Чтобы добавлять сообщения и комментарии, .

@Sportmaster:
Sportmaster

В результате взлома сайта Linux Mint злоумышленники встроили в ISO-образы бэкдор blog.linuxmint.com

@Michae1:
Michae1

Банковская малварь теперь перехватывает коды двухфакторной аутентификации не только в виде текста в SMS, но и в виде голосовых вызовов.

@Michae1:
Michae1

Прогноз эволюции малвари на ближайший год: ghostware & two-faced malware.
Ghostware — наследник blastware, которые крэшили систему всеми доступными им способами после проведения атаки, чтобы замести следы. Ghostware ведет себя более гуманно: систему не трогает от слова вообще, а если трогает, то минимально, быстренько убирая за собой.
Two-faced malware сосредоточится на обходе разного рода песочниц, которые тестируют код перед тем, как пропустить его в доверенную среду. Вредонос будет эмулировать пристойное поведение в песочнице и распускать руки, только попав на целевые системы.

@Balancer:
Balancer

Вот и я умудрился, наконец, под виндой Mailware поймать. Что характерно — рекламирует антивирус AVG :D Поставилось вместе с Puran Defrag. Зачистил легко, но под Firefox (снова, блин!) пропали все закладки в сессии. Никто не подскажет расширение под Фокс, которое ведёт всю историю сессий и позволяет восстановить потом любую сессию за N последних дней (а ля Session Buddy под Chrome). Это карма какая-то, за последние лет 10 я сессии теряю исключительно в Фоксе...

@Sportmaster:
Sportmaster

"Недоступность C&C — всегда печалька!"

@Ta2i4:
Ta2i4

Sality научился модифицировать адрес DNS-сервера в роутерах. Список уязвимых роутеров и используемых паролей указан в следующей статье: habrahabr.ru

@Umnik:
Umnik

Ну что, новый (а не первый, как уверяет Доктор в своем пресс-релизе, не ссылаясь на настоящий ресеч) буткит для Андроид устройств: blogs.360.cn Как оно работает:
1. На старте Андроид читает init.rc и запускает imei_chk как системный зервис. Открывает нужные локальные сокеты;
2. imei_chk высерает libgooglekernel.so в /system/lib;
3. Также imei_chk извлекает GoogleKernel.apk (это малварь так маскируется под крутым именем) в /system/app; Кстати встроенный антивирус Андроида детектирует эту апкашку, так что если у вас нет сторонних антивирусов или даже если есть — включите встроенных. Время установки приложений просядет на несколько секунд, но профит есть;
4. К окончанию загрузки системы GoogleKernel.apk уже проинстан как системное приложение. Теперь он будет периодически выполнять нативный код из libgooglekernel.so со всякими грязными делами;
5. libgooglekernel.so будет генерить конфиги или вредоносные команды и передавать в джава код в GoogleKernel.apk;
6. GoogleKernel.apk отправляет команды на imei_chk через сокет. В конечном итоге команды будут выполнены средствами imei_chk
Схема:
blogs.360.cn

Теперь о том, как же малварь попадает на устройство. Без рута этого невозможно сделать. Так вот устройства уже продаются/раздаются/теряются/дарятся/подкидываются зараженными. Например Galaxy Note II, зараженный этой малварю, имел полностью стоковую прошивку с подписью Самсунга. Но там был не оригинальный рекавери. Или еще пример — зараженные аппараты продавались на крупнешем рынке электроники в Пекине.

Так что покупая б/у аппараты знайте — хард резет не поможет.

@Sportmaster:
Sportmaster

Иногда на раздающих китайских серверах лежат битые бинари. Причем реально нет почти половины файла. И тут "made in China".

