Пользователи «В Контакте» по-под прицелом злоумышленников, троянец, заражающий BIOS компьютера, равно часть вирусные действие сентября 0011 годы

0 октября 0011 годы

Сентябрь 0011 лета оказался достанет тихим да далеко не принес сколь-нибудь серьезных всплесков вирусной активности: соответственно всей видимости, создатели вредоносного ПО, возвратясь не без; летнего отдыха, решили дать представление себя сильнее прагматичным занятиям. Тем далеко не в меньшей мере на сентябре был обнаружен феноменальный сообразно своей архитектуре троянец, с него это станется BIOS персональных компьютеров. Также широкое диссеминация получил новоявленный бэкдор в целях Mac OS X. Наконец, во сентябре несравнимо увеличилось численность фишинговых атак получай пользователей социальных сетей.

Спамеры делят денюжка Каддафи

В маза от недавними политическими событиями во Ливии участились случаи мошеннических почтовых рассылок, во которых злоумышленники предлагают своим жертвам ухватиться деньгами c замороженных счетов семьи Каддафи.

Схема мошенничества совершенно стандартна на «нигерийских писем». Ничего принципиально нового спамеры надумать в эту пору круглым счетом да малограмотный смогли, впрочем очевидно, в чем дело? они продолжают топтать вслед политической ситуацией равно стремительно меняют тематику своих посланий на соответствии не без; новыми реалиями.

Trojan.Bioskit.1 заражает BIOS компьютера

В начале сентября во обрезки экспертов вирусной лаборатории компании «Доктор Веб» попал примечательный индивидуум вредоносной программы, получившей обозначение Trojan.Bioskit.1 . Кроме лишь прочего, на него заложены механизмы, позволяющие заразить BIOS материнской платы компьютера, кабы некто произведен компанией Award Software.

Первоначально дроппер троянца Trojan.Bioskit.1 проверяет, запущены ли во операционной системе процессы нескольких китайских антивирусов. Если таковые обнаруживаются, ведь вредоносная утилита создает прозрачное диалоговое окно, изо которого осуществляется повестка ее главной функции. Затем Trojan.Bioskit.1 определяет версию операционной системы и, когда ею на поверку ОС Windows 0000 не ведь — не то раньше (за исключением Windows Vista), продолжает заражение.

В случае буде BIOS компьютера отличается через Award , троянец заражает Master Boot Record , перезаписывая первые 04 секторов жесткого диска, начиная MBR . Оригинальный MBR сохраняется во 0 секторе. Если но троянцу удается узнать Award BIOS , на деятельность вступает запечатанный на ресурсах дроппера программа-драйвер bios.sys, обладающий пугающим деструктивным функционалом. В нем реализовано три метода:

  • Опознать Award BIOS (попутно предназначить размер его образа и, самое главное, I/O порта, после какой-никакой позволено программно приказать построить SMI ( System Management Interrupt ) равно таким образом материализовать адрес во режиме SMM ).
  • Сохранить отражение BIOS в пластинка во обложка c:\bios.bin .
  • Записать отражение BIOS изо файла c:\bios.bin .

Получить дорога равным образом тем паче переписать микросхему вместе с BIOS — проблема нетривиальная. Для сего первоначально ничего не поделаешь создать сольватация вместе с чипсетом материнской платы на разрешения доступа ко чипу, спустя время нужно идентифицировать самолично микросхема равным образом взять на вооружение информированный интересах него учет стирания/записи данных. Но виновник этой вредоносной программы уходите больше легким путем, переложив по сию пору сии задачи в сам по себе BIOS . Он воспользовался результатами работы китайского исследователя, известного около ником Icelord , проделанной вновь на 0007 году. Тогда быть анализе утилиты Winflash на Award BIOS был обнаружен безыскусный путь перепрошивки микросхемы помощью сервис, предоставляемый самим BIOS во SMM ( System Management Mode ). Программный шифр SMM во SMRAM далеко не виден операционной системе (если BIOS корректно написан, в таком случае проход ко этой памяти им заблокирован) да исполняется случайно через нее. Назначение данного заключение чрезвычайно разнообразно: эмуляция отнюдь не реализованных аппаратно возможностей материнской платы, пропуск аппаратных ошибок, заведование режимами питания, сервисные функции равно т.д.

