2011: больше трети уязвимостей остались открытыми для киберпреступников
Портал по информационной безопасности SecurityLab.ru опубликовал отчет, содержащий статистику компьютерных уязвимостей за 2011 г. В центре внимания исследователей оказались SCADA-системы, CMS, программы компании Adobe, почти все браузеры и семейство операционных систем Windows.
По данным SecurityLab.ru, всего за год было описано 4733 уязвимостей. К 1 января производители программного обеспечения смогли устранить только 58% уязвимостей и выпустить инструкции по устранению для еще 7%. Таким образом, больше трети уязвимостей остались открытыми для киберпреступников.
В отчете также отмечается рост числа уязвимостей нулевого дня в продуктах Adobe — так, в минувшем году их число достигло 7 (по этому параметру Adobe обогнала другого гиганта — компанию Microsoft, в продуктах которой было обнаружено 5 уязвимостей нулевого дня). В числе свежих примеров — обнаруженная в конце 2011 г. уязвимость с идентификатором CVE-2011-2462 в Adobe Reader, которая использовалась для взлома компании ManTech, подрядчика министерства обороны США.
Наиболее защищенным браузером (в отношении количества уязвимостей, найденных в 2011 г.) стал Opera. Во всех распространенных приложениях этого типа, кроме Opera, было обнаружено очень большое количество уязвимостей высокой степени опасности, которые могут использоваться для компрометации системы. Кроме того, в минувшем году у ведущих браузеров было найдено 4 уязвимости критической степени опасности, которые использовались злоумышленниками для проведения успешных атак на различные компании, сообщили в SecurityLab.ru. Три из них пришлись на Internet Explorer и одну обнаружили в Chrome 11.x.
Популярность Windows логичным образом сказывается на количестве уязвимостей. По сравнению с другими операционными системами у продукта от Microsoft их было найдено больше всего. Windows держит лидерство как в общем зачете (92 уязвимости), так и в индивидуальном: у этой ОС в отчетный период была опубликована информация о 2 критических уязвимостях. С другой стороны, максимальное число уязвимостей высокой степени опасности (33) обнаружили в Mac OS, у Windows их нашли 22, а в разных версиях Linux — всего одну.
В серверном ПО широкое распространение получили уязвимости в SCADA-системах: в 17 уведомлениях безопасности было описано 37 уязвимостей. Интерес исследователей к программной части АСУ ТП неслучаен: именно в последние два года получили распространение вирусы, нацеленные на приложения для промышленной автоматизации, отмечается в отчете SecurityLab.ru.
Так, осенью 2011 г. стало известно о троянском вирусе под названием Duqu, который проникает в компьютер под управлением Windows, используя критическую уязвимость с идентификатором CVE-2011-3402. Затем вирус способен внедриться в смежную SCADA-систему предприятия с целью похищения информации об ИТ-инфраструктуре и установления контроля над промышленными объектами. Некоторые эксперты отмечали, что фрагменты основного модуля Duqu имеют большое сходство с червем Stuxnet, который в 2010 г. вывел из строя несколько иранских заводов по обогащению урана.
Наилучшие условия для несанкционированных проникновений в сегменте веб-приложений предоставляют системы управления содержимым (CMS), в которых за год было обнаружено всего 204 уязвимости. Веб-форумы удерживают второе место по количеству уязвимостей (7%).
Прошлогодний хит-парад наиболее уязвимых медиапроигрывателей (из числа популярных) возглавил Apple iTunes (133 уязвимости). В середине списка находится распространенный VLC MediaPlayer (15 уязвимостей), а у Windows MediaPlayer было обнаружено всего две уязвимости, что примерно в 70 раз меньше, чем у Apple iTunes.
После анализа всех уязвимостей 2011 г. специалисты SecurityLab.ru заключили, что злоумышленник мог работать удаленно при эксплуатации 77% уязвимостей. При этом для 15% требовалась локальная сеть, а для 8% — личное присутствие или инсайдерская информация. Примерно четверть уязвимостей (24%) позволяли хакеру скомпрометировать систему, выполнив произвольный код на компьютере жертвы. Еще 21% обнаруженных «дыр» подходил для XSS-нападения, 15% могли быть использованы для отказа в обслуживании, 13% — для раскрытия важных данных, 12% — для неавторизованного изменения данных.
Trojan.Neloweg встраивается в браузеры и крадет банковские реквизиты
Корпорация Symantec сообщила об обнаружении банковского трояна Trojan.Neloweg, нацеленного на кражу данных пользователей, в том числе банковских реквизитов.
Изучив данную угрозу, специалисты Symantec пришли к выводу о том, что Trojan.Neloweg работает таким же образом, как и другой банковский троян — Zeus. Обе вредоносные программы определяют, на каком сайте находится пользователь и добавляют туда специальный JavaScript. Но в отличие от Zeus, который использует свой файл конфигурации, Trojan.Neloweg хранит данные на вредоносном сервере. При переходе на известную страницу банка, Trojan.Neloweg маскирует часть страницы белым цветом, используя скрытый тег DIV, и запускает свой код JavaScript, расположенный на специальном сервере.
