141 Apple

Компания Apple сдержала данное ранее обещание и выпустила обновление, устраняющее уязвимость в Java-плагине операционной системы OS X. На прошлой неделе упомянутый эксплойт стал причиной заражения более 600 тысяч «маков» по всему миру вредоносным приложением Flashback.

Предлагаемые обновления описаны в двух отдельных бюллетенях, предназначенных для операционной системы OS X Lion и Mac OS X 10.6 (Snow Leopard). По словам разработчиков, патчи Java for OS X 2012-003 и Java for Mac OS X 10.6 Update 8 способны обеспечить удаление наиболее распространенных разновидностей вариантов печально знаменитого трояна. Сразу после установки обновление выполняет автоматическую проверку системы на наличие Flashback, ликвидирует угрозу в случае ее обнаружения и уведомляет об этом пользователя.

На компьютерах под управлением OS X Lion патч также отключает функцию автоматического выполнения Java-апплетов путем деактивации браузерного плагина Java и компонента Java Web Start, пишет soft.mail.ru.

151 Apple

Новый опасный вирус поразил свыше 600 тысяч компьютеров Apple по всему миру. Как выяснили эксперты из компании "Доктор Веб", троян под названием BackDoor.Flashback проникает на ПК под управлением операционной системы Mac OS X и создает ботнет — сеть из зараженных "маков".

Впоследствии злоумышленники могут использовать ее для организации DDoS-атак или рассылки спама. Как уточняет пресс-релиз компании, FlashBack был обнаружен еще в сентябре 2011 года. Он проникал на "маки" через фальшивый установщик Adobe Flash Player. Новая разновидность вируса (BackDoor.Flashback.39) попадает на ПК с Java-апплетом, который загружают вредоносные сайты.

По подсчету "Доктора Веба", большая часть систем, зараженных трояном, расположена на территории США (56,6%), Канады (19,8%), Великобритании (12,8%) и Австралии (6,1%). Чтобы обезопасить свой компьютер, владельцам "маков" рекомендуют установить последнее обновление безопасности от Apple.

Антивирусная лаборатория PandaLabs на своем сайте сообщила об обнаружении нового бота под названием Ainslot.L. Это вредоносное программное обеспечение предназначено для регистрации действий пользователей и загрузки дополнительных вредоносных программ с целью достижения полного контроля над системой.

Кроме того, бот выступает в роли банковского трояна, похищая данные для входа в банковские системы, а также сканирует компьютер на предмет наличия других ботов, впоследствии удаляя их и оставаясь единственным ботом в системе.

«Наше внимание привлек тот факт, что Ainslot.L удаляет других ботов из зараженных систем, – пояснил Луис Корронс, Технический директор PandaLabs. – Это исключает всякую конкуренцию, так как компьютер остается в распоряжении только этого бота. Это напомнило нам фильм «Горец» – «Останется лишь один». Бот распространяется через сообщения электронной почты, якобы полученных от британской компании CULT, занимающейся продажей одежды он-лайн.

Хорошо продуманные письма сообщают пользователям о том, что их заказ на 200 фунтов стерлингов в Интернет-магазине CULT подтвержден, и указанная сумма будет снята с кредитной карты пользователя. Текст сообщения содержит ссылку для просмотра заказа, перейдя по которой пользователь на самом деле загружает бот на свой компьютер.

Компания «Доктор Веб» сообщает об обнаружении уязвимостей, с использованием которых возможно заражение троянскими программами устройств под управлением платформы Mac OS X - злоумышленникам все же удалось использовать известные уязвимости Java с целью распространения угроз для данной платформы.

При открытии инфицированного сайта выполняется проверка user-agent пользовательского компьютера, и, если запрос сделан из-под MacOS с определенной версией браузера, пользователю отдается веб-страница, загружающая несколько java-апплетов. Сама страница демонстрирует в окне браузера надпись «Loading.... Please wait…». Модуль с именем rhlib.jar использует уязвимость CVE-2011-3544. Он помещает в папку /tmp/ исполняемый файл .sysenterxx, выставляет ему необходимые атрибуты и запускает на выполнение.

Запущенное приложение проверяет, присутствуют ли в операционной системе файлы /Library/LittleSnitch /Developer/Applications/Xcode.app/Contents/MacOS/Xcode и, если их обнаружить не удалось, пытается загрузить основной модуль троянской программы BackDoor.Flashback.26. В противном случае загрузчик просто удаляет себя.

