червь

Лаборатория Касперского обнаружила особенного мобильного червя, основной целью которого является сервис интернет-телефонии сети Sipnet. В отличие от многого другого подобного вредоносного ПО этот зловред начинает рассылать SMS-спам сразу после запуска, не дожидаясь команды с сервера злоумышленников.

Деятельность червя Worm.AndroidOS.Posms.a в зараженном телефоне в основном сводится к созданию аккаунта в сети Sipnet без ведома владельца устройства. Функционала зловреда достаточно для того, чтобы самостоятельно управлять учетной записью и, прежде всего, скрытно пополнять ее счет, переводя деньги со счета мобильного телефона жертвы. Далее червь может настроить переадресацию звонков на другой номер и заказать звонок за счет владельца устройства.

Обладая возможностью рассылать SMS-спам сразу после запуска, новый червь поначалу распространялся очень активно: менее чем за сутки защитный продукт Kaspersky Internet Security для Android предотвратил более 400 установок этого зловреда. После того, как число заблокированных установок достигло пика, сервер злоумышленников, с которого загружалась вредоносная программа, стал недоступен — и количество заражений сразу резко пошло на спад. Через неделю появилась новая версия червя, но сервер распространения вновь очень быстро стал недоступен.

«Червь Posms имеет достаточно мощный функционал, поэтому очень странно, что его распространение раз за разом быстро заканчивается. Возможно, злоумышленники оттачивают его функциональность и в дальнейшем планируют массированную атаку», — высказал предположение Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

Антивирусная компания ESET обнаружила новую вредоносную программу для Android, нацеленную на российских пользователей. Угроза добавлена в базу сигнатур вирусов как Android/Samsapo.

Samsapo обладает функционалом «червя» (worm) — он способен к полностью или частично автоматизированному распространению с зараженного Android-устройства. В качестве сервера установки вредоносного кода используется домен, зарегистрированный 24 апреля 2014 года. Поиск новых жертв осуществляется с помощью методов социальной инженерии. Устройство, инфицированное Samsapo, рассылает по всей адресной книге пользователя SMS-сообщение с текстом на русском языке «Это твои фото?» и прикладывает ссылку на вредоносный АРК-файл.

Помимо способностей к самораспространению, Samsapo имеет следующие возможности: подписывает пользователя на платные услуги (SMS-троян); передает персональные данные жертвы: номер телефона, SMS-сообщения и др. — на удаленный сервер (шпионское ПО); загружает на устройство другие вредоносные файлы с определенных URL-адресов (downloader); маскирует себя под системную утилиту com.android.tools.system v1.0; блокирует телефонные вызовы; модифицирует настройки звонка; не имеет GUI и не регистрирует значок в списке приложений.

Исследовательская компания Bkis сообщила о том, что пользователи системы интернет-телефонии Skype рискуют стать жертвами сетевого червя W32.Skyhoo.Worm. На прошлой неделе компания Symantec предупредила о том, что данный червь распространяется среди пользователей системы мгновенных сообщений Yahoo Instant Messenger. В Bkis отмечают, что Skype-версия - это незначительно модифицированная версия, обнаруженная Symantec.

Среди пользователей Yahoo и Skype интернет-червь распространяется по очень похожей схеме. В большинстве случаев для рассылки сетевого червя используются автоматизированные сообщения, содержащие слова photo или photos, а также большое количество смайликов. По словам экспертов Symantec, зафиксированные на сегодня образцы вредоносного кода работают только под Windows, пользователи других ОС, например Mac OS X, также могут получить червя, но для этих систем он не представляет опасности, передает cybersecurity

Лаборатория PandaLabs сообщает о появлении нового червя FTLog.A, который распространяется через популярный веб-сайт социальной сети Fotolog. На этом портале размещают фотографии более 30 миллионов пользователей по всему миру.

Червь распространяется следующим образом: на страницах пользователей он оставляет комментарий со ссылкой, которая должна вести к видеозаписи. Например: «Hey xxxxxxxxx (user name), I found a video of you here …It’s you, isn’t it?» («Привет xxxxxxxxx (имя пользователя), я нашла/нашел твое видео здесь (вредоносная ссылка) Это ведь правда ты?) Как только пользователь переходит по ссылке, система запрашивает разрешение на загрузку кодека для divx. На самом деле это червь.После установки FTLog.A перенаправляет браузер на веб-сайт с тщательно разработанным контентом.