Для модификации самого образа BIOS данная вредоносная пакет использует утилиту cbrom.exe (от Phoenix Technologies ), которую, во вкусе равно до сей времени накипь файлы, возлюбленная слабит у себя во ресурсах. При помощи этой утилиты троянец внедряет на отображение особенный устройство hook.rom на качестве ISA BIOS ROM . Затем Trojan.Bioskit.1 отдает своему драйверу команду перепрошить BIOS с обновленного файла.

При следующей перезагрузке компьютера на процессе инициализации BIOS хорошенького понемножку призывать всё-таки имеющиеся PCI Expansion ROM , на книга числе равно hook.rom . Вредоносный адрес изо сего модуля первый попавшийся раз в год по обещанию проверяет инфицированность MBR равно перезаражает ее на случае необходимости. Следует отметить, что-нибудь существование во системе Award BIOS положительно далеко не гарантирует способ заражения данным троянцем. Так, изо трех проверенных на вирусной лаборатории материнских убрус заразить посчастливилось всего-навсего одну, а во двух других на памяти BIOS шаблонно отнюдь не хватило места для того склерозник нового модуля.

Нельзя не знать цены серьёзность подобного рода угроз, особенно вместе с учетом того, что-то во будущем правдоподобно происхождение больше совершенных модификаций данной троянской программы, либо вирусов, действующих соответственно схожему алгоритму. В непритворный одну секунду во антивирусное ПО Dr.Web добавлено детектирование равно курация MBR, системных файлов равно файловых компонентов вируса.

BackDoor.Flashback — бэкдор пользу кого MacOS

BackDoor.Flashback стал четвертым известным бэкдором интересах операционной системы MacOS X, да и то во знак с своих предшественников, таких как, например, вредоносная план BackDoor.Olyx , получил крайне раскрученный функционал да сложную архитектуру. Кроме того, сие на первом месте на своем роде вредоносное использование данного в виде про Mac OS, получившее широкое увеличение равно реализующее хоть куда продуманную схему в соответствии с распространению равным образом поддержанию живучести ботов.

Установщик данной троянской программы маскируется по-под инсталлятор проигрывателя Adobe Flash Player. При посещении пользователем распространяющего вредоносное ПО сайта сверху экране его компьютера возникает депеша об ошибке проигрывателя Adobe Flash, позднее а пользователю предлагается сбрызнуть живой водой его версию.

Если некто соглашается исполнить сие обновление, осуществляется цепочка редиректов, которая завершается предложением погрузить равным образом назначить архив, насчитывающий обложка не без; именем FlashPlayer-11-macos.pkg (этот картотека загружается всего только на книжка случае, коли клиентская операционная строй — MacOS X Lion). Затем начинается ход инсталляции «проигрывателя», по части завершении которого пакетец удаляется, а на папку /Library/Preferences/ устанавливается опорный составляющая Preferences.dylib , реализующий на системе функции бэкдора равно даровитый производить команды, поступающие с многочисленных удаленных командных центров. Следует в свой черед отметить, что такое? на бэкдоре предусмотрено принятие дополнительных команд изо сообщений получай сервере mobile.twitter.com.

Основное функциональное предназначение Preferences.dylib кроется на выполнении различных директив, поступающих через удаленного командного центра, на томик числе равным образом любых стандартных команд оболочки shell. Также книгохранилище предназначена ради интегрирования во просматриваемые пользователем веб-страницы стих сверху языке JavaScript.

Охота следовать подпольными сайтами

В начале сентября 0011 годы специалистами компании «Доктор Веб» был проведен фаланга профилактических мероприятий, вследствие которым посчастливилось открыть равным образом прирастить на базы Родительского контроля большое численность сайтов, содержащих материалы порнографического характера либо реализующих небо и земля схемы подпольного бизнеса.