Как удалось выяснить специалистам Symantec, чаще всего троян атакует браузеры, использующие движки Trident (Internet Explorer), Gecko (Firefox), и WebKit (Chrome/Safari). По данным компании, троян стремится украсть не только банковские реквизиты, но также другие логины и пароли. Чтобы добиться этого вирусописатели наделили Trojan.Neloweg способностью придавать браузерам функции ботов.
[highslide]http://filearchive.cnews.ru/img/cnews/2012/04/05/trojan.neloweg.jpg[/highslide] Firefox с функциями бота
Как видно на скриншоте, браузер (в данном случае Firefox) теперь может работать как бот и выполнять команды. Например, браузер может обработать контент страницы, на которой находится, перенаправить пользователя на другую страницу, украсть пароли, запустить приложение или даже уничтожить себя. Функция самоуничтожения, по мнению специалистов Symantec, несколько избыточна, так она удаляет критически важные системные файлы и не дает пользователю войти в систему.
Между тем, способ интеграции в Firefox также уникален. Ранее можно было наблюдать угрозы, которые создают вредоносные дополнения браузеров. Поэтому пользователи, отключившие плагины, могли чувствовать себя в безопасности. Но с Trojan.Neloweg такие меры бесполезны. Являясь компонентом, он не отображается на панели расширений Firefox в отличие от других дополнений и плагинов. Более того, используя архитектуру Firefox, Neloweg заново себя создает или устанавливает при каждом подключении Firefox к интернету, сообщили Symantec.
Dr.Web. Март 2012: политический спам и новые угрозы для Mac OS X и Android
Компания «Доктор Веб» опубликовала обзор вирусной активности за март 2012 г. В целом первый месяц весны 2012 г. оказался на редкость «жарким» и ознаменовался появлением целого ряда новых угроз как для операционной системы Microsoft Windows, так и для других платформ, говорится в сообщении компании.
Согласно данным статистики лечащей утилиты Dr.Web CureIt!, в марте абсолютным лидером по числу обнаружений стала вредоносная программа Trojan.Mayachok.1, блокирующая на инфицированном компьютере доступ к интернету. Широкое распространение имеют и банковские трояны, в частности, семейства Trojan.Carberp, которые предназначены в основном для похищения паролей от программ дистанционного банковского обслуживания и торговых платформ.
5 марта 2012 г. специалистами «Доктор Веб» была зафиксирована массовая почтовая рассылка, содержащая призывы принять участие в протестном митинге оппозиции на Пушкинской площади в Москве. Почтовые сообщения, имеющие тему «Митинг Честные выборы» или «Все на митинг», содержали короткий текст — например, «Внимательно изучи инструкцию, что необходимо будет делать на этом митинге», «Митинг против Путина. Внимательно прочитай инструкцию» или «Очень важно, чтобы ты изучил инструкции, на этом митинге все будут действовать по этому сценарию» — и вложенный файл, представляющий собой документ Microsoft Word с именем «Инструкция_митинг.doc».
Данный документ включает в себя несколько макросов, которые в момент открытия файла в текстовом редакторе сохраняют на диск и запускают на исполнение троянскую программу Trojan.KillFiles.9055, предназначенную для выведения из строя инфицированной системы Windows.
Запустившись на компьютере жертвы, троян Trojan.KillFiles.9055 копирует себя во временную папку и прописывает себя в ветвь системного реестра, отвечающую за автоматический запуск приложений. Одновременно зловред меняет содержимое всех обнаруженных на диске «С» файлов (с расширением .msc, .exe, .doc, .xls, .rar, .zip, .7z) на «цифровой мусор» и помечает их на удаление после перезагрузки системы, вследствие чего Windows приходит в нерабочее состояние (обычная перезагрузка компьютера уже ничем не поможет).Trojan.KillFiles.9055 изменяет свойства своего процесса таким образом, что он становится критичным для системы, и его завершение вызывает появление BSOD («синего окна смерти») или перезагрузку компьютера.
Затем троян отправляет на удаленный сервер злоумышленников сообщение о том, что операционная система успешно «убита». К счастью, своевременное информирование пользователей о данной угрозе, а также то обстоятельство, что на многих компьютерах в Microsoft Word по умолчанию отключена обработка макросов, позволили избежать массового заражения, сообщили в «Доктор Веб».
6 марта 2012 г. корпорация Google заявила о глобальном ребрендинге основного интернет-ресурса, распространявшего программы и игры для мобильной платформы Android — Android Market. Сайт был не только переименован в Google Play и получил новый адрес play.google.com, но и объединил в себе такие проекты, как сервис просмотра видео, Android Market, Google Music и Google eBookstore. Злоумышленники не преминули воспользоваться этим событием: в Сети стали один за другим появляться веб-сайты, копирующие своим оформлением официальный Google Play. Некоторые из них были замечены в [url=распространении]распространении[/url] вредоносного ПО для мобильной платформы Android. Существуют специально разработанные партнерские программы, позволяющие создавать сайты-подделки, с которых посетителям раздаются различные вредоносные приложения, в том числе трояны семейства Android.SmsSend.
