следовательно, в ближайшем будущем можно ожидать появления новых модификаций этой вредоносной программы.

[Alex242]

Один из способов распространения троянца — модули флеш-памяти. При подключении «флешки» к USB-порту BackDoor.IRC.NgrBot копируется под случайным именем в папку %RECYCLER% и создает файл автозапуска autorun.inf. Оказавшись на незараженной машине, троянец скрывает системные папки в корне жесткого диска и создает вместо них ярлыки, при открытии которых запускается вредоносная программа. Затем BackDoor.IRC.NgrBot сохраняет себя под случайным именем в системную папку %APPDATA%, прописывается в ветке реестра, отвечающей за автозагрузку приложений, и запускается на выполнение. Вслед за этим BackDoor.IRC.NgrBot встраивается в процесс explorer.exe и все запущенные процессы, кроме skype.exe и lsass.exe, после чего исходный файл удаляется из места, откуда он был первоначально загружен. После запуска троянец проверяет свою целостность: если она нарушена, вредоносная программа стирает загрузочный сектор жесткого диска, а также несколько расположенных ниже секторов и демонстрирует на экране сообщение:
«This binary is invalid.
Main reasons:
- you stupid cracker
- you stupid cracker...
- you stupid cracker?!»
Затем троянец пытается получить привилегии для перезапуска системы.
Если заражение произошло, BackDoor.IRC.NgrBot авторизуется на управляющем IRC-сервере, отсылает об этом отчет и начинает получать различные директивы, среди которых могут быть команды обновления бота, переключения на другой канал IRC, удаления бота, передачи статистики, начала DDoS-атаки, включения редиректа — всего предусмотрено несколько десятков команд. Одной из особенностей данной бот-сети является регулярное криптование ботов, которые закачиваются на инфицированные компьютеры в процессе очередного цикла обновления. Таким образом вирусописатели пытаются затруднить детектирование угрозы антивирусным ПО.
Помимо этого, BackDoor.IRC.NgrBot позволяет злоумышленникам реализовывать следующие функции:
управление такими программами, как ipconfig.exe, verclsid.exe, regedit.exe, rundll32.exe, cmd.exe, regsvr32.exe;
блокировка доступа к сайтам компаний-производителей антивирусного ПО и ресурсам, посвященным информационной безопасности;
перехват и отправка злоумышленникам данных учетных записей при посещении пользователем различных сайтов (включая PayPal, YouTube, Facebook, AOL, Gmail, Twitter и др.);
перехват и передача злоумышленникам сообщений, отправленных пользователем на сайтах Facebook, Twitter, В Контакте и т.д.;
перенаправление пользователя на различные фишинговые сайты.
Каждый из составляющих сеть ботов генерирует собственное имя исходя из версии установленной на инфицированном компьютере операционной системы, ее локализации, прав, с которыми запущен троянец, а также иных данных. Согласно имеющейся в распоряжении специалистов компании «Доктор Веб» информации, только 2 сентября 2011 года ботами построенной на базе BackDoor.IRC.NgrBot сети было выполнено 60806 редиректов пользователей на фишинговые сайты, имитирующие оформление банковских систем www.davivienda.com и colpatria.com.

[Alex242]

