Свежие опасные вирусы

Все, что можно найти в Интернете за пределами Боярки
Аватара пользователя
Ob-iVan
Site Admin
Сообщения: 4604
Зарегистрирован: Пт, 03 авг 2007, 19:35

Свежие опасные вирусы

Сообщение Ob-iVan »

Долго думал, в каком разделе разместить тему, посвященную наиболее опасным вирусам, эпидемии которых свирепствуют в настоящий момент.
В конце концов пришел к выводу, что раз уж первоначальными источниками всех этих вирусов являются как раз ресурсы Интернета, данная тема должна быть в первых строчках именно этого раздела, чтобы при каждом входе в Сеть пользователь ежесекундно помнил: не все йогурты одинаково полезны.

Начну с того, что порадую вас сообщением о начинающейся второй волне эпидемии червя Downadup. Жертвам первой волны этого червя очень хорошо знакомы начальные симптомы заражения: ни с того ни с сего перестают открываться некоторые сайты, в частности сайт компании Microsoft и сайтЫ производителей многих антивирусов.
Плохо то, что многие бесплатные/взломанные антивирусы этот червь не диагностируют и от него не лечат. В результате, зараженным оказался каждый 16-й компьютер в мире. Теперь, по-видимому, будет еще хуже:
lenta.ru писал(а):Обнаружена новая версия червя Downadup

Злоумышленники выпустили новую версию червя Conficker, также известного как Downadup и Kido, сообщает IDG News. Она называется Conficker B++ и была обнаружена несколько дней назад компанией SRI International.
Эксперты подчеркивают, что для неопытного пользователя новая версия червя практически не отличается от старой. Однако в В++ используются новые методы загрузки программного обеспечения на зараженный компьютер, что расширяет возможности злоумышленников.

В частности, к 297 подпрограммам старой версии Conficker в новой прибавилось еще 39. Кроме того, три из ранее существующих подпрограмм были изменены.

Возможно, появление Conficker B++ стало ответом создателей червя на действия группы Conficker Cabal. Последняя блокирует домены, с которыми связывается червь для получения инструкций.

Впервые атака червя Conficker была зафиксирована около недели назад. В течение нескольких дней он заразил десять миллионов компьютеров. Ботнет, образованный зараженными компьютерам, является одним из крупнейших в мире.

Неделю назад Microsoft предложила вознаграждение в 250 тысяч долларов за информацию, которая поможет в поимке автора или авторов Conficker. Также корпорация договорилась о партнерстве с несколькими организациями, целью которого станет уничтожение червя.
Схема действия Conficker
Схема действия Conficker
Conficker.jpg (12.19 КБ) 24105 просмотров
Напомню, что определить, заражен ли компьютер, можно, попытавшись зайти, например, на сайт kaspersky.ru. Downadup блокирует этот адрес.
Для лечения от первой версии червя подходит специальная бесплатная утилита Касперского. Запускается она из командной строки.


У меня нет времени ненавидеть тех, кто меня ненавидит, потому что я слишком занят добрыми делами для тех, кто меня любит.
Аватара пользователя
Ob-iVan
Site Admin
Сообщения: 4604
Зарегистрирован: Пт, 03 авг 2007, 19:35

Re: Свежие опасные вирусы

Сообщение Ob-iVan »

Начинается эпидемия новой версии вируса Virus.Win32.Sality, предыдущая версия которого заняла первое место в вирусной двадцатке января.
В интернете стремительно распространяется новый опасный вирус

PandaLabs зафиксировала за последние дни рост числа инфекций вирусом Sality.AO, а также случаи заражения новыми вариантами данной угрозы при использовании подобной технологии. В связи с этим лаборатория PandaLabs советует пользователям быть готовыми к возможной массовой атаке.

Sality.AO - это вирус, который сочетает характеристики традиционных вирусов (заражение файлов и нанесение вреда как можно большему количеству компьютеров) и новых вредоносных программ, которые нацелены на получение финансовой выгоды кибер-преступниками.

Вирус Sality.AO использует некоторые технологии, которые не наблюдались уже давно, такие как отсутствие точки входа (EPO) или пещера (Cavity). Эти технологии связаны со способом видоизменения исходного файла для его заражения, тем самым значительно усложняя процессы обнаружения этих изменений и восстановления файлов. Отсутствие точки входа позволяет части правильного файла запуститься до начала заражения, из-за чего обнаружить вредоносное ПО становится трудной задачей. При помощи резонатора пещеры встраивание кода вируса в пустые области нормального файла, что делает сложным обнаружение и восстановление зараженных файлов.