@Umnik:
Umnik

1. Число образцов вредоносов мобильных малварей в коллекции ЛК составляет 148 778 (на момент написания отчета). Их них 104 427 обнаружено только за 2013-ый год.
2. Под Windows в 2013-ом году самым уязвимым ПО оказалось Оракловская Джава. На нее пришлось 90,52% всех эксплоитов. Для сравнения. IE — 1,32%, Flash Player — 0,53%, Акробат Ридер — 2,01%, компненты Windows (то есть исключены IE, Office) — 2,63%.
securelist.com

@Umnik:
Umnik

Задержаны 13 членов преступного сообщества, «заработавших» с помощью Интернет-вируса около 70 млн рублей mvd.ru
Самое классное — то, что им грозит. "Следственным департаментом МВД России возбуждено уголовное дело по ч.ч. 1,2 ст. 210 Уголовного кодекса Российской Федерации (создание и участие в преступном сообществе (преступной организации) в целях совместного совершения одного или нескольких тяжких или особо тяжких преступлений)." Часть первая — от 12 до 20 плюс штарф до миллиона. Часть вторая — от 5 до 10 плюс штраф до полуляма.
При этом "В настоящее время адвокатская практика по ст. 210 (Организация преступного сообщества (преступной организации)) не представлена.". То есть это будет первый случай в истории России.

@Fangel:
Fangel

opennet.ru
Насколько я понял суть вируса — он с виндовой машины пробует стандартные пароли к роутеру, и если все ок, то пытается почти штатными средствами там поселиться. Иного пути распространения я не вижу, ибо роутеров с торчащими наружу незапаролеными интерфейсами администрирования уже (надеюсь) почти не осталось.

@Sportmaster:
Sportmaster

Знакомый переслал уже ставшее баяном письмо от "Арбитражного суда". При переходе по ссылке "Проверить информацию" с домена vk.com загружается .rtf, внутри которого .exe. В случае запуска .exe стартует процесс энкодера, который шифрует (RSA) файлы на диске и затем появляется сообщение с требованиями выкупа за расшифровку.
Вопрос: что заставляет людей открывать непонятные файлы (пусть и .rtf)?

@Umnik:
Umnik

Очередной вредонос, рассылающий себя через Скайп. Предлагается качнуть pdf (на самом деле pdf.exe). Работает как и обычно — становится приложением Skype. Если получили такой, попросите отправителя в первую очередь удалить вредоноса из самого Скайпа, а затем отправьте "на лечение".

@Umnik:
Umnik

На сайтах нескольких банков были обнаружены эксплоиты securelist.com
На днях один из наших пользователей сообщил о подозрительной активности на сайте одного из российских банков. Сайт оказался заражен, а после небольшого расследования с использованием KSN выяснилось, что заражены были также сайты двух других банков, тоже российских. Во всех случаях на главной странице сайта был размещен сильно обфусцированный и зашифрованный скрипт, который скрытно направлял браузер на вредоносный сайт с эксплоитами. Если зайти на сайт любого из трех банков и посмотреть, откуда именно загружаются эксплоиты и вредоносные исполняемые программы, то можно увидеть поразительное сходство с тем, как происходило заражение на сайте PHP.NET.

В итоге эксплоиты через уязвимость CVE-2013-2463 в плагине Java загружают на компьютер и запускают бэкдор Neurevt, который:
— способен перехватывать HTTP/HTTPS трафик, в том числе банковскую информацию;
— запрещает загрузку в системе множества антивирусных продуктов;
— крадет пароли от многих FTP, SSH, почтовых клиентов, мессенджера Skype, а также сохраненные в браузере пароли;
— распространяется через съемные носители;
— может сделать компьютер частью ботнета и осуществлять DDoS-атаки.

@Ta2i4:
Ta2i4

Читаю на одном сайте о неком 360 Internet Security и думаю про себя:
бесплатный антивирус с 3 антивирусными движками: Bitdefender, QVM II и облачный 360 Cloudсразу возникают мысли, что очередной китаец-конструктор
по заверению разработчиков, доверяют 450,000,000 пользователей по всему мируну точно, либо ботнет, либо китаец
Страничка на фейсбуке и процесс zhudongfangyu.exe поднимают настроениеокей...