19 сентября 2011 года
В начале текущей недели специалистами компании «Доктор Веб» был зафиксирован очередной всплеск активности сетевых мошенников в отношении пользователей социальной сети «В контакте». В первом случае опасности подвергались поклонники популярной среди посетителей данной социальной сети игры «В могиле», во втором случае мошенники задействовали для своих целей ранее взломанные аккаунты.
Судя по всему, злоумышленники тщательно выбирают свои жертвы среди поклонников известной игры «В могиле» — из числа пользователей социальной сети «В контакте» мошенники вычисляют наиболее опытных, «продвинутых» игроков. Им отсылается личное сообщение с предложением воспользоваться «уязвимостью» данного приложения, позволяющей бесплатно получить игровые предметы, которые в реальной игре можно приобрести только за деньги. Для этого жертве предлагается загрузить и установить специальное приложение. Если жертва соглашается воспользоваться столь заманчивым предложением, все дальнейшее общение сетевые мошенники переносят в Skype. Выбор данного средства коммуникации неслучаен: трафик Skype не поддается фильтрации в отличие от других протоколов мгновенного обмена сообщениями, таких как ICQ или Jabber.
В ходе дальнейшего общения злоумышленники предлагают жертве скачать и установить приложение bag_vmogile.exe, под видом которого распространяется троянская программа Trojan.KeyLogger.9754, предназначенная для перехвата нажатий клавиш и отправки на удаленный FTP-сервер украденных таким образом паролей. При попытке открыть данный файл происходит мгновенное заражение компьютера. Специалисты компании «Доктор Веб» предполагают, что распространяющие троянца злоумышленники действуют с территории Украины. В настоящий момент сигнатура данного троянца добавлена в вирусные базы «Доктор Веб».
Кроме того, сетевые мошенники продолжают эксплуатировать широко известный метод фишинга с использованием функции «Документы» социальной сети «В контакте». Ничего не подозревающему пользователю отсылается личное сообщение, включающее ссылку на скачивание документа Word, в котором содержится подробная инструкция по установке специальной программы, якобы позволяющей просматривать число посетителей его странички в социальной сети. Под видом этой программы распространяется троянец BackDoor.Piranha.2, с помощью которого злоумышленники создали несколько успешно действующих в настоящий момент бот-сетей.

[Alex242]

04.10.2011
Данная вредоносная программа написана на языке C и сохраняется на диск под видом
стандартной динамической библиотеки с именем SetupEngine.dll. После запуска BackDoor.Bitsex помещает в одну из папок два файла: Audiozombi.exe и SetupEngine.dll, после чего запускает первый на выполнение. Он, в свою очередь, вызывает библиотеку SetupEngine.dll. Затем BackDoor.Bitsex расшифровывает имя управляющего сервера и устанавливает с ним соединение. Также троянец проверяет, не загружены ли в системе антивирусные программы (для чего получает список активных процессов), и отправляет соответствующий отчет на удаленный сервер злоумышленников.
После этого троянец запускает кейлоггер — программу, запоминающую все нажатия клавиш на клавиатуре зараженного компьютера. Результат сохраняется в файл info.dat в папке %SYSTEMROOT%\SYSTEM32.
BackDoor.Bitsex позволяет выполнять на инфицированном компьютере следующие команды и реализовывать перечисленные ниже функции:
удаленный просмотр файлов и дисков;
отправка скриншотов;
отправка на удаленный сервер фотографий, полученных с подключенной к компьютеру камеры (при ее наличии);
отправка файла, содержащего записи о нажатых клавишах (info.dat);
получение списка запущенных процессов;
скачивание и запуск файлов;
обновление;
очистка системных событий;
открытие заданной веб-страницы в браузере по умолчанию;
поддержка соединения по протоколу remote desktop на определенном порту;
создание http-прокси сервера на определенном порту;
поиск процесса по имени;
поиск заголовка окна;
вывод на экран инфицированного компьютера заданных сообщений;
назначение нового управляющего сервера;
осуществление DDoS-атаки на заданный сервер;
создание нового пользователя Windows;
выполнение команд cmd.exe;
изменение параметров автозагрузки;
самоудаление.

[Alex242]

Возник рост обращений пользователей мобильных устройств, работающих под управлением операционной системы Android. При просмотре некоторых веб-сайтов окно браузера внезапно блокируется баннером, требующим отправить на короткий номер платное СМС-сообщение.
Нажатие на кнопку «Отмена» обычно не приводит к отключению баннера, а перезапуск браузера в некоторых случаях вызывает его повторное появление. Пример подобного блокирующего окна показан ниже:
В данном случае речь идет о давно известной и широко распространенной проблеме, с которой уже сталкивались пользователи других операционных систем. Данный баннер выводится на экран не какой-либо троянской программой, а встроенным в просматриваемую пользователем веб-страницу сценарием, написанным на языке JavaScript. Именно по этой причине антивирусное ПО не реагирует на его появление.
Поскольку окно-вымогатель блокирует нормальную работу браузера, пользователь лишается возможности открыть другие веб-страницы либо завершить работу браузера штатными средствами. Кроме того, на мобильных устройствах со слабой аппаратной конфигурацией выполнение скрипта может привести к зависанию операционной системы. В ряде случаев не помогает ни перезапуск браузера, ни даже перезагрузка аппарата, поскольку некоторые браузеры по умолчанию открывают последнюю загруженную в них веб-страницу, что приводит к повторному появлению окна-вымогателя.
В случае если на экране вашего устройства возник подобный баннер, мы рекомендуем выгрузить процесс запущенного в операционной системе браузера, для чего следует перейти к системному апплету «Настройки», открыть окно «Приложения», «Управление приложениями», затем активизировать вкладку «Работающие», выбрать в списке процесс запущенного в операционной системе браузера, нажать на его значок и воспользоваться кнопкой «Остановить». Кроме того, рекомендуется нажать на кнопку «Очистить кэш», чтобы удалить вредоносный скрипт из кэша браузера. Также можно установить на вашем устройстве Диспетчер задач для ОС Android сторонних разработчиков либо включить в настройках браузера функцию блокировки всплывающих окон.