Данные технологии намного сложнее тех, которые можно реализовать с использованием автоматизированных инструментов для создания вредоносного ПО, при помощи которых за последнее время стремительно увеличивается количество интернет-угроз. Используемые для вируса Sality.AO технологии предполагают наличие больших навыков и глубоких знаний при программировании вредоносного кода.

В дополнении к техникам, встречающимся в ранних вредоносных кодах, Sality.AO содержит серию характеристик новых вредоносных направлений, такие как соединение через IRC-каналы для получения удаленных команд, что потенциально позволяет превратить компьютер в "зомби". Подобные компьютеры-зомби могут использоваться для рассылки спама, распространения вредоносного ПО и DOS-атак для отказа в обслуживании и пр.

В данном случае инфекции ограничиваются не только заражением файлов, как в случае со старыми вирусами, но также призваны распространяться в интернете для решения других задач. В частности, данный вирус использует iFrame для заражения на компьютере PHP, ASP и HTML-файлов. В результате запуска любого из этих файлов браузер без предупреждения осуществляет переадресацию пользователя на вредоносную страницу, которая загружает на компьютер эксплойт, позволяющий в перспективе загрузить на данный компьютер другие вредоносные программы.

К сожалению, это еще не все. Если любой из этих файлов разместить на Web-странице, принимая во внимание их способ загрузки на компьютер, то каждый пользователь, который скачивает файлы или зайдет на данную страницу, сразу же будет заражен.

Файл, загружаемый при помощи данной технологии, лаборатория PandaLabs относит к гибридам вредоносного ПО, которые сочетают в себе черты троянов и вирусов. Кроме того, троян имеет функции загрузки файлов, что позволяет ему осуществлять серию загрузок на компьютер других вредоносных файлов. URL-адреса, которые используют подобный загрузочный файл, на момент анализа лабораторией PandaLabs не работали, но согласно исследованиям компании Panda Security они способны активироваться, так как количество зараженных компьютеров возрастает.


У меня нет времени ненавидеть тех, кто меня ненавидит, потому что я слишком занят добрыми делами для тех, кто меня любит.
Аватара пользователя
unnamed
Сообщения: 1052
Зарегистрирован: Вс, 25 ноя 2007, 19:55
Откуда: kiev

Re: Свежие опасные вирусы

Сообщение unnamed »

Новый сетевой червь атакует пользователей Symbian
Сотрудники антивирусной компании Forinet, серьезно обеспокоены скоростью распространения symbian-червя SymbOS/Yxes.A. Червь в фоновом режиме рассылает SMS-сообщения, а владельцев телефонов заваливает ссылками на разнообразные порно-сайты. Кроме того, по пока неподтвержденной информации SymbOS/Yxes.A также пытается вычислить серийный номер мобильного аппарата и телефонный номер владельца, после чего пересылает полученные данные своим создателям.

Точные данные по всем особенностям червя будут получены в ближайшие пару дней, когда специалисты компании Forinet завершат анализ кода.

Дерек Манки, антивирусный аналитик Forinet, считает, что в перспективе велика вероятность появления разновидностей SymbOS/Yxes.A, которые будут работать более активно общаясь с командными центрами злоумышленников. Сейчас можно точно утверждать, что существующий вариант SymbOS/Yxes.A в основном направлен на SymbianOS S60 Third Edition, которая используется преимущественно в аппаратах Nokia.

Червь имеет одну интересную особенность. Дело в том, что изначально SymbianOS S60 Third Edition позволяет устанавливать только приложения, имеющие официальный сертификат от Symbian Developers Network. Данный сертификат предоставляет доступ к системным API-интерфейсам, сам же механизм создания сертификатов закрыт, однако создателям SymbOS/Yxes.A не составило труда сделать поддельный сертификат.

По словам Дерека Манки,компания Forinet уже связалась с Symbian Developers Network для выяснения происхождения вирусного сертификата.
Появилась новая версия червя Conficker
Компания SRI International сообщила об обнаружении первой значительной разновидности червя Conficker, известного как Downadup и Kido. Новая версия получила название Conficker B++. Впервые новый сетевой червь был зафиксирован 3 дня назад.