Среди угроз для мобильной платформы Android, добавленных в вирусные базы в марте, в «Доктор Веб» выделили трояна Android.Moghava. Вредоносный функционал содержится в модуле, который устанавливается в качестве службы с именем stamper. Запускаясь через определенные промежутки времени, эта служба осуществляет поиск изображений в формате JPEG на карте памяти устройства, а именно — в папке /DCIM/Camera/, куда по умолчанию сохраняются снимки, сделанные фотокамерой телефона. Если троян обнаруживает там графические файлы, на каждую картинку он накладывает дополнительное изображение с портретом аятоллы Хомейни.
Кроме того, в последнее время чрезвычайно широкое распространение получила программа программа I-Girl, активно рекламируемая в социальных сетях, на форумах и в многочисленных спам-рассылках. Программа представляет собой чат-бота, демонстрируемого на экране мобильного устройства в образе симпатичной девушки. Программа позволяет вести с виртуальной собеседницей переписку в режиме реального времени, пользователь даже может ее раздеть. Однако для общения с ботом требуется платить за каждое сообщение специальной виртуальной валютой — «голосами», и в целях пополнения баланса программа незаметно для пользователя рассылает платные SMS на премиум-номера. Кроме того, I-Girl передает на сайт разработчиков программы ID мобильного устройства, на котором она установлена.
В середине марта злоумышленники открыли для себя новый способ распространения угроз для операционной системы Mac OS X — авторами идеи стали создатели трояна Trojan.Muxler (OSX/Revir). Угроза скрывается в ZIP-архивах, содержащих различные фотографии. Образцы этих архивов были загружены на сайт virustotal.com под именами Pictures and the Ariticle of Renzin Dorjee.zip и FHM Feb Cover Girl Irina Shayk H-Res Pics.zip. Существует предположение, что распространение данных угроз связано с китайско-тибетским конфликтом и направлено, в первую очередь, против различных активистских организаций, борющихся за независимость Тибета, отметили в «Доктор Веб».
При распаковке содержимого архива помимо фотографий на диск сохраняется приложение, значок которого в окне Finder практически не отличается от эскизов других графических изображений. Злоумышленники рассчитывают на невнимательность пользователя: не отличив уменьшенный эскиз фотографии от значка программы, он может случайно запустить это приложение на выполнение.
Распространяемый таким способом бэкдор Trojan.Muxler.3 позволяет выполнять различные команды скачивания и запуска файлов, а также создания скриншотов рабочего стола Mac OS X. Кроме того, Trojan.Muxler.3 загружает из интернета и сохраняет в папку /tmp/ вспомогательный файл CurlUpload, который детектируется антивирусным ПО Dr.Web как Trojan.Muxler.2 и служит для закачки различных файлов с инфицированной машины на удаленный сервер злоумышленников.
Помимо троянов семейства Trojan.Muxler, в последнее время также получила распространение вредоносная программа BackDoor.Lamadai.1, эксплуатирующая уязвимость Exploit.CVE2011-3544, а также трояны BackDoor.Lamadai.2 и BackDoor.Macontrol.1, использующие для своего проникновения на компьютеры жертв уязвимость в документах Microsoft Office for Mac (Exploit.MS09-027.1).
В то же время, в марте специалистами «Доктор Веб» было отмечено распространение новой троянской программы, предназначенной для «майнинга» (добычи) электронной валюты Bitcoin. Запускаясь в инфицированной системе, Trojan.IEMine.1 создает экземпляр COM-объекта браузера Microsoft Internet Explorer с невидимым окном и отдает браузеру команду на открытие принадлежащей злоумышленникам веб-страницы. Данная страница содержит сценарий, написанный на языке JavaScript, который и осуществляет майнинг электронной валюты Bitcoin. Опасность трояна для конечного пользователя заключается в том, что выполняемые на целевой веб-странице расчеты значительно загружают аппаратные ресурсы компьютера, что на ПК со слабой конфигурацией может привести к заметному снижению быстродействия системы.
Кроме того, конкуренция между владельцами игровых серверов, работающих на GoldSource, привела к росту случаев применения против соперников специальных программ-флудеров, которые, в свою очередь, могут быть опасны для самих пользователей. Еще в феврале в свободном доступе появилось несколько приложений, предназначенных для вывода из строя игровых серверов, работающих на движке GoldSource. Одно из них, добавленное в вирусные базы Dr.Web под именем Flooder.HLDS, представляет собой программу, обладающую графическим интерфейсом, которая эмулирует подключение к игровому серверу большого числа игроков, что может вызвать зависание и сбои в его работе.
Другая вредоносная программа, Flooder.HLDS.2, способна отправлять на сервер определенный пакет данных, вызывающих отказ серверного ПО. При этом может быть выбран один из нескольких вариантов взаимодействия с сервером. Оба приложения получили широкое распространение на форумах околоигровой тематики, и число атак на игровые серверы с помощью данных программ в течение месяца значительно возросло, сообщили в «Доктор Веб».
На сегодняшний день в распоряжении специалистов «Доктор Веб» имеются загруженные с игровых форумов экземпляры приложения Flooder.HLDS.2, которое при запуске инфицирует компьютер троянскими программами BackDoor.DarkNess.47 и Trojan.Wmchange.14. Первая из них реализует функции бэкдора и DDoS-бота, второй троян подменяет в памяти инфицированного ПК номера кошельков при операциях с электронной валютой WebMoney с целью кражи денег со счета пользователя. Таким образом, горе-злоумышленники сами становятся жертвами вирусописателей и подвергают свои компьютеры опасности заражения.