Добавлено через 5 часов 56 минут
Для распространения своего детища вирусописатели не поленились создать несколько полноценных веб-сайтов, с использованием которых осуществляется раздача вредоносного программного обеспечения. Среди них следует отметить портал fvsn.org, а также сайты operadownload.info, downloadutorrent.info, downloadflashplayer.biz и др.


При попытке получить какое-либо приложение с одного из принадлежащих злоумышленникам интернет-ресурсов пользователю предлагается скачать и запустить специальную программу-установщик. Это приложение всегда одинаковое, однако его имя может различаться в зависимости от выбранного пользователем объекта для последующей загрузки. По собственному имени установщик и определяет, что именно желает скачать пользователь: если изменить имя этого файла (как раз это и происходит в случае его проверки различными автоматизированными службами), установщик прекращает работу. Если же имя оказывается верным, он загружает и устанавливает на компьютере пользователя не только выбранную им легитимную программу, но и троянца Trojan.SkynetRef.1.
Троянец помещается в папку %windir%\system32\ под именем SystemPropertiesAdvancedViewer.exe, после чего загрузчик запускает это вредоносное приложение на выполнение. В результате оно устанавливается в качестве системной службы с именем SystemPropertiesService. Затем троянец сообщает об успешном завершении инсталляции на удаленный управляющий сервер, а также передает злоумышленникам сведения о собственной версии, версии операционной системы и используемого браузера. Для всех обнаруженных на компьютере браузеров Trojan.SkynetRef.1 прописывает в настройках прокси-сервер 127.0.0.1, работающий на порту 3129. Конфигурацию прокси-сервера троянец сохраняет в файле %windir%\system32\NTIONET6.SYS. После этого вредоносная программа может подменять в браузере страницы просматриваемых пользователем сайтов согласно параметрам, указанным в ее конфигурационном файле.
Сигнатура этой угрозы уже добавлена в вирусные базы Dr.Web, а адреса сайтов, используемых злоумышленниками для распространения вредоносного ПО, включены в базы веб-антивируса SpIDer Gate. К сожалению, после удаления троянца в настройках браузера сохраняется ссылка на прокси-сервер, в связи с чем доступ к веб-страницам по протоколу http может быть затруднен. Пользователям, пострадавшим от действий этой вредоносной программы, рекомендуется изменить данный параметр:
в Internet Explorer следует сбросить флажок «использовать прокси-сервер для локальных подключений» в окне «Настройка параметров локальной сети» («Сервис» – «Свойства обозревателя» – «Подключения» – «Настройка сети»);
в Firefox — установить переключатель «Настройка прокси для доступа в Интернет» в позицию «Без прокси» («Инструменты» – «Настройки» – «Дополнительные» – «Сеть» – «Соединение» – «Настроить»);
в Google Chrome открыть окно «Настройка и управление» – «Параметры» – «Расширенные» – «Изменить настройки прокси-сервера» и, нажав на кнопку «Настройка сети», сбросить флажок «использовать прокси-сервер для локальных подключений»;
в Opera открыть окно «Настройки» - «Общие настройки», перейти ко вкладке «Расширенные» - «Сеть», нажать на кнопку «Прокси-серверы» и удалить все имеющиеся в открывшемся окне настройки.