Специалисты SRI International говорят, что для неопытного пользователя новая версия червя практически не отличается от старой. Однако новинка использует совершенно новую технику для скачивания дополнительного злонамеренного софта, что дает создателям червя большую гибкость, с которой они могут манипулировать зараженными ПК.

В частности, к 297 подпрограммам старой версии Conficker в новой прибавилось еще 39. Кроме того, три из ранее существующих подпрограмм были изменены. Это позволяет червю использовать новые методы распространения.

Возможно, появление Conficker B++ стало ответом создателей червя на действия группы Conficker Cabal. Эта группа блокирует домены, с которыми связывается червь для получения инструкций.

Напомним, что неделю назад Microsoft предложила вознаграждение в 250 тысяч долларов за информацию, которая поможет в поимке автора или авторов Conficker. Также корпорация договорилась о партнерстве с несколькими организациями, целью которого станет уничтожение червя.


Mess with the best, die like the rest.
cnaps.apsarc.com - Code Name "APS" радио шоу в режиме полу подкаста на около компьютерную тематику.
binradio.ru - самое бинарное радио
Аватара пользователя
unnamed
Сообщения: 1052
Зарегистрирован: Вс, 25 ноя 2007, 19:55
Откуда: kiev

Re: Свежие опасные вирусы

Сообщение unnamed »

Worm.Win32. AutoRun.gc

07 июня, 2009

Червь, похищающий пароли пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 97788 байт. Написан на С++.

Инсталляция

После активации червь копирует свое тело в системный каталог Windows под именем "avpo.exe":
%System%\avpo.exe

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"avpa" = "%System%\avpo.exe"

Распространение

Червь копирует свой исполняемый файл на все логические и съемные диски под именем "ntde1ect.com":
X:\ntde1ect.com

Далее в корне каждого каталога червь создает файл "autorun.inf":
X:\autorun.inf

который запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник",

где — буква раздела.

Всем созданным файлам червь устанавливает атрибут "скрытый".

Деструктивная активность

Червь извлекает из своего тела динамическую библиотеку DLL под именем "avpo0.dll":
%System%\avpo0.dll

Далее файлу присваивается атрибут "скрытый".

Данный файл имеет размер 31455 байт и детектируется Антивирусом Касперского как Packed.Win32.NSAnti.r.

Данная библиотека внедряется во все запущенные процессы в системе, и с ее помощью производится перехват нажатия клавиш клавиатуры в следующем процессе:
maplestory.exe

Таким способом, червь пытается похитить информацию об учетных записях игроков для игры:

Maple Story

Также червь анализирует файлы настроек вышеуказанной игры и пытается извлечь из них информацию об учетных записях игрока на игровых серверах.

Собранная информация отправляется на сайт злоумышленникам в HTTP запросе:

h ttp:// ww w.gam es rb.com/*****/mwo/lin.asp

Также червь извлекает из своего тела драйвер во временный каталог текущего пользователя Windows под случайно сгенерированным именем:

%Temp%\.sys

Где — случайная последовательность цифр и букв латинского алфавита, например "qb4y9wm".

Данный файл имеет размер 21810 байт и детектируется Антивирусом Касперского как Rootkit.Win32.Vanti.gl.

Далее драйвер копируется в системный каталог Windows под именем "wincab.sys":
%System%\wincab.sys

Для запуска драйвера червь использует следующую службу:
[HKLM\SYSTEM\CurrentControlSet\Services\Wincab]

Данный драйвер завершает следующие процессы:
KAV
RAV
AVP
KAVSVC

Также скрывает файлы, процессы и ключи реестра, содержащие в имени подстроку "wincab" при помощи подмены обработчиков следующих функций:
NtEnumerateKey
NtEnumerateValueKey
NtQueryDirectoryFile
NtQuerySystemInfromation

в KeServiceDescriptorTable.

Червь изменяет значения следующих параметров ключей системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
"NoDriveTypeAutoRun" = "91"

Таким образом, отключается отображение скрытых файлов и включаются функции автозапуска.

Также червь производит загрузку файла со следующего URL:
htt p:// ww w.om 78 90.com/*****/help.exe

Загруженный файл сохраняется в системный каталог Windows под именем "help.exe":
%System%\help.exe

После успешного сохранения файл запускается на выполнение.