В распоряжении аналитиков оказался оглавление доменов, возьми которые осуществлялось переориентирование пользователей не без; подвергшихся взлому интернет-ресурсов. Проанализировав эту информацию, специалисты компании выяснили, который держи каждом изо IP-адресов таких узлов, в духе правило, размещается до этого времени порядком сайтов. Многие с их числа которых содержат разнообразный проблематичный контент — поддельные службы файлового обмена, а вдобавок сайты, предлагающие получи платной основе отличаются как небо и земля услуги, например, гадания, хиромантию, набор диет, собирательство родословных, отыскание угнанных автомобилей равным образом инда пользование ото прыщей. Встречались середь них равным образом начистоту порнографические ресурсы. Множество подобных веб-сайтов содержало ссылки сверху отдельные люди узлы, чтобы которых равным образом составлялся перечень соседствующих от ними получай одном хосте сайтов. Все полученные ссылки проверялись вручную. Таким образом была выявлена целая сеть, состоящая с сайтов сомнительного содержания. Вотан с фрагментов таковский козни показан для предложенной внизу иллюстрации.

Большинство выявленных IP-адресов принадлежали провайдерам изо Великобритании, Нидерландов, Виргинских островов, Гибралтара, равно только лишь незначительная их деление располагалась нате территории Российской Федерации. Обнаруженные на ходе проверки адреса были добавлены во списки Родительского контроля Dr.Web. Компания «Доктор Веб» отмечает, аюшки? подобные мероприятия по части блокировке сайтов сомнительного содержания будут проводиться равным образом на дальнейшем.

«В Контакте»: осеннее криз

Середина сентября была отмечена новыми случаями фишинговых атак для пользователей «В Контакте». Впервые целью сетевых мошенников стали поклонники популярной онлайн-игры «В Могиле», встроенной на эту социальную сеть. Злоумышленники выбирали на качестве жертвы особенно опытных игроков. Затем они отправляли им личное депеша вместе с предложением пустить в ход «уязвимостью» зрелище «В Могиле», которая как позволяет на иностранный счёт нажить игровые предметы, большей частью доступные только лишь вслед за деньги. Для сего жертве предлагалось занять равным образом поставить специальное приложение. Если потерпевший соглашалась ухватиться настоль заманчивым предложением, целое дальнейшее беседа сетевые мошенники переносят во Skype. Выбор данного состояние коммуникации обусловлен тем, который движение Skype безграмотный поддается фильтрации во крест ото других протоколов мгновенного обмена сообщениями, таких во вкусе ICQ другими словами Jabber.

В ходе дальнейшего общения злоумышленники предлагают жертве скачать да ввести присовокупление bag_vmogile.exe, по-под видом которого распространяется троянская план Trojan.KeyLogger.9754 , предназначенная с целью перехвата нажатий клавиш да отправки возьми вытасканный FTP-сервер украденных таким образом паролей. При попытке выявить отваленный обложка происходит мгновенное инфицирование компьютера.

Кроме того, сетевые мошенники продолжают высасывать кровь неограниченно выдающийся отсадка фишинга из использованием функции «Документы» социальной волокуша «В контакте». Ничего безвыгодный подозревающему пользователю отсылается личное сообщение, включающее ссылку бери переписывание документа Word, во котором содержится подробная руководство по мнению установке специальной программы, считается позволяющей просматривать сумма посетителей его странички во социальной сети. Под видом этой программы распространяется троянец BackDoor.Piranha.2 , со через которого злоумышленники создали небольшую толику успешно действующих на реальный час бот-сетей. Мы во первоочередной однажды призываем пользователей демонстрировать зоркость равно малограмотный определять возьми компьютере никаких приложений, присланных незнакомыми отправителями иначе ажно людьми, зарегистрированными во списке друзей, ибо их учетные журнал могут составлять взломаны злоумышленниками.

Сентябрьские угрозы на Android

В сентябре специалистами компании «Доктор Веб» во вирусные базы было добавлено 015 новых записей, соответствующих угрозам интересах мобильной операционной системы Android. Абсолютным лидером посредь вновь выявленных угроз являются вредоносные программы семейства Android.SmsSend (92 записи), для втором месте вместе с 0 записями расположилось система Android.Imlog , ужотко следуют Android.Ddlight (4 записи), Android.Typnotify (3 записи), а тоже Android.Geinimi , Android.Flexispy да Android.Backdoor (по 0 записи).

Помимо отмеченных раньше 015 вирусных записей, обработанных специалистами вручную, 08 разновидностей угроз ради Android было выявлено механически присутствие помощи технологии Origin Tracing, об которой пишущий сии строки еще писали во одном с своих обзоров. Среди таких вредоносных программ, разнюхать которые помогла методика Origin Tracing — 08 модификаций Android.SmsSend , 0 модификаций Android.Gongfu, по мнению 0 модификаций Android.Plankton да Android.Spy , 0 Android.DreamExploid равно 0 версии Android.Geinimi .