Модуль clclib.jar использует уязвимость CVE-2008-5353, а ssign.jar представляет собой дроппер Java.Dropper.8, подписанный недействительной подписью: злоумышленники рассчитывают на то, что пользователь добавит эту подпись в список доверенных и тем самым разрешит выполнение кода.

113 facebook

Компания «Доктор Веб» предупредила пользователей о появлении вредоносных программ семейства Trojan.OneX, которые при заражении компьютера рассылают спам в крупнейшей в мире социальной сети Facebook, а также через программы-мессенджеры.

В настоящее время зафиксировано распространение двух модификаций этого троянца, незначительно различающихся по своим функциональным возможностям. Количество жертв злоумышленников при такой модели распространения может быть крайне велико. Trojan.OneX работает только в 32-разрядной версии ОС Windows, в 64-разрядной ОС он завершает работу после загрузки с управляющего сервера текстового файла.

После запуска на инфицированной машине Trojan.OneX.1 проверяет наличие своей копии в операционной системе, а затем расшифровывает из собственных ресурсов адрес удаленного сервера, с которого загружается специальный текстовый файл. Этот файл содержит несколько строк на английском языке вида «hahaha! http://goo.gl[…].jpeg», на которые впоследствии будут подменяться сообщения пользователя, отправляемые им в социальную сеть Facebook.

Сообщения заменяются строчками из данного файла только в режиме чата, при этом отправка оригинального послания блокируется. Каждый час троянец загружает с удаленного сервера новый конфигурационный файл. Trojan.OneX.1 ищет в операционной системе запущенные процессы с именами firefox, iexplore и IEXPLORE, при обнаружении полностью встраивается в них и перехватывает функции, отвечающие за отправку сообщений.

Британская антивирусная компания Sophos обнаружила кампанию в социальной сети Facebook, направленную на распространение банковского троянца Zeus. В Sophos говорят, что до сих пор Zeus не распространялся при помощи социальных сетей, а использующие его хакеры предпочитали рассылать вредоносный код по электронной почте или через взломанные сайты.

Сейчас в Facebook действуют несколько параллельных кампаний, направленных на распространение Zeus. Одна из кампаний использует несколько фото-сообщений, переадресующих пользователей на сайты с Zeus, в рамках других распространяется автоматический даунлоадер, скачивающий троянца и устанавливающий его на пользовательский компьютер.

"По определению, социальные сети созданы для того, чтобы быть социальными. Facebook позволяет легко распространять фотографии, видео и другой контент, что в данном случае на руку злоумышленникам", - говорит Майк Гиде, старший специалист по ИТ-безопасности компании ThreatLabz.

Компания «Доктор Веб» запускает новую версию сервиса разблокировки персональных компьютеров, зараженных вредоносными программами Trojan.Winlock. Новая версия использует обширную и постоянно обновляемую базу данных, отличается простым и понятным интерфейсом и предлагает пользователям удобную схему поиска кода разблокировки.

Пользователь может воспользоваться как поиском по номеру телефона/кошелька платежной системы, который указан на баннере блокировщика, так и поиском по изображению баннера. Отметим, что «исходники» отдельной модификации Trojan.Winlock могут одновременно использоваться большим числом злоумышленников, каждый из которых указывает на баннере свой номер телефона/кошелька.

При этом коды разблокировки во всех случаях могут быть одинаковы. Если в базе данных сервиса еще не присутствует отдельный номер, есть большая вероятность, что коды разблокировки для этой модификации Trojan.Winlock уже добавлены.

Полиция разоблачила хакера, похитившего около 10 млн рублей у граждан при помощи написанных им вирусных программ. В 2010 году подозреваемый в преступлении скрылся от следствия и направился в Тюменскую область.

Там он проживал вплоть до задержания, принимая повышенные меры конспирации. Хакер жил по поддельным паспортам, менял адреса и даже сделал пластическую операцию. В отношении подозреваемого было возбуждено уголовное дело по ч. 4 ст. 159 УК РФ (Мошенничество), ч. 2 ст. 272, УК РФ (Неправомерный доступ к охраняемой законом компьютерной информации, осуществлённый группой лиц по предварительному сговору) и ч. 1 ст. 273 УК РФ (Создание, использование и распространение вредоносных программ).

Как сообщили ИТАР-ТАСС в пресс-службе Следственного департамента МВД России, в производстве которого находится дело, используя полученные знания и наработанный опыт, злоумышленник создал уникальную в своём роде компьютерную программу – вирус-троян.

«Данная программа позволяла получать с заражённых компьютеров сведения, сохранённые на их жёстких дисках, в частности, различные учётные данные. Например, логины и пароли для работы с электронной почтой, информацию, содержащую коды доступа и управления электронными кошельками в глобальной сети интернет, работой платёжных терминалов», - сказали в пресс-службе.