По версии «Доктор Веб», двадцатка вредоносных файлов, наиболее распространенных в почтовом трафике в марте 2011 г., выглядит следующим образом: JS.Siggen.192 16675353 (42,27%) Win32.Rmnet.12 14293914 (36,24%) Win32.HLLP.Whboy 3336057 (8,46%) Trojan.DownLoad2.24758 1260064 (3,19%) Trojan.Oficla.zip 775752 (1,97%) Win32.HLLP.Neshta 564643 (1,43%) Trojan.Inject.57506 276708 (0,70%) Trojan.DownLoad2.32643 194468 (0,49%) Trojan.Tenagour.9 180616 (0,46%) Trojan.Tenagour.3 152860 (0,39%) Trojan.Carberp.208 130417 (0,33%) Trojan.Siggen2.62026 116670 (0,30%) Trojan.Siggen2.58686 101121 (0,26%) Trojan.IFrameClick.3 99859 (0,25%) Trojan.PWS.Panda.368 86438 (0,22%) Trojan.WMALoader 79203 (0,20%) Trojan.Packed.19696 70133 (0,18%) Trojan.NtRootKit.6725 46797 (0,12%) Trojan.Fraudster.261 42210 (0,11%) Trojan.DownLoad2.34604 41211 (0,10%)
Приложения Facebook для iPhone и Android открыты для кражи личных данных
Британский эксперт обнаружил в официальных приложениях соцсети Facebook для Android и iOS опасную уязвимость, с помощью которой злоумышленники могут довольно легко получить доступ к личным данным пользователей. Также этой уязвимостью обладает клиент популярного сервиса Dropbox.
Гарет Райт (Gareth Wright), британский разработчик приложений для Android и iOS, вчера, 5 апреля, сообщил о том, что обнаружил новую опасную уязвимость в официальных мобильных приложениях социальной сети Facebook для этих двух операционных систем, которая потенциально позволяет злоумышленникам довольно легко воровать личные данные пользователей.
Как отмечает эксперт, основная проблема состоит в том, что приложения крупнейшей в мире соцсети для Android и iOS не шифруют учетные данные пользователей, которые вводятся ими для входа в свой профиль. Из-за этого они легко могут быть украдены через USB-соединение или, что более вероятно, посредством вредоносных приложений.
По словам Райта, все, что требуется злоумышленникам – это получить доступ к plist-файлу пользователя Facebook. «.plist» - это разрешение, используемое в специальных файлах, которые применяются для хранения настроек пользовательских аккаунтов. После похищения данного файла хакеры легко могут заменить данные в нем и получить доступ к Facebook-аккаунту своей жертвы. Помимо непосредственной кражи данных из профиля Facebook, злоумышленники также могут получить доступ к другим приложениям и сервисам, для доступа к которым пользователь применял свой аккаунт в Facebook.
Позже издание The Next Web сообщило о том, что аналогичной уязвимостью обладает популярное приложение для синхронизации файлов Dropbox. Возможно, что уязвимость распространяется также и на некоторые другие веб-сервисы, которые передают информацию при входе пользователя в систему в виде простого текста без ее шифрования или другой защиты.
Представителей Facebook уже поставили в известность о данной проблеме и они занимаются ее решением.
[highslide]http://filearchive.cnews.ru/img/cnews/2012/04/06/dropbox3.jpg[/highslide] Доступ к файлам с пользовательским профилем наряду с приложением Facebook предоставляет и клиент Dropbox
Причиной, по которой уязвимости подверглись только приложения Facebook для систем Android и iOS, стал тот факт, что только для этих двух платформ соцсеть разрабатывает собственные официальные программы. Остальные приложения Facebook (для BlackBerry, Windows Phone, webOS и т.д.) создаются компанией-разработчиком системы. Таким образом, подчеркивает аналитик, ответственность за эту проблему лежит только на разработчиках Facebook.
Новая разработка CBOSS поможет операторам в борьбе с мошенничеством и расскажет о вас всё-всё..))®
Компания CBOSS презентовала новое решение CBOSSeir, которое относится к классу элементов базовой сети (Core network) и представляет собой регистр идентификации абонентского оборудования (Equipment Identity Register). По мнению компании, CBOSSeir способен стать надежной преградой на пути использования украденных мобильных телефонов, а также ограничить доступ нелегальных устройств к сети.
Одним из самых эффективных способов существенного снижения количества случаев хищения телефонов является блокировка доступа в сеть украденного оборудования посредством внедрения контроля идентификаторов мобильных устройств - International Mobile Equipment Identity (IMEI), который выполняет Equipment Identity Register (EIR). Эффективность применения данной технологии, стандартизированной консорциумом 3GPP, доказана во многих странах мира, где после начала использования EIR количество краж мобильных телефонов снизилось в разы. Например, в Англии после внедрения IMEI-контроля уровень преступлений, связанных с хищением мобильных телефонов, снизился на 95%. В России Министерство связи и массовых коммуникаций уже работает над поправками к закону «О связи», что станет первым практическим шагом на пути повсеместного внедрения IMEI-контроля посредством Equipment Identity Register.