На момент создания описания по указанной ссылке вредоносных объектов не загружалось.

Червь выгружает из памяти следующие процессы:
rtsniff.exe
packetcapture.exe
peepnet.exe
capturenet.exe
wireshark.exe
aps.exe
07 июня, 2009

Данная троянская библиотека представляет собой Internet Explorer Browser Helper Object (BHO), стартующий при запуске Internet Explorer, который следит за активностью пользователя в интернете. Имеет размер 315904 байта.

Инсталляция

При регистрации создает в системе OLE объект с именем "ConnectionServices".

При этом в системном реестре создаются следующие ключи:
[HKCR\CLSID\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]

[HKCR\elonnmdsturdsqm.Melonnmdsturd]

[HKCR\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]

[HKCR\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]

[HKLM\SOFTWARE\Classes\CLSID\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]

Троянец отображается в диалоге надстроек Internet Explorer.

Деструктивная активность

При открытии любой веб-страницы в Internet Explorer, в нижней части экрана отображается баннер порнографического содержания, предлагающий отключить себя, послав СМС на короткий платный номер.


Mess with the best, die like the rest.
cnaps.apsarc.com - Code Name "APS" радио шоу в режиме полу подкаста на около компьютерную тематику.
binradio.ru - самое бинарное радио
Аватара пользователя
Melvin
Сообщения: 987
Зарегистрирован: Пт, 16 ноя 2007, 16:53
Контактная информация:

Re: Свежие опасные вирусы

Сообщение Melvin »

Virus.Win32.Induc.a заражает Delphi-приложения на этапе разработки

"Лаборатория Касперского" сообщила о появлении вируса Virus.Win32.Induc.a, распространяющегося через интегрированную среду разработки программного обеспечения CodeGear Delphi. Защита от новейшей угрозы уже реализована во всех продуктах "Лаборатории Касперского".

Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.

Новый вирус активизируется при запуске зараженного им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.

Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.

В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, скорее он предназначен для демонстрации и тестирования нового вектора заражений. Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.
Это уже засветилось на файлообменнике, так что будте бдительны.


Destroyer
Сообщения: 83
Зарегистрирован: Пн, 14 июл 2008, 19:02
Откуда: UIN
Контактная информация:

Re: Свежие опасные вирусы

Сообщение Destroyer »

Virus.Win32.Induc.a где можно скачать?


Аватара пользователя
Melvin
Сообщения: 987
Зарегистрирован: Пт, 16 ноя 2007, 16:53
Контактная информация:

Re: Свежие опасные вирусы

Сообщение Melvin »

Destroyer писал(а):Virus.Win32.Induc.a где можно скачать?
http://files.uin/file/36974
Тут напрмер... на момент публикации около 90 загрузок софтины... так и до эпидемии недалеко, учитывая что студенты пользуют преимущественно Delphi 7 для своих заданий... (блин этож родилось такое у кого то в голове, уже и разработчикам софта покоя нету :shock: )


Аватара пользователя
Melvin
Сообщения: 987
Зарегистрирован: Пт, 16 ноя 2007, 16:53
Контактная информация:

Re: Свежие опасные вирусы

Сообщение Melvin »

Файлик тот уже около 3-х месяцев лежит... зараза уже наверное у всех кто качал и юзает Delphi... А потом по универам и техникумам... а оттуда снова на компы...
Destroyer писал(а):Virus.Win32.Induc.a где можно скачать?
А тебе это на что? 8-)


Аватара пользователя
grena
Сообщения: 147
Зарегистрирован: Вс, 19 авг 2007, 17:42

Re: Свежие опасные вирусы

Сообщение grena »

Сегодня на почту пришло левое письмо с вирусом, :shock:
НОД выдал вот такое сообщение, так что будьте бдительны... ;)
Вложения
77777777.JPG
77777777.JPG (14.19 КБ) 23370 просмотров


Аватара пользователя
Ob-iVan
Site Admin
Сообщения: 4604
Зарегистрирован: Пт, 03 авг 2007, 19:35

Re: Свежие опасные вирусы

Сообщение Ob-iVan »

Почтовый ящик наш или нет?


У меня нет времени ненавидеть тех, кто меня ненавидит, потому что я слишком занят добрыми делами для тех, кто меня любит.
Ответить

Вернуться в «Ресурсы Интернета»