Антивирусные эксперты "Лаборатории Касперского" говорят об обнаружении новой троянской программы под операционную систему Android. Новинка занимается тайной отправкой коротких сообщений на премиум-номера операторов в Европе и Канаде. Троянец-похититель денег с подобным набором возможностей вначале появился под операционную систему Symbian и телефоны с поддержкой Java, причем тогда он был направлен на рынок Китая и России.

Адаптация троянца под Android привела к некоторой перепрофилировке кода, который теперь охотится на новых жертв в других странах. В "Лаборатории Касперского" говорят, что до недавнего времени Android-троянцы были основной головной болью для пользователей в Росии и Китае потому, что пользователи тут довольно часто качали софт для устройств не из официального Android Market, а из сторонних и не всегда надежных источников.

Как пишет CyberSecurity.ru, новый троянец Trojan-SMS.AndroidOS.Foncy на большинстве ресурсов рекламируется как приложение для мониторинга SMS и распространяется через разнообразные сайты, которые не имеют отношения к официальному интернет-каталогу Android. После попадания в систему, вредоносный код начинает рассылать в тайне от пользователей сообщения на премиальные SMS-номера во Франции, Бельгии, Швейцарии, Люксембурге, Германии, Великобритании и Канаде.

114 sms

Компания «Доктор Веб» предупреждает о росте популярности в различных регионах России схемы мошенничества, использующей рассылку СМС-сообщений для распространения вредоносных программ. Средний ущерб, наносимый пользователю злоумышленниками, как правило, не превышает 300 рублей, но были зафиксированы случаи, когда жертвы теряли и более крупные суммы.

Вовлечение жертвы в мошенническую схему начинается следующим образом. На телефон ничего не подозревающего пользователя приходит СМС, содержащее информацию о том, что на его номер поступило новое сообщение MMС.

Для просмотра этого послания следует перейти по ссылке на предложенный сайт. Если пользователь переходит по указанной ссылке, на его мобильный телефон под видом MMС загружается какое-либо изображение или видеоролик (как правило, фотография киноактрисы или эстрадной звезды) и троянская программа, предназначенная для мобильных устройств с поддержкой Java. Запустившись на инфицированном устройстве, программа отправляет СМС-сообщение на короткий номер, в результате чего со счета пользователя списывается определенная денежная сумма.

Антивирусная компания F-Secure сообщила об обнаружении нового троянца, созданного под операционную систему Mac OS X и предназначенного для атаки на встроенные в Mac OS средства защиты. Троянец Flashback.C отключает антивредоносное приложение XProtect, входящее в последние версии операционной системы производства Apple.

Также Flashback.C блокирует автоматическое обновление XProtect, стирая его служебные файлы. На практике это приводит к возможности размещения в ОС других образцов хакерских кодов, пишет cybersecurity.

Подход, реализованный в новом троянце, напоминает ранее использованные стратегии, применявшиеся до сих пор в Windows-вредоносах, когда хакерские коды различными способами пытались блокировать работу антивирусного программного обеспечения.

Исследователи в области информационной безопасности предупреждают пользователей о появлении в сети новой угрозы, скрывающейся под видом обновления для популярного обозревателя для мобильных телефонов Opera Mini.

По словам экспертов Anti-Malware.ru, в зоне риска находятся те пользователи, которые переходят по ссылкам, приведенных в результатах поиска по определенным запросам, самыми популярными из них являются социальные сети и приложения для мобильных телефонов. В случае перехода по такой ссылке, которая определяется поисковым роботом как легитимная, пользователь тут же перенаправляется на ресурс, контролируемый мошенниками, где размещено сообщение о том, что в данный момент на устройстве используется устаревшая версия обозревателя, которую необходимо обновить до актуального состояния.

Доверчивый посетитель, несмотря на все предупреждения, решивший обновить свою программу, получит либо замаскированный под легитимный файл с обновлением троян, либо сам зловред, говорят исследователи. Попав на устройство, троян идентифицирует сервисные центры, используемые на телефоне и рассылает текстовые сообщения на дорогостоящие премиум-номера.

Бесплатный антивирус Microsoft Security Essentials идентифицировал веб-браузер Google Chrome как троянскую программу PWS:Win32/Zbot, предназначенную для хищения паролей. Первые жалобы появились в пятницу, 30 сентября. Сейчас в форуме насчитывается более 200 сообщений. По словам пользователей, Security Essentials приняла веб-браузер за угрозу высокой степени и удалила приложение с жесткого диска.