Ещё одной важной задачей, которую решает внедрение EIR, является предотвращение использования в сетях конкурирующих операторов мобильных устройств, которые изначально компания-оператор продает под своим брендом или в комплекте с договором на подключение и позиционирует как устройства для работы только в собственной сети.
Новая разработка CBOSSeir позволяет эффективно разрешать подобные проблемные ситуации посредством IMEI-контроля. CBOSSeir поддерживает белые, черные и серые списки оборудования, в которые внесены идентификаторы мобильных устройств. При попытке доступа телефона в сеть, элементы сети передают IMEI устройства в CBOSSeir на проверку. Если идентификатор находится в белом списке, CBOSSeir разрешит доступ в сеть безоговорочно. Оборудование из серого списка будет допущено в сеть, но будет непрерывно отслеживаться в течение всего времени нахождения в сети. Если IMEI устройства находится в черном списке, телефону будет полностью запрещён доступ в сеть, что сделает данное мобильное оборудование практически бесполезным.
При обращении абонента с заявлением о краже или потере телефона, IMEI устройства заносится в черный список. Благодаря такому подходу исчезает стимул кражи телефона, поскольку у преступника не будет возможности им воспользоваться.
CBOSSeir может быть интегрирован с внешней базой данных IMEI, такой как CEIR (Central Equipment Identity Register), что позволит оператору противостоять мошенничеству на глобальном уровне. При таком подходе украденный телефон будет отслежен и заблокирован в любой сети вне зависимости от того, у абонента какого оператора он был похищен.
Взаимодействуя посредством CBOSSeir с глобальной базой данных IMEI, оператор может препятствовать использованию в других сетях оборудования, которое продается для использования только внутри собственной сети. Реализуя такую стратегию продаж, оператор заинтересован в сохранении своих прав и может бороться с недобросовестным отношением, например, посредством блокировки телефона (SIM lock или Service Provider Lock). Но зачастую эффективность такого способа невысока - мобильный телефон можно разблокировать в специализированных нелегальных мастерских. Поэтому более надежным способом является привязка мобильного устройства к сети посредством использования CBOSSeir. IMEI устройства заносится в черный список глобальной базы данных IMEI, благодаря чему телефоном нельзя будет воспользоваться вне сети оператора-хозяина.
Для удобства пользования CBOSSeir может быть интегрирован с call-центром оператора для обеспечения оперативного реагирования на запросы о блокировке телефонного аппарата. Например, абонент может обратиться в call-центр с заявлением о краже телефона, и тогда, после идентификации абонента, сотрудник оператора выполнит блокировку устройства посредством CBOSSeir всего за несколько минут.
Дополнительным преимуществом CBOSSeir является возможность автоматического сбора статистики обо всех мобильных устройствах, регистрируемых в сети оператора, в единую базу данных. Оператор может получить статистику о моделях мобильных телефонов, которыми пользуются его абоненты, чтобы использовать ее в маркетинговых целях. Например, для сегментирования абонентской базы, проведения таргетированных рекламных акций или прогнозирования продаж различных видов мобильных устройств.
Blackberry, по мнению экспертов Trend Micro, является самой безопасной среди основных современных мобильных ОС. Android, в то же время, наименее защищена.
Согласно новому отчету компании Trend Micro, Blackberry 7 OS от канадского производителя смартфонов Research in Motion является самой защищенной мобильной операционной системой на рынке.
В рамках своего исследования специалисты Trend Micro сравнили уровень защищенности четырех наиболее популярных операционных систем для смартфонов - Blackberry, Android от компании Google, iOS от Apple и Windows Phone от Microsoft – при применении корпоративными пользователями.
Операционные системы проверялись по нескольким основным критериям: наличию встроенной защиты, аутентификации, защищенности приложений, встроенному файрволу, возможности очистки устройства и ряду других. Операционной системе Blackberry удалось набрать наивысший балл – 2,89.
На втором месте оказалась iOS с показателем 1,7, на третьем - Windows Phone - 1,61. Android продемонстрировала худшие показатели защищенности, набрав только 1,37 балла.
По словам авторов отчета, «BlackBerry OS демонстрирует очень высокие показатели по всем основным критериям, заметно выделяясь по сравнению с тремя остальными мобильными платформами. Система предоставляет безопасность корпоративного уровня, а также возможности для гибкой настройки и управления инструментами безопасности – все это делает данную платформу хорошим выбором для использования предприятиями».
Одной из основных причин низкого показателя Android является фрагментация системы. «У Android нет основного средства обеспечения обновлений операционной системы, из-за чего многие пользователи остаются незащищенными от критических уязвимостей в течение долгого периода времени», - отмечают в Trend Micro.
По поводу iOS в отчете говорится, что на безопасность в мобильной операционной системе Apple влияют физические особенности iPhone и iPad. Так, система не предлагает опций для добавления съемных носителей (например, USB, - прим. CNews), отсутствие которых обеспечивают еще один уровень защиты для пользователей». Windows Phone от Microsoft эксперты называют «сравнительно надежной и безопасной».
