Компания «Доктор Веб» сообщила о том, что в начале июня 2009 г. был обнаружен новый троянец Trojan.Hosts.75. Данная вредоносная программа принадлежит к семейству Trojan.Hosts и вымогает деньги у зараженных пользователей популярной социальной сети «ВКонтакте». На сегодняшний день насчитывается около сотни различных модификаций этой угрозы.
Trojan.Hosts.75 перенаправляет пользователя на фишинговую страницу, оформленную в фирменном стиле этой социальной сети. Здесь, будто бы от лица администрации сайта, пользователю предлагается зарегистрироваться в системе при помощи SMS-активации. Объясняется это «нововведение» увеличением количества спам-рассылок.
После запуска Trojan.Hosts.75 вирус распаковывает на диск bat-файл, который, в свою очередь, модифицирует файл hosts.
Корпорация Microsoft накануне вечером сообщила о серьезной уязвимости в компоненте Microsoft Video ActiveX Control (msvidctl.dll), позволяющей злоумышленнику получить доступ к компьютеру жертвы с правами текущего пользователя. Атака выполняется через браузер Internet Explorer, использующий этот компонент. Когда пользователь открывает зараженный веб-сайт, на вход одному из объектов ActiveX передается файл параметров, приводящий к переполнению стека и выполнению произвольного кода.
По сообщению Symantec, уязвимыми оказались наиболее популярные версии Internet Explorer – 6 и 7, работающие в среде Windows XP и Windows Server 2003. Пока идет работа над соответствующим патчем, пользователи могут отключить ActiveX Control, загрузив и запустив специальный файл с веб-сайта Microsoft. Ссылка на файл находится здесь (изображение под надписью Enable workaround). Позже пользователи вновь смогут включить ActiveX, воспользовавшись этой же веб-страницей (Disable workaround).
По данным Microsoft и компании Symantec, которая обнаружила уязвимость, она не затрагивает Windows Vista, Windows Server 2008 и Internet Explorer 8. В последнем передача параметров на объект ActiveX заблокирована. Тем не менее, компания все же рекомендует пользователей этих версий программного обеспечения также отключить ActiveX Control, пока не будет выпущена заплатка.
Очередная уязвимость в Windows XP позволяет выполнить произвольный код Очередная уязвимость в Windows XP позволяет выполнить произвольный код
В Symantec заявляют, что к настоящему моменту в интернете насчитывается уже несколько тысяч зараженных веб-сайтов. Из них большая часть находится в Китае и некоторых других странах Азии.
ActiveX-объект Microsoft Video Control подключает фильтры Microsoft DirectShow для захвата, записи и воспроизведения видео. Этот компонент используется в Windows Media Center для записи и воспроизведения телевизионных программ.
Напомним, что это вторая серьезная уязвимость, связанная с Microsoft DirectShow за последние месяцы. Предыдущая была обнаружена в мае и также открывала доступ к компьютеру с правами пользователя. Для этого будущей жертве достаточно было открыть видеофайл в формате QuickTime. Уязвимость касается Windows 2000 Service Pack 4, Windows XP и Windows Server 2003 и опять же обходит стороной Windows Vista. Патч к ней пока не выпущен.
Компания Eset сообщила о начале активного распространения троянской программы Win32/TrojanDownloader.Bredolab.AA. Программа заражает компьютеры через интернет и использует различные уязвимости файлов в форматах PDF и SWF, говорится в сообщении Eset.
По данным компании, проникнув в оперативную память, вредоносный код моментально начинает свое распространение. Троян попадает в список автозагрузки, а также получает доступ к системным ресурсам, отключая все процессы, отвечающие за безопасность. Таким образом, программа будет находиться в памяти при каждом включении компьютера. Bredolab проникает во все файлы пользователя, имеющие формат PDF и SWF, которые обычно используются для хранения и передачи различных документов.
Троян моментально устанавливает соединение со своим удаленным сервером посредством HTTP-пртокола с целью получения дополнительных инструкций. Заразив компьютер, Bredolab начинает загружать вредоносные программы с различных серверов и интернет-сайтов. Обычно это рекламное и шпионское ПО, даунлоудеры и программы, нацеленные на кражу паролей и другой ценной информации. Кроме того, по информации Eset, были зафиксированы случаи, когда троянская программа Bredolab была сама загружена на ПК пользователя с помощью другого даунлоудера, относящегося к семейству фальшивых антивирусов Win32/TrojanDownloader.FakeAlert.