При этом переустановка браузера не помогала. В тот же день Microsoft выпустила обновление сигнатур для Security Essentials под номером 1.113.672.0, которое решило проблему. Одновременно вышла новая версия Google Chrome (14.0.835.187), в которой также был исправлена ошибка с ложным детектированием.

По словам официального представителя Microsoft, которые передает ZDNet, проблема затронула приблизительно 3 тыс. владельцев персональных компьютеров. Однако в действительности эффект мог быть более масштабным. Дело в том, что корпоративный антивирус Microsoft Forefront, который использует те же сигнатурные базы, защищает несколько компьютеров, но считается за одного пользователя. О проблемах с Forefront поступило как минимум несколько сообщений.

Компания Intego сообщает об обнаружении нового троянского программного обеспечения, рассчитанного на работу в среде операционной системы Mac OS X. Как и обнаруженный компанией F-Secure пару месяцев назад Mac-троянец, новый вредоносный код также маскируется под инсталлятор Flash Player, что позволяет ввести пользователей в заблуждение.

Однако в отличие от ранее обнаруженного троянца, изменявшего один файл в системном разделе, новый код представляет собой более сложное решение, которое вначале деактивирует системы сетевой безопасности Mac OS X, а также инсталлирует библиотеку dyld, запускающую проект и размещающую код внутри приложения, с которым пользователь работает. Новый троянец также пытается передать персональную информацию пользователя и данные о его компьютере на удаленные серверы.

Intego заявляет, что новый код Trojan OSX/flashback.A и пока точно исследовать алгоритм его работы не удалось, однако нет сомнений в том, что он компрометирует систему, в которую попадает, подделывает изображение инсталлятора Flash Player, использует иконки и логотипы Flash, пишет cybersecurity.

Специалисты компании «Доктор Веб» обнаружили массовый взлом веб-сайтов (более 21 000 на 31 августа 2011 года), с которых на компьютеры пользователей под видом драйверов загружается вредоносное ПО. Был обнаружен ряд веб-сайтов, имеющих в своей структуре отдельный подсайт, никак не связанный с основной тематикой данных интернет-ресурсов.

Оформление этих «встроенных» страниц идентично и отличается лишь незначительными деталями. Все они предлагают пользователям загрузить драйверы различных устройств. Ссылка на файл драйвера перенаправляет пользователя на промежуточный сайт, например ipurl.ru (сайт биржи трафика), а уже оттуда на другой ресурс, с которого под видом драйвера загружается троянская программа Trojan.Mayachok.1. Кроме того, ссылки с некоторых взломанных сайтов ведут на поддельные службы файлового обмена.

По состоянию на 12.00 31 августа 2011 года было выявлено более 21 000 адресов веб-сайтов, распространяющих это вредоносное ПО. Имеются все основания предполагать, что владельцы или администраторы этих ресурсов стали жертвами хищения паролей от FTP-клиентов, для чего злоумышленники могли воспользоваться многочисленными троянскими программами.

Для мобильной ОС Google Android распространяется новый троян, который маскируется под приложение-клиент для социальной сети Google+. Этот "червь" в тайне от пользователей записывает телефонные разговоры, SMS-сообщения, историю звонков, собирает GPS-данные, а затем отправляет их на удаленные серверы.

Приложение под названием Google++, которое выдает себя за клиент для новой соцсети, вероятно, установили те пользователи, которые посетили сайт с вредоносным кодом, сообщает разработчик антивирусного ПО Trend Micro, его 

В Android Market такая программа отсутствует. Необычность этого "червя" заключается в том, что он умеет подслушивать чужие разговоры. Для этого вредоносное программа автоматически отвечает на входящий звонок, поступивший с определенного номера. Чтобы скрыть ответ на вызов, вирус сначала переводит смартфон в режим "без звука", а затем прячет панель ответа на звонок.

Антивирусная лаборатория PandaLabs обнаружила новый банковский троян Nabload.DUF. Он распространяется в сети и предлагает людям конфиденциальную информацию, украденную с персонального компьютера бразильского президента Дилмы Руссефф. Пользователям предлагается открыть файл, с помощью которого они будто бы смогут получить доступ к личным фотографиям и электронной почте первой женщины-президента Бразилии.

Данные трояны используют технологии социальной инженерии: мошенники спекулируют на внимании людей к последним новостям, обсуждаемым темам или видео знаменитостей, чтобы обманом заставить пользователей перейти по опасной ссылке или загрузить вредоносное программное обеспечение. Эти вредоносные ссылки обычно распространяются через спам в электронной почте или через публикации на форумах и в социальных сетях.