@Umnik:
Umnik

Компьютеры МАГАТЭ были заражены вредоносным ПО: threatpost.ru
Регуляторный орган ООН — Международное агентство по атомной энергии (МАГАТЭ) объявило об обнаружении вредоносного программного обеспечения на нескольких своих компьютерах. При этом сеть агентства скомпрометирована не была. Согласно сообщению Reuters, зараженные компьютеры были расположены в австрийской штаб-квартире агентства, известной как Венский международный центр.
Неясно, кто мог выполнить такую атаку, но МАГАТЭ активно участвует в скандальном расследовании развития ядерного потенциала Ирана. Это лишь последняя в длинном ряде атак, нацеленных на агентства и организации, связанные с атомной и прочей энергетикой, почти все из них коснулись США, их союзников или Иран.

@Umnik:
Umnik

Доктор Веб сделал УРоЛога (от URL). Пруф: vms.drweb.com

@Umnik:
Umnik

Недавние изменения в ст.273 УК расширили определение вредоносной программы и поставили вне закона несколько новых объектов. Среди них оказались не только эксплоиты и кейгены, но и бэкдоры. infowatch.livejournal.com
В прежнем определении вредоносной программы использовалось выражение «заведомо приводящая к...», а сейчас там написано «заведомо предназначенная для...». Очевидно, что прежним определением охватывались лишь программы, действующие автоматически, как классический файловый вирус. То есть программы, не имеющие интерфейса, который бы позволял обладателю информации дать или не дать санкцию на операции над его информацией. Наличие же такого интерфейса сразу отменяла вредоносность, поскольку интерфейс – это санкция, после которой уничтожение, копирование или блокирование не являются «несанкционированными».

В нынешнем определении упоминание санкции тоже есть. (Напомним для юридических ламеров, что санкцию на действия над информацией, согласно Трёхглавому закону, вправе давать её обладатель или оператор ИС.) Но «предназначенная» – более широкий термин, чем «приводящая». Уничтожение, копирование и иные действия теперь могут осуществляться не только автоматически, но и по команде злоумышленника. Даже если такой команды нет, несанкционированных действий нет, то программа всё равно вредоносная, поскольку предназначение – есть.

Последнее время частенько находят бэкдоры в разных прошивках, причём не ошибки, не уязвимости, не забытые механизмы отладки, а откровенные чёрные ходы, предназначенные для несанкционированного доступа и не для чего иного. Интересы граждан РФ затронуты, так что имеются все основания преследовать таких разработчиков в уголовном порядке.

@Umnik:
Umnik

Не только я получил эту SMS сегодня :)

@Sportmaster:
Sportmaster

Заметил, что мне уже примерно как года полтора становится не по себе когда вижу/слышу слово "зловред". Вот тут goo.gl например, из-за передоза "зловредов" и "экспертов" не хочется читать новость до конца.
Нет, я ничего не имею против ЛК, но терминология очень своеобразна. Хотя, может это своеобразная визитная карточка? :)

@Sportmaster:
Sportmaster

А вот такую пикчу злоумышленники положили в папку "Автозагрузка".

@Sportmaster:
Sportmaster

У соседей отработала одна из модификаций Trojan.Encoder. Хорошо, что копии ценных документов были еще и на других носителях. Вот такой выходной

@Umnik:
Umnik

Тестовый троян прошел премодерацию в АпСторе: appleinsider.ru
Разработчики специально создали приложение, внешне напоминающее самый безобидный агрегатор новостей. Свое детище они назвали «Джекил» (Jekyll), намекая на главного героя всемирно известной повести Роберта Стивенсона. Специалистов Apple ничуть не смутило столь оригинальное название, и спустя несколько дней программа появилась в App Store.

Только вот у Jekyll были некоторые скрытые функции, которые ускользнули от внимания Apple. Как пишет AppleInsider.com, после установки приложения любой злоумышленник мог не только получить доступ к конфиденциальным данным пользователя, но и читать его электронную почту и даже отправлять письма. Удаленный доступ включался тогда, когда программа отправляла сообщение на определенный номер.