Согласно мировому рейтингу интернет-угроз в июне 2009, составленному специалистами вирусной лаборатории Eset с помощью технологии раннего обнаружения ThreatSense.Net, троянская программа Bredolab стала наиболее часто встречающимся вредоносным ПО в Чешской Республике и в Словакии. Также она вошла в пятерку интернет-угроз Австрии, Польши и Турции и получила широкое распространение в таких странах, как Болгария, Великобритания, Швеция, Бельгия, Россия и Германия. Проанализировав активность программы в первой половине июля, аналитики Eset отмечают увеличение заражений в Польше, Швеции и Турции. Кроме того, был зафиксирован резкий скачек роста числа инфицированных компьютеров в Ирландии: в июне программа находилась на 40-ом месте вирусного рейтинга, а за первую половину июля уже вошла в топ-15 интернет-угроз страны.
Panda Security выпустила вторую бета-версию Panda Cloud Antivirus - первого бесплатного антивируса, полностью реализованного на базе облачных технологий. Главное достоинство нового продукта – минимальная нагрузка на пользовательский ПК, считают эксперты. Но при этом обеспечивается лишь защита начального уровня, предупреждают они. Компания Panda Security объявила сегодня (21 июля) о публичном выпуске второй бета-версии своего бесплатного «облачного» антивируса Panda Cloud Antivirus. Она доступна для скачивания по адресу cloudantivirus.com (на английском, испанском и немецком языках).
Panda Cloud Antivirus основан на клиент-серверной архитектуре. Анализ и идентификация вредоносного ПО происходят в облаке. Антивирус включает локальную и удаленную антивирусную защиту, а также антивредоносное, антируткитовое, эвристическое сканирование и составление списка программ, разрешенных для запуска. В среднем антивирус занимает 17 MБ ОЗУ: это, по словам разработчиков, вдвое меньше по сравнению с традиционными антивирусами.
Российские эксперты в области инфобезопасности называют сниженные требования к ресурсам ПК явным достоинством нового продукта. «Большинство операций происходят «в облаке», при этом нагрузка на сеть не столь велика даже при сканировании по требованию, - рассказал CNews Илья Шабанов, руководитель проекта Anti-Malware.ru. - В то же время, согласно нашим тестовым испытаниям, эффективность защиты новинки не столь высока, но она вполне подойдет в качестве защиты начального уровня».
«Антивирус не требует сигнатурной базы данных; обнаружение происходит в «облаке». Привлекательный, простой пользовательский интерфейс. Обнаружил практически все экземпляры вредоносного ПО. Эффективен для борьбы с поддельными антивирусами. Установка продукта заняла чуть больше минуты», - так отзывается о Panda Cloud Antivirus американская версия PCMag. «Он легкий, быстрый в установке, но самое главное, чрезвычайно простой в использовании», - пишет Tech Herald. «Программа расставляет приоритеты угрозам в зависимости от их типа и старается уменьшить нагрузку на пользовательский ПК за счет переноса сигнатурных файлов обнаружения в облако», - отмечает CNet.
Эксперты: Panda Cloud Antivirus вполне подойдет в качестве защиты начального уровня
Тем не менее, специалисты подчеркивают, что прямой экономической выгоды бесплатный антивирус вендору не принесет. «Panda Cloud Antivirus может стать некой сырьевой базой для пополнения репутационной базы данных этого вендора, сделав его коммерческие продукты более эффективными, - считает Илья Шабанов. - В России новинка может привлечь к себе внимание целевой аудитории в силу своей бесплатности, но перевести это в реальные деньги будет очень непросто».
Отметим, что концепция облачных вычислений в том или ином виде используется сейчас практически в каждом антивирусе, представленном на рынке. Eset, в частности, применяет облачные технологии в своем сервисе ThreatSense.Net; «Лаборатория Касперского» - в решении для персональных пользователей Kaspersky Internet Security 2009 (технология Kaspersky Security Network), «Доктор Веб» - в бесплатной утилите Dr.Web LinkChecker (для проверки сомнительных ссылок). «Отличие Panda Cloud Antivirus – в том, что он впервые полностью реализован на базе облачных технологий и, к тому же, распространяется бесплатно», - полагает глава Anti-Malware.ru.