«Бразильские банковские трояны часто распространяются с помощью методов социальной инженерии, горячими темами привлекая внимание потенциальных жертв. Получается, как в поговорке про «любопытную Варвару, которой на базаре нос оторвали», - поясняет Луи Корронс, технический директор PandaLabs.

170 Windows 7

Компания «Доктор Веб» сообщает о появлении новой троянской программы, ориентированной на зарубежных пользователей Windows и требующей у них передать злоумышленникам данные банковских карт. Данная версия троянца-блокировщика, как и многие ее предшественницы, маскируется под встроенный механизм активации операционной системы Windows XP (Microsoft Product Activation, MPA). 

Окно программы, блокирующее Рабочий стол Windows, сообщает о том, что данная копия Microsoft Windows ранее уже была активирована другим пользователем, и предлагает повторить процедуру активации. 

В случае выбора варианта No, I will do it later («Нет, я сделаю это позже») операционная система демонстрирует «синий экран смерти». Если же пользователь согласится выполнить повторную активацию, ему будет предложено ввести в соответствующие поля формы реквизиты банковской карты, включая полные данные владельца, номер карты, CVV2 и даже пин-код. Излишне говорить о том, чем именно чревата передача указанных сведений в руки злоумышленников.

46 Google+

Эксперты «Лаборатории Касперского» зафиксировали случаи рассылки поддельных приглашений на популярную социальную сеть Google+. Так хакеры отреагировали на возникший ажиотаж вокруг новой социальной сети, воспользовавшись им для кражи личных данных пользователей.

Проходя по полученной ссылке, пользователь попадает на сайт google****.redirectme.net, с которого и запускалось скачивание распространенной троянской программы Trojan Banker, предназначенной для кражи пользовательской информации, относящейся к банковским системам, системам электронных денег и пластиковых карт. В сообщении также содержится ссылка на документ Google Docs, которая предлагает отправить приглашение на Google+ своим друзьям.

Однако на самом деле эта поддельная форма предназначена для сбора имен и почтовых адресов для дальнейшего распространения аналогичных «приглашений»: «Злоумышленники часто играют на человеческом любопытстве и доверчивости, — говорит Фабио Ассолини, эксперт «Лаборатории Касперского». — В данном случае жертва сама переходит по зловредной ссылке, заражая свой компьютер. Если вы хотите присоединиться к сети Google+, будьте начеку и открывайте письма только от своих знакомых, с которыми вы заранее договорились о таком приглашении».

226 DrWeb

К вирусам и троянцам, ворующим пароли от электронных кошельков и аккаунтов в системах интернет-банкинга все уже привыкли. Тем интереснее оказалось появление новой троянской программы Trojan.BtcMine.1, которая крадет у пользователей не электронные деньги, а системные ресурсы, необходимые для их получения.

Электронная криптовалюта Bitcoin была создана в 2009 году. Система ее обращения не имеет централизованной управляющей структуры; она реализована в виде одноранговой сети, использующей для обмена информацией транзакции peer-to-peer.

Создатель Bitcoin, Сатоcи Накамото, взял за основу данной системы видоизмененный принцип «золотодобычи»: эмиссия новых электронных «монет» (как и добыча драгоценных металлов) требует выполнения определенной работы — в данном случае пользователь должен установить на своем компьютере специальное программное обеспечение, задача которого состоит в выполнении сложных вычислений, за что владелец компьютера получает определенное вознаграждение. Впоследствии участники системы могут обмениваться заработанными электронными «монетами» и приобретать на них различные товары. Этот процесс принято называть «майнингом» (от англ. Mining — «добыча»).

Новый троянец, Trojan.BtcMine.1, использует две легитимные программы для майнинга, с помощью которых задействует вычислительные ресурсы компьютера жертвы с целью «добычи» виртуальных монет. Распространяется эта вредоносная программа с различных ресурсов, никак не связанных с официальным сайтом проекта Bitcoin. Будучи запущенным в системе ничего не подозревающим пользователем, Trojan.BtcMine.1 сохраняет себя во временную папку под именем udpconmain.exe.

Затем он прописывает путь к исполняемому файлу в отвечающем за автозагрузку приложений ключе реестра. Потом вредоносная программа скачивает из Интернета и размещает во временной папке под именем miner.exe второй «майнер» с целью максимально загрузить компьютер расчетами. После этого троянские программы подключаются к одному из пулов платежной системы и начинают вести расчеты, зарабатывая для злоумышленников соответствующее вознаграждение, сообщает компания "Доктор Веб".