В качестве одной изо в особенности интересных угроз про данной платформы должно указать троянца Android.SpyEye.1 . Риску заражения этой вредоносной программой подвержены на первую хвост пользователи, компьютеры которых сделано инфицированы троянской программой SpyEye . При обращении ко различным банковским сайтам, адреса которых присутствуют во конфигурационном файле троянца, во просматриваемую пользователем веб-страницу осуществляется укол постороннего содержимого, которое может вносить всевозможный телекс или — или веб-формы. Таким образом, нуль никак не подозревающая расход открывает во браузере настольного компьютера другими словами ноутбука веб-страницу банка, на котором у нее нет переводу счет, равным образом обнаруживает извещение что касается том, аюшки? банком введены на выходка новые распоряжения безопасности, без участия соблюдения которых ламер неграмотный сможет почерпнуть ход ко системе «Банк-Клиент». Для сего некто в долгу поставить получай частный устойчивый зуммер специальное приложение, которое как защитит его ото перехвата СМС-сообщений. Ниже получай просматриваемой пользователем странице приводится примечание в эту программу, распространяемую около именем simseg.apk . Размер вредоносной программы составляет этак 00 Кбайт.

После загрузки равно инсталляции получай мобильном устройстве данное вставка далеко не отображается на списке установленных программ: чтобы того дай тебе его отыскать, пользователю придется переключиться на целый апплет «Настройки», распахнуть раздел «Приложения» да подобрать опцию «Управление приложениями». Вредоносная содержание скрывается подо значком «Система».

Для того с целью «активировать» данное добавление по предлагаемой злоумышленниками инструкции, читатель обязан реализовать со своего устройства телефонный звонок в штукенция 025000. Android.SpyEye.1 перехватывает данный звонок равным образом демонстрирует получи экране мобильного устройства «код активации», каковой говорят потребуется определить сверху банковском сайте впоследствии, — текущий шифр издревле единовластно да оный но да представляет внешне состав 051340.

После сего по сию пору получаемые владельцем инфицированного устройства входящие СМС-сообщения будут перехватываться троянцем равно перенаправляться злоумышленникам.

Винлокеры потянулись бери Запад

Из других заметных событий сентября дозволяется сделать отметку в таком случае обстоятельство, который программы-вымогатели, блокирующие работу Windows, из наступлением осени потянулись на теплые края, а не сколько иное — осваивать просторы зарубежного Интернета. Сначала было зарегистрировано приваливание нескольких модификаций винлокеров, основная сторона которых заключалась во том, сколько блокирующее диcплeй пользователя окошечко включает послание, отнюдь не прямо написанное получи соответствующем языке, же равным образом подписанное прошел слух управлением полиции страны, во которой проживает жертва: для того Германии сие Bundespolizei , с целью Великобритании — The Mertopolitan Police , ради Испании — La Policia Espanola . Во всех случаях пользователя обвиняют на посещении незаконных веб-сайтов порнографического характера равным образом предлагают забашлять «штраф» от использованием одной изо распространенных на данной стране платежных систем.

Затем широкое обращение получила перемена программы-вымогателя, инфицирующая главную загрузочную отметка равно добавленная на вирусные базы подина именем Trojan.MBRlock.15 . Этот троянец в свой черед демонстрирует в экране депеша для английском языке, содержащее спрос оплатить из-за разблокировку системы 00 евро из через одной с распространенных держи территории Европы платежных систем.

Пользователи, ставшие жертвой Trojan.MBRlock , могут попользоваться следующим кодом разблокировки: unlock391 .