«На фоне растущей и безостановочной консьюмеризации, любое мобильное устройство несет некий риск для бизнеса. Что интересно в этих результатах – некоторые мобильные платформы за последнее время очень заметно развились по корпоративной линии, однако в них до сих пор остается сильное наследие «потребительского маркетинга», которое зачастую сводит на нет прогресс в сфере обеспечения безопасности систем», - отметил Римунд Гинс (Rimund Genes), технический директор компании Trend Micro.
«Лечилка» «Касперского» удаляла настройки в компьютерах Apple
Компания «Лаборатория Касперского» была вынуждена из-за критической ошибки отозвать первую версию своей бесплатной разработки Kaspersky Flashfake Removal Tool для ботнетом Flashback, состоящим из компьютеров под управлением OS X. В ночь на 13 апреля была выпущена обновленная версия программы.
«Лаборатория Касперского» сообщила, что недавно выпущенный антивирусной компанией инструмент для удаления трояна, известного под названиями Flashback и Flashfake, поражающего компьютеры Apple под управлением OS X, оказался недоработанным и включал в себя ошибку.
Бесплатная программа от «Лаборатории Касперского» для удаления Flashback/Flashfake была выпущена на этой неделе. Она предназначена для удаления с компьютеров трояна, который, по информации экспертов в области компьютерной безопасности, уже заразил более 670 тыс. компьютеров по всему миру, став крупнейшим вирусом для OS X в истории.
По словам представителей российской антивирусной компании, инструмент от «Лаборатории Касперского» включал в себя ошибку, которая создавала проблемы для некоторых пользователей Mac. «В некоторых случаях есть вероятность того, что применение этого инструмента приведет к неожиданному удалению некоторых пользовательских настроек, включая конфигурацию автоматического запуска системы, настройки пользователя в браузерах и данные по перемещению файлов», - говорится в сообщении разработчиков.
Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», уточняет, что обращения в службу технической поддержки «Лаборатории Касперского», связанные с некорректной работой утилиты, были единичными. При этом, говорит он, из России обращений не поступило ни одного. «Ошибка в программе была оперативно устранена, и сейчас пользователям доступна обновленная версия утилиты», - добавляет эксперт.
В ночь на 13 апреля инструмент Kaspersky Flashfake Removal Tool был временно закрыт для распространения, а около 3:30 по московскому времени 13 апреля «Лаборатория Касперского» выпустила его обновленную версию с уже исправленной ошибкой.
[highslide]http://filearchive.cnews.ru/img/cnews/2012/04/13/kasp3.jpg[/highslide] Ошибка в Kaspersky Flashfake Removal Tool внезапно меняла настройки в Mac'ах
Компания также принесла извинения всем пользователям за неудобства, вызванные этой недоработкой, отметив, что активно работает над ее решением. Тем, кто столкнулся с серьезными проблемами при использовании Kaspersky Flashfake Removal Tool, рекомендуют обратиться в службу техподдержки компании по телефону или электронной почте.
Напомним, что первым об обнаружении новой модификации трояна BackDoor.Flashback сообщил CNews отечественный антивирусный разработчик «Доктор Веб». Это первая в истории «настоящая» вредоносная программа для «макинтошей», которая в отличие от ранее известных троянов, заражающих компьютеры Apple, не требует при своем проникновению в систему исполнения пользователем каких-либо действий.
По сообщению «Доктор Веб», заражение OS X происходит при посещении инфицированных сайтов. Вредоносный код, которым заражена веб-страница проверяет компьютер, с которого сделан запрос, и, узнав систему OS X, загружает на компьютер несколько java-приложений. Загруженные Java-приложения, в свою очередь заражают систему основным модулем троянской программы BackDoor.Flashback.26, которая служит для накрутки отдельных сайтов в поисковых запросах.
Интересно, что по наблюдениям экспертов, прежде чем загрузить троян, Java-приложения проверяют систему на наличие в ней пакета разработчика X Code, и, обнаружив его, самоудаляются.
Компания Apple пообещала в скором времени выпустить обновление для Max OS X, закрывающее данную уязвимость. Сейчас представители компании рекомендуют пользователям Max OS X v10.5 и более ранних версию усилить защиту системы, отключив Java в своих браузерах.
В России активизировались вымогатели логина/пароля от портала госуслуг
Минкомсвязи зафиксировало рост предложений по ускоренному оформлению загранпаспорта через интернет, где от граждан требуется вместе с необходиыми документами передать и свои идентификационные данные от портала госуслуг. Чиновники не рекомендуют соглашаться на подобные предложения.
Специалисты технической поддержки портала госуслуг в последние недели зафиксировали рост потока «сомнительных предложений» от компаний, обещающих за плату ускорить процесс оформления заграничного паспорта в территориальных подразделениях ФМС России, сообщает Минкомсвязи.
Для оказания услуги эти компании запрашивают у граждан полный комплект необходимых документов, а также просят передать им логин (номер СНИЛС) и пароль от личного кабинета портала госуслуг или код активации личного кабинета.
В Минкомсвязи отмечают, что помимо оформления загранпаспорта через портал госуслуг можно получить и другие услуги - например, выбор инвестиционного портфеля (управляющей компании) или переход в негосударственный пенсионный фонд для передачи средств пенсионных накоплений, регистрационный учет по месту пребывания и по месту жительства, а потому знание идентификационных данных гражданина позволяет третьим лицам действовать от его имени в своих интересах.