На этом сайте пользователь должен ввести свои персональные данные якобы для получения приза (фальшивого). Если пользователь нажимает на Get Free Access, то на компьютер загружается файл setup.exe. Затем при запуске этот файл устанавливает плагин MediaPass.

Первый червь для iPhone, получивший название Ikee, написанный безработным программистом Эшли Таунсом, заражает телефоны в Австралии, сообщает itoday.ru. По словам эксперта в области безопасности Грэма Клули из Sophos, в настоящее время Ikee довольно безвреден: во-первых, он представляет угрозу только для взломанных аппаратов, на которых установлена утилита Secure Shell и оставлен пароль по умолчанию.

Во-вторых, Ikee не делает ничего особенно плохого: всего лишь меняет имеющуюся заставку на фотографию исполнителя поп-музыки 80-х годов Рика Эстли. "Однако существует реальная опасность того, что на основе этого кода будет создано что-то более вредоносное", - добавляет  Клули.

"Лаборатория Касперского" объявила об обнаружении 25-миллионной вредоносной компьютерной программы. Каждый год число компьютерных угроз увеличивается в несколько раз. "Лаборатория Касперского" прогнозировала десятикратный рост количества вредоносных программ: с 2,2 млн в 2007 г. до 20 млн в 2008. Однако темпы развития киберпреступной индустрии опередили даже самые смелые прогнозы.

Экспертами "Лаборатории" был обнаружен сетевой червь, ставший 25-миллионной вредоносной программой, добавленной в антивирусные базы компании. "Юбилейным" червем стала очередная модификация Koobface, Net-Worm.Win32.Koobface, нацеленного на пользователей популярных социальных сетей Facebook и MySpace. Появление новой версии Koobface еще раз подтверждает прогнозы об увеличении угроз в социальных сетях.

В сети появился еще один опасный червь. За последнюю неделю вирус побил все рекорды по скорости размножения: согласно статистике, на его счету 42% всех атак, зафиксированных в интернете на этой неделе. Всего за неделю рост активности червя составил 188%, при этом каждые 4,5 секунды вирус заражает новый сайт.

Gumblar, также известный как JSRedir-R, распространяется через веб-страницы, прописывая свой код в самых разных скриптовых файлах на сервере. При каждом просмотре сайта на компьютер жертвы загружается копия червя, с помощью которой злоумышленники получают полный контроль над зараженной машиной. Однако Gumblar представляет большую опасность не только для конечных пользователей, но и для владельцев сайтов. Дело в том, что любой коммерческий ресурс, распространяющий вирусы, мгновенно теряет своих посетителей, а это в свою очередь ведет к неминуемой потере прибыли.

Компания ESET сообщила о том, что с 1 апреля возможно резкое увеличение DDoS и спам-атак с использованием крупнейшей в истории интернета бот-сети, состоящей из компьютеров, зараженных семейством червей Conficker. Новая версия червя - Сonficker.X – взаимодействует с управляющим пулом из 50 тысяч доменов. Ранее об этом предупреждала "Лаборатория Касперского".

Это существенно усложняет борьбу с угрозой, поскольку при таком количестве постоянно обновляемых url-адресов отследить и блокировать команды от владельцев бот-сети компьютерам-зомби будет практически невозможно. Это могут быть DDoS-атаки, рассылка спама, действия, направленные на заражение новых компьютеров и увеличение бот-нета.

"Лаборатория Касперского" сообщила о появлении новой версии сетевого червя Kido, которая отличается от предыдущих разновидностей усиленным вредоносным функционалом.Этот вирус в прошлом году попал в список самых "популярных".

Новая модификация Kido, представленная Net-Worm.Win32.Kido.ip, Net-Worm.Win32.Kido.iq и другими вариантами, способна противодействовать работе антивирусов, запущенных на зараженном компьютере.

Kido представляет собой червя с функционалом типа Trojan-Downloader, то есть он осуществляет доставку других вредоносных программ на зараженный компьютер пользователя. Первые случаи заражения этой вредоносной программой были зафиксированы в ноябре 2008 года.

Чтобы избежать заражения, рекомендуется установить обновление MS08-067 для Microsoft Windows.

Лаборатория PandaLabs предупредила о массовых случаях заражения червями нового семейства Conficker. На сегодня обнаружены три модификации Conficker. Первые случаи инфицирования компьютеров были зафиксированы еще в ноябре, а скачок скорости распространения вредоносной программы пришелся на начало января.