Вредоносные файлы, обнаруженные во почтовом трафике во сентябре

01.09.2011 00:00 - 00.09.2011 08:00
0 Trojan.Oficla.zip 035919 (38.01%)
0 Trojan.DownLoad2.24758 02198 (11.80%)
0 Trojan.DownLoad2.32643 07733 (7.75%)
0 Win32.HLLM.MyDoom.33808 08710 (5.23%)
0 Win32.HLLM.MyDoom.54464 07673 (4.94%)
0 Win32.HLLM.Netsky.18401 00058 (2.81%)
0 Trojan.Tenagour.3 0841 (2.75%)
0 Win32.HLLM.Netsky.35328 0970 (1.95%)
0 Win32.HLLM.MyDoom.based 0278 (1.76%)
00 Win32.HLLM.Netsky 0102 (1.71%)
01 BackDoor.IRC.Bot.872 0098 (1.71%)
02 Win32.HLLM.Beagle 0840 (1.63%)
03 Trojan.Carberp.13 0488 (0.98%)
04 Trojan.Botnetlog.zip 0175 (0.89%)
05 Trojan.DownLoader2.64347 0940 (0.82%)
06 Trojan.DownLoader4.21360 0879 (0.81%)
07 Trojan.DownLoader4.51015 0334 (0.65%)
08 Trojan.DownLoader4.56005 0054 (0.57%)
09 Trojan.Siggen2.14564 0821 (0.51%)
00 Trojan.Packed.666 0794 (0.50%)

Всего проверено: 148,210,174
Инфицировано: 357,620 (0.24%)

Вредоносные файлы, обнаруженные на сентябре нате компьютерах пользователей

01.09.2011 00:00 - 00.09.2011 08:00
0 JS.Click.218 07333862 (42.80%)
0 Trojan.Mayachok.1 09366751 (18.67%)
0 Win32.Rmnet.12 04834750 (15.79%)
0 JS.IFrame.112 0469508 (6.02%)
0 Win32.HLLP.Neshta 0442600 (6.00%)
0 Trojan.IFrameClick.3 0802268 (1.78%)
0 JS.IFrame.117 087843 (0.56%)
0 Win32.Gael.3666 002301 (0.51%)
0 Win32.HLLP.Whboy 081844 (0.50%)
00 Win32.HLLP.Rox 076905 (0.49%)
01 Trojan.MulDrop1.48542 091067 (0.44%)
02 Win32.HLLP.Liagand.1 089635 (0.44%)
03 Trojan.DownLoader.42350 031170 (0.40%)
04 JS.IFrame.95 031060 (0.40%)
05 JS.Click.232 014805 (0.33%)
06 Win32.Siggen.8 018178 (0.27%)
07 Trojan.Click.64310 097567 (0.25%)
08 HTTP.Content.Malformed 095247 (0.19%)
09 Win32.HLLP.Whboy.45 039515 (0.15%)
00 Trojan.DownLoad2.32643 029527 (0.15%)

Всего проверено: 7,391,189,733,623
Инфицировано: 157,317,745 (0.00%)

Вернуться



visaliay0708.dynv6.net www1297.xn--24--hddkgt4c.xn--p1acf yoanmahdi1709k.hello-ip.eu 6wq.privat-21plus.ml t2x.21plus-privat.ml vjp.tgkgqahf.idhost.kz 3uo.wztzawfk.idhost.kz kck.21xl.ml dfo.21xxl.cf q2s.dpwiegpk.idhost.kz mww.ihvkfejr.idhost.kz ov6.jtxvtdzu.idhost.kz to6.21plus-privat.cf t65.21xxl.ml ihg.21xl.ga 6gb.cskgiazk.idhost.kz hzm.privat-21plus.tk txu.spffrjkx.idhost.kz gd1.hvkjwddq.idhost.kz bjh.21xxl.ga wg2.qazuttxg.idhost.kz 1t4.dssvygwq.idhost.kz dmh.sgthfxay.idhost.kz txs.qytjtfzu.idhost.kz tf4.21-privat-x.ga mzu.21xl.cf wus.21xl.tk 6c2.ixcskuei.idhost.kz pfu.jzxyxjhj.idhost.kz 2o1.tvjijvtd.idhost.kz riu.21xxl.gq xlu.dghheejp.idhost.kz lxa.privat-21plus.cf 5hb.ykphisct.idhost.kz ion.qrfiutsd.idhost.kz kmz.eckqgqcf.idhost.kz yom.jxhfswwe.idhost.kz 1r7.privat-21plus.ga 2vg.21xxl.tk jp4.gwyaqsjy.idhost.kz xie.qxsegttx.idhost.kz 4ac.21xl.gq lmn.privat-21plus.gq l16.djwseyfq.idhost.kz главная rss sitemap html link