«Ни при каких обстоятельствах не следует передавать третьим лицам сведения о коде активации, пароле и логине (номере СНИЛС), которые являются вашими идентификаторами на едином портале», - говорится в сообщении Минкомсвязи.
Представители ведомства также утверждают, что в соответствии с требованиями закона «О порядке выезда из Российской Федерации и въезда в Российскую Федерацию» все электронные заявления, направленные с портала госуслуг, рассматриваются в ФМС России в единые установленные сроки без предоставления кому-либо преференций.
CNews нашел несколько предложений по оформлению загранпаспорта в интернете, где в числе необходимых для предоставления документов и данных числится и СНИЛС. «Заполняете бланк либо высылаете документы (паспорт, трудовая книжка, ИНН, СНИЛС и пр). Примерно через 1 неделю получите письмо в почтовом отделении по прописке, сообщаете мне код активации в этом письме», - говорится в одном из объявлений, обещающем оформить загранпаспорт «быстро и без простаивания в очередях».
В этом же объявлении указано, что вся процедура оформления займет 1,5-2 месяца. Законом установлен предельный срок оформления паспорта: 1 месяц при подаче документов по месту жительства (постоянная регистрация) и 4 месяца при подаче их по месту пребывания (временная регистрация). Таким образом, вместе с регистрацией на сайте госуслуг и ожиданием письма с кодом активации можно оформить паспорт самостоятельно примерно за тот же срок.
По данным Минкомсвязи, на сегодняшний день портал госуслуг насчитывает свыше 2 млн зарегистрированных пользователей, предоставляет возможности для заявителей подать заявления в электронном виде на получение более 154 федеральных и 1200 региональных и муниципальных государственных услуг.
«Доктор Веб»: вирус Rmnet.12 создал бот-сеть из миллиона компьютеров на базе Windows
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщила о широком распространении файлового вируса Win32.Rmnet.12, c помощью которого злоумышленники создали бот-сеть, насчитывающую более миллиона инфицированных компьютеров.
Вирус Win32.Rmnet.12 заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей (от популярных FTP-клиентов), которые могут быть использованы для организации сетевых атак или заражения сайтов. Обрабатывая поступающие от удаленного центра злоумышленников указания, Win32.Rmnet.12 также может дать команду на уничтожение операционной системы.
Впервые информация о вирусе Win32.Rmnet.12 была добавлена в базы Dr.Web еще в сентябре 2011 г. Начиная с этого момента специалисты «Доктор Веб» внимательно следили за развитием этой угрозы. Вирус проникает на компьютеры разным путем: через инфицированные флеш-накопители, зараженные исполняемые файлы, а также при помощи специальных скриптов, интегрированных в html-документы — они сохраняют на диск компьютера вирус при открытии вредоносной веб-страницы в окне браузера. Сигнатура подобных сценариев, написанных на языке VBScript, была добавлена в базы Dr.Web под именем VBS.Rmnet.
Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению (умеет копировать сам себя и бесконтрольно распространяться без участия пользователя). Запустившись в операционной системе, Win32.Rmnet.12 проверяет, какой браузер установлен по умолчанию (если таковой не обнаружен, вирус выбирает в качестве цели Microsoft Internet Explorer) и встраивается в процессы браузера. Затем, сгенерировав имя собственного файла на основе серийного номера жесткого диска, вирус сохраняется в папку автозагрузки текущего пользователя и устанавливает для вредоносного файла атрибут «скрытый». В ту же папку сохраняется и конфигурационный файл, в который записываются необходимые для работы вредоносной программы данные. Затем на основе заложенного в него алгоритма вирус определяет имя управляющего сервера и пытается установить с ним соединение.
Одним из компонентов вируса является модуль бэкдора. После запуска он пытается определить скорость соединения компьютера с интернетом, для чего с интервалом в 70 секунд отправляет запросы на сайты google.com, bing.com и yahoo.com, анализируя отклики. Затем Win32.Rmnet.12 запускает на инфицированной машине FTP-сервер и устанавливает соединение с командным центром, передавая ему сведения о зараженном компьютере. Бэкдор способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление самого себя, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы.
Другой функциональный компонент вируса предназначен для кражи паролей от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Эти данные впоследствии могут быть использованы злоумышленниками для организации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. К тому же Win32.Rmnet.12 не брезгует покопаться и в cookies пользователя, в результате чего злоумышленники могут получить доступ к учетным записям жертвы на различных сайтах, требующих авторизации. Кроме того, модуль обладает функционалом, позволяющим осуществлять блокировку отдельных сайтов и перенаправление пользователя на принадлежащие вирусописателям интернет-ресурсы. Одна из модификаций Win32.Rmnet.12 также способна осуществлять веб-инжекты, благодаря чему вирус может похищать банковскую информацию.
Распространение вируса происходит несколькими путями: во-первых, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съемные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.
Ботнет, состоящий из зараженных Win32.Rmnet.12 компьютеров, был впервые обнаружен компанией «Доктор Веб» еще в сентябре 2011 г., когда образец самого вируса впервые попал в антивирусную лабораторию. Вскоре были расшифрованы хранящиеся в ресурсах Win32.Rmnet.12 имена управляющих серверов. Спустя некоторое время специалисты проанализировали также протокол обмена данными между ботнетом и управляющими центрами, что позволило не только определять количество ботов в сети, но и контролировать их поведение. 14 февраля 2012 г. аналитиками компании «Доктор Веб» был применен известный метод sinkhole, который впоследствии успешно использовался для изучения сети троянцев BackDoor.Flashback.39, а именно были зарегистрированы домены управляющих серверов одной из сетей Win32.Rmnet.12, что позволило установить полный и всеобъемлющий контроль над этим ботнетом. В конце февраля аналогичным образом была захвачена вторая подсеть Win32.Rmnet.12.
Первоначально количество составляющих сеть Win32.Rmnet.12 инфицированных машин было относительно невелико и насчитывало несколько сотен тысяч ботов, однако это число постепенно увеличивалось. По данным на 15 апреля 2012 г., ботнет Win32.Rmnet.12 состоит из 1 400 520 зараженных узлов и продолжает уверенно расти.
Наибольшее количество зараженных ПК приходится на долю Индонезии — 320 014 инфицированных машины, или 27,12%. На втором месте находится государство Бангладеш с числом заражений 166 172, что составляет 14,08% от размеров всего ботнета. На третьем месте — Вьетнам (154 415 ботов, или 13,08%), далее следуют Индия (83 254 бота, или 7,05%), Пакистан (46 802 бота, или 3,9%), Россия (43 153 инфицированных машины, или 3,6%), Египет (33 261 бот, или 2,8%), Нигерия (27 877 ботов, или 2,3%), Непал (27 705 ботов, или 2,3%) и Иран (23 742 бота, или 2,0%). Достаточно велико количество пострадавших от данного вируса на территории Казахстана (19 773 случая заражения, или 1,67%) и Беларуси (14 196 ботов, или 1,2%). В Украине зафиксировано 12 481 случай инфицирования Win32.Rmnet.12, что составляет 1,05% от размеров всей бот-сети. Относительно небольшое количество зараженных компьютеров выявлено в США — 4 327 единиц, что соответствует 0,36%. Ну а меньше всего случаев приходится на долю Канады (250 компьютеров, или 0,02% от объемов сети) и Австралии (всего лишь 46 компьютеров). По одному инфицированному ПК было выявлено в Албании, Дании и Таджикистане.
Как отмечают в компании, «Доктор Веб» полностью контролирует вирусную сеть Win32.Rmnet.12, благодаря чему злоумышленники больше не могут получить к ней доступ и нанести вред инфицированным компьютерам. Во избежание заражения Win32.Rmnet.12 специалисты компании «Доктор Веб» рекомендуют использовать современное антивирусное программное обеспечение и поддерживать вирусные базы в актуальном состоянии.
В июле тысячи компьютеров могут лишиться доступа в интернет
опубликовано 23 апр ‘12 21:32 текст: Георгий Орлов /Infox.ru
Американское Федеральное бюро расследований (ФБР) опубликовало предупреждение, согласно которому 9 июля этого года тысячи компьютеров могут лишиться доступа в интернет, если их владельцы не проведут удаление трояна DNS Changer. Вредоносное ПО представляет угрозу для машин под управлением Windows и Mac OS, троянская программа не работает на системах Linux (включая Android) и Apple iOS.
Вредоносный код под названием «DNS Changer» был обнаружен в 2007 году и сейчас, по оценкам специалистов, им заражены миллионы компьютеров по всему миру. Алгоритм перехватывает запросы по переходу на указанные пользователями адреса и направляет машины на серверы, находящиеся под контролем злоумышленников. С этих серверов пользователям показываются рекламные сообщения, в результате чего хакеры зарабатывают миллионы долларов, пишет Forbes.
В прошлом году ФБР в сотрудничестве с правоохранительными органами Эстонии конфисковало серверы, используемые киберпреступниками, нарушив таким образом работу преступной цепочки. Однако машины, отвечающие за работоспособность системы, остались в сети, хотя и перестали отправлять пользователям зараженных машин рекламные сообщения. В связи с большими масштабами заражения инженеры ФБР приняли решение заменить серверы с вредоносным ПО двумя собственными компьютерами, которые не осуществляют опасной деятельности. Однако содержание этого небольшого дата-центра оказалось слишком дорогим, и потому было принято решение отключить их по истечении 120-дневного срока с момента проведения операции. Поскольку все зараженные вирусом DNS Changer компьютеры осуществляют интернет-серфинг через эти серверы по строго заданным адресам, вывод серверов оффлайн будет означать отказ в работе интернета для пострадавших компьютеров, что и случится 9 июля.
В этой связи всем пользователям настоятельно рекомендуется до наступления этой даты произвести сканирование своих компьютеров на предмет обнаружения трояна. Обслуживание «вылеченных» серверов осуществляют специалисты рабочей группы DCWG (DNS Changer Working Group), они также создали специализированный веб-сайт www.dcwg.org, при помощи которого любой желающий может проверить свою машину и определить, заражена ли она этим вредоносным кодом. По оценкам DCWG на январь 2012 года трояном DNS Changer были заражены 45 тыс. компьютеров.