Черви семейства Conficker используют критическую уязвимость в серверных службах операционных систем Windows, которую [rubricator=148]Microsoft[/rubricator] устранила в конце прошлого года. Кроме того, заражение может происходить через USB-устройства — к примеру, флеш-брелоки или МР3-плееры. Попав на машину жертвы, Conficker загружает дополнительные вредоносные компоненты и позволяет киберпреступникам удаленно контролировать инфицированный компьютер.

Сотрудники PandaLabs отмечают, что червь постоянно обновляется, загружая компоненты с изменяющихся IP-адресов, что затрудняет его блокирование. Сейчас им инфицированы тысячи компьютеров по всему миру. По мнению экспертов, создатели Conficker-червей готовятся к организации широкомасштабной атаки с использованием зараженных машин.

Компания "Доктор Веб" информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based, который использует несколько альтернативных методов распространения, один из которых — уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся упаковщик, что затрудняет его анализ.

Win32.HLLW.Shadow.based использует для своего распространения съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя. вредоносная программа была создана с целью формирования очередной бот-сети.

Эксперты PandaLabs прогнозируют постоянный рост количества вредоносного ПО - вирусы, черви, трояны и т.д. в 2009 г. За период с января по август 2008 г. лаборатория Panda Security обнаружила такое же количество новых видов вредоносного ПО, что за предшествующие 17 лет вместе взятые. В 2009 г. эта тенденция будет сохраняться или даже прогрессировать.

Согласно прогнозам PandaLabs, банковские трояны и фальшивые антивирусы в 2009 г. станут доминирующими типами вредоносных кодов. Банковские трояны предназначены для кражи логинов и паролей к банковским сервисам, номеров счетов и др., а фальшивые антивирусы стараются выдать себя за реальные средства безопасности, стремясь убедить атакуемых пользователей в том, что их компьютеры заражены вредоносными кодами. Затем жертвам атаки предлагается приобрести предлагаемый антивирус, чтобы избавиться от фиктивных инфекций.

Что касается методов распространения вредоносного ПО, то PandaLabs прогнозирует расширение использования социальных сетей

Червь Koobface, который проник в социальные сети Facebook и MySpace, перебрался в сеть Bebo. На Koobface пришлось около процента заблокированных SafeScan за последние две недели вредоносных программ.

Пользователи Bebo получили сообщения, пришедшие якобы от друзей. Там говорилось, что они прекрасно выглядят в видеоролике. По ссылке на "ролик" предлагалось скачать обновление видеоплеера, то есть самого червя. Инфицированные компьютеры перенаправляют пользователей на зараженные сайты при попытке поиска в Google или Yahoo.

В Bebo зарегистрировано около 45 миллионов пользователей. Это в несколько раз меньше, чем в MySpace или Facebook, число пользователей в которых превышает 100 миллионов.

Ноутбуки, доставленные на МКС в июле, оказались зараженными компьютерным вирусом Gammima.AG. Впервые этот вирус появился в августе 2007 года. Его целью является кража паролей к онлайн-играм. 

Представители NASA заверяют, что этот червь не способен нанести никакого вреда системам станции. Как выяснилось, это уже не первая вредоносная программа, попавшая на МКС. Все предыдущие вирусы также были неспособны нанести какой-либо ущерб станции.

"Лаборатория Касперского" составила рейтинг наиболее популярных вредоносных программ за июль 2008 года в странах Европы и Азии. На первых трех местах - троянские программы: Trojan.Win32.DNSChanger.ech, Trojan-Downloader.WMA.Wimad.n и Trojan.Win32.Monderb.gen.

Всего, по данным компании, на компьютерах пользователей в июле было зафиксировано 20,7 тысячи уникальных вредоносных, рекламных и потенциально опасных программ.

Во второй части рейтинга вредоносные программы, которыми чаще всего заражены обнаруженные на компьютерах инфицированные объекты. Здесь преобладают "черви", в том числе - Worm.Win32.Fujack.ap и Net-Worm.Win32.Nimda. Лидирует же в списке программа под названием Virus.Win32.Virut.q.

«Лаборатория Касперского» сообщает об обнаружении сетевых червей, которые атакуют пользователей социальных сетей MySpace и Facebook.

Эксперты «Лаборатории Касперского» предупреждают, что злоумышленники предусмотрели возможность неограниченного расширения функционала этих червей за счет загрузки дополнительных вредоносных модулей из сети.

Таким образом, вполне вероятно, что после первоначального этапа заражения как можно большего количества пользователей черви изменят свое поведение и будут выполнять совершенно другие функции, заложенные киберпреступниками в дополнительные модули.

Напомним, накануне российская социальная сеть "Вконтакте.ру" подверглась рассылке спама.

«Лаборатория Касперского» предупреждает об угрозе потери в воскресенье, 25 мая, всех персональных данных на компьютерах пользователей социальной сети «ВКонтакте», чьи ПК оказались зараженными сетевым червем Rovud.

Социальная сеть «ВКонтакте», в которой зарегистрировано более десяти миллионов пользователей, подверглась атаке сетевого червя Rovud утром 16 мая. Следующая более мощная волна распространения новой модификации червя произошла 17 мая. Несмотря на то, что вредоносная программа была оперативно обнаружена, опасность массовой активизации червя остается высокой. «Лаборатория Касперского» выпустила специальную утилиту, обнаруживающую и удаляющую вирус Rovud. Скачать ее можно бесплатно.

В корпорации Microsoft начали работу над новой технологией доставки обновлений и фикспаков для программного обеспечения, которая будет работать подобно механизму распространения интернет-червей. Основная идея, по словам Милана Войновича из Microsoft Research, заключается в том, что саморазмножающаяся программа-патч, попадая на доступный компьютер, начинает искать другие машины в той же подсети, меняя тактику. Если ее инициатива заканчивается неудачей, "хороший червь" сканирует другие подсети. Этот метод, уверен Войнович, будет эффективнее, чем просто загрузка обновлений всеми пользователями с одного центрального сервера.

Кроме того, есть в исследованиях Microsoft и другой практический момент - специалисты компании, создавая программы-черви, лучше поймут механизмы распространения вредоносного ПО и смогут совершенствовать антивирусные инструменты. На сегодняшний день уже известен случай создания "доброй" троянской программы, основной задачей которой является борьба со "злым конкурентом". Обнаруженный в июле прошлого года троян Srizbi, разработанный в России, при заражении компьютера, удаляет ненавистного ему трояна Storm Worm. В отместку за это Storm Worm устраивает DoS-атаки на сайт с обновлениями Srizbi.

По материалам Webplanet.ru

Кроме увеличения числа троянов, также стало расти использование червей для кражи конфиденциальных данных пользователей. По данным, собранным с помощью Panda ActiveScan, трояны стали причиной 24.41% заражений, а черви - 15.01%. Эти цифры значительно отличаются от данных 2007 года, когда черви вызывали менее 10% заражений. По данным Panda Security, такая ситуация наблюдается из-за увеличения активности червей семейства Nuwar, также известных как Storm Worms или буквально Штормовые Черви. Компьютерные черви могут очень быстро распространяться сами по себе.

Однако в отличие от тех программ, которые раньше становились причиной эпидемий, широко освещавшихся в СМИ, сегодняшние черви не стремятся уничтожить данные или навредить компьютерам. Совсем наоборот, их цель – незаметная кража конфиденциальной информации для онлайнового мошенничества. Такие черви обычно попадают в компьютер в сообщениях электронной почты, в которых используются технологии социальной инженерии, связанные с актуальными событиями. Такие сообщения содержат ссылки на страницы, с которых автоматически загружаются другие вредоносные коды, которые крадут персональные данные или подделывают страницы, используемые для фишинговых атак.

Червь Storm появился недавно, но уже принес немало неприятностей пользователям интернета. Сеть компьютеров, созданная злоумышленниками при помощи Storm, в определенный момент насчитывала до 50 миллионов компьютеров. По мере улучшения механизмов идентификации червя антивирусными компаниями, сеть Storm начала терять силу, однако и сейчас она активно используется для организации массовых рассылок. На днях пользователи начали получать электронные письма с поздравлениями ко дню Святого Валентина, отмечающемуся 14 февраля.

В теле таких писем указана ссылка на некий сайт, при посещении которого пользователю демонстрируется изображение сердца и сообщается о начале скорой загрузки файла.Этим файлом и является программа Storm. Эксперты отмечают, что в тактике распространения Storm нет ничего нового. Январская атака аналогична декабрьской и более ранним рассылкам. Так, например, в прошлом месяце злоумышленники предлагали получателям писем посетить некий "интересный" веб-сайт новогодней тематики и загрузить видеокодек для воспроизведения видеоролика. Пользователи, рискнувшие скачать кодек, получали порцию вредоносных компонентов.

По материалам Soft@Mail.ru