@Sportmaster:
Sportmaster

В Dr.Web выпустили тулзу для расшифровки данных после Trojan.Encoder.252: news.drweb.com
На обычных домашних ПК процесс подбора ключа длится примерно месяц. Бэкапы все-таки рулят.

@Umnik:
Umnik

Если кому интересно, так выглядит детект вредоносов встроенным в Андроид антивирусом.
Кому интересно: securelist.com

@Umnik:
Umnik

Педофил словил винлокера. Конкретно в его случае винлокер сообщал, что ФБР знает, что он педофил и ему нужно заплатить штраф, чтобы не был уголовного преследования. Педофил "понял", что спалился и сам пришел в полицию. anti-malware.ru

@Umnik:
Umnik

Малварь, подписанная украденной подписью Opera: virustotal.com

@Sportmaster:
Sportmaster

Интересно, станет ли выражение "использовать Вашу ОС небезопасно" стимулом для пользователей к обновлению/смене ОС после завершения поддержки Windows XP?

@Sportmaster:
Sportmaster

Встретил тут забавное словосочетание: "malicious malware"

@Umnik:
Umnik

ПОСОНЫ ОФИГЕННЫЙ ЗАРАБОТОК ВСЕМ ВСЕ ПЛАТЯТ ДЕНЬГИ САМИ КАПАЮТ НА СЧЕТ!111 moneyweb222.jimdo.com
virustotal.com никто не детектирует. :( Отрепортил нашим.

@Umnik:
Umnik

Пришло письмо с док.файлом. Я его открыл, документ не открылся, попросил попробовать снова, после этого мин 15 загружался.
После этого появился черный экран с сообщением: "Мама не дает мне денег на мороженное и указана адрес школяр@mail.ru с просьбой написать для решения проблемы"
Практически все док файлы перекодировались и не открываются, в приложении пример такого файла.
forum.kasperskyclub.ru

@Umnik:
Umnik

Прошел слух о работающем бэкдоре под WP 7.8. Не PoC, а уже реальном зверье ITW. У смарта включается экран и злоумышленник копается в аппарате. Смарт перестает реагировать на тапы по экрану, но продолжает регаировать на Back/Home/Search. Пока нет никаких подробностей и все именно на уровне слухов.

@Umnik:
Umnik

Кстати KMS (тот, что на сайте) умеет блокировать такие SMS s2.hostingkartinok.com И вовсе не антиспамом, а антифишингом. Как назло только что удалил, чтобы поставить другую бету. Зверь не представляет интереса: virustotal.com

@Umnik:
Umnik

Накатал пост об этом вредоносе: droidnews.ru Суть:
1. Можно снести руками, если уметь
2. Можно снести нормальными анисталлерами
И все это ТОЛЬКО при наличии root прав. В противном случае вайп.

@Umnik:
Umnik

Итак, описанный в прошлом треде троян... Короче, если авторы сообщат где-то о всех дырках, соснут все. Ни одно приложения для удаления других приложений, в том числе предустановленных, имея права root, не смогло удалить этот троян, не имеющего права root.
Он работает в том числе на 4.2.
Титаниум с ним смог справиться только после ребута
Он запрашивает права root. И ведь кто-то мог бы нажать "Предоставить"
Его нельзя снести через adb
Его нельзя снести штатно, если разрешить DA
Его нельзя увидеть в списках DA
Это самый адовый троян на Андроид.

@Umnik:
Umnik

Самый сложный Android-троянец securelist.com
Кратко фишки вредоноса Backdoor.AndroidOS.Obad.a:
— все строки DEX файла были зашифрованы, а код обфусцирован
— создатели нашли ошибку в dex2jar, которая обычно используется аналитиками для конвертирования APK-файла в JAR. Обнаруженная уязвимость нарушает процесс конвертации Dalvik байт-кода в Java байт-код, что в итоге затрудняет статический анализ троянца
— создатели нашли ошибку в Android, связанная с обработкой AndroidManifest.xml. Они модифицировали AndroidManifest.xml таким образом, что тот не соответствовал заданному Google стандарту, но при этом, благодаря найденной уязвимости, правильно обрабатывался на смартфоне. В результате динамический анализ троянца крайне затруднен
— создатели нашли еще одну неизвестную ранее ошибку в Android, которая позволяет вредоносному приложению пользоваться расширенными правами DeviceAdministrator, но при этом отсутствовать в списке приложений, обладающих такими правами. В итоге удалить штатно приложение уже нельзя: securelist.com А чтобы кнопки были доступны, нужно снять галку с приложения в списке DA, но его там нет
— вредонос не имеет интерфейса и работает в фоновом режиме

Матчасть по ссылке.

Кто-то сказал "решето"? Я точно слышал слово "решето".

@Umnik:
Umnik

Ээээ, Соловьев (тот, что Владимир) в своей передаче, цитирую:
Cоловьев: Я тут ночью получаю е-мэйл от Шафран: "Владимир Рудольфович, что это с вами?" Думаю, что за фигня? Выясняется, что мой компьютер начал рассылку, мой Apple, какой-то фигни про диету. Я в шоке.

Шафран: Клубничные капли.

Соловьев: Я думаю, сейчас всех заразил. Лезу на Appstore, покупаю последнего "Касперского". Ставлю себе, и он вычищает дикое количество вирусов. Я думаю, черт, так приятно! Нет, не то, что мой Apple, гад, схватил где-то вирус, а то, что...

Шафран: Наш "Касперский".

Соловьев: Притом все враги говорят — лучший в мире. Чувство гордости. — сообщают "Вести ФМ"
-----------------------------------
Эплобои уже стали спамботами? radiovesti.ru

@Umnik:
Umnik

Развитие информационных угроз в первом квартале 2013 года securelist.com
Цифры квартала
По данным KSN, в первом квартале 2013 года продукты «Лаборатории Касперского» обнаружили и обезвредили 1 345 570 352 вредоносных объектов.
Обнаружено 22750 новых модификаций вредоносных программ для мобильных устройств — это более половины от общего числа модификаций, обнаруженных за весь 2012 год.
40% отраженных в первом квартале эксплойтов используют уязвимости в продуктах компании Adobe.
Почти 60% всех вредоносных хостов расположено в трех странах: в США, России и в Нидерландах.

Япония — самая безопасная страна страна с точки зрения заражения локального (с флешек или "кодеков") и одна из самых безопасных по заражениям через Интернет (эксплуатация уязвимостей браузеров, флеша и т.п.). Интересно почему? Люди привыкли выполнять стандартные правила безопасности? Сложность "входа"? Слишком мало вирусмейкеров в стране (почему?)? Слишком заняты и не уделяют много времени развлечениям в Инете?

@Umnik:
Umnik

Очередной шифровальщик :( virusinfo.info

Начала свое распространение очередная версия шифровальщика, использующего алгоритм шифрования Blowfish. Некоторые блоки, похоже, шифруются простым XOR.

Примеры тем
virusinfo.info
virusinfo.info
virusinfo.info
virusinfo.info

Отличительные признаки:
– к файлам добавилось новое расширение .STOP;
– за дешифратором просят обращаться по следующим адресам — razshifrovka@gmail.com и razshifrovka@tormail.org.

Как происходит шифрование:
Злоумышленник получает удаленный доступ, скорее всего через RDP (стандартный механизм для последних шифровальщиков). Скачивает и запускает на компьютере-жертве файл шифровальщика. Пароль вводится вручную и на компьютере не сохраняется.

На данный момент (и скорее всего так и останется) возможна частичная расшифровка отдельных блоков, однако файл все-равно останется непригодным для использования.

@Sportmaster:
Sportmaster

news.drweb.com эпично:
---
Несмотря на заявления киберпреступников, обе модификации троянца используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации троянца пользовательские данные порой не могут расшифровать даже сами злоумышленники.
---
Школота отакуэ.