Другие разработчики, в то же время, готовы подвергнуть сомнению правомерность определения «первого бесплатного облачного антивируса». «Общепринятого определения, что такое «облачный» антивирус – нет, - комментирует Григорий Васильев, технический директор российского представительства Eset. - Каждый антивирусный производитель говорит об отдельных собственных технологиях, представляющих элементы in-the-cloud концепции. И в этом свете заявление Panda Security о том, что она создала первый бесплатный облачный антивирус, выглядит некорректным».
Тем не менее, перспективность использования «облаков» никто не подвергает сомнению. «Мы считаем, что в будущем модель вычислительного облака станет одной из самых востребованных, и компании, не использующие эти технологии, будут в значительной степени проигрывать конкурентам, - говорит Николай Гребенников, директор по исследованиям и разработке «Лаборатории Касперского». - Что касается нашей компании, мы однозначно будем развивать и совершенствовать Kaspersky Security Network в дальнейшем».
Компания «Доктор Веб» объявила о выпуске обновленной версии продуктов Dr.Web для Unix. Отныне возможности ядра версии 5.0 доступны организациям, внедрившим решения Dr.Web версий 4.44 для операционных систем типа Unix.
Обновленное ядро обеспечивает снижение нагрузки на сервер на 30%, в том числе и за счет оптимизации антивирусных баз; оптимизирует качество распознавания и нейтрализации вирусов и других вредоносных объектов, в том числе использующих rootkit-технологии; предоставляет защиту от неизвестных угроз за счет оптимизированной технологии несигнатурного поиска Origins Tracing и использования новой версии эвристического анализатора Dr.Web; обеспечивает возможность обнаружения и удаления вирусов, скрытых под неизвестными упаковщиками, за счет использования технологии Fly-code; оптимизирует обработку запакованных файлов за счет расширения списка поддерживаемых архивов и упаковщиков, говорится в сообщении «Доктор Веб».
Для обновления антивирусного ядра до версии 5.0 необходимо заменить файл update.drl в директории /var/drweb/bases/ и запустить скрипт обновления update.pl.
Компания Eset опубликовала рейтинг самых распространенных интернет-угроз, выявленных специалистами вирусной лаборатории Eset с помощью технологии раннего обнаружения ThreatSense.Net в сентябре 2009 г.
По данным Eset, в мировом рейтинге зафиксировано увеличение вредоносного ПО, распространяющегося с помощью съемных носителей. На сегодняшний день угрозы INF/Autorun находятся на второй позиции рейтинга (7,53%). Высокий процент заражений autorun-угрозами отмечен в Объединенных Арабских Эмиратах (7,36%), Израиле (4,99%), Латвии (4,97%) и Литве (5,45%).
Первое место по-прежнему сохраняет червь Conficker (8,76%). Сегодня это угроза номер один в России (17,95%), на Украине (27,03%), в Румынии (13,64%), Болгарии (13,63%), Сербии (8,82%), Италии (7,51%), Великобритании (5,5%) и Австрии (2,83%). Также в сентябре зафиксирован резкий скачок числа инфицированных червем Conficker компьютеров в ЮАР. Количество заражений увеличилось на 100% по сравнению с предыдущим месяцем и составило 18,51%. В российской вирусной двадцатке традиционно первое и второе место занимают версии червя Win32/Conficker.AA (7,68%) и Win32/Conficker.AE (4,68%) соответственно.
Другой мировой тенденцией, отмеченной в сентябре, стало сокращение вредоносного ПО для онлайн-игр, например, для Second Life. Несмотря на это, процент заражений все еще достаточно высок – 6,36%. Трояны-кейлогеры семейства Win32/PSW.OnLineGames занимают третье место в мировом вирусном рейтинге.
В сентябре широкое распространение получили программы семейства Win32/Agent, используемые злоумышленниками для кражи информации с инфицированных компьютеров. Процент заражений составил 3,46%. Данное ПО стало угрозой номер один в Дании (3,32%), большое количество инфицированных компьютеров также было отмечено в Швеции (2,75%) и в России (3,74%).
В целом, сентябрьская двадцатка самых распространенных угроз в России выглядит следующим образом:
